ระบบการจัดการด้านความต่อเนื่องทางธุรกิจ ISO 22301

• ISO 22301 เป็นกรอบการทำงานระดับนานาชาติ และเป็นการเทียบเคียง (Benchmarking) พัฒนา แนะนำไปสู่ธุรกิจให้สามารถระบุภัยคุกคามที่มีนัยสำคัญต่อผลิตภัณฑ์และบริการขององค์กร. เพื่อสร้างระบบสำรอง (Backup) ที่มีประสิทธิผลและกระบวนการต่าง ๆ ที่จะปกป้องประโยชน์ของผู้ที่เกี่ยวข้อง.
• BCM จะให้แนวทางความต่อเนื่องทางธุรกิจที่เป็นทางการ ซึ่งจะรักษาการดำเนินงานทางธุรกิจในช่วงเวลาวิกฤตและรองรับกับการหยุดชะงัก (Disruption). ซึ่ง BCM จะหาแนวทางที่จะลดผลกระทบที่มีต่อผลิตภัณฑ์และบริการ. สร้างความมั่นใจว่าเรายังสามารถส่งมอบและกู้คืนสู่สภาวะปกติได้ทันท่วงที.
• ISO 22301 จะระบุเฉพาะถึงข้อกำหนดในการวางแผน นำไปปฏิบัติ ติดตาม ทบทวน และปรับปรุงการจัดการความต่อเนื่องทางธุรกิจของบริษัทฯ . ด้วยกรอบ BCM อย่างเป็นทางการนี้และการจัดทำแผนต่าง ๆ ที่ได้ทดสอบเป็นอย่างดีแล้วนั้น ซึ่งจะลดความไม่แน่นอนและความสับสนต่าง ๆ ลง.
• ISO 22301 ครอบคลุมทุกเฟสของการดำเนินงานและการปฏิบัติการของระบบความต่อเนื่องทางธุรกิจ และให้กรอบการทำงานที่สามารถช่วยองค์กรทำงานต่อไปนี้สำเร็จลุล่วง:-
  • พัฒนานโยบายองค์กรสำหรับการกู้คืนงานหลักทางธุรกิจอย่างมีประสิทธิผล.
• จัดสร้าง วางเป้าหมาย และวัตถุประสงค์ต่าง ๆ เพื่อบรรลุเป้าประสงค์ของนโยบาย:-
  • กำหนดความเสี่ยงด้านธุรกิจและการดำเนินงานต่าง ๆ และผลกระทบทางธุรกิจที่มีความสัมพันธ์กัน (Perform Risk Assessment - RA) และการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Assessment - BIA).
  • กำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ และพัฒนาแผนความต่อเนื่องทางธุรกิจต่าง ๆ {develop Business Continuity Plan(s)} บนฐานที่เป็นผลลัพธ์มาจากการประเมินความเสี่ยง (Risk Assessment - RA) และการประเมินผลกระทบทางธุรกิจ (Business Impact Assessment - BIA) และการจัดวางตำแหน่งสู่นโยบายความต่อเนื่องทางธุรกิจ (Business Continuity Policy หรือ BC policy) และวัตถุประสงค์ต่าง ๆ .
  • จัดตั้งและปฏิบัติการตามขั้นตอนความต่อเนื่องทางธุรกิจ.
  • กำหนดทรัพยากรที่จำเป็นเพื่อสร้างความมั่นใจต่อการตระเตรียมอย่างเร่งด่วนและการตอบสนองที่เหมาะสม.
  • ดำเนินการทดสอบและฝึกฝนตามแผนความต่อเนื่องทางธุรกิจ (BC plan) ในการกำหนดขั้นตอนและแผนด้านความต่อเนื่องทางธุรกิจ จัดวางตำแหน่งตามวัตถุประสงค์ต่าง ๆ ที่มีแนวโน้มท่าทีว่าจะกู้คืนได้.
  • ติดตาม ตรวจวัด และวิเคราะห์คุณลักษณะหลัก ๆ ที่ส่งผลกระทบต่อแผนการกู้คืน (Recovery plan).
  • ทบทวนความเหมาะสม ความเพียงพอและความมีประสิทธิผลของระบบการจัดการความต่อเนื่องทางธุรกิจ.
  • ปรับปรุงอย่างต่อเนื่องในเรื่องขีดความสามารถและผลการดำเนินงานความต่อเนื่องทางธุรกิจของบริษัทฯ .

ประโยชน์ของ ISO 22301

       ด้วยการนำ ISO 22301 ไปใช้บังคับในระบบการจัดการด้านความต่อเนื่องทางธุรกิจนั้น องค์กรสามารถบรรลุผลสำเร็จได้ตามเป้าประสงค์ดังนี้:-

• แนะนำองค์กรให้ใช้วิธีการอันเป็นระบบ (Systematic Approach) ในการพัฒนา นำไปปฏิบัติ จัดการ ธำรงรักษา และปรับปรุงโปรแกรมความต่อเนื่องทางธุรกิจ.
• ให้ความมั่นใจว่าเราอยู่บนเส้นทาง (การจัดการด้านความต่อเนื่องทางธุรกิจ) ที่ถูกต้องอยู่.
• ช่วยองค์กรกำหนดและทำความเข้าใจกับความเสี่ยงต่าง ๆ ที่อาจจะสามารถทำให้ธุรกิจมีผลกระทบและหยุดชะงักได้.
• สร้างความมั่นใจและให้ความเชื่อมั่นแก่พนักงานและลูกค้า.
• การออกใบรับรองด้วยการประเมินที่เป็นอิสระ อันจะเป็นเครื่องหมายถึงความมุ่งมั่นขององค์กร สร้างความมั่นใจในความต่อเนื่องของธุรกิจและการบริการสู่ลูกค้า.
• เอื้ออำนวยให้การสื่อสารภายในองค์กรกว้างขวางมากขึ้น อันมีความจำเป็นสำหรับการตระเตรียมต่อเหตุการณ์ต่าง ๆ อันไม่คาดคิดและเหตุการณ์อันไม่เป็นที่ยินดีนัก.
• ส่งเสริมการตระหนักรู้ถึงความสำคัญของการกู้คืนอย่างราบรื่นและรวดเร็ว.
• ธำรงรักษาคุณภาพและประสิทธิภาพ แม้แต่เมื่อขณะมีอุบัติภัยเกิดขึ้นอยู่ก็ตาม.
• การประเมินวัตถุประสงค์และการจัดลำดับความสำคัญในการกระจายทรัพยากรและการดำเนินการที่มีความซับซ้อน.
• จัดให้มีการบูรณาการร่วมกับระบบการจัดการองค์กรอื่น ๆ .
• กำหนดโอกาสต่าง ๆ สำหรับการปรับปรุงทั่วทั้งองค์กร.
• ได้รับความเชื่อมั่นจากผู้ที่เกี่ยวข้องจากการนำแนวปฏิบัติที่เป็นเลิศ (Best Practices) ไปปฏิบัติสำหรับการต่อเนื่องทางธุรกิจ.

       ISO 22301 อันเป็นตัวแบบการจัดการความต่อเนื่องทางธุรกิจนั้น สามารถช่วยให้องค์กรต่าง ๆ จัดการทรัพยากรอันมีจำกัดได้ดีขึ้นในปัจจุบัน ในขณะที่ ISO 22301 จะสนับสนุนความพยายามในระยะยาวที่จะปรับปรุงความยืดหยุ่นด้วยเทคโนโลยี (Improve resillience with technology).


จะตั้งระบบการจัดการด้านความต่อเนื่องทางธุรกิจตามแนวปฏิบัติ ISO 22301 ได้อย่างไร? (Establishing an ISO 22301 compliant business continuity management system?)

       การพัฒนาและการดำเนินการตามระบบการจัดการด้านความต่อเนื่องทางธุรกิจนั้นเป็นสิ่งสำคัญที่เราจะต้องดำเนินการ. สำหรับเหตุผล คือ ความมุ่งมั่นและเป็นการสนับสนุนผู้บริหารขององค์กรที่กำลังประสบภาวะวิกฤติ.
       ขณะที่งานที่ทำอยู่นั้น จะกระจายแจกจ่ายแก่คณะที่ดำเนินการ. ความมุ่งมั่นของฝ่ายจัดการที่เพียรพยายามจะต้องมีความชัดเจน เพื่อว่าทีมงานได้มีอำนาจในการดำเนินงานตามกิจกรรมที่ได้วางแผนและมีความพยายามต่าง ๆ ไว้.
       เมื่อความมุ่งมั่นจากฝ่ายจัดการได้ถ่ายทอดลงมา ทีมงานที่จะดำเนินการก็จะจัดตั้งขึ้น ประกอบด้วยบุคลากรทั่วทั้งองค์กร. โดยอุดมคติแล้ว บุคคลที่เข้าร่วมทีมงานนั้นประกอบด้วย บุคลากรจากฝ่ายปฏิบัติการ เทคโนโลยีสารสนเทศ ฝ่ายสื่อสารภายในองค์กร-(ประชาสัมพันธ์) ความเสี่ยงและการควบคุม ทรัพยากรมนุษย์ จัดซื้อ รวมทั้งบุคลากรจากแผนกซ่อมบำรุงด้วย.
       เป้าประสงค์ในการจัดตั้งทีมงาน ก็เป็นเช่นเดียวกับตารางการประชุมปกติทั่วไป สามารถช่วยสร้างความมั่นใจถึงความพยายามต่าง ๆ ของทีมงาน ที่ได้ปฏิบัติงานตามแนวทางที่วางไว้. ในตอนสุดท้ายของขั้นตอนแรกก็คือการจัดตั้งระบบการจัดการความต่อเนื่องทางธุรกิจในการกำหนดทางเลือกที่เป็นอยู่ทั้งหมดหรือบางส่วน.
       ทรัพยากรและไซต์งานต่าง ๆ บางทีอาจจะเหมาะสำหรับองค์กรในการจัดการด้านการหยุดชะงัก (Disruption) ได้. นี่ก็คล้ายกับว่าได้รวมสาธารณูปการทางกายภาพต่าง ๆ  เช่น ที่นั่งทำงานและพื้นที่ภายในองค์กรซึ่งปัจจุบันไม่ได้ใช้กัน. เพิ่มเติมว่า ทีมงานที่จะปฏิบัตินี้นั้นควรต้องระบุอุปกรณ์และระบบต่าง ๆ ที่อาจจะอยู่ในภาวะวิกฤติ.
       เมื่อขั้นตอนแรกเสร็จสมบูรณ์แล้ว ก็เป็นการดำเนินงานและบำรุงรักษาตามแนวปฏิบัติของ ISO 22301 ระบบการจัดการด้านความต่อเนื่องทางธุรกิจ ซึ่งโดยทั่วไปแล้วจะเกี่ยวเนื่องกันสี่ระยะดังนี้:

