Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

Zarządzanie kryzysowe

Pomimo faktu, iż istota zarządzania kryzysowego znajduje podstawę prawną w ustawie z dnia 26 kwietnia 2007 roku o zarządzaniu kryzysowym oraz rozporządzeniach wykonawczych, coraz więcej przedsiębiorstw nieposiadających infrastruktury krytycznej decyduje się na wdrożenie mechanizmów zarządzania kryzysowego. Dla wielu firm momentem, który zdecydował o powołaniu struktur kryzysowych, regularnych spotkań i mechanizmów bieżącej oceny kryzysu, był początek pandemii w 2020r

Zacznijmy od początku, czyli od ustalenia jakie procesy, usługi czy działalności realizowane przez Organizację powinny zostać uwzględnione w zarządzaniu kryzysowym. Najlepszym rozwiązaniem jest sprawdzone podejście systemowe, wywodzące się ze standardu ISO 22301 będącego normą dla wdrażania Systemów Zarządzania Ciągłością Działania. Szczegóły na temat BCMS i oferowanych przez nas usług w obszarze ciągłości działania znajdują się tutaj. Podejście oparte o wymagania normy ISO 22301 umożliwia dokładne zapoznanie się z procesami realizowanymi w organizacji i wybór tych najistotniejszych – które interesują nas przede wszystkim w planowaniu ciągłości działania i zarządzania kryzysowego.

Usługi związane z tworzeniem struktur kryzysowych i zarządzania kryzysowego wywodzą się przede wszystkim z obowiązków nakładanych na tzw. infrastrukturę krytyczną. Obejmuje ona systemy:

  • zaopatrzenia w energię, surowce energetyczne i paliwa,
  • łączności,
  • sieci teleinformatycznych,
  • finansowe,
  • zaopatrzenia w żywność,
  • zaopatrzenia w wodę,
  • ochrony zdrowia,
  • transportowe,
  • ratownicze,
  • zapewniające ciągłość działania administracji publicznej,
  • produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.

Doświadczenia zgromadzone podczas realizowanych projektów pokazują, że coraz więcej organizacji decyduje się na implementację mechanizmów zarządzania kryzysowego, pomimo iż nie są do tego obligowane wymaganiami prawnymi wynikającymi z Ustawy o zarządzaniu kryzysowym, Ustawy o krajowym systemie cyberbezpieczeństwa i podobnych. Działania te wynikają przede wszystkim z potrzeby przygotowania uporządkowanej i świadomej reakcji na wszelkie sytuacje kryzysowe dotykające od czas do czasu wszystkie organizacje.

W ramach implementacji mechanizmów zarządzania kryzysowego, eksperci Blue Energy pomagają Klientowi zaprojektować funkcjonalną strukturę organizacyjną, jak i opracować niezbędne procedury postępowania. Zakres obowiązków wynikających z wdrażania zarządzania kryzysowego najlepiej przedstawić w dwóch odsłonach – działań podejmowanych podczas „normalnego funkcjonowania” oraz zadań realizowanych w momencie wystąpienia sytuacji kryzysowych.

Zarzadzanie kryzysowe
Działania przygotowawcze – przed wystąpieniem sytuacji kryzysowych

Dokumenty określające sposób reakcji Organizacji na kryzys są różne w zależności od przesłanek stojących za ich wdrożeniem. Czasami są to Plany Ciągłości Działania (BCP), a jeśli mowa o spełnieniu wymagań ustawy – Plany ochrony infrastruktury krytycznej. Bez względu na przyczynę podjęcia decyzji o wdrożeniu zarządzania kryzysowego – treść dokumentu jest zwykle podobna i posiada szereg części wspólnych.

Opracowywane przez ekspertów Blue Energy procedury reakcji na kryzys tworzone są zawsze z przedstawicielami klienta, by spełnić potrzeby Organizacji i dostosować się do kultury organizacyjnej i pozostałych regulacji wewnętrznych.

