BCMS (Business Continuity Management Systems) to procesy zarządzania, które mają na celu identyfikację, ocenę i zarządzanie ryzykiem oraz zapewnienie ciągłości działania organizacji w przypadku wystąpienia incydentów zakłócających działalność. Wiele organizacji stosuje standardy takie jak ISO 22301 do wdrażania systemów zarządzania ciągłością działania. Poniżej przedstawiam podstawowe wymagania dla BCMS zgodnie z normą ISO 22301.
Podstawowe wymagania dla BCMS zgodnie z normą ISO 22301:
- Kontekst organizacji:
- Przywództwo:
- Przywództwo i zaangażowanie.
- Polityka ciągłości działania.
- Role, odpowiedzialności i uprawnienia w organizacji.
- Planowanie:
- Działania odnoszące się do ryzyk i szans.
- Cele dotyczące ciągłości działania i planowanie ich osiągnięcia.
- Planowanie zmian.
- Wsparcie:
- Zasoby (ludzkie, infrastruktura, środowisko pracy, zasoby monitorowania i pomiarów, wiedza organizacji).
- Kompetencje.
- Świadomość.
- Komunikacja.
- Udokumentowane informacje (zarządzanie dokumentacją i zapisami).
- Operacje:
- Planowanie i kontrola operacyjna.
- Analiza wpływu na działalność (BIA).
- Ocena ryzyka.
- Strategie ciągłości działania.
- Procedury reagowania na incydenty.
- Ćwiczenia i testy.
- Utrzymywanie i przegląd planów ciągłości działania.
- Ocena wydajności:
- Monitorowanie, pomiary, analiza i ocena.
- Audyt wewnętrzny.
- Przegląd zarządzania.
- Doskonalenie:
- Niezgodności i działania korygujące.
- Ciągłe doskonalenie.
Szczegółowe elementy BCMS:
- Polityka ciągłości działania:
- Deklaracja kierownictwa dotycząca zaangażowania w zapewnienie ciągłości działania oraz zgodności z przepisami prawnymi.
- Analiza wpływu na działalność (BIA):
- Identyfikacja krytycznych funkcji biznesowych.
- Określenie maksymalnego dopuszczalnego okresu przerwania działalności (MTPD).
- Określenie wymaganego czasu odzyskania (RTO).
- Ocena ryzyka:
- Identyfikacja zagrożeń związanych z działalnością organizacji.
- Ocena ryzyka poprzez analizę prawdopodobieństwa i skutków zagrożeń.
- Opracowanie planów postępowania z ryzykiem, mających na celu minimalizację ryzyka do akceptowalnego poziomu.
- Strategie ciągłości działania:
- Opracowanie strategii mających na celu zapewnienie ciągłości krytycznych funkcji biznesowych.
- Procedury reagowania na incydenty:
- Opracowanie procedur reagowania na incydenty zakłócające działalność.
- Ćwiczenia i testy:
- Regularne przeprowadzanie ćwiczeń i testów planów ciągłości działania w celu oceny ich skuteczności.
- Utrzymywanie i przegląd planów ciągłości działania:
- Regularne przeglądy i aktualizacje planów ciągłości działania w celu zapewnienia ich aktualności i skuteczności.
- Monitorowanie i pomiary:
- Regularne monitorowanie i pomiary kluczowych wskaźników związanych z ciągłością działania.
- Szkolenia, świadomość i kompetencje:
- Szkolenia dla pracowników, aby zapewnić, że są świadomi swoich obowiązków i wpływu na ciągłość działania.
- Komunikacja:
- Wewnętrzna i zewnętrzna komunikacja na temat zagrożeń, ryzyk i działań związanych z ciągłością działania.
- Audyt wewnętrzny i przegląd zarządzania:
- Regularne audyty wewnętrzne oraz przeglądy systemu zarządzania ciągłością działania przez najwyższe kierownictwo w celu oceny jego skuteczności.
Podsumowanie
Aby skutecznie wdrożyć BCMS zgodny z ISO 22301, organizacja musi dokładnie zrozumieć swoje konteksty ciągłości działania, zaangażować odpowiednie przywództwo, planować działania związane z ryzykiem i szansami dotyczącymi ciągłości działania, zapewnić odpowiednie wsparcie i zasoby, skutecznie kontrolować operacje oraz stale monitorować, oceniać i doskonalić swoje procesy związane z ciągłością działania.