Analiza kontekstu organizacji

Analiza kontekstu organizacji to proces wymagany przez wszystkie normy ISO (w tym ISO 22301 i ISO 27001), który polega na identyfikacji czynników zewnętrznych i wewnętrznych, zainteresowanych stron (interesariuszy) i ich wymagań oraz zakresu systemu zarządzania.

Jej celem jest zapewnienie, że system zarządzania (np. ryzykiem) jest dopasowany do rzeczywistego otoczenia organizacji, regulacyjnego, biznesowego i operacyjnego. Norma nie narzuca konkretnego formatu dokumentu. