Poprzednia

ⓘ Zarządzanie ciągłością działania




Zarządzanie ciągłością działania
                                     

ⓘ Zarządzanie ciągłością działania

Zarządzanie ciągłością działania – zbiór działań jakie podejmuje organizacja w celu zapewnienia klientom, dostawcom i regulatorom dostępności jej krytycznych funkcji biznesowych w przypadku wystąpienia sytuacji kryzysowej. Zarządzanie ciągłością działania nie jest procesem realizowanym w czasie katastrofy, lecz odnosi się do czynności wykonywanych codziennie, mających na celu zapobieganie wystąpienia sytuacji awaryjnej oraz utrzymywaniu gotowości do natychmiastowej reakcji gdyby takowa zaistniała.

Zarządzanie ciągłością działania jest częścią tzw. triady problemowej ryzyka operacyjnego, na która składają się: ryzyko operacyjne, bezpieczeństwo zasobowe oraz ciągłość działania. Zagadnienia te pozostają w nierozerwalnym związku, bowiem identyfikacja zagrożeń wyrażających ryzyko operacyjne oraz analiza i ocena tego ryzyka są prowadzone w celu ustalenia wytycznych zabezpieczania przed skutkami wystąpienia sytuacji kryzysowych prewencja oraz w celu ustalenia wytycznych zapewniania ciągłości działania na wypadek wystąpienia sytuacji kryzysowych. Z kolei podejmowanie zagadnień bezpieczeństwa oraz ciągłości działania jest sensowne tylko w kontekście ustalonych zagrożeń i przeprowadzonej analizy i oceny ryzyka.

                                     

1. Polityka ciągłości działania

Polityka ciągłości działania to najważniejszy dokument, bez którego skuteczne i efektywne wdrożenie systemu zarządzania ciągłością działania BCMS nie jest możliwe. Celem polityki jest osadzenie procesu zarządzania ciągłością działania w organizacji. W tym dokumencie definiowane są: formalne podstawy funkcjonowania BCMS, zakres oraz ograniczenia BCMS, cele i wymagania dotyczące ciągłości działania organizacji, podstawowe elementy procesu BCM, role oraz zadania poszczególnych uczestników BCMS. Ponadto w polityce określa się: zasoby umożliwiające funkcjonowanie BCMS w organizacji, zasady i standardy jakie będą stosowane, mechanizmy pozwalające ocenić skuteczność i stopień dojrzałości procesu BCM w organizacji.

Polityka powinna być udokumentowana i zatwierdzona przez najwyższe kierownictwo organizacji oraz opublikowana w sposób umożliwiający zapoznanie się z nią przez wszystkich zainteresowanych.

                                     

2. Zrozumienie organizacji

Zrozumienie organizacji to podstawa umożliwiająca zbudowanie systemu zgodnego z celami i zobowiązaniami organizacji. W ramach tego elementu zbiera się informacje o samej organizacji i jej procesach poprzez analizę ryzyka RA i badanie wpływu na działanie BIA. W efekcie tych działań otrzymuje się kluczowe dla dalszego planowania parametry odtworzenia krytycznych procesów organizacji w przypadku sytuacji kryzysowej: RTO recovery time objective – czyli czas w jakim należy przywrócić procesy po wystąpieniu awarii; oraz RPO recovery point objective – czyli akceptowalny poziom utraty danych wyrażony w czasie. Na podstawie wszystkich zebranych danych należy wykonać analizę rozbieżności, której celem jest zbadanie czy założone podczas BIA parametry odtworzenia kluczowych procesów biznesowych oraz zasobów umożliwiających ich realizację mogą być osiągnięte.

                                     

3. Strategia zachowania ciągłości działania

Strategia zachowania ciągłości działania jest opracowywana na podstawie zebranych podczas analizy ryzyka i wpływu na działanie wymagań dotyczących parametrów odtworzenia z uwzględnieniem celów organizacji i dostępnych zasobów. Strategia definiuje sposób postępowania organizacji w przypadku wystąpienia sytuacji kryzysowej.

                                     

4. Plan ciągłości działania

Plan ciągłości działania BCP to udokumentowany zbiór instrukcji opisujących sposób postępowania i działania poszczególnych komponentów struktury zarządzania kryzysowego. Podstawowymi elementami planu są: struktura zarządzania kryzysowego, zasady postępowania w sytuacjach kryzysowych, procedury i instrukcje awaryjne.

