charakterystyka BS 25999

System Zarządzania Ciągłością Działania zgodny z BS 25999

Zarządzanie ciągłością działania, czyli BCM (Business Continuity Management), to podejście do zarządzania organizacją w sposób pozwalający na utrzymanie wyznaczonego i akceptowanego poziomu dostarczania wyrobów lub usług w wypadku wystąpienia zakłóceń w jakiejkolwiek jej części. Zarządzanie ciągłością biznesu (BCM) jest procesem rozwoju i kierowania biznesem, ustanawiającym strategię dostosowawczą i ramy operacyjne, które:

• proaktywnie ulepszają odporność organizacji na zakłócenia jej zdolności osiągania kluczowych celów,
• zapewniają metody służące do sprawdzania i utrzymywania zdolności Organizacji do dostarczania jej kluczowych wyrobów i usług na uzgodnionym poziomie, w uzgodnionym czasie po wystąpieniu zdarzenia które zakłóciło normalną działalność Organizacji oraz
• dostarczają sprawdzonych możliwości, by sprostać zakłóceniom działalności oraz chronić reputację organizacji i jej markę.

Zainteresowanie Zarządzaniem Ciągłością Działania zaczęło gwałtownie rozwijać się w drugiej połowie lat 90. XXw. Pierwszą próbą zmierzenia się z tym zagadnieniem poprzez opracowanie standardu, który mógłby być wykorzystywany przez różne organizacje, było wydanie przez Disaster Recovery Institute International w 1997r. „Zasad Zawodowych dla Specjalistów w Zakresie Planowania Ciągłości Działania”. Kolejnymi krokami były: opublikowanie przez Business Continuity Institute w 2000 r. „Dobrych Praktyk”, będących podstawą do budowy nowego standardu dotyczącego ciągłości działania (PAS 56 „Guide To Business Continuity Management”) oraz ciągłości świadczenia usług informatycznych (PAS 77 „IT Service Continuity Management. Code of Practice”). W 2006r. PAS 56 został zastąpiony przez Brytyjski Standard BS 25999 Business Continuity Management.

BS 25999 jest obecnie jedynym standardem opisującym zasady systemowego podejścia do zarządzania ciągłością działania. Jego opublikowanie było odpowiedzią na oczekiwania organizacji pragnących uzyskać gwarancję funkcjonowania na rynku w razie najmniej spodziewanych sytuacji.

BS 25999 składa się z dwóch części:

• BS 25999-1:2006 „Business continuity management. Code of practice”
  Norma wywodząca się z dokumentu PAS 56, będąca kodeksem dobrych praktyk BCM, posiadająca formę przewodnika i rekomendacji. Pierwsza część normy BS 25999-1 obejmuje wytyczne i zalecenia oraz opisuje proces, zasady i terminologię BCM. Zawiera wytyczne wyłącznie do użytku wewnętrznego co oznacza, że strona trzecia (jednostka certyfikująca) nie może przeprowadzić certyfikacji BCMS na zgodność z niniejszą normą w systemie akredytacji.
• BS 25999-2:2007 „Business continuity management. Specification”, opublikowanej w sierpniu 2007 r., która jest normą specyfikacyjną (przedstawiającą wymagania odnośnie Systemu Zarządzania Ciągłością Działania w Organizacji). Niniejsza Norma Brytyjska zawiera wytyczne do użytku wewnętrznego i zewnętrznego, w tym przez jednostki certyfikujące, w celu oceny zdolności danej organizacji do spełnienia wymogów prawnych, wymogów klientów oraz wymogów samej organizacji.
  Wykazanie udanego wdrożenia niniejszej Normy Brytyjskiej, poprzez certyfikację systemu BCMS przez niezależną akredytowaną jednostkę certyfikującą, może więc stanowić zapewnienie dla zainteresowanych stron o posiadanym przez organizację właściwym Systemie Zarządzania Ciągłością Działania.

Wbrew pozorom standard BS 25999 nie jest skierowany wyłącznie do wielkich organizacji. Dzięki uniwersalnym wymogom zawartym w standardzie mogą go z powodzeniem wdrożyć wszystkie firmy, niezależnie od branży czy wielkości, Takie zmienne, jak: otoczenie danej firmy, jej złożoność, rodzaj oferowanych produktów i usług, wymagań klientów itp. będą wpływały jedynie na zakres wdrożenia. Niniejszy Standard jest przeznaczony do stosowania przez kogokolwiek odpowiedzialnego za operacje biznesowe lub świadczenie usług, a co za tym idzie – za ich ciągłość, zajmującego stanowisko od najwyższego kierownictwa, poprzez wszystkie szczeble organizacji; od prowadzących działalność w jednym miejscu, do tych o zasięgu globalnym; od handlowców, małych i średnich przedsiębiorstw, do organizacji zatrudniających tysiące ludzi.
Norma BS 25999 szczególnie jednak polecana jest podmiotom działającym w warunkach wysokiego ryzyka (np. w sektorze finansów, transportu czy telekomunikacji).

Elementy Systemu BCM zgodnego z wymaganiami brytyjskiej normy BS 25999-2:2007 oraz wytycznymi z BS 25999-1:2006.

