Co norma ISO 22301 wnosi do zarządzania ciągłością działania i dlaczego warto ją wdrożyć?

HomeResourcesArtykułyCo norma ISO 22301 wnosi do zarządzania ciągłością działania i dlaczego warto ją wdrożyć?

Presja regulacyjna w postaci dyrektyw NIS2 i DORA oraz rosnące wymagania audytorów sprawiają, że organizacje nie mogą sobie pozwolić, by temat ciągłości działania odkładać na później albo traktować jako wewnętrzną inicjatywę IT. Coraz więcej podmiotów musi dziś udowodnić, że są na zakłócenia przygotowane, i to w sposób, który da się zweryfikować z zewnątrz. BCM (ang. Business Continuity Management) to proces, który pozwala organizacji utrzymać działanie nawet w trudnych okolicznościach. Norma ISO 22301 dostarcza temu procesowi formalnych ram, które umożliwiają wspomnianą weryfikację. Razem tworzą one kompletny obraz zarządzania ciągłością działania, który omówimy w niniejszym artykule.

Spis treści
  1. 1. Co oznacza zarządzanie ciągłością działania (BCM)?
  2. 2. Czym jest norma ISO 22301 i co ona reguluje?
  3. 3. BCM a ISO 22301 – różnice i zależności
  4. 4. Struktura normy ISO 22301 i cykl PDCA
  5. 5. Pięć filarów systemu ciągłości działania według ISO 22301
    1. 5.1. Analiza wpływu na biznes (BIA)
    2. 5.2. Ocena ryzyka i zagrożeń
    3. 5.3. Strategie ciągłości działania
    4. 5.4. Plany i procedury ciągłości
    5. 5.5. Testowanie, ćwiczenia i doskonalenie BCMS
  6. 6. ISO 22301 a wymagania regulacyjne
  7. 7. Korzyści z wdrożenia i certyfikacji ISO 22301
  8. 8. Pułapki wdrożenia BCM według ISO 22301
  9. 9. Podsumowanie
  10. 10. Najczęściej zadawane pytania

Co oznacza zarządzanie ciągłością działania (BCM)?

Zarządzanie ciągłością działania (BCM) to sposób, w jaki organizacja przygotowuje się na poważne zakłócenia i utrzymuje zdolność do działania, gdy do nich dochodzi. Zakłóceniem takim może być awaria infrastruktury, cyberatak, utrata kluczowego dostawcy czy zdarzenie, które wyłącza z użytku biuro lub centrum danych.

BCM wymaga zaangażowania całej organizacji, nie tylko działu IT. Zarząd odpowiada za priorytety i zasoby, właściciele procesów za ich nieprzerwane działanie, a zespoły operacyjne za wykonanie planów w sytuacji kryzysowej. Poza tym system musi być regularnie testowany i aktualizowany, żeby nadążał za zmianami w organizacji.

Czym jest norma ISO 22301 i co ona reguluje?

ISO 22301 to wydana przez Międzynarodową Organizację Normalizacyjną formalna specyfikacja wymagań dla systemu zarządzania ciągłością działania, czyli BCMS (ang. Business Continuity Management System). Aktualna wersja pochodzi z 2019 roku. Norma określa, co system musi spełniać, żeby można go było niezależnie zweryfikować i certyfikować.

Wymagania zawarte w ISO 22301 są jednakowe dla wszystkich organizacji, które zdecydują się na certyfikację, niezależnie od ich wielkości czy sektora. Zakres systemu każda organizacja definiuje samodzielnie, ale w ramach tego zakresu musi wykazać pełną zgodność z normą.

BCM a ISO 22301 – różnice i zależności

BCM i ISO 22301 dotyczą tego samego obszaru, ale pełnią różne funkcje. Organizacja może wdrożyć BCM bez odniesienia do żadnego standardu i ma wtedy dużą swobodę w kształtowaniu swojego systemu. ISO 22301 tę swobodę porządkuje, wskazując, jakie elementy system musi zawierać i jak należy wykazać ich skuteczność. Poniższe zestawienie ilustruje, w jakich obszarach proces i norma się różnią, a gdzie wzajemnie się uzupełniają.

 BCMISO 22301
CharakterPodejście i zestaw praktyk organizacyjnychNorma określająca formalne wymagania
ZadanieUtrzymanie zdolności operacyjnej podczas zakłóceńWskazanie, co system ciągłości działania musi zawierać i jak to wykazać
Wymóg formalnyBrak – organizacja wdraża z własnej inicjatywyBrak powszechnego obowiązku, ale organy regulacyjne i kontrahenci mogą jej wymagać
CertyfikacjaNiedostępna w ramach samego podejściaMożliwa po niezależnym audycie
ZakresOrganizacja określa go samodzielnieOrganizacja określa zakres, ale w jego ramach musi spełnić wszystkie wymagania normy

Organizacje, które wdrożyły BCM w oparciu o ISO 22301, mają system gotowy do zewnętrznej weryfikacji. Certyfikacja jest dowodem dla interesariuszy, że zarządzanie ciągłością działania w organizacji spełnia uznane wymagania międzynarodowe.