     I. การวางแผนความต่อเนื่องทางธุรกิจ (Business Continuity Planning)
       การวางแผนเป็นระยะแรก (The First Phase) ในการจัดตั้งระบบการจัดการด้านความต่อเนื่องทางธุรกิจ. การกำหนดที่ชัดเจนและการวางแผนด้านเอกสารจะช่วยสร้างความมั่นใจถึงความพยายามโดยรวมที่จะประสบความสำเร็จโดยการจัดเตรียมกรอบการทำงานภายใต้ภาวะวิกฤติ (A Critical Framework) สำหรับงานที่จะต้องทำตามแผน.
       องค์กรจะต้องกำหนดความเสี่ยงและโอกาสต่าง ๆ ที่มีความจำเป็นระบุตำแหน่ง ที่ใด เพื่อสร้างความมั่นใจต่อระบบการจัดการซึ่งสามารถบรรลุผลสำเร็จได้ตามผลลัพธ์ที่ตั้งใจไว้ ปกป้องหรือลดผลกระทบที่ไม่น่าปรารถนาและการบรรลุถึงการปรับปรุงอย่างต่อเนื่อง. ในระดับต่ำสุดแล้ว การวางแผนที่มีประสิทธิผล จะเกี่ยวข้องกับกิจกรรมต่าง ๆ ดังต่อไปนี้.

ทบทวนประเด็นภายนอกและภายใน และกำหนด/ทำความเข้าใจกับผู้ที่เกี่ยวข้องต่าง ๆ (Review organization external and internal issues and Identify / understand the needs of interested parties)

• ขั้นตอนการวางแผนแรกนั้น คือการกำหนดประเด็นปัญหาภายในและภายนอกองค์กรที่เกี่ยวข้อง ซึ่งอาจจะกระทบต่อขีดความสามารถขององค์กรในการต่อเนื่องทางธุรกิจและบริการต่าง ๆ  กำหนดกลุ่มที่คาดหวังว่าจะได้รับประโยชน์ของธุรกิจและการดำเนินงานต่าง ๆ ด้วยเป้าหมายของการกำหนดกิจกรรมต่าง ๆ ของบริษัท งาน บริการ ผลิตภัณฑ์ หุ้นส่วน ห่วงโซ่อุปทาน และผลกระทบที่มีศักยภาพที่สัมพันธ์ต่อเหตุการณ์ที่หยุดชะงัก. กิจกรรมนี้จะช่วยองค์กรให้กำหนดปัจจัยภายในและภายนอกที่สร้างความไม่แน่นอนต่าง ๆ : และนั่นคือความเสี่ยง. ซึ่งความเสี่ยงนี้จะต้องถูกกำหนดอย่างชัดแจ้งว่าอยู่ในระดับความคาดหวังด้านบริการและการดำเนินการใด. นอกจากนี้ในวงกว้างแล้ว รายละเอียดของงานทางธุรกิจที่อยู่ในภาวะวิกฤติ จะได้รับการเรียกร้องให้สนับสนุนการส่งมอบด้านผลิตภัณฑ์และบริการให้ได้.

กำหนดนโยบายและขอบเขตสำหรับความต่อเนื่องทางธุรกิจ (Determine the policy and scope for business continuity)

• ด้วยความเข้าใจในประเด็นปัญหาขององค์กรและความคาดหวังและข้อกำหนดของกลุ่มผู้ที่เกี่ยวข้อง (Interested Parties) (ซึ่งมีอิทธิพลส่งผลกระทบ ได้รับอิทธิพลจากกิจกรรมต่าง ๆ ขององค์กร) ซึ่งจะให้ข้อมูลที่มีความจำเป็นสำหรับการจัดการในอันที่จะจัดวางเกณฑ์ความเสี่ยงขององค์กร (to see organization risk criteria) นำไปสู่ความกล้าที่จะเสี่ยง จัดตั้งนโยบายและขอบเขตความต่อเนื่องทางธุรกิจและสิ่งที่องค์กรต้องการ ซึ่งจะบรรลุผลสำเร็จด้วยระบบการจัดการด้านความต่อเนื่องทางธุรกิจ.

กำหนดเป้าประสงค์ วัตถุประสงค์และการกู้คืนความต่อเนื่องทางธุรกิจ (ช่วงเวลาที่ยอมรับให้มีการหยุดชะงักได้สูงสุด, วัตถุประสงค์ขั้นต่ำสุดในด้านความต่อเนื่องทางธุรกิจ) {Identify Business Continuity Objectives and Recovery Targets (Maximum Tolerable Period of Disruption, Minimum Business Continuity Objectives)}

• วางบนฐานของความต้องการที่กำหนด นโยบาย และขอบเขต องค์กร สามารถระบุวัตถุประสงค์ต่าง ๆ ของการต่อเนื่องทางธุรกิจ เป้าหมายในการกู้คืน (Recovery) และแผนปฏิบัติการต่าง ๆ ที่จะทำให้บรรลุตามเป้าประสงค์. วัตถุประสงค์ต่าง ๆ และเป้าหมายต่าง ๆ ควรจะมีความสม่ำเสมอ ด้วยนโยบายความต่อเนื่องทางธุรกิจขององค์กร รวมทั้งกรอบเวลาสำหรับการกู้คืน. (วัตถุประสงค์ต่าง ๆ โดยทั่วไปได้รวมเป้าหมายที่มีฐานของเวลา หรือเป็นการทำงานแข่งกับเวลา ต้องส่งมอบให้ทันกำหนด ตามสัญญาการค้าต่าง ๆ ตัวอย่าง MTPD - Maximum Tolerable Period of Disruption, RTO - Recovery Time Objective เป็นต้น). แผนปฏิบัติการต่าง ๆ อาจจะกำหนดให้ฝ่ายต่าง ๆ ที่รับผิดชอบต่อการปฏิบัติตามแผน กรอบเวลา และถ้อยแถลงของวิธีการที่ใช้ตรวจทาน ปรับปรุง การกู้คืนความต่อเนื่องทางธุรกิจ.

  II. การนำไปปฏิบัติและการดำเนินการ (Implementation and Operation)
       เมื่อมีแผนเตรียมไว้แล้ว การนำไปปฏิบัติก็สามารถเริ่มได้ทันที ระยะการนำไปปฏิบัติประกอบด้วยกิจกรรมต่าง ๆ ดังนี้:-

     ความสามารถ การอบรม และการรับรู้ (Competence, Training, and Awareness)
     - ระบบการจัดการด้านความต่อเนื่องทางธุรกิจที่มีประสิทธิผลนั้น จะอยู่บนฐานขีดความสามารถของทุกคนที่เกี่ยวข้อง. องค์กรจะต้องมั่นใจว่าพนักงานทุกคน พร้อมทั้งผู้ขายและผู้ส่งมอบนั้นมีความรู้เกี่ยวกับ:

• ประโยชน์ต่าง ๆ ที่ได้จากการสร้างแผนที่ดีและได้ตระเตรียมไว้พร้อมแล้ว.
• ภัยคุกคาม/ความเสี่ยงต่าง ๆ ที่ส่งผลกระทบต่อธุรกิจ.
• วิธีดำเนินการที่ถูกต้องในการประเมินความเสี่ยงและการวิเคราะห์ผลกระทบต่อธุรกิจ.
• กลยุทธ์ทางด้านความต่อเนื่องทางธุรกิจขององค์กรและแผนกู้คืนต่าง ๆ .
• วัตถุประสงค์และความสำคัญของบททดสอบและแบบฝึกหัดที่ได้บูรณาการขึ้นมา.
• ความสำคัญของความสอดคล้องระหว่างขั้นตอนการดำเนินงานและข้อกำหนดต่าง ๆ ของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร.
• กิจกรรมต่าง ๆ สามารถเข้าช่วยให้เป้าประสงค์ของความต่อเนื่องทางธุรกิจขององค์กรนั้น ประสบความได้อย่างไร.

       สิ่งเพิ่มเติม องค์กรควรจะกำหนดความต้องการในการฝึกอบรมใด ๆ ที่สัมพันธ์กับความพยายามในการธำรงรักษาการดำเนินงานของระบบการจัดการความต่อเนื่องทางธุรกิจ และความพยายามในการเตรียมเอกสารอบรมไว้ด้วย.
     การสื่อสาร (Communication)
     - องค์กรควรจะมีข้อมูลข่าวสารประจำ จัดให้แก่พนักงานเกี่ยวกับภัยคุกคามต่าง ๆ /ความเสี่ยงต่าง ๆ ทั้งที่ใหม่และมีศักยภาพ. อาจจะส่งผลกระทบต่อการหยุดชะงักทางธุรกิจได้ ผลกระทบทั้งที่เป็นภัยคุกคามต่าง ๆ / ความเสี่ยงต่าง ๆ และการทำให้ทันสมัยเมื่อมีการเปลี่ยนแปลง/ปรับปรุงระบบการจัดการด้านความต่อเนื่องทางธุรกิจ และการสร้างกระบวนการที่อนุญาตให้พนักงานและการทำงานในนามองค์กรอื่น ๆ เพื่อจะจัดทำคำแนะนำสำหรับปรับปรุงระบบ. หากองค์กรตัดสินใจที่จะจัดหาข้อมูลเกี่ยวกับนโยบายความต่อเนื่องทางธุรกิจขององค์กร ไปยังผู้คนภายนอกองค์กรที่สนใจแล้ว ก็ควรจะสร้างและปฏิบัติตามวิธีการที่เหมาะสม เพื่อจัดการการสื่อสารนี้.