Zarządzanie Ciągłością Działania BCM jest uzupełnieniem pewnych ram zarządzania ryzykiem, które było i jest przedmiotem szeregu publikacji, w tym norm międzynarodowych, krajowych oraz opracowań różnego rodzaju organizacji zajmujących się tą tematyką. Dzięki nim możliwe jest zrozumienie ryzyka związanego z operacjami lub biznesem oraz jego konsekwencji.

Zarządzanie ryzykiem wymaga kierowania ryzykiem powiązanym z kluczowymi wyrobami i usługami, które dostarcza organizacja. Dostarczanie wyrobu i usługi może być z kolei przerwane przez szeroki wachlarz zdarzeń, które są trudne do przewidzenia lub na których trudno przeprowadzić analizę przyczynową.

BCM jest pojęciem szerszym od zarządzania ryzykiem. Poza określeniem wyrobów, usług i procesów, które wyznaczają przetrwanie organizacji oraz przeprowadzeniem szacowania ryzyka i działań z tym związanych, zgodnie z ideą BCM należy również zidentyfikować, co jest niezbędne organizacji, by mogła kontynuować wykonywanie swoich zobowiązań w przypadku materializacji ryzyka. Dzięki BCM organizacja jest więc w stanie rozpoznać, co należy zrobić przed wystąpieniem ewentualnego zdarzenia, by chronić swoich pracowników, teren, technologię, informacje, łańcuch dostaw, interesariuszy oraz reputację. Taka wiedza umożliwia organizacji realne spojrzenie na to, jak należy zareagować w przypadku prawdopodobieństwa zdarzenia lub jego wystąpienia. Dzięki temu umożliwia radzenie sobie z wszelkimi jego skutkami bez nieakceptowanej zwłoki w dostarczaniu produktów lub usług.

Budowa norm BS 25999 zgodna jest z innymi standardami definiującymi wymagania odnośnie systemów zarządzania, takimi jak: ISO 9001 (zarządzanie jakością), ISO 14001 (zarządzanie środowiskiem), ISO 27001 (zarządzanie bezpieczeństwem informacji), ISO 22000 (zarządzanie bezpieczeństwem żywności), itp. Niniejsza zgodność polega na zastosowaniu cyklu PDCA (o którym więcej poniżej) przy ustanawianiu, wdrażaniu, funkcjonowaniu i ciągłym doskonaleniu Systemu Zarządzania Ciągłością Działania (BCMS). Zastosowanie takiego samego podejścia zapewnia odpowiedni stopień zgodności pomiędzy tymi systemami, który z kolei umożliwia ich integrację.

Idea cyklu PDCA (PLAN-DO-CHECK-ACT, czyli: zaplanuj-zrealizuj-sprawdź-wprowadź odpowiednie działania) polega na zastosowaniu odpowiedniego podejścia do realizacji działań i/lub procesów, jakim jest również samo wdrożenie systemu BCMS. W pierwszej kolejności powinniśmy ustalić, co chcemy osiągnąć (PLAN), następnie zrealizować to, co sobie zaplanowaliśmy (DO), sprawdzić, czy wyniki naszych działań są zgodne z tym, co chcieliśmy osiągnąć (CHECK) i wprowadzić odpowiednie działania doskonalące, adekwatne do osiągniętych wyników sprawdzenia (ACT). To właśnie zastosowanie cyklu PDCA, charakterystycznego dla propagowanego przez ISO podejścia systemowego do zarządzania, stanowi kolejną znaczną różnicę pomiędzy BCMS zgodnym z BS 25999 a procesowym podejściem do zarządzania ryzykiem, które jest prezentowane przez większość publikacji z tego zakresu. Różnica ta jest związana z ostatnim etapem cyklu PDCA – doskonaleniem, będącym obligatoryjnym wymaganiem w stosunku do Organizacji, które pragną wykazać zgodność swoich systemów zarządzania z międzynarodowymi normami.

Wdrożenie BCMS w organizacji daje następujące korzyści:

• daje możliwość nieprzerwanego działania w zakresie niezbędnego minimum w obliczu niezaplanowanych niekorzystnych zdarzeń,
• minimalizuje ryzyko wystąpienia zakłóceń,
• przygotowuje organizację na sytuacje kryzysowe oraz pozwala, dzięki odpowiednim procedurom, na ich przezwyciężenie,
• zapewnia możliwość ponownego odtworzenia zdolności firmy do działania w określonym czasie i na ustalonym poziomie,
• wdrożony standard podnosi wiarygodność organizacji w oczach klientów, inwestorów i udziałowców,
• pozwala chronić pracowników organizacji,
• wpływa na ochronę i poprawę reputacji firmy i danej marki,
• jest częstym wymogiem regulatorów, potencjalnych klientów, a także ubezpieczycieli (certyfikat może wpłynąć na ograniczenie wysokości składki ubezpieczeniowej od przerwy w działalności),
• stanowi o przewadze konkurencyjnej – mówi o zdolności do funkcjonowania niezależnie od zdarzeń, co w znacznym stopniu ułatwia zdobycie nowych rynków.
  

