Ta strona używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce.

Home       Strefa Klienta      Praca       Kontakt    

Ciągłość działania - ISO 22301

 

ciaglosc

"Kiedy narusza się porządek,
  traci się ciągłość."
 Robert Ludlum

Zapewnienie ciągłości działania organizacji polega na umożliwieniu skutecznej realizacji planów strategicznych.

Poprzez analizę kluczowych procesów i zaangażowanych w nie zasobów, poznajemy punkty krytyczne, najbardziej narażone na zagrożenia zewnętrzne i wewnętrzne. Podstawą metodyczną wdrożenia zarządzania ciągłością działania (BCP, BCMS) jest ISO 22301 oraz dobre praktyki z zakresu zarzadzania kryzysowego i budowy planów awaryjnych.

Wstęp

Zarządzanie Ciągłością Działania (ang. Business Contuinity Management) oznacza szereg działań związanych z analizą, planowaniem, monitorowaniem i działaniem w kontekście sytuacji kryzysowej.

Sytuacją kryzysową nazywamy niespodziewane, niekontrolowane i nagłe zdarzenie mające wpływ na prowadzoną działalność.

Zachowanie ciągłej działalności staje się istotą wielu organizacji, niezbędną do osiągania celów biznesowych. Firmy usługowe, uczestnicy łańcucha dostaw, logistyka, producenci, outsourcerzy, online gokken, telekomunikacja, informatyka, energetyka, instytucje użyteczności publicznej, bankowości i finanse, a tak naprawdę każdy przedsiębiorca i każda organizacja administracji publicznej, powinni zastanowić się nad zapewnieniem ciągłości działania.

Nikt z nasz nie działa w próżni. Nasze działania uzależnione są od działań innych. W swojej działalności potrzebujemy dostaw, mediów, informacji, komunikacji, odbiorców produktów i usług. Przerwanie tego łańcucha staje się istotnym problemem dla wielu uczestników rynku, a często również dla społeczeństwa.

Blue Energy realizuje szereg działań związanych z zapewnieniem ciągłości działania:

- audyty ciągłości działania,

- audyty łańcucha dostaw,

- analizy ciągłości działania i ryzyka

- wsparcie we wdrożeniu systemu zarządzania ciągłością działania,

- projektowanie planów awaryjnych i odtworzeniowych,

- testowanie planów awaryjnych i odtworzeniowych,

- budowanie świadomości poprzez gry sztabowe,

- wsparcie systemu narzędziami informatycznymi (BPM).

Zapraszamy do skorzystania z naszych usług!

Opis

Podstawowym zadaniem podczas wdrażania systemu zarządzania ciągłością działania jest analiza procesów pod kątem krytyczności i wskazanie istotnych z punktu widzenia ciągłości zasobów: urządzeń, mediów, ludzi, systemów IT, itp.

Analiza BIA (Business Impact Analysis)  - analiza krytyczności procesów jest źródłem informacji na temat tego, co jest krytyczne dla funkcjonowania organizacji, jakie procesy, zasoby są niezbędne do realizacji produktu, czy usługi. Idąc dalej można określić jakie wymagania wobec naszej organizacji mają poszczególni interesariusze: Klient, właściciel, regulator itp.

Po określeniu krytyczności procesów oraz związanych z nimi zasobów i wskazaniu wspólnych oddziaływań przechodzimy do analizy ryzyka ciągłości działania.

Analiza ryzyka realizowana dla punktów krytycznych daje odpowiedzi, w jaki sposób zabezpieczyć funkcjonowanie organizacji. Odpowiedzi na pytania "co?" i "kto?" zagraża naszym procesom, zasobom, realizowanym działaniom, łańcuchowi dostaw, współpracownikom, umożliwiają również wdrożenie działań prewencyjnych, podnoszących odporność na sytuacje krytyczne. Oczywiście zabezpieczenie się przed wszystkimi możliwymi zagrożeniami jest ze względów organizacyjnych i kosztowych niemożliwe, ale takie podejście oparte na analizie krytyczności i analizie ryzyka daje możliwość podejmowania świadomych decyzji o podjęciu, bądź zaniechaniu działań.