     เอกสารประกอบ (Documentation)
     - องค์กรต้องมีเอกสาร ไม่ว่าจะเป็นกระดาษหรือสื่ออิเล็กทรอนิกส์ องค์ประกอบแกนหลักของระบบการจัดการด้านความต่อเนื่องทางธุรกิจ. เอกสารประกอบควรมี:

• ขอบเขตและกรอบของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร.
• นโยบายด้านความต่อเนื่องทางธุรกิจขององค์กร.
• วัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ เป้าประสงค์ และแผนปฏิบัติการต่าง ๆ .
• วิธีการดำเนินการเพื่อวิเคราะห์ผลกระทบทางธุรกิจ.
• ระเบียบวิธีการประเมินความเสี่ยง.
• กลยุทธ์ด้านความต่อเนื่องทางธุรกิจ.
• แผนด้านความต่อเนื่องทางธุรกิจ (อาจมีหลายแผน).
• วิธีการดำเนินการสำหรับองค์กรจะทดสอบ/ทำแบบฝึกหัก และแผนต่าง ๆ ขององค์กร.
• เอกสารและบันทึกตามที่กำหนดโดย ISO 22301.
• เอกสารอื่นใดที่ได้ระบุไว้แล้วว่ามีความจำเป็นสำหรับระบบการจัดการที่มีประสิทธิผล.

     การควบคุมเอกสาร (Document Control)
     - สิ่งที่เพิ่มเติมนอกเหนือจากข้อกำหนดเกี่ยวกับเอกสารประกอบนั้น องค์กรจะต้องจัดตั้งและธำรงรักษากระบวนการต่าง ๆ ที่เหมาะสมและขั้นตอนต่าง ๆ เพื่ออนุมัติเอกสารสำหรับใช้งาน เพื่อไว้ทบทวนเป็นระยะ ๆ และทำเอกสารให้ทันสมัยเท่าที่จำเป็น และสร้างความมั่นใจว่าเป็น Version ที่เกี่ยวข้องของเอกสารที่จะนำไปใช้นั้น พร้อมให้ผู้จำเป็นต้องใช้งาน.

     การควบคุมการดำเนินงาน (Operational Control)
     - แง่มุมสำคัญของช่วงการนำไปปฏิบัติและการดำเนินการ คือการจัดแจงและจัดการปฏิบัติและการดำเนินงานให้เป็นลักษณะที่มีความสม่ำเสมอไปกับนโยบาย วัตถุประสงค์ เป้าหมาย และแผนปฏิบัติงานด้านความต่อเนื่องทางธุรกิจขององค์กร. ซึ่งการนี้จะประกอบด้วยการจัดตั้งระเบียบวิธีการประเมินความเสี่ยงและเกณฑ์ในการประเมินผลกระทบด้านบริการที่หยุดชะงักขององค์กร. กระบวนการและขั้นตอนต่าง ๆ ด้านเอกสารนั้นมีความจำเป็นที่ต้องเป็นตามข้อกำหนดและการนำแผนปฏิบัติการไปปฏิบัตินั้น จะต้องมีการระบุให้พัฒนาขึ้นมา.
     - แนวทางโดยทั่วไปนั้นประกอบด้วยจำนวนขั้นตอนที่ไม่ต่อเนื่อง รวบรวมไว้โดยมุ่งหมายในการบรรลุความสำเร็จในแผนความต่อเนื่องทางธุรกิจที่ครอบคลุมและทำงานได้จริง. ซึ่งจะต้องเป็นไปตามข้อกำหนดขององค์กร ในขณะที่มีการหยุดชะงัก.

a) ดำเนินการวิเคราะห์ผลกระทบทางธุรกิจ {Perform Business Impact Analysis (BIA)}
     - กิจกรรมนี้จะเปิดโอกาสให้องค์กรได้วิเคราะห์ผลกระทบที่มีศักยภาพในการทำให้มีการหยุดชะงัก การระบุกระบวนการต่าง ๆ ที่วิกฤติ/หน้าที่ทางธุรกิจต่าง ๆ ที่สนับสนุนผลิตภัณฑ์และบริการหลัก การพึ่งพาซึ่งกันและกันระหว่างกระบวนการและทรัพยากร จะต้องถูกนำมากำหนดเพื่อดำเนินการในกระบวนการ ณ ระดับที่ยอมรับได้ขั้นต่ำ (A minimally - acceptable level).

b) ดำเนินการประเมินความเสี่ยง {Perform Risk Assessment (RA)}
     - เป้าหมายของข้อกำหนดนี้คือจัดตั้ง นำไปปฏิบัติ และบำรุงรักษากระบวนการประเมินความเสี่ยงที่ได้จัดทำเป็นเอกสารอย่างเป็นทางการ ซึ่งจะต้องนำมาแยกแยะ วิเคราะห์ และประเมินอย่างเป็นระบบถึงภัยคุกคาม/ความเสี่ยงที่จะทำให้มีเหตุหรือเหตุการณ์ที่หยุดชะงักอันส่งผลต่อองค์กร. องค์กรจะต้องประเมินภัยคุกคามนี้/เหตุการณ์ที่มีความเสี่ยงต่าง ๆ ที่ต้องมีการแก้ไข แยกแยะ การแก้ไขรักษาที่เหมาะสมกับวัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ และเป็นไปตามความเสี่ยง (ที่องค์กรยอมรับได้).

c) จัดความสำคัญ กรอบเวลา และข้อกำหนดในการกู้คืนทางธุรกิจ (Establishing business recovery priorities, timescales, and requirements)
     - ผลลัพธ์ที่ได้จากทั้ง BIA และ RA จะอนุญาตให้องค์กรกำหนดการจัดการเรื่องความสำคัญก่อนหลังในการกู้คืนและกรอบเวลาในการกู้คืน.

d) การวางเกณฑ์กลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy)
     - หลังจากข้อกำหนด (Business recovery priorities และ timescales) ได้พัฒนาขึ้นแล้วโดยผ่าน BIA และ RA, กลยุทธ์ต่าง ๆ ก็ได้พัฒนาขึ้นเพื่อแยกแยะจัดแจง ซึ่งจะเป็นตัวช่วยองค์กรในการปกป้องและกู้คืนกิจกรรมที่วิกฤติต่าง ๆ บนฐานของความอดกลั้นอดทนต่อความเสี่ยงภัยขององค์กร และด้วยการแยกแยะ Recovery time priorities และ Timescales ทรัพยากรที่ต้องการนั้น {คน สารสนเทศและข้อมูล อาคาร ตึก สภาพแวดล้อมการทำงาน และอื่น ๆ ที่เกี่ยวข้อง สาธารณูปโภค อุปกรณ์และของใช้สิ้นเปลือง ระบบสารสนเทศ และเทคโนโลยีการสื่อสาร (ICT) การขนส่ง; การเงิน หุ้นส่วนและซัพพลายเออร์} ได้นำมาปฏิบัติตามกลยุทธ์ที่ได้คัดสรรแล้ว ซึ่งได้ตัดสินใจและจัดตั้งขึ้นไว้แล้ว. ทั้งหมดในทั้งหมด กลยุทธ์ด้านการต่อเนื่องทางธุรกิจ ควรจะเป็นองค์ประกอบที่ได้บูรณาการขึ้นมาเป็นกลยุทธ์องค์กรอีกแกนหลักหนึ่ง.

e) พัฒนาแผนและขั้นตอนการปฏิบัติงานด้านความต่อเนื่องทางธุรกิจ (Develop business continuity plan and procedures)
     - ในขั้นตอนนี้ องค์กรจะต้องพัฒนา เอกสาร การปฏิบัติการและบำรุงรักษา ขั้นตอนการต่อเนื่องทางธุรกิจไว้ เพื่อจัดการและตอบสนองต่อเหตุการณ์/อุบัติการณ์ต่าง ๆ และวิธีการให้กิจกรรมต่าง ๆ มีความต่อเนื่องหรือกู้คืนขึ้นมาได้ด้วยกรอบเวลาที่กำหนดไว้ก่อนแล้ว บนฐานของวัตถุประสงค์ในการกู้คืนที่ได้แยกแยะไว้แล้วในช่วง BIA และ RA (Phase). ซึ่งเป็นไปตามมาตรฐาน ISO 22301: 2012 ขั้นตอนต่าง ๆ จะต้อง:

• จัดตั้งมาตรการ (Protocol) การสื่อสารทั้งภายในและภายนอกองค์กรที่เหมาะสม.
• ขั้นตอนที่เฉพาะเจาะจงว่าเป็นขั้นตอนระดับกลาง ที่จะต้องดำเนินการช่วงที่หยุดชะงัก.
• เป็นขั้นตอนที่ยืดหยุ่นที่จะสนองต่อภัยคุกคามที่ไม่คาดคิดต่าง ๆ และการเปลี่ยนแปลงสภาวการณ์ภายในและภายนอก (องค์กร).
• มุ่งเน้นผลกระทบจากเหตุการณ์ต่าง ๆ ที่มีศักยภาพที่จะสามารถทำให้การดำเนินงานต่าง ๆ หยุดชะงัก.
• ได้ถูกพัฒนาขึ้นมาบนฐานของสมมติฐานต่าง ๆ และการวิเคราะห์ความสัมพันธ์ซึ่งกันและกัน และ
• มีประสิทธิผลในการลดผลที่ตามมาด้วยการใช้กลยุทธ์การลดผลกระทบที่เหมาะสม.

f) วางแผนและดำเนินการในการทดสอบแผนความต่อเนื่องทางธุรกิจ (Plan and execute business continuity plan testing)
     - ขณะที่ขั้นตอนความต่อเนื่องทางธุรกิจ ไม่ใช่สิ่งที่จะปฏิบัติได้ทุกวันเหมือนอย่างขั้นตอนการดำเนินงานทางธุรกิจปกติ แยกแยะช่องว่างที่เกิดขึ้น หาจุดบอดหรือประเด็นปัญหาที่ฝังภายในอยู่ในขั้นตอน โพสต์หรือวางความท้าทายไว้. แบบฝึกหัดและการทดสอบในกรณีศึกษานี้ เล่นบทบาทที่สำคัญตลอดทั่วทั้งการดำเนินการ. สร้างความมั่นใจว่าขั้นตอนความต่อเนื่องทางธุรกิจนั้น มีความสม่ำเสมอเป็นไปตามวัตถุประสงค์ของความต่อเนื่องทางธุรกิจ และองค์กรก็จะต้องทดสอบขั้นตอนความต่อเนื่องทางธุรกิจอย่างปกติ. แบบฝึกหัดและการทดสอบเป็นกระบวนการที่ใช้ตรวจสอบแผนความต่อเนื่องทางธุรกิจต่าง ๆ และเป็นขั้นตอนที่สร้างความมั่นใจว่ากลยุทธ์ที่คัดสรรนั้น สามารถที่จะกู้คืนได้ภายในกรอบเวลาที่คาดหวัง/หรือจัดวางไว้ ซึ่งมันจะกลายเป็นตัวเทียบเคียง (Benchmark) สำหรับการปรับปรุงต่อไป.


