Zarządzanie ciągłością działania

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

Zarządzanie ciągłością działania (ang. Business Continuity Management, BCM) – zbiór działań jakie podejmuje organizacja w celu zapewnienia klientom, dostawcom i regulatorom dostępności jej krytycznych funkcji biznesowych (do których ten dostęp mieć powinni) w przypadku wystąpienia sytuacji kryzysowej. Zarządzanie ciągłością działania nie jest procesem realizowanym w czasie katastrofy, lecz odnosi się do czynności wykonywanych codziennie, mających na celu zapobieganie (ograniczanie ryzyka) wystąpienia sytuacji awaryjnej oraz utrzymywaniu gotowości do natychmiastowej reakcji gdyby takowa zaistniała.

Zarządzanie ciągłością działania jest częścią tzw. triady problemowej ryzyka operacyjnego, na która składają się: ryzyko operacyjne, bezpieczeństwo zasobowe oraz ciągłość działania. Zagadnienia te pozostają w nierozerwalnym związku, bowiem identyfikacja zagrożeń wyrażających ryzyko operacyjne oraz analiza i ocena tego ryzyka są prowadzone w celu ustalenia wytycznych zabezpieczania przed skutkami wystąpienia sytuacji kryzysowych (prewencja) oraz w celu ustalenia wytycznych zapewniania ciągłości działania na wypadek wystąpienia sytuacji kryzysowych. Z kolei podejmowanie zagadnień bezpieczeństwa oraz ciągłości działania jest sensowne tylko w kontekście ustalonych zagrożeń i przeprowadzonej analizy i oceny ryzyka.

Polityka ciągłości działania[edytuj | edytuj kod]

Polityka ciągłości działania to najważniejszy dokument, bez którego skuteczne i efektywne wdrożenie systemu zarządzania ciągłością działania (BCMS) nie jest możliwe. Celem polityki jest osadzenie procesu zarządzania ciągłością działania w organizacji. W tym dokumencie definiowane są: formalne podstawy funkcjonowania BCMS, zakres oraz ograniczenia BCMS, cele i wymagania dotyczące ciągłości działania organizacji, podstawowe elementy procesu BCM, role oraz zadania poszczególnych uczestników BCMS. Ponadto w polityce określa się: zasoby umożliwiające funkcjonowanie BCMS w organizacji, zasady i standardy jakie będą stosowane, mechanizmy pozwalające ocenić skuteczność i stopień dojrzałości procesu BCM w organizacji.

Polityka powinna być udokumentowana i zatwierdzona przez najwyższe kierownictwo organizacji oraz opublikowana w sposób umożliwiający zapoznanie się z nią przez wszystkich zainteresowanych.

Zrozumienie organizacji[edytuj | edytuj kod]

Zrozumienie organizacji to podstawa umożliwiająca zbudowanie systemu zgodnego z celami i zobowiązaniami organizacji. W ramach tego elementu zbiera się informacje o samej organizacji i jej procesach poprzez analizę ryzyka (RA) i badanie wpływu na działanie (BIA). W efekcie tych działań otrzymuje się kluczowe dla dalszego planowania parametry odtworzenia krytycznych procesów organizacji w przypadku sytuacji kryzysowej: RTO (recovery time objective) – czyli czas w jakim należy przywrócić procesy po wystąpieniu awarii; oraz RPO (recovery point objective) – czyli akceptowalny poziom utraty danych wyrażony w czasie. Na podstawie wszystkich zebranych danych należy wykonać analizę rozbieżności, której celem jest zbadanie czy założone podczas BIA parametry odtworzenia kluczowych procesów biznesowych oraz zasobów umożliwiających ich realizację mogą być osiągnięte.

Strategia zachowania ciągłości działania[edytuj | edytuj kod]

Strategia zachowania ciągłości działania jest opracowywana na podstawie zebranych podczas analizy ryzyka i wpływu na działanie wymagań dotyczących parametrów odtworzenia z uwzględnieniem celów organizacji i dostępnych zasobów. Strategia definiuje sposób postępowania organizacji w przypadku wystąpienia sytuacji kryzysowej.

Plan ciągłości działania[edytuj | edytuj kod]

Plan ciągłości działania (BCP) to udokumentowany zbiór instrukcji opisujących sposób postępowania i działania poszczególnych komponentów struktury zarządzania kryzysowego. Podstawowymi elementami planu są: struktura zarządzania kryzysowego, zasady postępowania w sytuacjach kryzysowych, procedury i instrukcje awaryjne (m.in.; powiadamiania, ewakuacji, odtworzenia infrastruktury teleinformatycznej, realizacji krytycznych procesów w trybie awaryjnym, itp…).

Wprowadzenie i utrzymanie BCMS[edytuj | edytuj kod]

Efektywność systemu zależy od tego w jaki sposób zostanie on osadzony w organizacji i czy stanie się jednym z trwałych elementów jej kultury. Realizację tego celu osiąga się poprzez następujące działania:

  • testowanie – czyli cykliczne sprawdzanie skuteczności planu BCP. Testy są także efektywną metodą szkolenia i budowania świadomości na wszystkich szczeblach organizacji.
  • aktualizację – regularne sprawdzanie i dostosowanie do zmieniających się warunków wewnętrznych o zewnętrznych umożliwia utrzymanie efektywnego planu działania na wypadek sytuacji kryzysowej.
  • audyt – pozwala na stwierdzenie czy spełnia on wymogi zgodności z przyjętą przez organizację polityką zarządzania ciągłością działania, przepisami prawa oraz normami i rekomendacjami regulatorów.