Zapraszamy do zapoznania z procesem wdrażania
Systemu Zarządzania Ciągłością Działania BCMS

System Zarządzania Ciągłością Działania zgodny z BS 25999

Zarządzanie ciągłością działania, czyli BCM (Business Continuity Management), to podejście do zarządzania organizacją w sposób pozwalający na utrzymanie wyznaczonego i akceptowanego poziomu dostarczania wyrobów lub usług w wypadku wystąpienia zakłóceń w jakiejkolwiek jej części. Zarządzanie ciągłością biznesu (BCM) jest procesem rozwoju i kierowania biznesem, ustanawiającym strategię dostosowawczą i ramy operacyjne, które:

• proaktywnie ulepszają odporność organizacji na zakłócenia jej zdolności osiągania kluczowych celów,
• zapewniają metody służące do sprawdzania i utrzymywania zdolności Organizacji do dostarczania jej kluczowych wyrobów i usług na uzgodnionym poziomie, w uzgodnionym czasie po wystąpieniu zdarzenia które zakłóciło normalną działalność Organizacji oraz
• dostarczają sprawdzonych możliwości, by sprostać zakłóceniom działalności oraz chronić reputację organizacji i jej markę.

Zainteresowanie Zarządzaniem Ciągłością Działania zaczęło gwałtownie rozwijać się w drugiej połowie lat 90. XXw. Pierwszą próbą zmierzenia się z tym zagadnieniem poprzez opracowanie standardu, który mógłby być wykorzystywany przez różne organizacje, było wydanie przez Disaster Recovery Institute International w 1997r. „Zasad Zawodowych dla Specjalistów w Zakresie Planowania Ciągłości Działania”. Kolejnymi krokami były: opublikowanie przez Business Continuity Institute w 2000 r. „Dobrych Praktyk”, będących podstawą do budowy nowego standardu dotyczącego ciągłości działania (PAS 56 „Guide To Business Continuity Management”) oraz ciągłości świadczenia usług informatycznych (PAS 77 „IT Service Continuity Management. Code of Practice”). W 2006r. PAS 56 został zastąpiony przez Brytyjski Standard BS 25999 Business Continuity Management.

BS 25999 jest obecnie jedynym standardem opisującym zasady systemowego podejścia do zarządzania ciągłością działania. Jego opublikowanie było odpowiedzią na oczekiwania organizacji pragnących uzyskać gwarancję funkcjonowania na rynku w razie najmniej spodziewanych sytuacji.

BS 25999 składa się z dwóch części:

• BS 25999-1:2006 „Business continuity management. Code of practice”
  Norma wywodząca się z dokumentu PAS 56, będąca kodeksem dobrych praktyk BCM, posiadająca formę przewodnika i rekomendacji. Pierwsza część normy BS 25999-1 obejmuje wytyczne i zalecenia oraz opisuje proces, zasady i terminologię BCM. Zawiera wytyczne wyłącznie do użytku wewnętrznego co oznacza, że strona trzecia (jednostka certyfikująca) nie może przeprowadzić certyfikacji BCMS na zgodność z niniejszą normą w systemie akredytacji.
• BS 25999-2:2007 „Business continuity management. Specification”, opublikowanej w sierpniu 2007 r., która jest normą specyfikacyjną (przedstawiającą wymagania odnośnie Systemu Zarządzania Ciągłością Działania w Organizacji). Niniejsza Norma Brytyjska zawiera wytyczne do użytku wewnętrznego i zewnętrznego, w tym przez jednostki certyfikujące, w celu oceny zdolności danej organizacji do spełnienia wymogów prawnych, wymogów klientów oraz wymogów samej organizacji.
  Wykazanie udanego wdrożenia niniejszej Normy Brytyjskiej, poprzez certyfikację systemu BCMS przez niezależną akredytowaną jednostkę certyfikującą, może więc stanowić zapewnienie dla zainteresowanych stron o posiadanym przez organizację właściwym Systemie Zarządzania Ciągłością Działania.

Wbrew pozorom standard BS 25999 nie jest skierowany wyłącznie do wielkich organizacji. Dzięki uniwersalnym wymogom zawartym w standardzie mogą go z powodzeniem wdrożyć wszystkie firmy, niezależnie od branży czy wielkości, Takie zmienne, jak: otoczenie danej firmy, jej złożoność, rodzaj oferowanych produktów i usług, wymagań klientów itp. będą wpływały jedynie na zakres wdrożenia. Niniejszy Standard jest przeznaczony do stosowania przez kogokolwiek odpowiedzialnego za operacje biznesowe lub świadczenie usług, a co za tym idzie – za ich ciągłość, zajmującego stanowisko od najwyższego kierownictwa, poprzez wszystkie szczeble organizacji; od prowadzących działalność w jednym miejscu, do tych o zasięgu globalnym; od handlowców, małych i średnich przedsiębiorstw, do organizacji zatrudniających tysiące ludzi.
Norma BS 25999 szczególnie jednak polecana jest podmiotom działającym w warunkach wysokiego ryzyka (np. w sektorze finansów, transportu czy telekomunikacji).

Elementy Systemu BCM zgodnego z wymaganiami brytyjskiej normy BS 25999-2:2007 oraz wytycznymi z BS 25999-1:2006.

Zarządzanie Ciągłością Działania BCM jest uzupełnieniem pewnych ram zarządzania ryzykiem, które było i jest przedmiotem szeregu publikacji, w tym norm międzynarodowych, krajowych oraz opracowań różnego rodzaju organizacji zajmujących się tą tematyką. Dzięki nim możliwe jest zrozumienie ryzyka związanego z operacjami lub biznesem oraz jego konsekwencji.

