Zarz\u0105dzanie ci\u0105g\u0142o\u015bci\u0105 dzia\u0142ania (BCM)<\/a> to spos\u00f3b, w jaki organizacja przygotowuje si\u0119 na powa\u017cne zak\u0142\u00f3cenia i utrzymuje zdolno\u015b\u0107 do dzia\u0142ania, gdy do nich dochodzi. Zak\u0142\u00f3ceniem takim mo\u017ce by\u0107 awaria infrastruktury, cyberatak, utrata kluczowego dostawcy czy zdarzenie, kt\u00f3re wy\u0142\u0105cza z u\u017cytku biuro lub centrum danych.<\/p>\n\n\n\n BCM wymaga zaanga\u017cowania ca\u0142ej organizacji, nie tylko dzia\u0142u IT. Zarz\u0105d odpowiada za priorytety i zasoby, w\u0142a\u015bciciele proces\u00f3w za ich nieprzerwane dzia\u0142anie, a zespo\u0142y operacyjne za wykonanie plan\u00f3w w sytuacji kryzysowej. Poza tym system musi by\u0107 regularnie testowany i aktualizowany, \u017ceby nad\u0105\u017ca\u0142 za zmianami w organizacji.<\/p>\n\n\n\n ISO 22301<\/a> to wydana przez Mi\u0119dzynarodow\u0105 Organizacj\u0119 Normalizacyjn\u0105 formalna specyfikacja wymaga\u0144 dla systemu zarz\u0105dzania ci\u0105g\u0142o\u015bci\u0105 dzia\u0142ania, czyli BCMS (ang. Business Continuity Management System). Aktualna wersja pochodzi z 2019 roku. Norma okre\u015bla, co system musi spe\u0142nia\u0107, \u017ceby mo\u017cna go by\u0142o niezale\u017cnie zweryfikowa\u0107 i certyfikowa\u0107.<\/p>\n\n\n\n Wymagania zawarte w ISO 22301 s\u0105 jednakowe dla wszystkich organizacji, kt\u00f3re zdecyduj\u0105 si\u0119 na certyfikacj\u0119, niezale\u017cnie od ich wielko\u015bci czy sektora. Zakres systemu ka\u017cda organizacja definiuje samodzielnie, ale w ramach tego zakresu musi wykaza\u0107 pe\u0142n\u0105 zgodno\u015b\u0107 z norm\u0105.<\/p>\n\n\n\n BCM i ISO 22301 dotycz\u0105 tego samego obszaru, ale pe\u0142ni\u0105 r\u00f3\u017cne funkcje. Organizacja mo\u017ce wdro\u017cy\u0107 BCM bez odniesienia do \u017cadnego standardu i ma wtedy du\u017c\u0105 swobod\u0119 w kszta\u0142towaniu swojego systemu. ISO 22301 t\u0119 swobod\u0119 porz\u0105dkuje, wskazuj\u0105c, jakie elementy system musi zawiera\u0107 i jak nale\u017cy wykaza\u0107 ich skuteczno\u015b\u0107. Poni\u017csze zestawienie ilustruje, w jakich obszarach proces i norma si\u0119 r\u00f3\u017cni\u0105, a gdzie wzajemnie si\u0119 uzupe\u0142niaj\u0105.<\/p>\n\n\n\n Organizacje, kt\u00f3re wdro\u017cy\u0142y BCM w oparciu o ISO 22301, maj\u0105 system gotowy do zewn\u0119trznej weryfikacji. Certyfikacja jest dowodem dla interesariuszy, \u017ce zarz\u0105dzanie ci\u0105g\u0142o\u015bci\u0105 dzia\u0142ania w organizacji spe\u0142nia uznane wymagania mi\u0119dzynarodowe.<\/p>\n\n\n\n ISO 22301 dzieli si\u0119 na dziesi\u0119\u0107 klauzul. Pierwsze trzy maj\u0105 charakter wprowadzaj\u0105cy, a w\u0142a\u015bciwe wymagania zaczynaj\u0105 si\u0119 od klauzuli czwartej i obejmuj\u0105 kontekst organizacji, przyw\u00f3dztwo, planowanie, wsparcie, dzia\u0142ania operacyjne, ocen\u0119 efektywno\u015bci oraz doskonalenie systemu.