Struktura normy ISO 22301 i cykl PDCA

ISO 22301 dzieli się na dziesięć klauzul. Pierwsze trzy mają charakter wprowadzający, a właściwe wymagania zaczynają się od klauzuli czwartej i obejmują kontekst organizacji, przywództwo, planowanie, wsparcie, działania operacyjne, ocenę efektywności oraz doskonalenie systemu.

Układ tych wymagań odpowiada cyklowi PDCA (ang. Plan-Do-Check-Act), który zakłada ciągłe doskonalenie systemu. Organizacja najpierw planuje system i jego wymagania, następnie go wdraża, regularnie sprawdza skuteczność i wprowadza udoskonalenia. Dzięki temu system zarządzania ciągłością pozostaje aktualny nawet wtedy, gdy sama organizacja się zmienia.

Pięć filarów systemu ciągłości działania według ISO 22301

Norma precyzuje wymagania w kilku obszarach, które razem tworzą kompletny system zarządzania ciągłością działania. Każdy z nich odpowiada konkretnemu zagadnieniu operacyjnemu.

Analiza wpływu na biznes (BIA)

Analiza wpływu na biznes, czyli BIA (ang. Business Impact Analysis), wskazuje, które procesy są dla organizacji krytyczne i co się dzieje, gdy zostają przerwane, oraz od jakich zasobów i zależności zależy ich ciągłość. BIA obejmuje zarówno zasoby technologiczne i infrastrukturę, jak i personel oraz zewnętrznych dostawców, oceniając wpływ niedostępności każdego z tych elementów na funkcjonowanie organizacji. W ramach BIA organizacja określa dwa kluczowe parametry: RTO (ang. Recovery Time Objective), czyli maksymalny dopuszczalny czas niedostępności danego procesu, oraz RPO (ang. recovery point objective), czyli maksymalną dopuszczalną utratę danych mierzoną w czasie. Wyniki BIA stanowią podstawę planowania strategii odtwarzania.

Ocena ryzyka i zagrożeń

Ocena ryzyka uzupełnia BIA, choć oba badania dotyczą różnych zagadnień. BIA skupia się na skutkach zakłóceń dla procesów, natomiast ocena ryzyka identyfikuje zagrożenia, które mogą te zakłócenia wywołać, oraz szacuje prawdopodobieństwo ich wystąpienia. ISO 22301 wymaga, by analiza i zarządzanie ryzykiem były ze sobą powiązane przy wyborze odpowiednich strategii ciągłości.

Strategie ciągłości działania

Na podstawie wyników BIA i oceny ryzyka organizacja tworzy plany odtwarzania dla każdego krytycznego procesu. Należy w nich uwzględnić dostępność zasobów niezbędnych do działania, czyli personelu, technologii i dostawców zewnętrznych. Ma to na celu zapewnienie, że organizacja posiada realistyczną strategię powrotu do funkcjonowania w określonym czasie, a nie tylko ogólną deklarację gotowości.

Plany i procedury ciągłości

Plany ciągłości działania muszą być odpowiednio udokumentowane i określać role i odpowiedzialności poszczególnych osób, procedury reagowania na różne scenariusze zakłóceń oraz zasady komunikacji kryzysowej, zarówno wewnętrznej, jak i zewnętrznej. Zgodnie z ISO 22301 właściwe osoby powinny mieć zapewniony dostęp do tych planów zawsze, gdy zachodzi potrzeba ich użycia.

Testowanie, ćwiczenia i doskonalenie BCMS

Skuteczność planów musi też być regularnie sprawdzana w różnorakich ćwiczeniach, np. warsztatach lub symulacjach. ISO 22301 zobowiązuje organizacje również do regularnych przeglądów systemu, w tym po wystąpieniu rzeczywistych incydentów. Wnioski z ćwiczeń i przeglądów posłużą następnie do doskonalenia systemu BCMS.

ISO 22301 a wymagania regulacyjne

Organizacje objęte dyrektywą NIS2 lub rozporządzeniem DORA coraz częściej sięgają po ISO 22301, bo norma dostarcza gotową ramę do spełnienia ich wymogów. Dla wielu podmiotów to najbardziej pragmatyczna odpowiedź na presję regulacyjną, która w ostatnich latach wyraźnie wzrosła.

NIS2 wprowadza obowiązek posiadania planów ciągłości działania oraz ich regularnego testowania, a organizacja z wdrożoną ISO 22301 ma te elementy już udokumentowane. Co istotne, nowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC) wprost wskazuje, że certyfikacja na zgodność z ISO 22301 jest rozumiana jako spełnienie odpowiednich wymogów ustawy w tym zakresie. Z kolei DORA wymaga udokumentowanych strategii odtwarzania z określonymi parametrami RTO i RPO oraz testowania scenariuszy zakłóceniowych, co ISO 22301 pokrywa bezpośrednio.