Zarządzanie ryzykiem wymaga kierowania ryzykiem powiązanym z kluczowymi wyrobami i usługami, które dostarcza organizacja. Dostarczanie wyrobu i usługi może być z kolei przerwane przez szeroki wachlarz zdarzeń, które są trudne do przewidzenia lub na których trudno przeprowadzić analizę przyczynową.

BCM jest pojęciem szerszym od zarządzania ryzykiem. Poza określeniem wyrobów, usług i procesów, które wyznaczają przetrwanie organizacji oraz przeprowadzeniem szacowania ryzyka i działań z tym związanych, zgodnie z ideą BCM należy również zidentyfikować, co jest niezbędne organizacji, by mogła kontynuować wykonywanie swoich zobowiązań w przypadku materializacji ryzyka. Dzięki BCM organizacja jest więc w stanie rozpoznać, co należy zrobić przed wystąpieniem ewentualnego zdarzenia, by chronić swoich pracowników, teren, technologię, informacje, łańcuch dostaw, interesariuszy oraz reputację. Taka wiedza umożliwia organizacji realne spojrzenie na to, jak należy zareagować w przypadku prawdopodobieństwa zdarzenia lub jego wystąpienia. Dzięki temu umożliwia radzenie sobie z wszelkimi jego skutkami bez nieakceptowanej zwłoki w dostarczaniu produktów lub usług.

Budowa norm BS 25999 zgodna jest z innymi standardami definiującymi wymagania odnośnie systemów zarządzania, takimi jak: ISO 9001 (zarządzanie jakością), ISO 14001 (zarządzanie środowiskiem), ISO 27001 (zarządzanie bezpieczeństwem informacji), ISO 22000 (zarządzanie bezpieczeństwem żywności), itp. Niniejsza zgodność polega na zastosowaniu cyklu PDCA (o którym więcej poniżej) przy ustanawianiu, wdrażaniu, funkcjonowaniu i ciągłym doskonaleniu Systemu Zarządzania Ciągłością Działania (BCMS). Zastosowanie takiego samego podejścia zapewnia odpowiedni stopień zgodności pomiędzy tymi systemami, który z kolei umożliwia ich integrację.

Idea cyklu PDCA (PLAN-DO-CHECK-ACT, czyli: zaplanuj-zrealizuj-sprawdź-wprowadź odpowiednie działania) polega na zastosowaniu odpowiedniego podejścia do realizacji działań i/lub procesów, jakim jest również samo wdrożenie systemu BCMS. W pierwszej kolejności powinniśmy ustalić, co chcemy osiągnąć (PLAN), następnie zrealizować to, co sobie zaplanowaliśmy (DO), sprawdzić, czy wyniki naszych działań są zgodne z tym, co chcieliśmy osiągnąć (CHECK) i wprowadzić odpowiednie działania doskonalące, adekwatne do osiągniętych wyników sprawdzenia (ACT). To właśnie zastosowanie cyklu PDCA, charakterystycznego dla propagowanego przez ISO podejścia systemowego do zarządzania, stanowi kolejną znaczną różnicę pomiędzy BCMS zgodnym z BS 25999 a procesowym podejściem do zarządzania ryzykiem, które jest prezentowane przez większość publikacji z tego zakresu. Różnica ta jest związana z ostatnim etapem cyklu PDCA – doskonaleniem, będącym obligatoryjnym wymaganiem w stosunku do Organizacji, które pragną wykazać zgodność swoich systemów zarządzania z międzynarodowymi normami.

Wdrożenie BCMS w organizacji daje następujące korzyści:

• daje możliwość nieprzerwanego działania w zakresie niezbędnego minimum w obliczu niezaplanowanych niekorzystnych zdarzeń,
• minimalizuje ryzyko wystąpienia zakłóceń,
• przygotowuje organizację na sytuacje kryzysowe oraz pozwala, dzięki odpowiednim procedurom, na ich przezwyciężenie,
• zapewnia możliwość ponownego odtworzenia zdolności firmy do działania w określonym czasie i na ustalonym poziomie,
• wdrożony standard podnosi wiarygodność organizacji w oczach klientów, inwestorów i udziałowców,
• pozwala chronić pracowników organizacji,
• wpływa na ochronę i poprawę reputacji firmy i danej marki,
• jest częstym wymogiem regulatorów, potencjalnych klientów, a także ubezpieczycieli (certyfikat może wpłynąć na ograniczenie wysokości składki ubezpieczeniowej od przerwy w działalności),
• stanowi o przewadze konkurencyjnej – mówi o zdolności do funkcjonowania niezależnie od zdarzeń, co w znacznym stopniu ułatwia zdobycie nowych rynków.
  

Zapraszamy do zapoznania z procesem wdrażania
Systemu Zarządzania Ciągłością Działania BCMS

Wdrażanie Systemu Zarządzania Ciągłościa Działania BS 25999

Wdrożenie Systemu BCMS składa się z następujących etapów:

1. Określenie zakresu i celów Systemu Zarządzania Ciągłością Działania BCMS.
   Określenie Polityki BCMS oraz jej zakomunikowanie pracownikom i pracującym na rzecz organizacji.
   
