Norma BS ISO 22301:2012 Bezpieczeństwo powszechne

• Norma BS ISO 22301:2012 Bezpieczeństwo Powszechne – Systemy Zarządzania cią-głością działania – Wymagania (Societal security – Business continuity management systems – Requirements) obejmuje wymagania związane z ustanawianiem sku-tecznego Systemu Zarządzania Ciągłością Działania (SZCD) oraz zarządzania nim. Zastąpiła ona brytyjskie standardy BS 25999. Pomimo iż założenia normy BS ISO 22301:2012 są w dużej mierze zbieżne z nimi, omawiany dokument wpro-wadza istotne zmiany, w tym m.in.:

• odnosi się do najwyższego kierownictwa każdej organizacji,

• wprowadza bardziej widoczne i bardziej aktywne przywództwo najwyższego kierow-nictwa,

• wprowadza wymóg bardziej starannego planowania i przygotowania zasobów nie-zbędnych do zapewnienia ciągłości biznesu,

• znacznie mocniej akcentuje kwestie związane z ustalaniem celów, monitorowaniem skuteczności i pomiarami,

• kładzie większy nacisk na elementy dotyczące komunikacji oraz większą odpowiedzial-ność przed szerzej zdefiniowaną społecznością, silniej powiązana jest z podejściem or-ganizacji do ryzyka²⁰.

Wymagania opisane w normie BS ISO 22301 dotyczą szerokiego spektrum zagadnień, w tym planowania, ustanawiania, wdrażania, funkcjonowania, moni-torowania, przeglądania, utrzymywania, jak również ciągłego doskonalenia udo-kumentowanego systemu zarządzania. Celem funkcjonowania takiego systemu jest zapewnienie ochrony przed incydentami, zmniejszenie prawdopodobieństwa ich wystąpienia, przygotowanie się na nie, jak również umiejętność podjęcia adekwat-nej reakcji oraz powrotu do normalnego funkcjonowania w przypadku ich wystą-pienia.

Wymagania te mają charakter ogólny. Wskazuje się, iż mogą one zostać wy-korzystane w organizacji o dowolnym charakterze, każdego typu oraz rozmiaru.

Zakres zastosowania tych wymagań uwarunkowany jest środowiskiem, w którym dana organizacja działa, jak również stopniem jej złożoności. Tym samym norma BS ISO 22301 nie narzuca jednolitej struktury Systemu Zarządzania Ciągłością Działania, lecz stanowi wsparcie na rzecz zaprojektowania SZCD w danej organi-zacji w zależności od jej potrzeb. Wiążą się one bowiem m.in. z wymogami prawny-mi, nadzorczyprawny-mi, organizacyjnymi oraz branżowymi. Dotyczą również wyrobów

20 Witryna internetowa http://www.iso.org.pl/iso-22301 z dnia 08.06.2015 r.

i usług, stosowanych procesów, rozmiaru, struktury organizacji, jak również wy-magań zainteresowanych stron.

Norma dedykowana jest głównie organizacjom, które chciałyby ustanowić, wdrożyć, zachować i doskonalić SZCD, jak również zapewnić zgodność z ustaloną polityką ciągłości działania oraz wykazywać zgodność w stosunku do innych. Po-nadto kierowana jest do tych z nich, które dążą do certyfikacji bądź rejestracji swo-jego SZCD przez akredytowaną niezależną jednostkę certyfikującą. Norma może znaleźć również zastosowanie w organizacjach, które chcą zadeklarować zgodność z niniejszą normą oraz samodzielnie do tego dążą.

W normie BS ISO 22301:2012 stosuje się szereg terminów i definicji związanych z procesami zarządzania ciągłością działania oraz zarządzania ryzykiem. Część de-finicji wybranych pojęć zaczerpnięto z takich dokumentów, jak: ISO Guide 73 oraz ISO 22300. Pozostałe z nich przyjęto na potrzeby opracowania niniejszej normy.

Kluczowe znaczenie dla zrozumienia założeń normy BS ISO 22301:2012 ma zdefiniowanie terminu zarządzania ciągłością działania. Jest ono rozumiane jako holistyczny proces zarządzania, identyfikujący potencjalne zagrożenia organizacji i skut-ki, jakie te zagrożenia mogą wywierać na działalność biznesową w przypadku ich wystą-pienia²¹. Umożliwia on zbudowanie odporności organizacji, jak również pozwala na skuteczną reakcję w celu ochrony interesów jej kluczowych interesariuszy, jej reputacji oraz marki. Z kolei za system zarządzania ciągłością działania uznaje się część ogólnego systemu zarządzania dotyczącą ustanowienia, wdrożenia, funkcjonowania, monitorowania, przeglądu, utrzymania oraz doskonalenia ciągłości działania²². Zgodnie z normą składają się na niego takie elementy, jak: struktura organizacyjna, polity-ka, działania planistyczne, zakresy odpowiedzialności, procedury, procesy oraz zasoby.

Norma BS ISO 22301:2012 przewiduje użycie modelu PDCA (z ang. Plan-Do--Check-Act) na potrzeby ustanowienia SZCD oraz zarządzania nim. Jest on zgodny z ustaleniami wynikającymi z innych norm dotyczących systemów zarządzania.

Zasadę działania SZCD przedstawiono rysunku 3.8.

W pierwszym kroku cyklu (tzw. Planuj) ustanawia się politykę ciągłości działania, mechanizmy nadzoru, procesy i procedury właściwe dla doskonalenia ciągłości działania. Dokonuje się tego na potrzeby osiągnięcia wyników zgodnych z ogólną polityką oraz celami organizacji. Istotą kolejnego etapu (tzw. wykonuj) jest wdrożenie i realizacja polityki ciągłości działania, jak również mechanizmów nadzoru, procesów oraz procedur. Trzeci etap (tzw. Sprawdzaj) polega na mo-nitorowaniu oraz przeglądzie efektywności systemu w odniesieniu do polityki i celów ciągłości działania. Obejmuje on również przedsięwzięcia związane z ra-portowaniem wyników do kierownictwa na potrzeby ich przeglądu. Na tym eta-pie wskazuje się także działania naprawcze, doskonalące oraz zezwala się na ich wykonanie. Ostatni krok (tzw. Działaj) dotyczy utrzymania i doskonalenia SZCD

21 Norma BS ISO 22301:2012 Bezpieczeństwo powszechne – Systemy zarządzania ciągłością działania – Wymagania, s. 2.

22 Tamże.

poprzez podejmowanie działań korygujących, bazując na wynikach przeglądu zarządzania oraz ponownym określeniu zakresu SZCD, jak również polityki i ce-lów ciągłości działania.

Istotnym aspektem działań planistycznych podejmowanych w kroku nr 1 Ustanowienie (Zaplanuj) jest zrozumienie organizacji oraz kontekstu jej działa-nia. W tym względzie zaleca się, aby każda organizacja określiła zewnętrzne i we-wnętrzne kwestie, które mają dla niej znaczenie, jak również te, które oddziałują na jej zdolność do osiągnięcia zakładanych wyników SZCD. Wskazuje się, iż definiując kontekst organizacji należy brać pod uwagę elementy takie, jak: swoje działalności, funkcje, usługi, wyroby, partnerstwa, łańcuchy dostaw, jak również relacje ze stro-nami zainteresowanymi oraz potencjalny wpływ związany z incydentami zakłó-cającymi jej działania. Istotną kwestią jest również określenie powiązań pomiędzy polityką ciągłości działania a celami i innymi politykami organizacji oraz wyzna-czenie apetytu na ryzyko.

Ponadto w normie podkreśla się, iż znaczącą kwestią jest zrozumienie wy-magań i oczekiwań zainteresowanych stron. Zaleca się, aby dana organizacja przy ustanawianiu, wdrażaniu i utrzymywaniu SZCD wzięła pod uwagę wymagania prawne oraz nadzorcze.

W oparciu o działania podjęte na etapie ustalenia kontekstu określa się zakres SZCD. Bierze się przy tym pod uwagę misję organizacji, jej cele oraz wewnętrzne Rysunek 3.8. Cykl PDCA stosowany w procesach systemu zarządzania ciągłością dzia-łania

Źródło: Norma BS ISO 22301:2012 Bezpieczeństwo powszechne – Systemy Zarządzania Ciągłością Działania  

Ciągłe  doskonalenie  systemu  zarządzania  ciągłością   działania  (SZCD)  

i zewnętrzne zobowiązania. Ponadto identyfikuje się wyroby, usługi, inne powią-zane działalności obejmujące zakres SZCD, jak również wymagania i oczekiwania zainteresowanych stron. Wskazuje się, iż ustanawiając zakres SZCD należy uwzględ-nić również rozmiar, rodzaj oraz złożoność organizacji.

W normie BS ISO 22301:2012 istotną rolę przypisuje się kwestii przywództwa i zaangażowania najwyższego kierownictwa w ramach SZCD. Może ono objawiać się w formie motywowania i upoważniania osób, tak aby istotnie przyczynić się do uzyskania skuteczności SZCD. Zadaniem najwyższego kierownictwa jest również wyznaczenie członkom organizacji odpowiednich ról, związanych z nimi upraw-nień oraz odpowiedzialności w zakresie SZCD. Co więcej, powinno ono ustanowić politykę ciągłości działania dostosowaną do celu istnienia organizacji, zgodną z ce-lami ciągłości działania. Te ostatnie muszą być zakomunikowane osobom pełnią-cym właściwe funkcje na poszczególnych szczeblach organizacji.

Działania przygotowawcze związane z wdrożeniem SZCD powinny obejmować wskazanie ryzyk oraz możliwości. Wspomoże to osiągnięcie przez system zarządza-nia zamierzonych rezultatów, zapobieżenie niechcianym skutkom lub ich redukcję oraz pozwoli na ciągłe doskonalenie. Organizacja powinna zaplanować ponadto działania uwzględniające zidentyfikowane wcześniej ryzyka i możliwości.

Istotnym aspektem jest konieczność określenia przez organizację zasobów, które są niezbędne do ustanowienia, wdrożenia, utrzymania oraz ciągłego dosko-nalenia SZCD. Zgodnie z niniejszą normą składają się na nie: kompetencje, świado-mość, komunikacja oraz udokumentowane informacje.

W odniesieniu do pierwszego ze wskazanych obszarów, norma wskazuje, iż organizacja powinna określić niezbędne kompetencje osób wykonujących na jej rzecz pracę, tym samym warunkując efekty podejmowanych działań. Za szcze-gólnie ważne uznaje się odpowiednie kształcenie, szkolenie oraz doświadczenie personelu. Dopuszcza się przy tym możliwość podjęcia działań mających na celu podniesienie kompetencji obecnych pracowników oraz doradzanie im.

Oprócz zadbania o wysoki poziom kompetencji pracowników, kluczowe jest zapewnienie świadomości personelu na temat polityki ciągłości działania, jego wkładu w skuteczność SZCD, skutków nieprzestrzegania wymagań SZCD oraz roli pracowników w przypadku wystąpienia incydentów zakłócających działanie.

Ponadto organizacja powinna wypracować mechanizmy wewnętrznej oraz zewnętrznej komunikacji istotnej dla SZCD, określając tematykę komunikacji, czas komunikacji oraz osoby, z którymi będzie ona prowadzona.

Za istotne uważa się również posiadanie przez organizację udokumentowa-nych informacji zarówno tych wymagaudokumentowa-nych przez niniejszą normę, jak również tych uznanych przez organizację za niezbędne do osiągnięcia skuteczności SZCD.

W tym względzie należy zadbać o odpowiednią identyfikację i opis dokumentu oraz jego odpowiedni format. Ponadto podkreśla się konieczność zapewnienia od-powiedniego nadzoru nad udokumentowanymi informacjami, tak aby były one dostępne w odpowiednim miejscu i czasie oraz aby były we właściwy sposób chro-nione.

W kroku nr 2 Wdrożenie (Wykonaj) istotne jest zaplanowanie, wdrożenie i nad-zorowanie przez organizację procesów, które są niezbędne do spełnienia wymagań oraz realizacji działań uwzględniających ryzyka i możliwości. Będzie to możliwe dzięki ustanowieniu kryteriów takich procesów oraz wdrożeniu nadzoru nad nimi zgodnie z tymi kryteriami. Dokonuje się tego również poprzez przechowywanie wszelkich informacji, które pozwalają na stwierdzenie, że procesy zostały przepro-wadzone zgodnie z planem.

Nieodłącznym elementem tego etapu jest ustanowienie, wdrożenie oraz utrzy-mywanie formalnego procesu analizy wpływu biznesowego oraz oceny ryzyka.

W procesie tym należy uwzględnić kontekst oceny ryzyka, jak również zdefiniować kryteria oraz ocenić potencjalny wpływ incydentu zakłócającego działanie. Zaleca się również wzięcie pod uwagę wymagań prawnych oraz innych wymagań, które przyjęła organizacja. Niniejszy proces obejmuje także systematyczną analizę oraz wskazanie priorytetów co do postępowania z ryzykiem wraz z związanymi z tym kosztami. Za kluczową dla analizy wpływu biznesowego uznaje się ocenę skut-ków zakłócenia działalności, wspierających dostarczenie wyrobów i usług przez organizację. Z kolei w odniesieniu do konieczności ustanowienia, wdrożenia oraz utrzymywania procesu oceny ryzyka rekomenduje się jego przeprowadzenie zgod-nie z normą ISO 31000. Dzięki temu będzie możliwa systematyczna identyfikacja, analiza i ocena ryzyka incydentu zakłócającego działanie organizacji.

W oparciu o wyniki analizy wpływu biznesowego i oceny ryzyka należy ustalić i dokonać wyboru strategii ciągłości działania. Jej celem jest ochrona prio-rytetowej działalności, jak również jej ustabilizowanie, kontynuacja, wznawianie, odtwarzanie, ograniczanie skutków oraz reagowanie na ich wystąpienie. Znaczącą kwestią jest również ustalenie ram czasowych, w których zakłócona działalność zostanie wznowiona. Wdrożenie wybranej strategii będzie możliwe dzięki określe-niu wymagań dotyczących zasobów przydatnych w tym celu. Wśród nich można wymienić m.in. ludzi, informacje i dane, budynki, środowisko pracy oraz związane z nimi narzędzia, jak również systemy teleinformatyczne. Kolejną podjętą czynno-ścią powinno być zidentyfikowanie ryzyk wymagających postępowania z nimi, jak również dokonanie wyboru i wdrożenie sposobów postępowania z ryzykiem.

Bardzo ważnym aspektem kroku nr 2 jest ustanowienie i wdrożenie procedur ciągłości działania. Dzięki temu organizacja będzie mogła odpowiednio zarządzać incydentem, jak również kontynuować swoją działalność, opierając się na celach wznowienia działania zdefiniowanych w analizie wpływu biznesowego. Co więcej powinna ona ustanowić oraz wdrożyć procedury oraz strukturę zarządczą w celu reagowania na zakłócający działanie incydent. W odpowiedzi na wystąpienie in-cydentu należy wykorzystać personel posiadający niezbędne kompetencje oraz uprawnienia do zarządzania nim. W takiej strukturze należy uwzględnić wska-zanie progów incydentu, decydujących o zainicjowaniu reakcji, jak również ocenę rodzaju i zakresu incydentu zakłócającego działanie oraz jego potencjalne skutki, wywołanie odpowiedniej reakcji związanej z ciągłością działania czy też posiada-nie procesów i procedur z tym związanych.

Kolejną grupę procedur znaczących z punktu widzenia funkcjonowania SZCD stanowią procedury komunikacji oraz ostrzegania. Mają one na celu wykrywanie incydentu, jego regularne monitorowanie, jak również otrzymywanie, przechowy-wanie oraz reagoprzechowy-wanie na informacje z regionalnych systemów powiadamiania o zagrożeniach.

Istotną rolę pełni również ustanowienie przez organizację procedur reagowa-nia na incydent zakłócający działanie, jak również procedur obejmujących sposoby kontynuowania lub odtwarzania jej działalności w określonych ramach czasowych.

Dokumenty obejmujące wskazany powyżej zakres informacji określa się mianem planów ciągłości działania. Zawierają one m.in. zdefiniowanie ról i odpowiedzial-ności osób oraz zespołów mających uprawnienia w trakcie trwania incydentu oraz po jego wystąpieniu, proces wywołujący reakcję, szczegółowe informacje na temat zarządzania skutkami incydentu czy też sposób kontynuacji lub odtworzenia dzia-łalności priorytetowych przez organizację w określonym czasie. Za nieodłączny element planów ciągłości działania uznaje się również ustalenie strategii komuni-kacji organizacji z mediami po wystąpieniu incydentu.

Zgodnie z normą BS ISO 22301:2012 każda organizacja powinna również po-siadać procedury odtworzenia i powrotu do działalności biznesowych (po wdro-żeniu rozwiązań tymczasowych) na potrzeby wsparcia wymagań normalnego biznesu po zakończeniu incydentu.

W normie podkreśla się, iż organizacja powinna nie tylko ustanowić właściwe procedury ciągłości działania, ale również ćwiczyć je oraz testować.

W kroku nr 3 Monitorowanie i Przegląd (Sprawdź) zaleca się przeprowadzenie oceny efektywności funkcjonowania systemu zarządzania ciągłością działania.

W tym kontekście zadaniem organizacji jest określenie zakresu monitorowania i mierzenia, metod monitorowania, pomiarów, analizy oraz oceny, jak również ter-minu realizacji tych przedsięwzięć.