                                     

5. Wprowadzenie i utrzymanie BCMS

Efektywność systemu zależy od tego w jaki sposób zostanie on osadzony w organizacji i czy stanie się jednym z trwałych elementów jej kultury. Realizację tego celu osiąga się poprzez następujące działania:

  • audyt – pozwala na stwierdzenie czy spełnia on wymogi zgodności z przyjętą przez organizację polityką zarządzania ciągłością działania, przepisami prawa oraz normami i rekomendacjami regulatorów.
  • aktualizację – regularne sprawdzanie i dostosowanie do zmieniających się warunków wewnętrznych o zewnętrznych umożliwia utrzymanie efektywnego planu działania na wypadek sytuacji kryzysowej.
  • testowanie – czyli cykliczne sprawdzanie skuteczności planu BCP. Testy są także efektywną metodą szkolenia i budowania świadomości na wszystkich szczeblach organizacji.

Szkolenia i akcje informacyjne – system powinien realizować zadania szkoleniowe: ogólne dla wszystkich pracowników oraz specjalistyczne dla członków struktury zarządzania kryzysowego. Szkolenia ogólne mogą i powinny być wspierane okresowymi akcjami informacyjnymi, których głównym celem jest budowanie świadomości pracowników.



                                     

6. Ciągłość działania a outsourcing

Zlecenie podmiotowi zewnętrznemu realizacji określonych usług nie zwalnia usługobiorcy z odpowiedzialności za usługę. To usługobiorca ponosi odpowiedzialność wobec swoich klientów za brak realizacji czynności, które zostały powierzone firmie trzeciej.

W zakresie BCM umowa outsourcingowa powinna zawierać następujące postanowienia: gwarancję realizacji usługi w przypadku wystąpienia sytuacji awaryjnej u usługodawcy na minimalnym, akceptowalnym przez usługobiorcę poziomie; umożliwienie usługobiorcy wgląd w dokumentację BCP usługodawcy w tym wyniki testów, aktualizację i przegląd BCP oraz możliwość wykonania oceny przygotowania usługodawcy na wypadek awarii; gwarancję odpowiedniego poziomu komunikacji po obu stronach umowy w przypadku wystąpienia sytuacji kryzysowej oraz umożliwienie regulatorowi przeprowadzenie kontroli usługodawcy w zakresie usług objętych umową.

Usługobiorca powinien przeprowadzić analizę krytyczności usług przekazanych do usługodawcy i opracować własny plan awaryjny na wypadek niedostępności tychże usług. Dobrą praktyką jest opracowanie strategii przekazania świadczenia usługi innemu podmiotowi lub realizacji jej we własnym zakresie.



                                     

7.1. Zarządzanie ciągłością działania w Polsce Standardy

W Polsce nie ma kompleksowego i dedykowanego zbioru norm regulujących tematykę BCM. Jednakże elementy opisujące wymagania dotyczące zapewnienia ciągłości działania pojawiają się w następujących aktach normatywnych.

  • Ustawa Prawo telekomunikacyjne - z dnia 16 lipca 2004 r. Dz.U. z 2019 r. poz. 2460
  • Ustawa o systemie ubezpieczeń społecznych – z dnia 13 października 1998 r. Dz.U. z 2020 r. poz. 266
  • Rekomendacja "D” wydana w 2013 r. przez Generalny Inspektorat Nadzoru Bankowego obecnie Urząd Komisji Nadzoru Finansowego
  • Ustawa Prawo bankowe - z dnia 29 sierpnia 1997 Dz.U. z 2019 r. poz. 2357
  • Ustawa Prawo energetyczne – z dnia 10 kwietnia 1997 r. Dz.U. z 2019 r. poz. 755
  • Ustawa o zarządzaniu kryzysowym - z dnia 26 kwietnia 2007 r. Dz.U. z 2019 r. poz. 1398
  • Ustawa Prawo pocztowe – z dnia 23 listopada 2012 r. Dz.U. z 2018 r. poz. 2188
  • Rekomendacja "M” wydana w 2012 r. przez Komisję Nadzoru Finansowego obecnie Urząd Komisji Nadzoru Finansowego
  • Uchwała nr 4/2007 Komisji Nadzoru Finansowego z dnia 13 marca 2007 r. obecnie Urząd Komisji Nadzoru Finansowego

Mimo, że nie jest to norma krajowa wiele instytucji korzysta z normy opracowanej przez British Standards Institution: BS25999. Obecnie jednak brytyjskie normy: "BS 25999-1:2006 Business continuity management – Part 1: Code of practice" oraz "BS 25999-2:2007 Business continuity management – Part 2: Specification" zostały zastąpione przez Normy Międzynarodowe: "ISO 22301:2012 Societal security – Business continuity management systems – Requirements" oraz "ISO 22313:2012 Societal security - Business continuity management systems - Guidance".