<\/p>\n\n\n\n Uk\u0142ad tych wymaga\u0144 odpowiada cyklowi PDCA (ang. Plan-Do-Check-Act), kt\u00f3ry zak\u0142ada ci\u0105g\u0142e doskonalenie systemu. Organizacja najpierw planuje system i jego wymagania, nast\u0119pnie go wdra\u017ca, regularnie sprawdza skuteczno\u015b\u0107 i wprowadza udoskonalenia. Dzi\u0119ki temu system zarz\u0105dzania ci\u0105g\u0142o\u015bci\u0105 pozostaje aktualny nawet wtedy, gdy sama organizacja si\u0119 zmienia.<\/p>\n\n\n\n Norma precyzuje wymagania w kilku obszarach, kt\u00f3re razem tworz\u0105 kompletny system zarz\u0105dzania ci\u0105g\u0142o\u015bci\u0105 dzia\u0142ania. Ka\u017cdy z nich odpowiada konkretnemu zagadnieniu operacyjnemu.<\/p>\n\n\n\n Analiza wp\u0142ywu na biznes, czyli BIA (ang. Business Impact Analysis), wskazuje, kt\u00f3re procesy s\u0105 dla organizacji krytyczne i co si\u0119 dzieje, gdy zostaj\u0105 przerwane, oraz od jakich zasob\u00f3w i zale\u017cno\u015bci zale\u017cy ich ci\u0105g\u0142o\u015b\u0107. BIA obejmuje zar\u00f3wno zasoby technologiczne i infrastruktur\u0119, jak i personel oraz zewn\u0119trznych dostawc\u00f3w, oceniaj\u0105c wp\u0142yw niedost\u0119pno\u015bci ka\u017cdego z tych element\u00f3w na funkcjonowanie organizacji. W ramach BIA organizacja okre\u015bla dwa kluczowe parametry: RTO (ang. Recovery Time Objective), czyli maksymalny dopuszczalny czas niedost\u0119pno\u015bci danego procesu, oraz RPO (ang. recovery point objective), czyli maksymaln\u0105 dopuszczaln\u0105 utrat\u0119 danych mierzon\u0105 w czasie. Wyniki BIA stanowi\u0105 podstaw\u0119 planowania strategii odtwarzania.<\/p>\n\n\n\n Ocena ryzyka uzupe\u0142nia BIA, cho\u0107 oba badania dotycz\u0105 r\u00f3\u017cnych zagadnie\u0144. BIA skupia si\u0119 na skutkach zak\u0142\u00f3ce\u0144 dla proces\u00f3w, natomiast ocena ryzyka identyfikuje zagro\u017cenia, kt\u00f3re mog\u0105 te zak\u0142\u00f3cenia wywo\u0142a\u0107, oraz szacuje prawdopodobie\u0144stwo ich wyst\u0105pienia. ISO 22301 wymaga, by analiza i zarz\u0105dzanie ryzykiem<\/a> by\u0142y ze sob\u0105 powi\u0105zane przy wyborze odpowiednich strategii ci\u0105g\u0142o\u015bci.<\/p>\n\n\n\n Na podstawie wynik\u00f3w BIA i oceny ryzyka organizacja tworzy plany odtwarzania dla ka\u017cdego krytycznego procesu. Nale\u017cy w nich uwzgl\u0119dni\u0107 dost\u0119pno\u015b\u0107 zasob\u00f3w niezb\u0119dnych do dzia\u0142ania, czyli personelu, technologii i dostawc\u00f3w zewn\u0119trznych. Ma to na celu zapewnienie, \u017ce organizacja posiada realistyczn\u0105 strategi\u0119 powrotu do funkcjonowania w okre\u015blonym czasie, a nie tylko og\u00f3ln\u0105 deklaracj\u0119 gotowo\u015bci.