   Pierwszymi czynnościami jakie powinny być zrealizowane przez organizację, która podjęła decyzję o wdrożeniu Systemu Zarządzania Ciągłością Działania, jest określenie zakresu i celów BCM.
   Należy przy tym uwzględnić:
   
   • wymagania i oczekiwania interesariuszy oraz strategie organizacji w odniesieniu do ciągłości działania, w tym również celów i zobowiązań organizacji, obowiązków prawnych, statutowych, umownych i innych, do których spełnienia organizacji jest zobowiązana,
   • akceptowalny poziom ryzyka adekwatny do „apetytu” danej organizacji i zarządzających nią managerów na ryzyko (często im większe ryzyko tym większe profity).

W trakcie ustalania zakresu należy określić kluczowe wyroby i usługi, z którymi związana jest ciągłość działania organizacji (inaczej mówiąc - w przypadku których istotne jest ich dostarczanie Klientom bez zakłóceń).
W odniesieniu do zdefiniowanego zakresu (w tym określonych linii biznesowych) oraz do ustanowionych celów ciągłości biznesowej, kierownictwo najwyższego szczebla organizacyjnego, powinno ustanowić Politykę zarządzania ciągłością działania.
 

2. Zapewnie niezbędnych zasobów do ustanowienia, wdrożenia, funkcjonowania i doskonalenia BCMS. Zapewnienie odpowiednich kompetencji personelu.
   Osadzenie BCMS w kulturze organizacji. Podnoszenie wśród pracowników świadomości istoty i wagi BCM.
   
   Kierownictwo Organizacji powinno określić wszelkie niezbędne zasoby koniecznie do zapewnienia skuteczności jego realizacji. Planując je, należy uwzględnić wszystkie cykle życia systemu - od jego ustanowienia, poprzez wdrożenie i funkcjonowanie, aż do jego utrzymania na odpowiednim poziomie. Potrzeby te powinny uwzględniać możliwe do przewidzenia na tym etapie zasoby w zakresie infrastruktury oraz kompetencji personelu.
   
   Należy wyznaczyć z grona kierownictwa osobę o właściwych uprawnieniach, która będzie odpowiedzialna za BCMS - jego wdrożenie, utrzymywanie i doskonalenie. Osoba ta powinna mieć odpowiednią wiedzę i inne kwalifikacje do objęcia tej funkcji. Należy też przeanalizować potrzeby w zakresie innych osób, które będą niezbędne do skutecznego wdrożenia, utrzymania i doskonalenia Systemu Zarządzania Ciągłością Działania.
   
   Potrzeba jednoznacznego zdefiniowania i udokumentowania odpowiedzialności, kompetencji i uprawnień osób związanych z BCM.
   Personel BCM powinien mieć odpowiednie kompetencje, aby mógł realizować swoje role przydzielone w Systemie Zarządzania Ciągłością Działania. Kompetencje te powinny zostać określone, a w celu ich uzyskania powinno się przeprowadzić analizę potrzeb szkoleniowych. Działania mające na celu uzyskanie odpowiednich kompetencji (np. szkolenia) powinny być z kolei weryfikowane pod kątem ich skuteczności.
   Należy również zadbać o to, by System Zarządzania Ciągłością Działania stał się integralną częścią bieżącej działalności organizacji i realizowanych procesów. Z tego względu należy zwrócić uwagę na odpowiednią świadomość całego personelu oraz osób pracujących dla lub w imieniu organizacji (kluczowi dostawcy outsourcingowi).
   
    
3. Zrozumienie organizacji:
   1. Identyfikacja procesów, w tym procesów kluczowych, oraz ich możliwych zakłóceń i skutków (analiza wpływu na działalność - BIA)
   2. Określenie metody oceny ryzyka oraz przeprowadzenie oceny ryzyka zgodnie z tymi ustaleniami. Opracowanie mapy ryzyka
   3. Definiowanie działań zmniejszających ryzyka
   
   Przeprowadzenie Analizy Wpływu na Biznes (BIA), w ramach której identyfikowane są procesy, w wyniku których dostarczane są kluczowe wyroby i usługi (kluczowe linie biznesowe).
   
   Dla zidentyfikowanych kluczowych linii biznesowych określane są następnie potencjalne skutki, jakie mogą wyniknąć dla organizacji i jej interesariuszy w wyniku wystąpienia zakłócenia danego procesu realizacji (zuwzględnieniem zależności skutków od czasu trwania danego zakłócenia i określeniem niniejszej zależności).
   
   Określenie podstawowych parametrów BCMS:
   
   • MTPoD czyli maksymalny czas od rozpoczęcia zakłócenia, w którym dana linia biznesowa powinna zostać wznowiona
   • minimalny poziom, na którym dana linia biznesowa powinna być prowadzona po jej wznowieniu
   • RTO czyli Docelowy Czas Wznowienia Działalności, który musi mieścić się w ramach Maksymalnego Tolerowanego Czasu Trwania Zakłócenia (MTPoD)
   • czas, w którym powinna zostać wznowiona działalność na normalnym poziomie

Określenie dla zidentyfikowanych działalności krytycznych wszelkich zależności wenętrznych (osobowe i podmiotowe) oraz zewnętrznych, czyli związanych z dostawcami i partnerami outsourcingowymi.

