Décrire la portée du plan en indiquant ce qui est inclus (et ce qui ne l’est pas) et en veillant à ce que toutes et tous comprennent bien ce dont le plan qui en découle traitera et ce dont il ne traitera pas.
Quelques exemples :
Ce qui est inclus dans sa portée
- Systèmes de TI essentiels et rétablissement de données pour tous les lieux de travail
- Processus opérationnels essentiels à la prestation des services aux clients
- Protocoles de communication pour le personnel et les clients en cas de perturbation
- Procédures de sécurité physique pour la protection des actifs clés
- Conformité aux exigences statutaires et réglementaires
Ce qui n’est pas inclus dans sa portée
- Appareils personnels et équipement de bureau à domicile non gérés par le cabinet
- Systèmes non essentiels ou anciens dont la mise hors service est prévue
- Processus de rétablissement établis par des fournisseurs tiers qui échappent au contrôle direct du cabinet
- Incidents n’ayant aucune répercussion sur la continuité des activités ou les données essentielles, comme les tempêtes ou les pannes d’électricité de courte durée
Une définition claire de ces éléments de la portée permet de s’assurer que tous les intervenants comprennent les limites du plan de continuité des activités et de reprise après sinistre et qu’ils peuvent établir des attentes appropriées pour les efforts d’intervention et de rétablissement.