<\/p>\n\n\n\n Plany ci\u0105g\u0142o\u015bci dzia\u0142ania musz\u0105 by\u0107 odpowiednio udokumentowane i okre\u015bla\u0107 role i odpowiedzialno\u015bci poszczeg\u00f3lnych os\u00f3b, procedury reagowania na r\u00f3\u017cne scenariusze zak\u0142\u00f3ce\u0144 oraz zasady komunikacji kryzysowej, zar\u00f3wno wewn\u0119trznej, jak i zewn\u0119trznej. Zgodnie z ISO 22301 w\u0142a\u015bciwe osoby powinny mie\u0107 zapewniony dost\u0119p do tych plan\u00f3w zawsze, gdy zachodzi potrzeba ich u\u017cycia.<\/p>\n\n\n\n Skuteczno\u015b\u0107 plan\u00f3w musi te\u017c by\u0107 regularnie sprawdzana w r\u00f3\u017cnorakich \u0107wiczeniach, np. warsztatach lub symulacjach. ISO 22301 zobowi\u0105zuje organizacje r\u00f3wnie\u017c do regularnych przegl\u0105d\u00f3w systemu, w tym po wyst\u0105pieniu rzeczywistych incydent\u00f3w. Wnioski z \u0107wicze\u0144 i przegl\u0105d\u00f3w pos\u0142u\u017c\u0105 nast\u0119pnie do doskonalenia systemu BCMS.<\/p>\n\n\n\n Organizacje obj\u0119te dyrektyw\u0105 NIS2 lub rozporz\u0105dzeniem DORA coraz cz\u0119\u015bciej si\u0119gaj\u0105 po ISO 22301, bo norma dostarcza gotow\u0105 ram\u0119 do spe\u0142nienia ich wymog\u00f3w. Dla wielu podmiot\u00f3w to najbardziej pragmatyczna odpowied\u017a na presj\u0119 regulacyjn\u0105<\/a>, kt\u00f3ra w ostatnich latach wyra\u017anie wzros\u0142a.<\/p>\n\n\n\nCzym jest norma ISO 22301 i co ona reguluje?<\/h2>\n\n\n\n
BCM a ISO 22301 \u2013 r\u00f3\u017cnice i zale\u017cno\u015bci<\/h2>\n\n\n\n
<\/th> BCM<\/th> ISO 22301<\/th><\/tr><\/thead> Charakter<\/td> Podej\u015bcie i zestaw praktyk organizacyjnych<\/td> Norma okre\u015blaj\u0105ca formalne wymagania<\/td><\/tr> Zadanie<\/td> Utrzymanie zdolno\u015bci operacyjnej podczas zak\u0142\u00f3ce\u0144<\/td> Wskazanie, co system ci\u0105g\u0142o\u015bci dzia\u0142ania musi zawiera\u0107 i jak to wykaza\u0107<\/td><\/tr> Wym\u00f3g formalny<\/td> Brak \u2013 organizacja wdra\u017ca z w\u0142asnej inicjatywy<\/td> Brak powszechnego obowi\u0105zku, ale organy regulacyjne i kontrahenci mog\u0105 jej wymaga\u0107<\/td><\/tr> Certyfikacja<\/td> Niedost\u0119pna w ramach samego podej\u015bcia<\/td> Mo\u017cliwa po niezale\u017cnym audycie<\/td><\/tr> Zakres<\/td> Organizacja okre\u015bla go samodzielnie<\/td> Organizacja okre\u015bla zakres, ale w jego ramach musi spe\u0142ni\u0107 wszystkie wymagania normy<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Struktura normy ISO 22301 i cykl PDCA<\/h2>\n\n\n\n
Pi\u0119\u0107 filar\u00f3w systemu ci\u0105g\u0142o\u015bci dzia\u0142ania wed\u0142ug ISO 22301<\/h2>\n\n\n\n
Analiza wp\u0142ywu na biznes (BIA)<\/h3>\n\n\n\n
Ocena ryzyka i zagro\u017ce\u0144<\/h3>\n\n\n\n
Strategie ci\u0105g\u0142o\u015bci dzia\u0142ania<\/h3>\n\n\n\n
Plany i procedury ci\u0105g\u0142o\u015bci<\/h3>\n\n\n\n
Testowanie, \u0107wiczenia i doskonalenie BCMS<\/h3>\n\n\n\n
ISO 22301 a wymagania regulacyjne<\/h2>\n\n\n\n