Szacowanie ryzyka jest kolejnym działaniem, które powinno być realizowane zgodnie ze zdefiniowanymi wcześniej regulacjami. Pomimo, że norma BS 25999 zaleca zastosowanie szacowania ryzyka wyłącznie w stosunku do działalności krytycznej, z czysto praktycznych i ekonomicznych względów należy wziąć pod uwagę także pozostałe działalności i ich potencjalne zakłócenia oraz czynniki ryzyka je wywołujące. Nie będą one tak dotkliwe dla Organizacji, jak zakłócenie działalności krytycznej, jednak mogą powodować wystąpienie nieprzewidzianych wcześniej kosztów, co jest istotne dla każdej organizacji. Odpowiednio przeprowadzone szacowanie ryzyka (związane również z dostawcami i partnerami outsourcingowymi) polegające na identyfikacji poszczególnych zagrożeń, ich analizie i ocenie ryzyka, pozwala firmie zrozumieć słabe punkty jej poszczególnych linii biznesowych.

Dla zidentyfikowanych zagrożeń poszczególnych działalności należy określić możliwość, celowość oraz środki do wprowadzenia stosownych działań, które pozwolą na redukcję strat i/lub na uniknięcie/obejście ryzyka poprzez:
- zmniejszenie prawdopodobieństwa zmaterializowania się zagrożenia
- zmniejszenie skutków zakłócenia, w tym poprzez skrócenie czasu jego trwania.

Ze względu na fakt, iż żadna organizacja nie jest w stanie uniknąć wszystkich ryzyk oraz że nie każde ryzyko można zredukować do akceptowalnego poziomu, dla poszczególnych zagrożeń należy określić odpowiednią strategię postępowania z nim w celu zapewnienia ciągłości biznesowej.
 

4. Określenie strategii postępowania z ryzykiem dla poszczególnych zagrożeń, w tym: akceptacji, przeniesienia, zmiany w procesach, zawieszenia lub zakończenia działań, strategii ciągłości działania. Określenie kluczowych wskaźników ryzyka (KRI).
   
   Dla każdego ryzyka, którego nie udało się uniknąć oraz w przypadku którego nie udało się zdefiniować działań mających na celu jego redukcję do poziomu akceptowalnego, należy określić strategię postępowania.
   
   Możliwe strategie postępowania z ryzykiem to:
   
   • AKCEPTACJA - świadome podejmowanie ryzyka
   • PRZENOSZENIE - przeniesienie ryzyka na inny podmiot w ramach między innymi ubezpieczenia, hadging-u i innych uzgodnień kontraktowych pomiędzy partnerami handlowymi lub organizacją i stroną trzecią (transfer ryzyka).
   • ZMIANA, ZAWIESZENIE, ZAKOŃCZENIE - opcja stosowana tylko w przypadku, kiedy zmiana, zawieszenie czy zakończenie realizacji wyrobów, usług lub danego procesu nie stoi w sprzeczności z celami strategicznymi i statutowymi organizacji oraz oczekiwaniami jej interesariuszy.
   • CIĄGŁOŚĆ DZIAŁANIA - strategia zapewniająca wznowienie działalności i ciągłości działania w przypadku wystąpienia zakłócenia tej działalności w określonym Docelowym Czasie wznowienia (RTO) poprzez określenie odpowiednich Planów Ciągłości Biznesowej (BCP). Plany Ciągłości Działania definiowane są dla wcześniej określonych działalności krytycznych.

Powyższe strategie, w zależności od sytuacji, mogą być stosowane przez organizacje pojedynczo lub w różnych konfiguracjach.

Istotnym jest określenie na niniejszym etapie tzw. kluczowych wskaźników ryzyka (KRI). Monitorując ich wartość w określonych, cyklicznych odstępach czasu, odpowiedzialni za poszczególne linie biznesowe /działalności będą posiadali bieżące informacje o aktualnym poziomie zagrożenia.
 

5. Określenie strategii BCM oraz opracowanie i wdrożenie reakcji BCM:
   1. Określenie struktury reakcji na zdarzenie
   2. Opracowanie Planów zarządzania zdarzeniem (IMP) oraz Planów ciągłości biznesowej (BCP)
   3. Określenie sposobów weryfikacji i walidacji IMP i BCP
   
   Organizacja powinna dla zidentyfikowanych działalności krytycznych określić odpowiednie strategie ciągłości działania, uwzględniające czynniki takie, jak między innymi: MTPoD (maksymalny tolerowany czas zakłócenia), koszty wdrożenia danej strategii (lub kilku strategii) oraz konsekwencje niepodejmowania działań.
   
   Ustalenia w ramach strategii ciągłości działania mogą dotyczyć zarówno zasobów, jaki i otoczenia organizacji. Należy przy tym zwrócić uwagę, aby przyjęte rozwiązania nie były podatne na to samo zagrożenie, które spowodowało zakłócenie działalności krytycznej.

Określając strategie ciągłości działania należy wziąć pod uwagę niżej przedstawione aspekty:

Ludzie oraz posiadane przez nich umiejętności i wiedza
Dla poszczególnych osób (personel, osoby pracujące dla lub w imieniu organizacji, interesariusze) o zidentyfikowanych jako kluczowe (nierzadko specjalistycznych) umiejętnościach i wiedzy, należy określić strategie umożliwiające ich zachowanie i zarządzanie nimi.