Wdrażane procedury kryzysowe poprzedzane są analizą krytyczności realizowanych procesów oraz posiadanej infrastruktury i zawierają:

  • opis struktur kryzysowych, wskazanie osób i niezbędnych kompetencji, ustalenie zastępowalności, określenie zakresu odpowiedzialności za zarządzanie kryzysem i podejmowanie decyzji,
  • wymagania dla komunikacji wewnętrznej i zewnętrznej, w tym: zgłoszenie sytuacji kryzysowej, bądź potencjalnej sytuacji kryzysowej, informowanie odpowiednich służb, pracowników, opinii publicznej, współpraca z podmiotami zewnętrznymi,
  • zasady powoływania, realizacji zadań, rozwiązywania sztabu kryzysowego,
  • wymagania dotyczące zarządzania dokumentacją, w tym: przegląd dokumentacji, zarządzanie zmianą, publikacja i archiwizacja,
  • identyfikację infrastruktury krytycznej, procesów krytycznych wraz z wskazaniem charakterystyki i parametrów ciągłości działania i odtwarzania infrastruktury,
  • analizę ryzyka, w tym: identyfikacja zagrożeń, szacowanie ryzyka, ocena ryzyka,
  • ustalenie strategii zapewnienia zasobów w przypadku wystąpienia konkretnych scenariuszy awarii/kryzysu wynikających z przeprowadzonej oceny ryzyka,
  • wymagania i harmonogramy testów sytuacji kryzysowych,
  • zasady zarządzania sytuacją kryzysową, w tym oceny ryzyka i rozwoju sytuacji kryzysowej realizowanej przez Sztab Kryzysowy lub inne struktury zarządzania kryzysowego,
  • wymagania w zakresie dystrybucji procedur, budowania świadomości, w tym instruktarzy, ćwiczeń i szkoleń.
A jeśli dojdzie do kryzysu…

Tworząc mechanizmy reakcji na sytuację kryzysową, eksperci Blue Energy skupiają się na praktyczności i możliwości zastosowania wypracowanych schematów w czasie kryzysu.

Pierwszą zasadą właściwego zarządzania kryzysem jest odpowiednio określona struktura odpowiedzialności.

Dobierając skład sztabu kryzysowego pamiętamy o właściwym przywództwie, zastępowalnościach i delegowaniu obowiązków oraz o zapewnieniu przedstawicielstwa wszystkich istotnych przedstawicieli Organizacji.

Drugim aspektem  jest odpowiednio przygotowana strategia definiowana indywidualnie dla poszczególnych zasobów krytycznych wykorzystywanych do realizacji procesów krytycznych.

Trzecia kwestia to  umiejętność zarządzania kryzysem, ciągła analiza scenariuszy rozwoju sytuacji kryzysowej i podejmowanie właściwej odpowiedzi na kryzys. Rekomendujemy sprawdzone mechanizmy  oparte na definiowaniu optymistycznych, pesymistycznych i najbardziej realistycznych scenariuszy rozwoju kryzysu.

Kolejna kwestia, której nie może zabraknąć to wypracowane mechanizmy komunikacji wraz z przygotowaniem standardowych treści skierowanych do różnych grup odbiorców.

 

Ostatnia kwestia, na którą chcemy zwrócić uwagę to możliwość testowania wewnętrznych struktur i sposób reakcji. Nasze doświadczenia pokazują, iż nawet najbardziej kompleksowe   procedury kryzysowe nie zdadzą egzaminu bez cyklicznych szkoleń i testów zdarzeń realizowanych przez Organizacje.