g) ธำรงรักษาแผนความต่อเนื่องทางธุรกิจให้ดำเนินการต่อเนื่องไปเรื่อย ๆ (Ongoing business continuity plan maintenance)
     - ขั้นตอนและแผนต่าง ๆ ของความต่อเนื่องทางธุรกิจ เหมือนกับขององค์กรต่าง ๆ ทั่วไป จะต้องรองรับการทบทวน การปรับให้ทันสมัย เปลี่ยนแปลงและมีการปรับปรุงอย่างต่อเนื่อง. ช่องว่างและประเด็นปัญหาที่แยกแยะในระหว่างการทำแบบฝึกหัดและการทดสอบนั้น การทบทวนที่หลากหลาย {ตัวอย่างเช่น การทบทวนของฝ่ายจัดการ (Management Review) และการตรวจสอบภายใน} และช่องทางที่ให้คำแนะนำติชมสะท้อนกลับมาต่าง ๆ  การเปลี่ยนแปลงขององค์กรทั้งภายในและภายนอก ผลกระทบที่เกิดตามปกติ และการทบทวนความเสี่ยงและบางวิธีการขององค์กรที่จะช่วยรวบรวมข้อมูลนำเข้าเพื่อนำไปสู่การปรับปรุง
 



III. การตรวจสอบ (Checking)
       การตรวจสอบอย่างต่อเนื่อง เป็นคุณลักษณะสำคัญของความเสี่ยงและผลกระทบต่าง ๆ ขององค์กร ขีดความสามารถและการบรรลุผลสำเร็จตามวัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ เป้าหมายและแผนปฏิบัติงานต่าง ๆ ในอันที่จะผลิตผลลัพธ์ที่ประสงค์ ประสิทธิภาพในการคาดการณ์ความเสี่ยงต่าง ๆ . ระยะการตรวจสอบนี้ประกอบไปด้วยกิจกรรมต่าง ๆ ดังนี้:-

     ติดตาม วัด และวิเคราะห์ (Monitoring, measurement, and analysis)
     - ในแง่มุมระยะการตรวจสอบประกอบด้วยการกำกับติดตาม การวัด และการวิเคราะห์และเรื่องเฉพาะพิเศษดังนี้:

• ผลลัพธ์ที่ได้จากการฝึกหัดและทดสอบ.
• การรายงานเหตุการณ์ที่เกิดขึ้นภายหลัง.
• ทุก ๆ การเปลี่ยนแปลงที่เกี่ยวกับภัยคุกคาม / ความเสี่ยง และผลกระทบต่าง ๆ .
• ผลกระทบ.
• ประสิทธิผลจากขั้นตอนและแผนความต่อเนื่องทางธุรกิจ ที่ได้พัฒนาขึ้นมาเพื่อให้บรรลุวัตถุประสงค์และเป้าหมายต่าง ๆ ทางด้านความต่อเนื่องทางธุรกิจ.

       ผลลัพธ์จากการติดตามและวัดคุณลักษณะที่สำคัญนั้น จะต้องทำเป็นเอกสาร และองค์กรต้องตรวจสอบและตอบสนองต่อช่องว่างอันมีสาระสำคัญที่ได้กำหนดไว้. เพิ่มเติมดังนี้ องค์กรจะต้องมั่นใจว่าสถานการณ์ต่าง ๆ ที่เคยได้ฝึกหัดเพื่อทดสอบคุณลักษณะสำคัญของขั้นตอนและแผนต่าง ๆ ด้านความต่อเนื่องทางธุรกิจนั้นมีความสมจริง. การตรวจพบหาสาเหตุภายหลังเหตุการณ์ของทุก ๆ แบบทดสอบนั้น ควรจะนำไปเป็นแนวปฏิบัติและบันทึกลงในเอกสาร. ท้ายที่สุดแล้ว องค์กรต้องทบทวนเป็นระยะ ๆ ถึงความจำเป็นต่าง ๆ ด้านมาตรการ.

     การประเมินผลการปฏิบัติตามนโยบายข้อบังคับและข้อกำหนดต่าง ๆ (Evaluation of Compliance with legal and requirements)
       - องค์กรจะต้องมีการประเมินเป็นระยะ ๆ ว่าได้มีการปฏิบัติตามกฎระเบียบที่ได้กำหนดไว้หรือไม่ และมีมาตรฐานที่สามารถนำมาปรับใช้ได้ เป็นแนวทางที่สัมพันธ์กับข้อกำหนดต่าง ๆ . ในการดำเนินการของระบบการจัดการด้านความต่อเนื่องทางธุรกิจ.

     การตรวจสอบภายในของระบบการจัดการด้านความต่อเนื่องทางธุรกิจ (Internal audit of the business continuity management system)
       - ณ ช่องว่างของแผน องค์กรจะต้องดำเนินการตรวจสอบภายใน การจัดการความต่อเนื่องทางธุรกิจเพื่อสร้างความมั่นใจว่าระบบสอดคล้องกับวัตถุประสงค์และเป้าหมายด้านความต่อเนื่องทางธุรกิจ จะต้องได้รับการจัดตั้งขึ้น และการปฏิบัติงานและการบำรุงรักษาของระบบคือการผลิตขีดความสามารถและการปรับปรุงที่ได้คาดการณ์ไว้แล้ว. ผลจากการตรวจสอบต่าง ๆ จะต้องมีการจัดทำเป็นเอกสารและรายงานต่อฝ่ายจัดการ.

     การดำเนินการแก้ไข (Corrective actions)
       - องค์กรควรที่จะตระเตรียมการดำเนินการแก้ไขตามความจำเป็น ไปยังจุดที่ไม่มีความสอดคล้องต่าง ๆ ด้วยการดำเนินงานที่ได้วางแผนไว้แล้วของระบบการจัดการด้านความต่อเนื่องของธุรกิจ. กิจกรรมที่ต้องดำเนินการแก้ไขโดยเฉพาะประกอบด้วย:

• ทบทวนประเด็นที่ไม่สอดคล้องที่เป็นรายการจริงและที่มีศักยภาพ.
• แยกแยะสาเหตุต่าง ๆ ที่ไม่มีความสอดคล้อง.
• ประเมินถึงความจำเป็นในการปฏิบัติเพื่อปกป้องเหตุการณ์ที่อาจจะเกิดซ้ำ.
• พิจารณาตัดสินใจและการปฏิบัติที่เหมาะสมในการดำเนินการแก้ไขและป้องกัน.
• ทบทวนประสิทธิผลของการดำเนินการป้องกันและการแก้ไขต่าง ๆ .
• เก็บรักษาบันทึกจากการดำเนินการแก้ไขไว้ทั้งหมด.

       องค์กรควรทำการเปลี่ยนสิ่งที่มีความจำเป็นบ้าง เพื่อให้ระบบการจัดการด้านความต่อเนื่องทางธุรกิจได้มีการป้องกัน นั่นคือความไม่สอดคล้องต่าง ๆ ที่จะเกิดขึ้นในอนาคต.

     การควบคุมกับบันทึก (Record control)
       - แง่มุมสุดท้ายของระยะการตรวจสอบนั้น เกี่ยวเนื่องกับการเก็บรักษา บันทึก และเอกสารที่มีความจำเป็นต่าง ๆ ไว้ เพื่อนำแสดงต่อองค์กรให้บังคับใช้ตามแนวปฏิบัติที่ได้ประกาศต่อไป ด้วยข้อกำหนดของระบบการจัดการด้านความต่อเนื่องทางธุรกิจเอง. เช่นเดียวกับ ISO 22301. การควบคุมควรจะรวมถึง บทบัญญัติสำหรับการเก็บรักษาและนำขึ้นมาใช้งาน.


IV. การทบทวนของฝ่ายจัดการ (Management review)
       ในช่วงการทบทวนของฝ่ายจัดการนั้น องค์กรนำวัตถุประสงค์เพื่อพิจารณาภาพรวม ความพยายามทั้งหมดจากจุดที่เป็นกลยุทธ์. ระยะเวลาการทบทวน (Review Phase) นั้น โดยทั่วไปแล้วประกอบด้วย การสรุปแก่ฝ่ายจัดการชั้นสูงบนกระบวนการและผลลัพธ์ของเป้าหมายต่าง ๆ และแผนปฏิบัติการ และความมีประสิทธิผลโดยรวมของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร (Business Continuity Management System - BCMS).
       ในการตระเตรียมรายงานการทบทวนของฝ่ายจัดการนั้น องค์กรควรพิจารณาและประเมินผลการดำเนินงานทั้งหมดที่เชื่อมโยงกับ BCMS.

• ดำเนินการติดตาม โดยเริ่มจากรายงานการทบทวนของฝ่ายจัดการชุดก่อน ๆ .
• ทบทวนความเพียงพอของนโยบายด้านความต่อเนื่องทางธุรกิจขององค์กร และหากมีความจำเป็นก็ต้องเปลี่ยนทั้งนโยบายและวัตถุประสงค์ต่าง ๆ .
• โอกาสต่าง ๆ ในการปรับปรุง.
• ทบทวนผลจากการตรวจสอบภายใน (รวมทั้งผู้ส่งมอบหลักและหุ้นส่วนทางธุรกิจที่สำคัญ).
• ประเมินด้านเทคนิค ผลิตภัณฑ์หรือขั้นตอนการทำงาน ซึ่งควรนำมาใช้ในองค์กร เพื่อปรับปรุงผลการดำเนินงานและความมีประสิทธิภาพของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร.
• สถานะของการดำเนินการแก้ไขต่าง ๆ ขั้นต้น.
• การทบทวนผลลัพธ์ต่าง ๆ ที่ได้จากการฝึกหัดและทดสอบ.
• การประเมินความเสี่ยงและประเด็นปัญหาที่ไม่เพียงพอที่จะชี้ชัดถึงการประเมินความเสี่ยงที่ได้ดำเนินการก่อนหน้านี้.
• มีการทบทวนหากมีการเปลี่ยนแปลง (ทั้งภายในและภายนอกกรอบที่จะขอใบรับรอง ISO 22301) ซึ่งส่งผลกระทบต่อ BCMS ขององค์กร.
• ข้อเสนอแนะเพิ่มเติมสำหรับปรับปรุง.
• ทบทวนบทเรียนที่ได้เรียนรู้ไปแล้วและกิจกรรมต่าง ๆ ที่เกิดขึ้นจากเหตุการณ์ที่หยุดชะงัก.
• มีแนวปฏิบัติที่ดีบังเกิดขึ้น (บ้างไหม?) ซึ่งเป็นแนวทางที่จะนำมาแยกแยะ.