Zarządzanie ciągłością działania zapewnia nam narzędzia reagowania w sytuacji kryzysowej, w postaci minimalnej akceptowalnej konfiguracji oraz planów ciągłości działania / planów odtworzeniowych. Minimalna akceptowalna konfiguracja to poziom dostępności zasobów niezbędny do realizowania procesu w minimalnym akceptowalnym poziomie. Określa minimalną dostępność zasobów krytycznych dla realizacji procesów sytuacji awaryjnej.

Plany ciągłości działania dzielące się na „Plany awaryjne” oraz „Plany odtworzeniowe” to zbiór działań podejmowanych w sytuacjach kryzysowych niezbędnych do zabezpieczenia zasobów organizacji i umożliwiających jak najsprawniejsze odtworzenie działalności po awarii.

Plany awaryjne wskazują na postępowanie w sytuacji nastąpienia awarii i ukierunkowane są na minimalizację wpływu awarii na działalność. Natomiast plany odtworzeniowe wskazują działania niezbędne do przywrócenia stanu działalności z przed awarii.

Zgodnie z dobrymi praktykami wszelkie plany i mechanizmy powinny zostać poddane testom, które wykażą adekwatność i realność ich realizacji w sytuacji kryzysowej.

W ramach budowy systemu zarządzania ciągłością działania należy pamiętać o prewencji. Wszelkie analizy wskazują na podatności naszej organizacji w zakresie utraty ciągłości działania i powinny być wykorzystane do wdrażania działań doskonalących.

Międzynarodowy standard ciągłości biznesowej - Norma ISO 22301 zawiera wymagania dla budowy i wdrożenia systemu zarządzania ciągłością działania. Wskazuje mechanizmy zapobiegania incydentom zakłócającym procesy, pomaga zmniejszyć prawdopodobieństwo ich wystąpienia i wspiera w opracowaniu działań uruchamianych podczas i po sytuacji awaryjnej.

ISO 22301

W maju 2012 r. Międzynarodowy Komitet Normalizacyjny ISO opublikował standard ISO 22301. Jest to pierwsza międzynarodowa norma określająca ramy dla identyfikacji kluczowych czynników ryzyka w sytuacjach kryzysowych. Dotychczas funkcjonująca norma brytyjska BS 25999 została zastąpiona, a nowa norma uwypukliła znaczenie BCM poprzez wprowadzenie dodatkowych elementów, takich jak:

- odpowiedzialność i przywództwo najwyższego kierownictwa w zachowaniu ciągłości działania,

- uwypukla konieczność planowania działań i zapewnienia zasobów do ciągłego działania,

- podobnie jak norma poświęcona bezpieczeństwu informacji (ISO 27001) wskazuje konieczność określenia celów ciągłości, monitorowania skuteczności, pomiaru oraz testów,

- zgodnie z innymi standardami ISO poświęca wiele uwagi komunikacji wewnętrznej i zewnętrznej w ramach zapewnienia ciągłości działania,

- zgodnie z trendem rozwoju norm ISO takich jak ISO 9001, ISO 14001, ISO 27001, ISO 31000 jej osią staje się analiza ryzyka i zarządzanie ryzykiem.

Norma ISO 22301 to obecnie najpełniejszy zbiór wymagań dotyczących projektowania, wdrożenia i utrzymania ciągłości działania. Celem wdrożenia systemu opartego na jej wymaganiach jest uodpornienie oraz przygotowanie organizacji na sytuacje kryzysowe oraz awaryjne o nagłym i nieprzewidzianym przebiegu. Wzbogaceniem wymagań normy, są dobre praktyki w zakresie zapewnienia ciągłości działania, bo nic nie zastąpi zdrowego rozsądku.

Norma ISO 22301 obejmuje swym zakresem:

- politykę zarządzania ciągłością działania, która określa cele kierownictwa w zakresie zapewnienia BCM,

- proces zarządzania ciągłością działania, którego określenie w organizacji jest niezbędne,

- analizę działalności organizacji w kontekście analizy ryzyka zapewnienia ciągłości działania,

- strategię zarządzania ciągłością działania, określającą działania związane ze zidentyfikowanymi ryzykami,

- konkretne środki ochrony wynikające z realizacji strategii ciągłości działania,

- testy, przegląd i zarządzanie środkami ochrony zarówno w obszarze technicznym, jak i organizacyjnym, dotyczące planów awaryjnych i odtworzeniowych,

- świadomość pracowników, będąca podstawą skuteczności wdrażanych rozwiązań.

Norma ISO 22301 szczególną uwagę zwraca na Business Contuinity Planning (BCP) oraz Disaster Recovery Planning (DRP).

Business Contuinity Planning (BCP) to zbiór zasad, procedur, instrukcji i działań, których zadaniem jest zapewnienie właściwego funkcjonowania organizacji  w trakcie sytuacji awaryjnej i krótko po niej. Właściwe funkcjonowanie organizacji w trakcie sytuacji kryzysowej, to nie znaczy funkcjonowanie w pełni bez zakłóceń. Oznacza ono funkcjonowanie na poziomie nie gorszym, niż przyjętym w ramach minimalnej konfiguracji opracowanej po analizie ryzyka i będącej biznesową decyzją o akceptowalności zakłóceń. Przeprowadzona analiza ryzyka dostarcza nam informacji do tworzenia scenariuszy zdarzeń podczas sytuacji awaryjnej, a przyjęte procedury działania pomagają utrzymania ciągłości działania na przyjętym poziomie.

Disaster Recovery Planning (DRP) jednoznacznie wskazuje na plany związane z przywracaniem krytycznych obszarów działalności, usług lub zasobów. To również jest zbiór zasad, planów, działań i zachowań, które podejmowane sa w sytuacji awaryjnej i po niej w celu odzyskania sprawności działania.

Analiza BIA (Business Impact Analysis)  - analiza krytyczności procesówjest źródłem informacji na temat tego, co jest krytyczne dla funkcjonowania organizacji, jakie procesy, zasoby są niezbedne do realizacji produktu, czy uslugi. Idąć dalej można określić jakie wymagania wobec naszej organiazacji mają poszczególni interesariusze: Klient, własciciel, regulator itp.

Analiza ryzyka realizowana dla punktów krytycznych daje odpowiedzi, w jaki sposób zabezpieczyć funkcjonowanie organizacji. Odpowiedzi "co" i "kto" zagraża naszym procesom, zasobom, realizowanym działaniom, łańcuchowi dostaw, współpracownikom, umożliwiają wdrożenie działań prewencyjnych, podnoszących odporność na sytuacje krytyczne. Oczywiście zabezpieczenie sie przed wszystkimi możliwymi zagrożeniami jest ze względów organizacyjnych i kosztowych niemożliwe.

Zarządzanie ciągłością działania zapewnia nam narzędzia reagowania w sytuacji kryzysowej, w postaci minimalnej akceptowalnej konfiguracji oraz planów ciągłości działania / planów odtworzeniowych. Minimalna akceptowalna konfiguracja to poziom dostępności zasobów niezbędny do realizowania procesu w minimalnym akceptowalnym poziomie. Plany ciągłości działania oraz Plany odtworzeniowe to zbiór działań podejmowanych w sytuacjach kryzysowych niezbędnych do zabezpieczenia zasobów organizacji i umożliwiających jak najsprawniejsze odtworzenie działalności po awarii.

Zgodnie z dobrymi praktykami wszelkie plany i mechanizmy powinny zostać poddane testom, które wykażą adekwatność i realność ich realizacji w sytuacji kryzysowej.

Ścieżka wdrożenia

Projekt wdrożenia systemu zarządzania ciągłością działania to:

- audyt i ocena tego co już funkcjonuje w organizacji,

- analiza krytyczności procesów i skutków ich zatrzymania - BIA,

- analiza ryzyka utraty ciągłości działania,

- określenie minimalnej konfiguracji i strategii ciągłości działania,

- zapewnienie prewencji i komunikacji - plan postępowania z ryzykiem,

- okrślenie planów ciągłości działania i planów odtworzeniowych,

- prowadzenie testów.

Z pomocą w budowie systemu zarządzania ciągłością działania (BCMS) przychodzi nam standard ISO 22301 oraz zbiór dobrych praktyk w zakresie ciągłości działania, które zawierają wytyczne do wdrożenia.

