Zarządzanie ciągłością działania

Zarządzanie ciągłością działania (ang. Business Continuity Management, BCM) – zbiór działań jakie podejmuje organizacja w celu zapewnienia klientom, dostawcom i regulatorom dostępności jej krytycznych funkcji biznesowych (do których ten dostęp mieć powinni) w przypadku wystąpienia zakłócenia (np. sytuacji kryzysowej).

Zarządzanie ciągłością działania nie jest procesem realizowanym tylko w czasie zakłócenia działalności, lecz odnosi się do czynności wykonywanych codziennie, mających na celu zapobieganie (ograniczanie ryzyka) wystąpienia sytuacji awaryjnej oraz utrzymywaniu gotowości do natychmiastowej reakcji gdyby takowa zaistniała.

Zarządzanie ciągłością działania jest częścią tzw. triady problemowej ryzyka operacyjnego, na którą składają się: ryzyko operacyjne, bezpieczeństwo zasobowe oraz ciągłość działania. Zagadnienia te pozostają w nierozerwalnym związku, bowiem identyfikacja zagrożeń wyrażających ryzyko operacyjne oraz analiza i ocena tego ryzyka są prowadzone w celu ustalenia wytycznych zabezpieczania przed skutkami wystąpienia sytuacji kryzysowych (prewencja) oraz w celu ustalenia wytycznych zapewniania ciągłości działania na wypadek wystąpienia sytuacji kryzysowych. Z kolei podejmowanie zagadnień bezpieczeństwa oraz ciągłości działania jest sensowne tylko w kontekście ustalonych zagrożeń i przeprowadzonej analizy i oceny ryzyka.

Polityka ciągłości działania

Polityka ciągłości działania to najważniejszy dokument, bez którego skuteczne i efektywne wdrożenie systemu zarządzania ciągłością działania (Business Continuity Management System, BCMS) nie jest możliwe. Celem polityki jest osadzenie zarządzania ciągłością działania w organizacji. W tym dokumencie definiowane są: formalne podstawy funkcjonowania BCMS, zakres oraz ograniczenia BCMS, cele i wymagania dotyczące ciągłości działania organizacji, podstawowe elementy procesu BCM, role oraz zadania poszczególnych uczestników BCMS. Ponadto w polityce określa się zasady i standardy jakie będą stosowane oraz mechanizmy pozwalające ocenić skuteczność i stopień dojrzałości procesu BCM w organizacji.

Polityka powinna być udokumentowana i zatwierdzona przez najwyższe kierownictwo organizacji oraz opublikowana w sposób umożliwiający zapoznanie się z nią przez wszystkich zainteresowanych.

Zrozumienie organizacji

Zrozumienie organizacji to podstawa umożliwiająca zbudowanie systemu zgodnego z celami i zobowiązaniami organizacji. W ramach tego elementu zbiera się informacje o samej organizacji i jej procesach poprzez analizę ryzyka (Risk Analysis, RA) oraz analizę wpływu na działanie (Business Impact Analysis, BIA). W efekcie tych działań otrzymuje się kluczowe dla dalszego planowania parametry odtworzenia krytycznych procesów organizacji w przypadku sytuacji kryzysowej: RTO (recovery time objective) – czyli czas w jakim należy przywrócić procesy po wystąpieniu awarii; oraz RPO (recovery point objective) – czyli akceptowalny poziom utraty danych wyrażony w czasie. Na podstawie wszystkich zebranych danych należy wykonać analizę rozbieżności, której celem jest zbadanie czy założone podczas BIA parametry odtworzenia kluczowych procesów biznesowych oraz zasobów umożliwiających ich realizację mogą być osiągnięte.

Strategia zachowania ciągłości działania

Strategia zachowania ciągłości działania jest opracowywana na podstawie zebranych podczas analizy ryzyka i analizy wpływu na działanie wymagań dotyczących parametrów odtworzenia z uwzględnieniem celów organizacji i dostępnych zasobów. Strategia definiuje sposób postępowania organizacji w przypadku wystąpienia sytuacji kryzysowej.