       การทบทวนของฝ่ายจัดการนี้ จะเป็นผลลัพธ์ตามปกติในการใช้ตัดสินใจหรือดำเนินการต่าง ๆ ที่สัมพันธ์กับโอกาสและความเปลี่ยนแปลงในการปรับปรุงอย่างต่อเนื่อง ในขอบเขตดังนี้:

• นโยบายความต่อเนื่องทางธุรกิจขององค์กร.
• วัตถุประสงค์และเป้าหมายต่าง ๆ และองค์ประกอบอื่น หากองค์กรมี BCMS.
• ปรับให้ทันสมัยทางด้านการประเมินความเสี่ยง การวิเคราะห์ผลกระทบทางธุรกิจ แผนในการปฏิบัติต่อความเสี่ยงต่าง ๆ  ขั้นตอนและการควบคุม ที่สนองต่อเหตุการณ์ อุบัติการณ์ที่หยุดชะงัก.
• การปันส่วนทรัพยากรต่าง ๆ เพื่อจัดการกับกิจกรรมทางด้านความต่อเนื่องทางธุรกิจต่าง ๆ .

IV. บทสรุป (Conclusion)
       การตระเตรียมระบบการจัดการด้านความต่อเนื่องทางธุรกิจอย่างมีประสิทธิผลและกลยุทธ์การกู้คืน เป็นมุมมองที่มีความสำคัญเพิ่มขึ้นขององค์กรทางด้านผลการดำเนินงาน ISO 22301 ได้กำหนดเส้นทางไว้ชัดเจนสำหรับการค้นหาขององค์กร เพื่อจะดำเนินการและธำรงรักษาระบบการจัดการด้านความต่อเนื่องทางธุรกิจไว้ ซึ่งจะช่วยให้องค์กรได้ตระเตรียมและพร้อมที่จะรับมือกับการหยุดชะงักทางธุรกิจดังกล่าว องค์กรควรต้องกู้คืนอย่างรวดเร็วและมีประสิทธิผล การดำเนินงานทางธุรกิจปกติต้องส่งผลกระทบต่อการบริการถึงลูกค้าให้น้อยที่สุด. โครงสร้างของ ISO 22301 นี้เป็นเช่นเดียวกับระบบการจัดการคุณภาพอื่น ๆ เช่น ISO 9001, ISO 27001 และ ISO 20000-1 ซึ่งอนุญาตให้องค์กรประเมินถ่วงดุลกับการลงทุนในปัจจุบันที่มีระบบการดำเนินการตามแนวปฏิบัติด้านการจัดการ.
   
1.  บทนำ (Introduction)
       การจัดการด้านความต่อเนื่องทางธุรกิจ (Business Continuity Management - BCM) เป็นส่วนหนึ่งของวิธีการขององค์กรในการจัดการอย่างมีประสิทธิผล.

2.  วัตถุประสงค์ของกรอบการทำงานของการจัดการและความยืดหยุ่นด้านความต่อเนื่องทางธุรกิจ (Purpose of the Business Continuity Management and Resilience Framework)
       วัตถุประสงค์ของกรอบการทำงานนี้ เป็นการให้ข้อมูลและขับเคลื่อนการวางแผนอย่างต่อเนื่องมีประสิทธิผล ข้ามสายงาน หลายระดับ ต่อเนื่องกันตลอดทั่วทั้งองค์กร ได้รวมอยู่ในแนวปฏิบัติการจัดการด้านความเสี่ยงด้วยหนทางดังนี้:-

• จัดตั้งสภาพแวดล้อมการควบคุมที่ต้องเชื่อมโยงกับการกำกับดูแลกิจการที่ดี การจัดการความเสี่ยง การวางแผนทางธุรกิจ และผลการดำเนินงานด้านการปฏิบัติการขององค์กร (โปรแกรมความต่อเนื่องทางธุรกิจ)
• ลงทุนด้านเวลา เงินทุน เครื่องมือและเทคนิค เพื่อสร้างความมั่นใจว่า BCM ได้ฝังหยั่งในระบบการจัดการอย่างสมบูรณ์ กระบวนการจัดการทางธุรกิจที่สามารถตรวจสอบได้ (การวางแผนด้านความต่อเนื่องทางธุรกิจ)
• จัดให้ผู้บริหารได้มีโอกาสรับทราบเข้าใจการจัดการด้านความต่อเนื่องทางธุรกิจอย่างเพียงพอ และมีทักษะที่จำเป็นในการดำเนินการด้านความต่อเนื่องทางธุรกิจอย่างมีประสิทธิผล.
• ต้องมั่นใจได้ว่ากรอบการทำงานนี้มีความยืดหยุ่นเพียงพอที่จะรับกับความท้าทายด้านขนาด ความต้องการของแต่ละแผนกและผู้ที่มีส่วนเกี่ยวข้องที่โยงกับการกำกับดูแลกิจการที่ดี กฎกติกาและกรอบกฎหมาย.
• ช่วยและจัดการเหตุ/อุบัติการณ์ต่าง ๆ ต้องการข้อมูลและทรัพยากรประสานข้ามหน่วยงาน (การวางแผนการจัดการภาวะวิกฤติ - Crisis Management Planning) และ
• ส่งเสริมปรัชญาการทำงานแบบยืดหยุ่นภายในองค์กร เกี่ยวกับความสามารถในการดำเนินการต่อเนื่องทางธุรกิจ โดยมักจะสะท้อนความจำเป็นต่าง ๆ  เทคโนโลยี โครงสร้าง และวัฒนธรรมของธุรกิจองค์กร.

3.  อะไรคือการจัดการด้านความต่อเนื่องทางธุรกิจ? (What is Business Continuity Management ?)
       ความต่อเนื่องทางธุรกิจ (Business Continuity - BC) หมายถึง ภาวะที่ต้องต่อเนื่อง การดำเนินการทางธุรกิจไม่ติดขัด มุ่งไปยังความยืดหยุ่นของคน ทรัพย์สิน กระบวนการ แบบ/กรอบการทำงานและผู้สนับสนุน พร้อม ๆ กับความพร้อมและความสมบูรณ์ของข้อมูลข่าวสาร.
       การหยุดชะงัก (Disruption) หมายถึง การหยุดเกี่ยวกับเวลาและมิติการดำเนินการตามลำดับ หรือธุรกรรมต่าง ๆ ของธุรกิจ แต่มิได้หมายรวมถึง ความผิดพลาดจากการดำเนินงาน ซึ่งได้รับการจัดการโดยผ่านขั้นตอนการดำเนินงานมาตรฐาน.
       ผลจากการหยุดชะงัก (Disruption results) จากอุบัติการณ์หรือเหตุการณ์ซึ่งจะขัดจังหวะกระบวนการดำเนินธุรกิจที่เป็นปกติต่าง ๆ ให้เกิดวิกฤติหรือการดำเนินการไม่ว่าจะมีการคาดการณ์มาก่อนแล้วหรือไม่ก็ตาม.
       เมื่อธุรกิจหยุดชะงัก มันไม่ใช่เรื่องที่กล่าวว่าถ้า แต่เป็นเรื่องเมื่อใด อย่างไร และรุนแรงเพียงใด.
       ความเสี่ยงอันมีความสัมพันธ์กับการหยุดชะงัก อาจจะเกิดขึ้นไม่บ่อยนัก แต่มันสามารถก่อให้เกิดผลที่ตามมารุนแรง เกิดวิกฤติต่อการบริการต่าง ๆ ซึ่งไม่สามารถแก้ปัญหาได้ด้วยการจัดการซ้ำ ๆ แบบเดิมได้. ความเสี่ยงต่าง ๆ ที่สัมพันธ์กับการหยุดชะงักประกอบด้วยอุบัติการณ์ทางกายภาพและไม่ใช่กายภาพ เช่น หายนะภัยทางธรรมชาติ โรคระบาด สาธารณูปการเสียหายอย่างมีนัยสำคัญ วิกฤตการณ์ทางการเงิน อุบัติเหตุ และอุบัติการณ์ที่กระทบต่อชื่อเสียงขององค์กร.
       BCM เป็นการพัฒนา นำไปปฏิบัติและธำรงรักษานโยบายต่าง ๆ  กลยุทธ์ต่าง ๆ  และโปรแกรมต่าง ๆ ที่จะช่วยองค์กรให้จัดการกับอุบัติการณ์ที่ก่อให้เกิดการหยุดชะงักทางธุรกิจ พร้อมทั้งสร้างความยืดหยุ่น. มันมีขีดความสามารถในการช่วยปกป้อง ตระเตรียม ตอบสนอง จัดการและกู้คืนจากผลกระทบที่มาจากอุบัติการณ์ที่หยุดชะงักธุรกิจ.
       BCM เป็นเครื่องมือของการจัดการความเสี่ยง เป็นองค์ประกอบที่บูรณาการในการกำกับดูแลกิจการที่ดี และในแง่มุมที่มีความสำคัญของการตระเตรียมอย่างเร่งด่วนและมีความยืดหยุ่นในการดำเนินงาน. BCM ที่มีประสิทธิผลจะเป็นเกราะกำบังให้แก่งานหลัก ๆ ขององค์กรและความต้องการที่มีความสัมพันธ์กับผู้มีส่วนได้เสียสำคัญ การช่วยเหลือองค์กรด้านกฎหมาย กฎระเบียบและข้อบังคับตามสัญญาและการปกป้องชื่อเสียง.


วัตถุประสงค์ของ BCM คือ:

• ให้บุคลากรปลอดภัย.
• ลดช่องโหว่ขององค์กรที่มีความไม่ต่อเนื่องทางธุรกิจในอนาคต.
• ปกป้องทรัพย์สินสำคัญที่บริษัทเป็นเจ้าของ และทรัพย์สินของผู้อื่นที่อยู่ภายใต้ที่ทำการขององค์กร.
• ปกป้องทรัพย์สินทางปัญญาและสัญญาต่าง ๆ ขององค์กร อันเป็นห่วงโซ่แห่งคุณค่าผ่านไปยังผู้ส่งมอบและผู้จัดจำหน่าย.
• รักษาความสามารถในอันที่จะต้องถือปฏิบัติให้ตรงกับความคาดหวังของผู้มีส่วนได้เสียในวงที่ขยายกว้างออกไป, รวมทั้งปฏิบัติให้ตรงต่อการจัดการของบุคคลที่ 3.
• ลดการพึ่งพาบุคคลลง (ใช้ระบบเข้ามาทดแทน).
• ตระเตรียมให้มีการกู้คืนคำสั่งซื้อ และกู้คืนให้มีการจ่ายเป็นตามปกติ หลังจากอุบัติการณ์ด้านความชะงักและ
• รักษาและได้เปรียบในการแข่งขัน อันเนื่องมาจากการตอบสนองที่รวดเร็วและมีประสิทธิผล.