Należy pamiętać, że w organizacjach w ramach których funkcjonują systemy zarządzania BHP w oparciu o polską normę PN-N 18001, bądź międzynarodowy OHSAS, oraz w tych, w których funkcjonują systemy zarządzania środowiskowego w oparciu o ISO 14001, warto integrować pewne działania i sposób funkcjonowania systemu. Oba obszary (BHP i środowisko) opierają się na analizie ryzyka oraz zajmują się sytuacją awaryjną (wypadek, awaria środowiskowa).

Również standard ISO 27001 poświęcony bezpieczeństwu informacji, który dokonuje oceny krytyczności, ale w obszarze informacji, dotyka ciągłości działania w zakresie zapewnienia dostępności informacji oraz rozpatruje incydent bezpieczeństwa jako sytuacje potencjalnie awaryjną. Dlatego warto poświęcić czas na wykorzystanie analiz funkcjonujących w ramach systemu bezpieczeństwa informacji, gdyż informacja jest częstym zasobem krytycznym, a zapewnienie właściwej komunikacji podstawą ciągłości działania.

Warto również podczas projektu wykorzystać narzędzia informatyczne wspierające proces analizy BIA, analizy ryzyka, opracowania planów, testowania i dokumentowania zarządzania ciągłością działaniaDowiedz się więcej!

 

ETAP 1 – Określenie zakresu projektu wdrożenia BCMS

Należy określić jaka działalność naszej organizacji będzie poddana analizie i w jakim obszarze będziemy realizować wdrożenie. Oczywiście można objąć wdrożeniem całą organizację, lub skupić się na wybranym obszarze. W celu dokonania wyboru, należy zastanowić się i przenalizować wymagania zewnętrzne, czyli wymagania interesariuszy w tym: właściciela, Klientów, kooperantów, regulatora i wymagań prawnych. Kolejnym krokiem jest analiza strategii biznesowej oraz celów działania. Nasze wybory mogą dotyczyć poszczególnych obszarów działalności, procesów, czy wręcz konkretnych usług, czy produktów.

 

ETAP 2 – Audyt wstępny

Dla określonego zakresu przeprowadzony zostaje audyt wstępny, którego zadaniem jest identyfikacja słabości oraz silnych stron. Należy pamiętać, że organizacje często wypracowują właściwe mechanizmy obrony, nie wynikające z wymagań normy, lecz ze zdrowego rozsądku. Często zakres audytu jest szerszy niż wybrany zakres funkcjonowania BCMS, ze względu na fakt, iż część zasobów może być dostarczonych w ramach innych obszarów i procesów realizowanych w organizacji, a czasami poza nią.

Zakończeniem etapu, jest przedstawienie raportu oraz opracowanie i przyjęcie koncepcji budowanego systemu oraz ewentualnej integracji z innymi systemami funkcjonującymi w organizacji.

 

ETAP 3 – Analiza BIA

Kolejny etap rozpoczynamy szkoleniami – warsztatami dla kierownictwa i pracowników zespołu projektowego. Warsztat z kierownictwem ma wskazać niezbędne zasoby do budowy systemu oraz określić politykę BCMS, a szkolenie dla zespołu ma wprowadzić w metodykę projektową i dostarczyć wiedzy na temat wymagań w zakresie wdrożenia systemu zarządzania ciągłością działania.

Początkowy transfer wiedzy ma zapewnić zrozumienie, chęć partycypacji wywołanie odpowiedzialności kierownictwa za zarządzanie ciągłością działania.

Przeprowadzenie analizy BIA – analizy wpływu na działalność, wymaga zrozumienia organizacji. Zadanie to powinno zostać zrealizowane na bazie zidentyfikowanych w organizacji procesów. Niestety rzadko zdarza się, że procesy, którymi posługuje się organizacja, są właściwie zidentyfikowane i opisane. Dlatego w tym etapie często uszczegóławiamy opis procesów wykorzystując narzędzie BPM.