Plan ciągłości działania

Plan ciągłości działania (ang. Business Continuity Planning, BCP) to udokumentowany zbiór instrukcji opisujących sposób postępowania i działania poszczególnych komponentów struktury zarządzania kryzysowego. Podstawowymi elementami planu są: struktura zarządzania kryzysowego, zasady postępowania w sytuacjach kryzysowych, procedury i instrukcje awaryjne (m.in. powiadamiania, ewakuacji, odtworzenia infrastruktury teleinformatycznej, realizacji krytycznych procesów w trybie awaryjnym, powrotu do normalnego trybu działania, itp.)

Wprowadzenie i utrzymanie BCMS

Efektywność systemu zależy od tego w jaki sposób zostanie on osadzony w organizacji i czy stanie się jednym z trwałych elementów jej kultury. Realizację tego celu osiąga się poprzez następujące działania:

  • testowanie – czyli cykliczne sprawdzanie skuteczności planu BCP. Testy są także efektywną metodą szkolenia i budowania świadomości na wszystkich szczeblach organizacji.
  • aktualizację – regularne sprawdzanie i dostosowanie do zmieniających się warunków wewnętrznych o zewnętrznych umożliwia utrzymanie efektywnego planu działania na wypadek sytuacji kryzysowej.
  • audyt – pozwala na stwierdzenie czy spełnia on wymogi zgodności z przyjętą przez organizację polityką zarządzania ciągłością działania, przepisami prawa oraz normami i rekomendacjami regulatorów.

Szkolenia i akcje informacyjne – system powinien realizować zadania szkoleniowe: ogólne dla wszystkich pracowników oraz specjalistyczne dla członków struktury zarządzania kryzysowego. Szkolenia ogólne mogą i powinny być wspierane okresowymi akcjami informacyjnymi, których głównym celem jest budowanie świadomości pracowników.

Ciągłość działania a outsourcing

Zlecenie podmiotowi zewnętrznemu realizacji określonych usług nie zwalnia usługobiorcy z odpowiedzialności za usługę. To usługobiorca ponosi odpowiedzialność wobec swoich klientów za brak realizacji czynności, które zostały powierzone firmie trzeciej.

W zakresie BCM umowa outsourcingowa powinna zawierać następujące postanowienia: gwarancję realizacji usługi w przypadku wystąpienia sytuacji awaryjnej u usługodawcy na minimalnym, akceptowalnym przez usługobiorcę poziomie; umożliwienie usługobiorcy wgląd w dokumentację BCP usługodawcy (w tym wyniki testów, aktualizację i przegląd BCP) oraz możliwość wykonania oceny przygotowania usługodawcy na wypadek awarii; gwarancję odpowiedniego poziomu komunikacji po obu stronach umowy w przypadku wystąpienia sytuacji kryzysowej oraz umożliwienie regulatorowi przeprowadzenie kontroli usługodawcy w zakresie usług objętych umową.

Usługobiorca powinien przeprowadzić analizę krytyczności usług przekazanych do usługodawcy i opracować własny plan awaryjny na wypadek niedostępności tychże usług. Dobrą praktyką jest opracowanie strategii przekazania świadczenia usługi innemu podmiotowi lub realizacji jej we własnym zakresie.

Zarządzanie ciągłością działania w Polsce

Standardy

W Polsce nie ma kompleksowego i dedykowanego zbioru norm regulujących tematykę BCM. Jednakże elementy opisujące wymagania dotyczące zapewnienia ciągłości działania pojawiają się w następujących aktach normatywnych.