       องค์ประกอบสำคัญของ BCM แสดงในหัวข้อดังนี้:


4.  แนวทางการต่อเนื่องทางธุรกิจ (THE  BUSINESS CONTINUITY APPROACH)
       การวางแผนการต่อเนื่องทางธุรกิจ (Business Continuity Planning - BCP) ถือเป็นงานหนึ่งใน BCM แนวทางสำหรับ BC เป็นการวางแผนที่ต่อเนื่องและเป็นการตระเตรียมกระบวนการที่จะแยกแยะช่องโหว่ที่เป็นอันตรายและขององค์กร ความเป็นไปได้ในการหยุดชะงัก ผลที่ตามมาอันเป็นไปได้ที่วัตถุประสงค์มีความอ่อนไหวเรื่องเวลา และความสำเร็จเชิงกลยุทธ์ ความมีประสิทธิผลในการควบคุมที่มีอยู่และทางเลือกเพื่อปรับปรุงผลการดำเนินงานและประสิทธิภาพ BCP จะพิจารณาความเสี่ยงตลอดในขณะที่การทำงานเป็นไปตามปกติ พนักงาน สินทรัพย์ หรือกระบวนการนั้นมีความไม่พร้อม.

       แนวคิดสำคัญของแนวทาง BC คือ:

• เข้าใจในธุรกิจ (Understand the business) - เพื่อพัฒนา BCP ต้องมีความเข้าใจธุรกิจโดยตลอดทะลุปรุโปร่ง ซึ่งเป็นสิ่งที่ต้องมี. นี่เป็นการเกี่ยวข้องกับการกำหนดภารกิจทางธุรกิจและวัตถุประสงค์ที่ละเอียดอ่อนเรื่องเวลา การแยกแยะ กระบวนการที่วิกฤติ ปัจจัยนำเข้าและนำออก และภาระงานที่ติดตามผูกพันกัน กระบวนการที่ต้องทำขึ้นก่อนและข้อกำหนดด้านทรัพยากรและการตัดสินใจเกี่ยวกับซัพพลายเออร์ และข้อผูกพันตามสัญญาต่าง ๆ .
• ประเมินความเสี่ยงต่าง ๆ (Assess the risks) - การประเมินความเสี่ยงเป็นกิจกรรมเริ่มแรกในการจัดทำ BCP การแยกแยะ การวิเคราะห์และการประเมินความเสี่ยงนั้น เป็นสิ่งสำคัญในขั้นตอนแรกในอันที่จะเข้าใจความเป็นไปได้และผลที่ตามมาที่มีศักยภาพและปัญหาต่าง ๆ ที่เกี่ยวข้องจากการหยุดชะงักทางธุรกิจ กำหนดความเสี่ยงและขอบเขตนั้นมีความจำเป็นสำหรับ BCP.
• ตระเตรียม BCP (Prepare a BCP) - ผลผลิตเบื้องต้นของกระบวนการ BC คือ BCP ซึ่งเป็นการกำหนดไว้ก่อน ทดสอบก่อน ฝ่ายจัดการต้องอนุมัติการสื่อสารและตัดสินใจสนับสนุนเครื่องมือนี้ แผนต้องถูกนำมาใช้งานเพื่อตอบสนองการหยุดชะงักทางธุรกิจ
• การทดสอบแผน (Test the plan) - ในขณะที่มีอุบัติการณ์การหยุดชะงักทางธุรกิจ พนักงานที่เกี่ยวข้องต้องเข้าใจในสิ่งที่คาดหวัง พนักงานพร้อมกับความรับผิดชอบด้าน BCP ควรจะต้องซ้อมในบทบาทนี้ เพื่อทดสอบ BCP ที่สามารถปฏิบัติได้จริง ยืนยันศักยภาพและความเชื่อมั่นและทดสอบสมมติฐานที่รายรอบในการเข้าถึงทรัพยากร.

       กระบวนการวางแผน BC ได้มุ่งไปสู่ที่ประชุมคณะกรรมการบริษัทฯ หรือองค์กรเพื่ออนุมัติ พร้อมด้วยผู้เกี่ยวข้องขององค์กร การสร้างความมั่นใจ ถ้าหากว่ามีสิ่งเลวร้ายเกิดขึ้นกับองค์กร BC ที่มีความสามารถกู้คืนได้อย่างรวดเร็ว ปลอดภัยและมีประสิทธิภาพด้านต้นทุนเท่าที่เป็นไปได้.
       แนวทาง BCM นี้จะช่วยให้เกี่ยวข้องกับการบูรณาการ วินัยต่าง ๆ ของ:-

• การจัดการความเร่งด่วน (บุคลากรและประเด็นปัญหาด้านสินทรัพย์)
• การวิเคราะห์ภาวะวิกฤติ (เป็นประเด็นปัญหาระดับองค์กรหรือบริษัท)
• การวางแผนความต่อเนื่องทางธุรกิจ (การสำรองเตรียมความฉุกเฉินด้านกระบวนการ)
• การกู้คืนหายนะภัย (Disaster Recovery - IT System and data availability)

       การให้ความมุ่งมั่นแก่แนวทางความต่อเนื่องทางธุรกิจที่อยู่บนฐานแห่งการจัดการความเสี่ยงขององค์กรนั้น จะสร้างความเข้าใจที่ดีขึ้น เกี่ยวกับความเสี่ยงที่สัมพันธ์กับการหยุดชะงัก การวางแผนด้านความต่อเนื่องและการจัดการการตอบสนองและความระมัดระวังถึงพนักงานที่เพิ่มขึ้น และศักยภาพในการทำงาน ขณะที่มีการหยุดชะงักทางธุรกิจ จนกระทั่งการทำงานในหน้าที่ต่าง ๆ ได้กู้กลับมาอย่างสมบูรณ์หรือมีแบบวิธีใหม่ ๆ ในการปฏิบัติงาน.



5.  กระบวนการความต่อเนื่องทางธุรกิจ (THE  BUSINESS CONTINUITY PROCESS)
       ภาพที่แสดงต่อไปนี้แสดงถึงเส้นทางสำหรับกระบวนการความต่อเนื่องทางธุรกิจ
 

     ขั้นตอนที่ 1: การแยกแยะความเสี่ยงและการวิเคราะห์ผลกระทบทางธุรกิจ (Risk Identification and Business Impact Analysis)
       การแยกแยะความเสี่ยง (Risk Identification)
       การวิเคราะห์เบื้องต้นจะก่อให้เกิดความเข้าใจใน:-

• หน้าที่สำคัญเป็นแกนหลักขององค์กร.
• กระบวนการต่าง ๆ ที่มีวิกฤติ.
• สินทรัพย์ (สิ่งใดก็ตามที่เป็นวัตถุมีค่าและมีประโยชน์ในการใช้งาน).
• ขอบเขตการใช้งานในแต่ละสินทรัพย์.
• การเผยให้เห็นความไม่แข็งแรง หรือกระบวนการต่าง ๆ และสินทรัพย์ต่าง ๆ ที่จะหยุดชะงักได้.

       ฝ่ายจัดการจะต้อง:

• แยกแยะภัยคุกคาม (ที่มีอันตราย) ต่อความต่อเนื่องของงานหลัก ๆ ที่เป็นแกนของธุรกิจและกระบวนการต่าง ๆ  ระบบต่าง ๆ  ข้อมูลข่าวสาร บุคลากร สินทรัพย์ หุ้นส่วนที่ Outsource และทรัพยากรอื่น ๆ ที่สนับสนุนหรือขึ้นกับสิ่งข้างต้น
• วิเคราะห์อย่างเป็นระบบถึงความเป็นไปได้และผลที่ตามมาของการหยุดชะงักและการจัดระดับ การวางระดับที่ตามมาภายในกรอบงานการจัดการความเสี่ยง
• ประเมินความเสี่ยงที่สัมพันธ์กับการหยุดชะงักที่ต้องการปฏิบัติ (เยียวยา) และ
• การแยกแยะความสมน้ำสมเนื้อเหมาะสมในการปฏิบัติเยียวยา ด้วยวัตถุประสงค์ต่าง ๆ ด้าน BC และเป็นไปตามความเสี่ยงที่องค์กรได้วางไว้.

     ขั้นตอนการวางแผนต่าง ๆ สำหรับการประเมินและการวิเคราะห์ความเสี่ยง ควรประกอบด้วย:

• การประเมินถึงช่องโหว่ ตัวอย่างเช่น การเปิดเผย ความอ่อนแอ และความมีประสิทธิผลของการควบคุมที่เป็นอยู่
• การแยกแยะ การปรับปรุงศักยภาพต่าง ๆ และการสร้างการวัดใหม่ ๆ ที่จะบรรเทาลดช่องโหว่ ดังนั้นจึงเป็นการลดความเสี่ยงที่ยังคงมีอยู่ ลงไปสู่ระดับความเสี่ยงที่ยอมรับได้.