W oparciu o powyższe normy i standardy w 2012 roku została wydana Księga Dobrych Praktyk Zarządzania Ciągłością Działania.

Księga została opracowana przez członków grupy FTB ds. BCM Forum Technologii Bankowych działającej przy Związku Banków Polskich.

Głównym celem Księgi jest uporządkowanie wiedzy w zakresie zarządzania ciągłością działania, w tym wiedzy o budowaniu i utrzymywaniu planów ciągłości działania BCP zgodnie z najlepszymi stosowanymi praktykami w tym zakresie.

                                     

7.2. Zarządzanie ciągłością działania w Polsce Współpraca z jednostkami publicznymi

Zgodnie z ustawą z dnia 26 kwietnia 2007 o zarządzaniu kryzysowym Rządowe Centrum Bezpieczeństwa zapewnia obsługę Rady Ministrów, Prezesa Rady Ministrów oraz Rządowego Zespołu Zarządzania Kryzysowego art. 11 ust. 1. W zakresie informowania, do zadań RCB należy zapewnienie obiegu informacji między krajowymi i zagranicznymi organami i strukturami zarządzania kryzysowego.

W sytuacjach zdarzeń kryzysowych o charakterze krajowym zadaniem RCB jest zapewnienie obiegu informacji między: Radą Ministrów, Prezesem Rady Ministrów, ministrem kierującym działem administracji rządowej, wojewodą, starostą i wójtem art. 11 ust. 2 pkt 8. W celu zapewnienia płynnego obiegu informacji, instytucje współpracujące w tym zakresie z RCB zobowiązane są do wskazania i utrzymywania dostępnych całodobowo numerów telefonicznych i adresów poczty elektronicznej własnych służb dyżurnych.

Rządowe Centrum Bezpieczeństwa jest odpowiedzialne za przygotowanie Narodowego Programu Ochrony Infrastruktury Krytycznej. Przy przygotowaniu programu RCB współpracuje z ministrami i kierownikami urzędów centralnych właściwych w sprawach bezpieczeństwa narodowego, a także odpowiedzialnymi za systemy:

  • finansowe,
  • zaopatrzenia w żywność,
  • ratownicze,
  • ochrony zdrowia,
  • produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
  • transportowe,
  • zaopatrzenia w wodę,
  • zapewniające ciągłość działania administracji publicznej,
  • zaopatrzenia w energię, surowce energetyczne i paliwa,
  • sieci teleinformatycznych,
  • łączności,
                                     
  • Planowanie Ciągłości Działania jest jednym z etapów szerszego procesu zarządzania ciągłością działania Podstawą zarządzania ciągłością działania firm są
  • wnioski na przyszłość. Zarządzanie ciągłością działania Encyklopedia Zarządzania M - files Kontrola autorytatywna  zarządzanie ryzykiem GND: 4127374 - 6
  • społeczeństwa zarządzanie ciągłością działania planowanie ciągłości działania disaster recovery kryzys Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
  • teleinformatyczne zarządzanie kryzysowe zarządzanie sytuacją kryzysową zarządzanie ciągłością działania sytuacja kryzysowa zarządzanie ryzykiem cykl życia
  • zarządzanie środowiskiem, zarządzanie bezpieczeństwem i higieną pracy, zarządzanie energią, zarządzanie ciągłością działania zarządzanie bezpieczeństwem informacji
  • sieciami Kontrola dostępu Zarządzanie ciągłością działania Pozyskiwanie, rozwój i utrzymanie systemów informatycznych Zarządzanie incydentami związanymi
  • Zarządzanie ryzykiem według międzynarodowej normy ISO 31000: 2009, oraz polskiej normy PN - ISO 31000: 2018 - 08 skoordynowane działania dotyczące kierowania
  • różnych sferach firmy takich jak: zarządzanie marketing, produkcja, technologia, opracowanie strategii firmy, zarządzanie operacyjne. Niedobory kapitału
  • fizycznej obiektów spełnia wymagania ISO IEC 27001: 2013. System zarządzania ciągłością działania w zakresie konwojowania wartości pieniężnych, przedmiotów wartościowych
  • Dynamicznym zarządzaniem procesami biznesowymi dynamic business process management dynamic BPM zarządzanie pozwalające na odpowiednio szybką dla
  • Zarządzanie wiekiem ang. age management, inaczej: zarządzanie różnorodnością wiekową strategia zarządzania zasobami ludzkimi, która definiuje działania