  • Ustawa o zarządzaniu kryzysowym - z dnia 26 kwietnia 2007 r. (Dz.U. z 2022 r. poz. 261)
  • Ustawa Prawo bankowe - z dnia 29 sierpnia 1997 (Dz.U. z 2021 r. poz. 2439)
  • Ustawa Prawo telekomunikacyjne - z dnia 16 lipca 2004 r. (Dz.U. z 2022 r. poz. 1648)
  • Ustawa Prawo energetyczne – z dnia 10 kwietnia 1997 r. (Dz.U. z 2022 r. poz. 1385)
  • Ustawa Prawo pocztowe – z dnia 23 listopada 2012 r. (Dz.U. z 2022 r. poz. 896)
  • Ustawa o systemie ubezpieczeń społecznych – z dnia 13 października 1998 r. (Dz.U. z 2022 r. poz. 1009)
  • Uchwała nr 4/2007 Komisji Nadzoru Finansowego z dnia 13 marca 2007 r. (obecnie Urząd Komisji Nadzoru Finansowego)
  • Rekomendacja „D” wydana w 2013 r. przez Generalny Inspektorat Nadzoru Bankowego (obecnie Urząd Komisji Nadzoru Finansowego)
  • Rekomendacja „M” wydana w 2012 r. przez Komisję Nadzoru Finansowego (obecnie Urząd Komisji Nadzoru Finansowego)

Wiele instytucji korzysta z Norm Międzynarodowych:

  • PN-EN ISO 22301:2020-04 Bezpieczeństwo i odporność — Systemy zarządzania ciągłością działania — Wymagania
  • PN-EN ISO 22313:2020-08 Bezpieczeństwo i odporność — Systemy zarządzania ciągłością działania — Wytyczne dotyczące stosowania ISO 22301
  • PN-EN ISO 22300:2018-07 Bezpieczeństwo i odporność — Terminologia[1].

W oparciu o powyższe normy i standardy w 2012 roku została wydana Księga Dobrych Praktyk Zarządzania Ciągłością Działania[2]. Księga została opracowana przez członków grupy FTB ds. BCM (Forum Technologii Bankowych) działającej przy Związku Banków Polskich. Głównym celem Księgi jest uporządkowanie wiedzy w zakresie zarządzania ciągłością działania, w tym wiedzy o budowaniu i utrzymywaniu planów ciągłości działania (BCP) zgodnie z najlepszymi stosowanymi praktykami w tym zakresie.

Współpraca z jednostkami publicznymi

Zgodnie z ustawą z dnia 26 kwietnia 2007 o zarządzaniu kryzysowym Rządowe Centrum Bezpieczeństwa zapewnia obsługę Rady Ministrów, Prezesa Rady Ministrów oraz Rządowego Zespołu Zarządzania Kryzysowego (art. 11 ust. 1). W zakresie informowania, do zadań RCB należy zapewnienie obiegu informacji między krajowymi i zagranicznymi organami i strukturami zarządzania kryzysowego.

W sytuacjach zdarzeń kryzysowych o charakterze krajowym zadaniem RCB jest zapewnienie obiegu informacji między: Radą Ministrów, Prezesem Rady Ministrów, ministrem kierującym działem administracji rządowej, wojewodą, starostą i wójtem (art. 11 ust. 2 pkt 8). W celu zapewnienia płynnego obiegu informacji, instytucje współpracujące w tym zakresie z RCB zobowiązane są do wskazania i utrzymywania dostępnych całodobowo numerów telefonicznych i adresów poczty elektronicznej własnych służb dyżurnych.

Rządowe Centrum Bezpieczeństwa jest odpowiedzialne za przygotowanie Narodowego Programu Ochrony Infrastruktury Krytycznej. Przy przygotowaniu programu RCB współpracuje z ministrami i kierownikami urzędów centralnych właściwych w sprawach bezpieczeństwa narodowego, a także odpowiedzialnymi za systemy:

  • zaopatrzenia w energię, surowce energetyczne i paliwa,
  • łączności,
  • sieci teleinformatycznych,
  • finansowe,
  • zaopatrzenia w żywność,
  • zaopatrzenia w wodę,
  • ochrony zdrowia,
  • transportowe,
  • ratownicze,
  • zapewniające ciągłość działania administracji publicznej,
  • produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.

Zobacz też

Przypisy

Bibliografia