       หากการวิเคราะห์ความเสี่ยงไม่ได้ให้ข้อมูลข่าวสารที่น่าเชื่อถือเพียงพอ หรือหากหลังจากการเยียวยาเบื้องต้นแล้ว ความเสี่ยงที่เหลืออยู่นั้น อยู่ในระดับที่ (ฝ่ายจัดการ) ไม่สามารถยอมรับได้ ดังนั้นจะต้องมีการศึกษาในขั้นรายละเอียดที่เรียกว่า การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis - BIA) ที่จะต้องมีการปฏิบัติดำเนินการต่อไป:-

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Assessment - BIA)
       BIA เป็นกระบวนการแยกแยะว่าการดำเนินงานต่าง ๆ นั้นเป็นเช่นไร จะส่งผลกระทบกับเวลาขนาดไหน หากสินทรัพย์ไม่สามารถสนับสนุนการะบวนการทางธุรกิจที่กำลังวิกฤตินี้ได้ และผลกระทบนี้อาจจะเป็นงานหลักของธุรกิจ. กระบวนการทางธุรกิจได้อธิบายกลุ่มกิจกรรมต่าง ๆ ที่ทำซ้ำ ๆ . ทางเดินของข้อมูลข่าวสารและ/หรือวัตถุที่ผลิตผลผลิต - อย่างบางประการที่มีคุณค่าต่อลูกค้า (ลูกค้าและผู้มีส่วนได้เสีย) มันเป็นสิ่งสำคัญที่จะต้องเข้าใจถึงความสัมพันธ์ระหว่างงานหลัก อันเป็นแกนขององค์กร การดำเนินงาน กระบวนการต่าง ๆ ทางธุรกิจและระดับความคาดหวังของลูกค้าเพื่อนำมาวิเคราะห์ถึงผลที่ตามมาของการสะดุดหยุดชะงัก และใช้ตัดสินว่ากระบวนการใดบ้างที่ส่งผลวิกฤติต่อการต่อเนื่องทางธุรกิจ.
       BIA ได้ถูกกล่าวอ้างว่าเป็นความเข้าใจที่เกิดจากผลที่ตามมาของการหยุดชะงัก หรือปัญหาสำคัญ ซึ่งต้องการแก้ไขเยียวยาและ อื่นใดที่เป็นเช่นนี้ ที่นอกเหนือวิธีการทำงานซ้ำ ๆ ประจำของการจัดการหรือต้องการขีดความสามารถด้านการจัดการเพิ่มเติม. จะต้องมีการแยกแยะการดำเนินการ (เชิงอปริมาณ) และการเงิน (เชิงปริมาณ) ผลที่ตามมาของการหยุดชะงักและรูปแบบต่าง ๆ บนฐานสำหรับการพัฒนาถึงความต่อเนื่องที่เป็นไปได้ และกลยุทธ์การกู้คืนต่าง ๆ ที่ถูกตราไว้ (หรือแสดงบทบาทไว้ว่า) เมื่อมีความจำเป็นที่จะต้องกู้คืนการดำเนินงานภายใต้กรอบเวลาที่กำหนด.
       ผลผลิตจากการประเมินและการวิเคราะห์ความเสี่ยงเบื้องต้น/และ BIA ควรจะต้องประมวลให้เห็นถึงความเป็นไปได้ของการหยุดชะงัก ที่สัมพันธ์กับผลที่ตามมาและกลยุทธ์การบรรเทาเยียวยา (ปฏิบัติการสำรองฉุกเฉิน) จะต้องนำมาบันทึกไว้ในทะเบียนความเสี่ยงขององค์กร.


 ขั้นตอนที่ 2: แยกแยะและกำหนดทางเลือกในการตอบสนองต่าง ๆ (Identify and Define Response Options)
       การกำหนดและการเลือกกลยุทธ์ที่อยู่บนฐานที่เป็นผลลัพธ์จาก BIA และพัฒนาบนฐานของ Maximum Acceptable Outage (MAO) - จุดรับที่สามารถรับได้สูงสุด. ที่แยกแยะสำหรับแต่ละกระบวนการที่วิกฤติ. ฝ่ายจัดการจะต้องตัดสินใจทางเลือกและกลยุทธ์ด้านความต่อเนื่องทางธุรกิจที่เหมาะสม เพื่อ

• ปกป้อง งานหลักที่เป็นแก่นขององค์กรและการะบวนการต่าง ๆ ทางธุรกิจที่อยู่ในภาวะวิกฤติ.
• เสถียร ยั่งยืน กู้คืน และกู้กลับเพื่อให้งาน บริการ กระบวนการที่ประสบภาวะวิกฤติต่าง ๆ และทรัพยากรที่ติดตามและสนับสนุน.

       ทางเลือกและกลยุทธ์ในการตอบสนองจะต้องได้รับข้อมูลข่าวสารโดยกรอบเวลาจากกระบวนการกู้คืนในภาวะวิกฤติ (Recovery Time Objective - RTO). นี่คือเป้าหมายด้านเวลาสำหรับดำเนินการส่งมอบต่อของงานด้าน Operations ก่อนที่ MAO จะถูกฝ่าฝืนละเมิดเลยพ้นเกณฑ์ที่ยอมรับได้สูงสุดไป และวัตถุประสงค์ต่าง ๆ ที่ได้รับผลกระทบ. ที่ใดที่มีข้อกำหนด กลยุทธ์จะต้องถูกนำไปวางเพื่อกู้กลับคืนตามเป้าหมาย หรือ วัตถุประสงค์ของจุดที่มีการกู้คืน (Recovery Point Objective - RPO) สำหรับการบูรณาการและความพร้อมของข้อมูล (Electronic Data และกระดาษ).
       เมื่อได้มีการเลือกทางเลือกและกลยุทธ์ต่าง ๆ ในการตอบสนองแล้ว สิ่งต่อไปนี้ก็ควรจะนำมาพิจารณา:-

• การจัดกลุ่มประเภทของการมีอันตราย (hazard(s)) จะต้องถูกเปิดเผย
• ขั้นตอนการปฏิบัติงานที่เป็นทางเลือก เพื่อให้ผ่านพ้นกระบวนการเพื่อให้เกิดความสมบูรณ์ หรือเพื่อให้อยู่ในระดับที่ยอมรับได้ขั้นต่ำ (minimal acceptable level) จนกระทั่งการกู้คืนประสบความสำเร็จ
• ความสามารถต่าง ๆ ที่เป็นกระบวนการทำด้วยมือ (manual) และต้นทุนที่เกี่ยวข้อง
• ใช้ประกันภัย (นำมาทดแทน ดีกว่าการกอบกู้)
• การจัดการด้วยบุคคลที่ 3 การเป็นหุ้นส่วนธุรกิจ/การขึ้นติดตามพ่วงกันมา ความช่วยเหลือซึ่งกันและกันของภาคส่วน
• วงจรทางธุรกิจต่าง ๆ และช่วงเวลาที่อยู่ในระดับสูงสุด (Peak Periods)
• ขีดความสามารถของทรัพยากรภายใน ห่วงโซ่อุปทานที่วิกฤติและการจัดการคู่ค้า
• การตัดสินในนั้นเป็นข้อกำหนด แม้ว่าจะไม่มีทางเลือก ทำเลองค์กรก็ตาม
• ความสามารถในการเข้าถึงข้อมูลข่าวสาร
• ทางเลือกที่จะไม่ทำอะไร - ตัดสินใจว่าองค์กรต้องรับภาระความสูญเสียเท่าใด.

 ขั้นตอนที่ 3: พัฒนาแผนการต่อเนื่องทางธุรกิจต่าง ๆ (Develop Business Continuity Plans)
       แผนความต่อเนื่องทางธุรกิจ (BC Plan) นั้น เจ้าของและผู้ที่พัฒนาขึ้นมาคือ ฝ่ายจัดการที่เกี่ยวข้อง แต่ละกระบวนการที่เกิดวิกฤติ จะต้องมีกลยุทธ์ความต่อเนื่องเป็นของแต่ละกระบวนการเอง ซึ่งสามารถที่จะถูกขอร้องให้เป็นเรื่องงานเดี่ยว งานกลุ่ม ก็แล้วแต่ข้อกำหนด ในขณะที่ทุก ๆ สมมติฐานที่ได้พัฒนาขึ้นมาโดยผ่านช่วงวงจรชีวิตการวางแผน ซึ่งจะต้องถูกรวมไว้และได้รับการตรวจสอบ เพื่อมีศักยภาพที่เพียงพอให้มั่นใจได้ว่า มันจะยังมีอยู่หรือ/เมื่อมีความต้องการ.
       แผน BC ก็จะต้องเริ่มต้น (ในฐานะที่มีส่วนเกี่ยวข้อง)

• กระบวนการต่าง ๆ ที่ประสบภาวะวิกฤติจะต้องจัดการให้ดำเนินต่อไปได้/ได้รับการกู้คืน
• ระบุบทบาทและความรับผิดชอบต่าง ๆ และรายละเอียดการติดต่อกับบุคคลและทีมงาน ที่มีอำนาจหน้าที่ระหว่างหรือกำลังติดตามอุบัติการณ์ที่หยุดชะงัก
• กระบวนการจะต้องมีการร้องขอ และขยายการตอบสนอง
• ทรัพยากรต่าง ๆ ที่ต้องการเพื่อสนับสนุนการตอบสนองนี้
• กลยุทธ์การสื่อสาร
• รายละเอียดของความสัมพันธ์ในการพึ่งพากันและกัน
• รายละเอียดซัพพลายเออร์หรือผู้ค้าที่ประสบภาวะวิกฤติและทางเลือกในการจัด
• รายละเอียดข้อมูลระเบียบที่สำคัญที่มีความเกี่ยวข้อง การเก็บรักษาและการเข้าถึงรายละเอียด
• กลยุทธ์ต่าง ๆ เพื่อจัดการกับความสูญเสีย/และการขัดจังหวะหรือหยุดชะงัก คือ
  • บุคลากร
  • ทรัพย์สิน
  • ระบบ
  • ผู้ให้ความช่วยเหลือต่าง ๆ

 ขั้นตอนที่ 4: การพัฒนากลยุทธ์การสื่อสาร (Develop a Communication Strategy)
       ส่วนสำคัญของการจัดการอุบัติการณ์ที่หยุดชะงัก คือ เพื่อพัฒนาการสื่อสารและกลยุทธ์การให้คำปรึกษาที่ชัดเจนและมีประสิทธิผล. กลยุทธ์มักจะถูกนำมาปรับใช้ในลักษณะที่สะท้อนขนาดของผลที่ตามมาทางธุรกิจ. ฝ่ายจัดการควรจัดตั้ง ปฏิบัติการ และรักษาขั้นตอนต่าง ๆ ไว้ เพื่อ :-

• ตรวจติดตามอุบัติการณ์ด้านการหยุดชะงัก
• เฝ้าติดตามอุบัติการณ์ต่าง ๆ ตามปกติ
• จัดการการสื่อสารภายในองค์กรและรับ เอกสารและสนองตอบการสื่อสารจากกลุ่มต่าง ๆ ภายในองค์กร
• สร้างความมั่นใจว่ามีวิธีการต่าง ๆ ด้านการสื่อสารที่เพียงพอในระหว่างมีอุบัติการณ์เกิดขึ้น
• จัดเตรียมสาธารณูปการการสื่อสารที่เป็นโครงสร้างด้วย เพื่อตอบสนองเร่งด่วนต่าง ๆ
• บันทึกข้อมูลข่าวสารที่สำคัญเกี่ยวกับอุบัติการณ์ การปฏิบัติ และการตัดสินใจ

ขั้นตอนที่ 5: การอบรม, การทดสอบ, และแผนการบำรุงรักษา (Training, Testing, and Maintaining Plans )
การอบรม (Training)
       การอบรมจะสร้างความมั่นใจว่ามีสิ่งใดที่ได้พัฒนาและจัดทำเป็นเอกสารไปแล้วภายใน BCP จะสามารถเป็นหน่วยธุรกิจเพื่อกระบวนการต่าง ๆ ทางธุรกิจที่วิกฤติมีความยั่งยืนตามอุบัติการณ์ที่หยุดชะงัก.
       การศึกษาและการอบรม เป็นองค์ประกอบที่มีความสำคัญของกระบวนการ BCM และต้องการความมุ่งมั่นจากบุคลากรองค์กร ที่เกี่ยวข้องกับการวางแผน การตอบสนอง และปฏิบัติการกู้คืน บางแนวทางสำหรับการฝึกอบรม ประกอบด้วย:

• คณะกรรมการและวันที่มีการประชุม/การวางแผนทีมงาน.
• การปฐมนิเทศพนักงาน.
• การอบรมการจัดการด้านความเสี่ยง.
• การอบรม BC เฉพาะ.
• การทดสอบการอพยพด่วน.