Nieruchomości
Organizacja powinna opracować strategie dla zredukowania niekorzystnego wpływu niedostępności jej budynków, pomieszczeń lub konkretnych stanowisk pracy, w których realizowane są działalności krytyczne.

Technologia
Strategie ciągłości działania w niniejszym aspekcie związane są ze stosowaną przez organizację technologią realizacji wyrobów, usług oraz stosowanymi technologiami informatycznymi. Strategie powinny zapewnić ochronę i/lub zastąpienie i/lub odzyskanie technologii w celu umożliwienia kontynuacji działalności krytycznej po wystąpieniu zdarzenia.

Informacja
Strategie informacyjne związane z zapewnieniem ciągłości działania skoncentrowane są na bezpieczeństwie i możliwości odzyskania informacji niezbędnych do realizacji działalności krytycznej.

Zasoby
Strategie związane z zasobami polegają na identyfikacji zasobów specyficznych dla danej działalności krytycznej, niezbędnych do zapewnienia jej ciągłości.

Interesariusze
Podczas określania strategii BCM Organizacja powinna mieć na uwadze i chronić interesy jej kluczowych interesariuszy.

Należy zwrócić uwagę, aby określone i przyjęte przez organizację strategie ciągłości działania były spójne z planami reagowania odpowiednich służb (zewnętrzne plany awaryjne).

Na podstawie przyjętych Strategii Ciągłości Działania dla działalności krytycznych organizacja powinna opracować strukturę reakcji na zdarzenie oraz Plany Zarządzania Zdarzeniem (IMP) i Plany Ciągłości Działania (BCP).

Planowanie weryfikacji i walidacji ustaleń BCM
Określając Plany Zarządzania Zdarzeniem oraz Plany Ciągłości Działania należy ustalić możliwe sposoby, za pomocą których organizacja będzie mogła przeprowadzać walidacje przyjętych ustaleń związanych z BCM. W związku z tym należy określić rodzaje i metody ćwiczeń strategii BCM i jej skuteczności. W zależności od możliwości organizacja powinna określić rodzaj realizowanych ćwiczeń oraz ich częstotliwość dla ustanowionych planów BCP i IMP.
 

6. Wdrożenie ustaleń. Szkolenie pracowników Organizacji (w zakresie ich odpowiedzialności).
   Stałe utrzymywanie odpowiedniej świadomości pracowników.
   
   Organizacja powinna zapewnić, aby ustalenia związane z:
   • zapewnieniem ciągłości działania oraz zarządzaniem zdarzeniem oraz
   • zarządzaniem ryzykiem działalności niezidentyfikowanych jako krytyczne oraz w przypadku, kiedy przyjętą strategia postępowania z ryzykiem nie była ciągłość działania

były dostępne i zrozumiałe dla osób odpowiedzialnych za poszczególne czynności lub związanych z danymi działaniami (przy uwzględnieniu nie tylko pracowników organizacji, ale również osób pracujących dla i w imieniu organizacji oraz kluczowych partnerów outsourcingowych).

Należy zapewnić odpowiednią świadomość wszystkich pracowników i przedstawicieli zainteresowanych stron odnośnie idei i celowości przyjętych ustaleń Zarządzania Ciągłością Działania.

7. Monitorowanie i weryfikacja skuteczności i przydatności systemu BCMS.
   Utrzymywanie zapisów z funkcjonowania BCMS oraz mających miejsce incydentów i zdarzeń.
   Identyfikacja obszarów do doskonalenia oraz niezbędnych zmian, jakie należy wprowadzić do systemu BCMS w celu utrzymania jego skuteczności.
   
   Stałe monitorowanie poziomu ryzyka (KRI)
   Zdefiniowane na etapie planowania Kluczowe Wskaźniki Ryzyka KRI, ustalone nie tylko dla działalności krytycznej, ale również pozostałych działalności powinny być stale monitorowanie zgodnie z przyjętymi założeniami. Przekroczenie przyjętego akceptowalnego poziomu wartości danego miernika powinno zaowocować uruchomieniem odpowiednich działań korekcyjnych i/lub korygujących. Zbierane dane odnośnie wartości KRI z poszczególnych okresów powinny być okresowo poddawane analizie przez osoby odpowiedzialne za zarządzanie ryzykiem w celu identyfikacji możliwych trendów.
   
   Ćwiczenia BCM
   Ćwiczenia BCM powinny być realizowane zgodnie z przyjętym przez organizację programem ćwiczeń. Po przeprowadzonym ćwiczeniu jego wyniki powinny zostać poddane analizie i ocenie pod kątem osiągnięcia założonego celu.
   
   Cykliczne przeglądy aktualności i adekwatności BCMS
   Należy okresowo (w zaplanowanych odstępach czasu) dokonywać przeglądów ustaleń związanych z BCM w celu zapewnienia ich ciągłej przydatności, adekwatności oraz skuteczności.
   Poza przeglądami, które powinny być realizowane w zaplanowanych odstępach czasu, każdorazowo po dokonaniu istotnych zmian w systemie należy przeprowadzić przegląd nieplanowany.
   Szczegółowy przegląd należy również każdorazowo wykonać w przypadku zmaterializowania się zagrożenia (wystąpienie zakłócenia).
   