Dla zidentyfikowanych procesów, określamy możliwe zakłócenia i skutki tych zakłóceń dla procesu, obszaru, organizacji. Analiza BIA często wskazuje na poziom zakłóceń i skutków w czasie np. im dłuższy czas niedostępności procesu, tym gorsze skutki dla organizacji.

Podczas Analizy BIA, określamy tzw. minimalną akceptowalną konfigurację, która wskazuje jakie zasoby są niezbędne aby proces mógł być wykonywany na akceptowalnym poziomie. Do podstawowych parametrów ciągłości działania określanych na tym etapie należą:

- Maximum tolerable period of disruption (MTPOD), czyli maksymalny od zakłócenia, do wznowienia działalność

- Recovery Time Objective (RTO), czyli oczekiwany / docelowy czas wznowienia działalności

- Recovery point objective (RPO) czyli dozwolony poziom utraty danych

 

ETAP 4 – Analiza Ryzyka i strategia działania

Na bazie analizy BIA przeprowadzana jest analiza ryzyka. Analiza BIS dostarcza informacji na temat krytyczności procesu oraz zasobów niezbędnych do realizacji, determinując tym samym poziom skutków. Analiza ryzyka dostarcza dodatkowo prawdopodobieństwa wystąpienia zdarzeń nieporządnych, co w powiązaniu ze skutkami daje nam poziom ryzyka dotyczący zapewnienia ciągłości działania.

Na bazie analizy ryzyka raportujemy: macierz ryzyka, ranking ryzyk itp.

Dla poszczególnych ryzyk wskazujemy mechanizmy zarządzania ryzykiem stanowiące nasza strategię ciągłości i planujemy konkretne działania minimalizujące poziom ryzyk.

Minimalizowanie ryzyka możemy osiągnąć poprzez minimalizację prawdopodobieństwa wystąpienia zagrożenia, a nawet eliminację zagrożenia (np. rezygnując z niebezpiecznej technologii), lub przez zmniejszenie skutków wystąpienia zdarzenia (np. zapewniając zastępowalność, redundancje dla urządzenia).

Należy jednak zwrócić szczególna uwagę, że ciągłość działania to decyzja biznesowa, która ma za cel ograniczenie potencjalnych strat i nie służy eliminacji wszystkich możliwych zagrożeń, gdyż jest to nie możliwe i nie uzasadnione kosztowo. Dlatego strategia ciągłości działania powinna określać nasz apetyt na ryzyko, czyli zdolność do ponoszenia ryzyka.

Dla ryzyk, których nie będziemy w stanie wyeliminować, a które nie są przez nas akceptowane poprzez decyzje biznesową, należy określić strategię postępowania. BCM to strategia zapewniająca wznowienie działalności w odpowiednim czasie poprzez realizację planów ciągłości. Poza minimalizacją i akceptacją, możemy ryzyko przenosić (ubezpieczenie, outsorcing itp.).

 

ETAP 5 – Planowanie reakcji BCM

Na bazie analizy ryzyka i określonej strategii ciągłości działania należy podjąć realizację działań mających minimalizować ryzyko, jak i opracować plany ciągłości biznesowej.

W tym celu należy opracować i wdrożyć strukturę zarządzania ciągłością działania oraz określić strukturę reakcji na darzenie.

Ważnym elementem jest również opracowanie planu zarzadzania incydentem oraz określenie mechanizmów testowania dla planów ciągłości działania.

Opracowując i testując plany ciągłości działania (w tym plany awaryjne i odtworzeniowe) należy zwracać szczególną uwagę na charakter zasobów, dla których opracowujemy plany ciągłości.
 
1. Personel – plany powinny uwzględniać zachowanie kluczowych umiejętności i wiedzy, możliwość komunikacji oraz zarządzania zespołem.

2. Obiekty – plany powinny określać dostępność pomieszczeń i stanowisk pracy, w tym możliwość telepracy i obiekty zapasowe,

3. Technologie i zasoby produkcyjne – plany powinny wskazywać na sposób ochrony i zapewnienia bezpieczeństwa ze szczególnym uwzględnieniem technologii teleinformatycznych i telekomunikacyjnych, powinny określać mechanizmy serwisu i naprawy oraz zastąpienia,

4. Informacje - plany powinny wskazywać na sposób ochrony i zapewnienia bezpieczeństwa ze szczególnym uwzględnieniem dostępności systemów teleinformatycznych i telekomunikacyjnych,

Nie należy również zapominać o zewnętrznych planach ciągłości realizowanych przez służby zewnętrzne, ma to szczególne znacznie przy zachowaniu bezpieczeństwa i ciągłości infrastruktury krytycznej.