Norma nie jest formalnym substytutem żadnej z tych regulacji i nie zwalnia z odrębnej weryfikacji zgodności z nimi. Jej wartość polega na tym, że organizacja, która ją rzetelnie wdrożyła, ma już zbudowane fundamenty, których oczekują audytorzy i organy regulacyjne.

Korzyści z wdrożenia i certyfikacji ISO 22301

Wdrożenie ISO 22301 zmienia sposób, w jaki organizacja reaguje na zakłócenia. W sytuacji kryzysowej zaczyna ona działać według sprawdzonych procedur z jasno określonymi rolami i czasami odtwarzania, zamiast improwizować. To skraca przestoje i ogranicza straty, które w przypadku dłuższej niedostępności kluczowych usług rosną bardzo szybko.

Sama gotowość operacyjna to tylko jedna z korzyści. Udokumentowany i regularnie testowany system ciągłości działania buduje zaufanie klientów, dostawców i partnerów, którzy coraz częściej weryfikują odporność organizacji przed podpisaniem umowy. W sektorach regulowanych, takich jak finanse czy energetyka, BCM przestał być kwestią dobrej woli i stał się oczekiwanym standardem.

Certyfikacja na zgodność z ISO 22301 to krok jeszcze dalej. Wdrożenie systemu można przeprowadzić bez niezależnego audytu, ale tylko certyfikat daje zewnętrznym interesariuszom potwierdzenie, że wymagania normy są faktycznie spełnione. Dla organizacji podlegających NIS2 lub DORA ma to dodatkowy wymiar, bo certyfikat upraszcza wykazanie zgodności wobec organów nadzorczych.

Pułapki wdrożenia BCM według ISO 22301

Wdrożenie systemu ciągłości działania według ISO 22301 bywa traktowane jak jednorazowy projekt. Gdy dokumentacja jest gotowa i audyt zaliczony, temat schodzi na boczny tor. Tymczasem norma wymaga systemu, który żyje razem z organizacją i jest aktualizowany przy każdej istotnej zmianie jej struktury czy procesów.

Drugim częstym potknięciem jest powierzchowna lub rzadko aktualizowana analiza wpływu na biznes. Organizacje przeprowadzają ją raz przy wdrożeniu i uznają za zamkniętą. Jednak gdy priorytety procesów biznesowych zmieniają się, a wyniki analizy pozostają takie same od lat, plany ciągłości działania tracą związek z rzeczywistością.

Osobnym zagadnieniem jest zakres odpowiedzialności. Zdarza się, że BCM jest przypisany wyłącznie do działu IT, podczas gdy ciągłość działania dotyczy całej organizacji. Konsekwencją jest m.in. analiza ryzyka przeprowadzana bez udziału właścicieli procesów biznesowych, która pomija zagrożenia operacyjne leżące poza obszarem technologii. Plany, które nie uwzględniają perspektywy tych właścicieli, sprawdzają się tylko na papierze. Podobnie ćwiczenia ograniczone do scenariuszy technicznych nie przygotowują organizacji na zakłócenia, które dotyczą jej personelu albo dostawców.

Podsumowanie

ISO 22301 nie zastępuje BCM, lecz nadaje mu formalną strukturę i sprawia, że system ciągłości działania można zweryfikować z zewnątrz. Organizacje, które chcą udowodnić swoją odporność operacyjną klientom i organom regulacyjnym, mają w certyfikacji ISO 22301 konkretne narzędzie do osiągnięcia tego celu.

Najczęściej zadawane pytania

Jacek Wróblewski

Head of Audit, Risk & Compliance Solutions | C&F

The Head of AdaptiveGRC. He has been working at C&F for 11 years and his experience includes project management, product development, and marketing. Before he started working with C&F, he worked in consulting as well as in the marketing industry. As a manager, he focuses on business opportunity evaluation, knowledge and idea management, identity and access management, office and process automation.

Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    Pozostałe wpisy:

    Rozwiązania biznesowe

    AdaptiveGRC to zintegrowany system do zarządzania działaniami GRC (Governance, Risk, Compliance) w Twojej firmie, który spełnia najnowsze wymogi regulacyjne (DORA, NIS2).

    Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
    ZAREZERWUJ KONSUTLACJĘ

    Usprawnij swoje działania GRC dzięki AdaptiveGRC
    Uzyskuj szybsze wyniki.

    • Wypełnij formularz.
    • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
    • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
    • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
    Wypełnij formularz

      Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

      NASZE RECENZJE

      Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

      Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

      AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

      Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe Pracownicy: 2-10

      Wszechstronna platforma do zarządzania ryzykiem i zgodnością

      Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

      Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe Pracownicy: 51-200

      Doskonałe narzędzie do kontroli zgodności

      Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

      Jasween K. Zgodność w branży farmaceutycznej Pracownicy: 10000+

      AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

      Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

      Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

      W nazwie AdaptiveGRC zawiera się wszystko

      Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

      D Scott C. Rozwój Biznesu | Biotechnologia Pracownicy: 2-10

      Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

      Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

      Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość Pracownicy: 10000+

      Świetne wsparcie dla firmy ubezpieczeniowej

      Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

      Recenzent zweryfikowany Ubezpieczenia Pracownicy: 201-500