Szkolenia i akcje informacyjne – system powinien realizować zadania szkoleniowe: ogólne dla wszystkich pracowników oraz specjalistyczne dla członków struktury zarządzania kryzysowego. Szkolenia ogólne mogą i powinny być wspierane okresowymi akcjami informacyjnymi, których głównym celem jest budowanie świadomości pracowników.

Ciągłość działania a outsourcing[edytuj | edytuj kod]

Zlecenie podmiotowi zewnętrznemu realizacji określonych usług nie zwalnia usługobiorcy z odpowiedzialności za usługę. To usługobiorca ponosi odpowiedzialność wobec swoich klientów za brak realizacji czynności, które zostały powierzone firmie trzeciej.

W zakresie BCM umowa outsourcingowa powinna zawierać następujące postanowienia: gwarancję realizacji usługi w przypadku wystąpienia sytuacji awaryjnej u usługodawcy na minimalnym, akceptowalnym przez usługobiorcę poziomie; umożliwienie usługobiorcy wgląd w dokumentację BCP usługodawcy (w tym wyniki testów, aktualizację i przegląd BCP) oraz możliwość wykonania oceny przygotowania usługodawcy na wypadek awarii; gwarancję odpowiedniego poziomu komunikacji po obu stronach umowy w przypadku wystąpienia sytuacji kryzysowej oraz umożliwienie regulatorowi przeprowadzenie kontroli usługodawcy w zakresie usług objętych umową.

Usługobiorca powinien przeprowadzić analizę krytyczności usług przekazanych do usługodawcy i opracować własny plan awaryjny na wypadek niedostępności tychże usług. Dobrą praktyką jest opracowanie strategii przekazania świadczenia usługi innemu podmiotowi lub realizacji jej we własnym zakresie.

Zarządzanie ciągłością działania w Polsce[edytuj | edytuj kod]

Standardy[edytuj | edytuj kod]

W Polsce nie ma kompleksowego i dedykowanego zbioru norm regulujących tematykę BCM. Jednakże elementy opisujące wymagania dotyczące zapewnienia ciągłości działania pojawiają się w następujących aktach normatywnych.

Mimo, że nie jest to norma krajowa wiele instytucji korzysta z normy opracowanej przez British Standards Institution: BS25999. Obecnie jednak brytyjskie normy: "BS 25999-1:2006 Business continuity management – Part 1: Code of practice" oraz "BS 25999-2:2007 Business continuity management – Part 2: Specification" zostały zastąpione przez Normy Międzynarodowe: "ISO 22301:2012 Societal security – Business continuity management systems – Requirements" oraz "ISO 22313:2012 Societal security — Business continuity management systems — Guidance".

W oparciu o powyższe normy i standardy w 2012 roku została wydana Księga Dobrych Praktyk Zarządzania Ciągłością Działania[1].

Księga została opracowana przez członków grupy FTB ds. BCM (Forum Technologii Bankowych) działającej przy Związku Banków Polskich.

Głównym celem Księgi jest uporządkowanie wiedzy w zakresie zarządzania ciągłością działania, w tym wiedzy o budowaniu i utrzymywaniu planów ciągłości działania (BCP) zgodnie z najlepszymi stosowanymi praktykami w tym zakresie.

Współpraca z jednostkami publicznymi[edytuj | edytuj kod]

Zgodnie z ustawą z dnia 26 kwietnia 2007 o zarządzaniu kryzysowym Rządowe Centrum Bezpieczeństwa zapewnia obsługę Rady Ministrów, Prezesa Rady Ministrów oraz Rządowego Zespołu Zarządzania Kryzysowego (art. 11 ust. 1). W zakresie informowania, do zadań RCB należy zapewnienie obiegu informacji między krajowymi i zagranicznymi organami i strukturami zarządzania kryzysowego.

W sytuacjach zdarzeń kryzysowych o charakterze krajowym zadaniem RCB jest zapewnienie obiegu informacji między: Radą Ministrów, Prezesem Rady Ministrów, ministrem kierującym działem administracji rządowej, wojewodą, starostą i wójtem (art. 11 ust. 2 pkt 8). W celu zapewnienia płynnego obiegu informacji, instytucje współpracujące w tym zakresie z RCB zobowiązane są do wskazania i utrzymywania dostępnych całodobowo numerów telefonicznych i adresów poczty elektronicznej własnych służb dyżurnych.

Rządowe Centrum Bezpieczeństwa jest odpowiedzialne za przygotowanie Narodowego Programu Ochrony Infrastruktury Krytycznej. Przy przygotowaniu programu RCB współpracuje z ministrami i kierownikami urzędów centralnych właściwych w sprawach bezpieczeństwa narodowego, a także odpowiedzialnymi za systemy:

  • zaopatrzenia w energię, surowce energetyczne i paliwa,
  • łączności,
  • sieci teleinformatycznych,
  • finansowe,
  • zaopatrzenia w żywność,
  • zaopatrzenia w wodę,
  • ochrony zdrowia,
  • transportowe,
  • ratownicze,
  • zapewniające ciągłość działania administracji publicznej,
  • produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.

Zobacz też[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

Bibliografia[edytuj | edytuj kod]