Elementem wpływającym na skuteczność funkcjonowania BCMS jest określenie kluczowych wskaźników ryzyka (KRI – Key Risk Indicators), czyli mierników ryzyka, których zadaniem jest stałe monitorowania poziomu ryzyka (prawdopodobieństwa, bądź skutku)

 

ETAP 6 – Budowanie świadomości

Pracownicy poza wiedzą dotyczącą budowy i wdrażania systemu zarządzania ciągłością działania, powinni być wyposażeni w wiedze dotycząca funkcjonowania procesu, utrzymania zasobów krytycznych oraz technologii. Zapewnienie kompetencji to jeden z kluczowych aspektów skutecznego wdrożenia BCMS.

Na tym etapie projektu realizowany jest cykl szkoleń i warsztatów z zakresu zarządznia ciągłością działania, planowania ciągłości oraz testowania.
 

ETAP 7 – Testowanie

Dla opracowanych planów ciągłości działania: planów awaryjnych i odtworzeniowych należy określić modele testowania i oceny, czyli weryfikacji skuteczności. Zadanie to realizowane jest poprzez opracowanie scenariuszy zdarzeń awaryjnych i przeprowadzenie ćwiczeń w symulowanych warunkach. Oczywiście ćwiczenia mają tym większą wartość, im bardziej sytuacja zaaranżowana podczas realizacji scenariusza, odpowiada rzeczywistości sytuacji awaryjnej.

 

ETAP 8 – Weryfikacja skuteczności

Na bazie oceny incydentów, monitorowania KRI, testów ciągłości i audytów wewnętrznych dotyczących struktury ciągłości działania w organizacji dokonywany jest przegląd skuteczności oraz planowane są działania doskonalące. Konsultanci weryfikują prawidłowość funkcjonowania, analizują wyniki mierników ryzyka (KRI), oceniają wykonane testy i wnioski z analiz oraz proponują działania, które mogą podnieść poziom dojrzałości systemu zarządzania ciągłości działania.

Konsultanci wspierają pracowników we wprowadzaniu zmian i doskonaleniu BCMS.

Następnie wspólnie z osobami odpowiedzialnymi za obszar ciągłości działania po stronie Klienta opracowują materiały na przegląd kierownictwa.

Podczas projektów wykorzystujemy narzędzia informatyczne wspierają proces analizy BIA, analizy ryzyka, opracowania planów i dokumentowania zarządzania ciągłością działaniaDowiedz się więcej!

Korzyści

Konsultanci Blue Energy zrealizowali kilkadziesiąt projektów z zakresu zarządzania ciągłością działania dla Klientów z sektora: finansowego, transportu, teleinformatycznego, energetyki i wydobycia, produkcyjnego, teleinformatycznego, telekomunikacyjnego oraz administracji publicznej.

Do podstawowych korzyści BCMS należą:

- aktywne, a nie reaktywne działanie na zagrożenia,

- Identyfikacja obecnych i przyszłych zagrożeń dla organizacji

- redukcja wystąpienia zakłóceń w działalności organizacji,

- minimalizacja czasu przestojów,

- minimalizacja kosztów awarii,

- redukcja ryzyka utraty przychodów,

- przewaga konkurencyjna,

- lepsze zarządzanie aktywami,

- umiejętność i zdolność do odtworzenia działalności w określony sposób, w określonym czasie,

- wiarygodność firmy w oczach klientów, inwestorów i udziałowców,

- bezpieczeństwo procesów, ludzi, kierownictwa,

Dodatkowych korzyści dostarczają narzędzia informatyczne wspierające proces analizy BIA, analizy ryzyka, opracowania planów i dokumentowania zarządzania ciągłością działania. Dowiedz się więcej!

Jesteś tutaj: Home Usługi Bezpieczeństwo Ciągłość działania