 

Potrzebujesz wsparcia w kryzsie?
Kup teraz arrow
Korzyści
  • identyfikacja krytycznych zasobów, infrastruktury i procesów realizowanych w Organizacji pozwalająca nakierować działania związane z zarządzaniem kryzysowym na najistotniejsze aspekty działalności,
  • podejście oparte na ryzyku, identyfikacja zagrożeń dla zidentyfikowanych zasobów, a także podatności (słabości) wpływających na możliwość materializacji ryzyka i wystąpienia kryzysu
  • jednoznaczne zdefiniowanie odpowiedzialności za zarządzanie sytuacją kryzysową poprzez stworzenie struktur zarządzania kryzysowego,
  • ustalenie i przetestowanie zasad zarządzania kryzysem w oparciu o scenariusze sytuacji kryzysowych, umożliwienie podejmowania działań doskonalących i lepsze przygotowanie na wypadek wystąpienia realnych zagrożeń,
  • ustanowienie strategii postępowania na wypadek niedostępności zasobów krytycznych wspierających realizację kluczowych procesów,
  • zapewnienie rozliczalności i zgodności z przepisami prawa dla Organizacji, gdzie zarządzanie kryzysowe stanowi element wymagany przepisami prawa.
Chciałbyś opracować plany zarządzania kryzysowego?
Skontaktuj się z nami arrow
Proces wdrożenia usługi
1
Ustalenie procesów, zasobów lub infrastruktury, które mają zostać objęte zarządzaniem kryzysowym. Określenie parametrów dostępności i odtwarzania infrastruktury i zasobów.
2
Przeprowadzenie analizy ryzyka dla zidentyfikowanych zasobów mające na celu identyfikację zagrożeń, podatności i scenariuszy zdarzeń kryzysowych.
3
Wypracowanie dokumentacji zarządzania kryzysowego w zakresie i strukturze ustalonej z Klientem.
4
Praktyczna implementacja wypracowanych regulacji w organizacji poprzez szkolenia, ćwiczenia i testy sytuacji kryzysowych.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow
Prewencja przede wszystkim

Jeden z naszych Klientów infrastrukturalnych tak skupił się na planowaniu i testowaniu dotyczącym wystąpienia awarii, że zapomniał o tym, iż zarządzanie ciągłością działania zaczyna się od niedopuszczenia do awarii. Podczas poprawy wdrożenia systemu BCMS dużo czasu poświęciliśmy na poprawę mechanizmów zarządzania ryzykiem, zarządzania majątkiem / aktywami, właściwej eksploatacji. Pamiętajmy, że odpowiednie działanie, właściwa eksploatacja urządzeń i systemów jest często podstawowym źródłem ciągłości działania.

Więcej arrow
Biznes czy IT?

Instytucja z sektora finansowego toczyła odwieczną wojnę, kto odpowiada za zapewnienie ciągłości. Obszar biznesu twierdził, że nie mają wiedzy i środków do zapewnienia ciągłości, a obszar teleinformatyki twierdził, że oni nie wiedzą co jest krytyczne i nikt im nie przekazał co i jak zabezpieczyć. Wsparcie we wdrożeniu rozpoczęliśmy od uświadomienia wszystkim synergii, której wymaga zapewnienie ciągłości działania. Biznes musi określić jakie działania (procesy) i jakie narzędzia (zasoby, systemy) są krytyczne i dlaczego (możliwy czas przestoju, potencjalne straty i ewentualne kary). Obszar teleinformtyki musi określić lukę pomiędzy obecną, oczekiwaną dostępnością oraz wskazać powiązania pomiędzy aktywami. W kolejnym kroku decyzje i działania dotyczące luki dostępności należy podjąć wspólnie.

Więcej arrow
Udajemy, że testujemy

Przedsiębiorstwo produkcji ciągłej istotnie ucierpiało z powodu awarii. Po przeprowadzonym audycie okazało się, że mechanizmy prewencyjne i plany ciągłości działania były testowane tylko w postaci gry sztabowej. Po wystąpieniu zdarzenia – awarii, większość mechanizmów nie zadziałała. Wsparliśmy Klienta we właściwym zaplanowaniu i przeprowadzeniu testów. Pamiętajmy, że w ramach jednego testu możemy wykorzystywać różne techniki i tam gdzie to możliwe starajmy się stosować wyłączenia kontrolowane, symulacje i rzeczywiste testy, a nie tylko grę sztabową.

Więcej arrow