Istotną kwestią jest przeprowadzanie oceny procedur i możliwości utrzymania ciągłości działania na potrzeby zapewnienia ich ciągłej przydatności, adekwatności oraz skuteczności. W normie wskazuje się, iż powinny one być przeprowadzane w formie okresowych przeglądów, ćwiczeń, testów, jak również raportów po wy-stąpieniu incydentów. Ponadto podkreśla się, że w tym względzie należy brać pod uwagę wymagania prawne i nadzorcze oraz najlepsze praktyki branżowe.

Kolejną formą oceny efektywności SZCD jest przeprowadzanie w określonych odstępach czasu audytów wewnętrznych. Mają one na celu ocenę jego zgodności z własnymi wymaganiami organizacji dotyczącymi SZCD oraz wymaganiami ni-niejszej normy, jak również ocenę skuteczności jego wdrożenia i utrzymywania.

Podkreśla się, że program audytu, w tym także jego harmonogram, powinien ba-zować na wynikach oceny ryzyka dla działalności organizacji oraz rezultatach po-przednich audytów.

W normie zaleca się dokonywanie okresowo przeglądów SZCD w organizacji na potrzeby utrzymania jego przydatności, adekwatności oraz skuteczności. Prze-prowadzając je, należy wziąć pod uwagę status działań po poprzednich przeglądach

zarządzania, jak również zmiany w zewnętrznych oraz wewnętrznych kwestiach istotnych z punktu widzenia systemu zarządzania ciągłością działania. Powinno się również uwzględnić informacje o efektywności ciągłości działania. Wiąże się ona z ry-zykami lub kwestiami, które nie zostały ostatecznie rozstrzygnięte w czasie wcześniej przeprowadzonej oceny ryzyka. Zakłada się, iż przegląd będzie się kończył podję-ciem odpowiednich decyzji związanych z możliwościami ciągłego doskonalenia lub koniecznością zmian w SZCD. Powinien również zawierać m.in. aktualizację oceny ryzyka, analizy wpływu biznesowego, planów ciągłości oraz związanych z nim pro-cedur, jak również zmiany wymagań dotyczących bezpieczeństwa i redukcji ryzyka czy też zmiany poziomu ryzyka i/lub kryteriów akceptowalności ryzyka.

Istotą kroku nr 4 Utrzymanie i Doskonalenie (Zastosuj) jest ciągłe doskonalenie przez organizację przydatności, adekwatności oraz skuteczności SCZD. W przy-padku wystąpienia niezgodności zaleca się ich zidentyfikowanie, podjęcie odpo-wiedniej reakcji na nie, jak również przeprowadzenie oceny potrzeby zainicjowania działań, których podjęcie pozwoli na wyeliminowanie ich ponownego wystąpienia w przyszłości.

Obecnie zarządzanie ciągłością działania staje się fundamentalnym wymo-giem w funkcjonowaniu każdej organizacji. Zapewnia bowiem nieprzerwane działanie w przypadku pojawienia się zakłóceń wynikających z wystąpienia du-żej katastrofy czy też małego incydentu. Wytyczne w tym zakresie rekomenduje omówiona powyżej norma BS ISO 22301:2012. Jest ona właściwa dla organizacji z różnych sektorów, w tym związanych z finansami, telekomunikacją, transpor-tem oraz sektorem publicznym. Łączy się więc z szeroko rozumianymi systranspor-tema- systema-mi infrastruktury krytycznej, które zgodnie z zapisasystema-mi ustawy o zarządzaniu kryzysowym obejmują m.in. systemy zaopatrzenia w energię, surowce energe-tyczne i paliwa czy też systemy ratownicze oraz zapewniające ciągłość działania administracji publicznej. O certyfikaty BS ISO 22301:2012 za działalność w opar-ciu o System Zarządzania Ciągłością Działania ubiegają się coraz częściej urzędy administracji publicznej. Tym bardziej że zadania własne w dziedzinie bezpie-czeństwa, realizowane przez gminę, powiat, województwo oraz administrację rządową rozpatruje się w kontekście procesów krytycznych, których przerwanie może stanowić zagrożenie dla realizacji tych zadań. W związku z tym norma BS ISO 22301:2012 może okazać się przydatna w ramach przeprowadzenia analizy ryzyka na potrzeby planowania kryzysowego.

3.5. Norma BS 11200:2014 Zarządzanie kryzysowe