       การอบรมในการสร้าง การนำไปปฏิบัติ การทดสอบและการบำรุงรักษา BCPs จะต้องมีการจัดการทั่วทั้งหน่วยงานที่ทำหน้าที่ตรวจสอบ ความเสี่ยงและการปฏิบัติตามนโยบาย เป็นต้น.

การทดสอบ (Testing)
       ในขณะที่ตัวชี้วัดความสำเร็จที่วิกฤต ทุกแผน BCPs จะต้องถูกนำมาทดสอบและประเมินบนฐานปกติ ผลลัพธ์ที่ได้เก็บเอกสารไว้ และการปรับปรุงที่ได้นำไปปฏิบัติแล้ว. ซึ่งเป็นการสร้างความมั่นใจว่ามันยังคงมีความเกี่ยวข้อง เป็นปัจจุบันและมีประสิทธิผล. การตอบสนองและกิจกรรมการกู้คืนเป็นการฝึกฝนภายใต้สภาพการจำลอง เพื่อ:-

• การนำกลยุทธ์และแผนต่าง ๆ ไปปฏิบัติและเป็นการท้าทายสมมติฐานต่าง ๆ .
• ฝึกซ้อมบุคลากรในบทบาทของ BCM และความรับผิดชอบต่าง ๆ .

       การฝึกฝนเกี่ยวกับแผนด้าน BC อาจจะใช้รูปแบบที่หลากหลายประกอบด้วย:-

• Desk check test - ตรวจสอบโครงสร้างและเนื้อหาของแผน.
• Walk through test - อภิปรายหลักการทฤษฎีของแผน ด้วยการตรวจสอบว่าสามารถใช้ได้จริงหรือไม่. หรือ - จัดแผนให้ผู้เข้าอบรมเดินตามเกมตามขั้นตอนของแผนตอบสนองต่อสถานการณ์ เพื่อตรวจสอบตามความถูกต้อง ในบทบาทที่มีองค์ความรู้และยืนยันว่าแผนนั้นทำได้จริง เทียบกับวัตถุประสงค์ของธุรกิจต่าง ๆ และสภาพแวดล้อมด้านความเสี่ยง.

       การอธิบายถึงวิธีการและเทคนิคต่าง ๆ ให้เพียงพอต่อการทดสอบ BCP ตามกำหนดการในตารางที่แสดงต่อไป.

การบำรุงรักษา (Maintaining)
       ตารางสำหรับการบำรุงรักษาให้ดำเนินต่อไปของ BCP นั้นจะต้องจัดตั้งขึ้นและรายงานกับส่วนของกระบวนการประกันคุณภาพ. ตารางสนับสนุนจะเตรียมให้โดยผ่านหน่วยงานที่ทำการตรวจสอบ ความเสี่ยงและการปฏิบัติตามระเบียบ (Compliance) ภายใต้อำนาจจองฝ่ายจัดการ.
       ตารางที่แสดงรายละเอียดวิธีการที่แนะนำ
 

ประเภทของการทดสอบ (Type of Test)	กระบวนการ (Process)	ผู้เข้าร่วม (Participants)	กรอบเวลา (Time frame)
Desk Check	ตรวจสอบโครงสร้างและเนื้อหาของแผน	ผู้เขียนแผน	รายปี
Walk Through	อภิปรายแนวคิดทฤษฎีของแผนเพื่อตรวจสอบว่ามันใช้ได้จริงหรือไม่	ผู้เขียนแผน ผู้ใช้แผน	รายปี
Simulation	ใช้แผนเพื่อจำลองการตอบสนองทางทฤษฎีไปยังอุบัติการณ์	Facilitators ผู้ใช้แผนอื่น ๆ ตามที่กำหนด (เช่น ผู้สังเกตการณ์)	สองครั้งต่อปี
Unit Text	ยืนยันขั้นตอนการกู้คืนหรือการกู้คืนชิ้นงานด้านเทคโนโลยี	ผู้ใช้ขั้นตอนการทำงานหรือเทคโนโลยีอื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค)	สองครั้งต่อปี
Unit Rehearsal	ฝึกฝนขั้นตอนการกู้คืนหรือการกู้คืนชิ้นส่วนทางเทคโนโลยีตามคู่มือ	ผู้ใช้ขั้นตอนการทำงานหรือเทคโนโลยีอื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค)	สองครั้งต่อปี
End-to-end	ยืนยันว่าได้มีการกู้คืนในพื้นที่ที่กำหนดได้เสร็จสิ้นของงานองค์กร (กระบวนการทางธุรกิจ ผลิตภัณฑ์หรือบริการ หรือ การเชื่อมโยงภายในทางเทคโนโลยี)	ในพื้นที่ขององค์กรหรือสิ่งที่ได้กำหนดไว้สำหรับกระบวนการทางธุรกิจ ผลิตภัณฑ์หรือบริการ หรือผู้ใช้เทคโนโลยีที่มีการเชื่อมโยงภายใน อื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค)	รายปี
ซ้อมเต็มรูปแบบ (Full Rehearsal)	ฝึกฝนการกู้คืนในพื้นที่ที่สมบูรณ์ของกระบวนการธุรกิจขององค์กร ผลิตภัณฑ์หรือบริการหรือเทคโนโลยีที่มีการเชื่อมโยงภายในเป็นไปตามคู่มือ	ผู้อยู่ในพื้นที่ขององค์กร หรือผู้ที่ได้กำหนดไว้สำหรับกระบวนการทางธุรกิจ ผลิตภัณฑ์หรือบริการ หรือผู้ใช้ในส่วนเทคโนโลยีที่มีการเชื่อมโยงกับภายใน อื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค)	สองครั้งต่อปี

• อุบัติการณ์หยุดชะงัก เป็นเหตุให้กระบวนการล้มเหลว
• การตอบสนองทันที ประกอบด้วย การประเมินสภาพการณ์และความปลอดภัย และความมั่นคงของบุคลากร, สินทรัพย์และสภาพแวดล้อม
• แผนได้ร้องขอให้กระบวนการ (แก้ปัญหา) ด้านวิกฤติการณ์มีความยั่งยืน และเริ่มต้นระยะที่กู้คืนการดำเนินงานและ
• ระบบเทคโนโลยีสารสนเทศ สนับสนุนการทำงานอย่างเต็มกำลัง
• ควรให้ BCP ไม่มีประสิทธิผล มันอาจจะจำเป็นที่จะบานปลายขยายขอบเขตกิจกรรมกู้คืนทั้งแผนการกู้คืนฉุกเฉิน หรือแผนการจัดการวิกฤติการณ์ - BCP ต้องเข้าร่วมเส้นทางที่จะบานปลายนี้.
• แผนการย่อตัวลงจะตามติดการเริ่มต้นใหม่ของกิจกรรมปกติ.

       การตอบสนองในระยะนี้อาจจะทำให้เรื่องมันจบเร็วหรือเวลายืดเยื้อ และมันมีความสำคัญที่จะสื่อสารอย่างชัดเจน และสามารถบังคับบัญชานั้นแจ่มชัด.

       เส้นทางที่มีความบานปลายตามอุดมคติ ได้แสดงไว้ดังนี้:-
     

• พัฒนาและการธำรงนโยบาย.
• นำไปปฏิบัติและบำรุงรักษาโปรแกรม BCM.
• สนับสนุนการวางแผนกลยุทธ์ ความเสี่ยงและความต่อเนื่องทางธุรกิจ.
• การให้คำปรึกษาภายในองค์กร เพื่อสร้างขีดความสามารถโดยผ่านการอบรม ขีดความสามารถในการฝึกหัด การติดตามผลการดำเนินงาน การประเมินและการรายงาน และ
• เป็นตัวแทนในการประชุม Forum ที่เหมาะสม.

9.  กรอบงานด้านการบำรุงรักษาและประกันคุณภาพ (FRAMEWORK MAINTENANCE AND ASSURANCE)
      องค์กรจะต้องดำเนินการตรวจสอบภายใน ตามช่วงโหว่จุดอ่อนที่ได้วางแผนไว้ เพื่อให้ข้อมูลข่าวสาร และการประกันคุณภาพ ขึ้นอยู่กับว่า:-

• กรอบงาน BCM นั้น สอดคล้องกับข้อกำหนดขององค์กร มีมาตรฐานที่เกี่ยวข้องและมีแนวปฏิบัติที่ดี
• กระบวนการด้าน BCM ต่าง ๆ คือ การนำไปปฏิบัติและบำรุงรักษาอย่างมีประสิทธิผล
• BCPs จะได้รับการธำรงรักษาเป็นปกติโดย:
  • การอบรมเป็นประจำและการซ้อมบุคลากรที่สำคัญ.
  • ให้ความมั่นใจถึงความเพียงพอของทรัพยากรที่วิกฤติ.
  • ให้ความมั่นใจถึงข้อมูลข่าวสารด้านสกุลเงิน รายชื่อผู้ติดต่อที่เป็นการเฉพาะ.
• BCPs จะมีการทดสอบเป็นปกติ เพื่อสร้างความมั่นใจ BCPs มีการปรับปรุงสำหรับการเปลี่ยนแปลงทางด้านเทคโนโลยี บุคลากร และสภาพแวดล้อมด้านความเสี่ยง และสามารถปรับใช้ได้จริง.