   Audyty wewnętrzne
   Audity wewnętrzne są narzędziem, które służy do ustalenia, czy System Zarządzania Ciągłością Działania:
   • jest zgodny z zaplanowanymi ustaleniami (w tym z wymaganiami normy BS 25999-2)
   • został poprawnie wdrożony i jest właściwie utrzymywany
   • jest skuteczny w odniesieniu do realizacji postanowień Polityki i celów BCM

Analogicznie jak w przypadku innych systemów zarządzania, audyty wewnętrzne powinny być realizowane zgodnie z zaplanowanymi ustaleniami (program auditów, udokumentowana metodologia auditu itp.) przez niezależny i obiektywny personel.

Przeglądy skuteczności BCMS dokonywane przez kierownictwo
Podobnie jak w przypadku audytów. przegląd skuteczności systemu dokonywany przez kierownictwo jest procesem charakterystycznym dla wszystkich systemów zarządzania.
W zaplanowanych odstępach czasu kierownictwo z najwyższego szczebla organizacyjnego powinno przeprowadzić przegląd systemu na podstawie przekazanych mu informacji z poszczególnych obszarów.
 

8. Realizacja działań korygujących i zapobiegawczych.
   W przypadku potrzeby wprowadzenia zmian na poziomie strategicznym (polityka, zakres, cele BCMS) lub zmian na poziomie operacyjnym (BIA, ocena ryzyka, BCP, IMP) należy powrócić do odpowiedniego bloku, przechodząc całą ścieżkę od danego momentu do niniejszego miejsca.

Na podstawie wyników przeprowadzonych na etapie weryfikacji należy wdrożyć stosowane działania korygujące i zapobiegawcze. Również dla określonych celów BCMS należy określić zadania lub nawet programy ich realizacji.

Działania korygujące i zapobiegawcze są jednym z narzędzi ciągłego doskonalenia Systemu Zarządzania Ciągłością Działania. Ich idea jest cechą charakterystyczną dla wszystkich systemów zarządzania zgodnych z wymaganiami międzynarodowych norm ISO.

Działania zmierzające do wprowadzenia standardu BS 25999 w organizacji koncentrują się przede wszystkim na: identyfikacji potencjalnych dla niej zagrożeń, określeniu ryzyka z nimi związanego, planowaniu działań zapobiegawczych, opracowaniu sposobów postępowania w wypadku wystąpienia zdarzeń oraz ich testowaniu. W ramach zarządzania ciągłości biznesem, obok pewnych ustalonych procedur mających zapewnić powtarzalny sposób reagowania na nieprzewidziane sytuacje, istnieje także szereg niedocenianych, jak pokazuje praktyka, narzędzi, które mogą równie skutecznie ochronić organizację przed poważnym kryzysem. Jednym z nich jest Public Relations firmy, które w tym wypadku jako kreowanie pozytywnego wizerunku, będzie oznaczało odpowiednią komunikację z otoczeniem firmy w obliczu kryzysu.

Organizacje, skupiając się w razie zakłóceń na ustalonych procedurach, często zapominają, że to brak umiejętnej komunikacji, unikanie pytań otoczenia czy opóźnienia w przekazywaniu „na zewnątrz” informacji mogą w znacznym stopniu przyczynić się do upadku firmy w wyniku utraty zaufania klientów. Luka w przepływie informacji bowiem, np. powstrzymywanie się od komentarza dla mediów (tylko z pozoru będące wygodnym sposobem na wyciszenie problemu), zostaje szybko zastąpiona alternatywnym źródłem informacji, z reguły niekorzystnym dla firmy. Może to nieść ze sobą nieprzewidywalne wręcz skutki…

BCM to wielkie przedsięwzięcie, ujmujące ryzyko w aktywny sposób. Dlatego tak ważne jest kompleksowe ujęcie zagadnienia zarządzania ciągłością działania.

 

Zapraszamy do kontaktu z nami w sprawie określenia możliwości
wdrożenia Systemu Zarządzania Ciągłością Działania BS 25999
lub realizacji szkoleń tematycznych

Proces wdrożenia Systemu Zarządznia Ciągłością Działania BS 25999

Rys. Graficznie przedstawiony proces wdrażania Systemu Zarządzania Ciągłością Działania zgodnego z BS 25999

System Zarządzania Ciągłością Działania zgodny z BS 25999

Szkolenia tematyczne.

Zapraszamy Państwa na organizowane przez nas szkolenia z zakresu ciągłości działania. Poniżej przedstawione zostały najpopularniejsze z nich. W przypadku zainteresowania inną tematyką z obszaru Zarządzania Ciągłością Działania prosimy o kontakt [kontakt].

Zapraszamy również do zapoznania się z pełną ofertą naszych szkoleń [lista szkoleń]

Szkolenia z zakresu Systemu Zarządzania Ciągłością Działania:

• Auditor Wewnętrzny Systemu BS 25999 [szczegóły]

• Jak wdrożyć skuteczny System Zarządzania Ciągłością Działania ? [szczegóły]

Zapraszamy do zapoznania się  z:

• charakterystyką i ogólnymi informacjami z zakresu Systemu Zarządzania Ciągłością Działania BS 25999 [szczegóły]
• przebiegiem procesu wdrażania Systemu Zarządzania Ciągłością Działania  [szczegóły]
• z naszą ofertą w zakresie BS 25999 [kontakt].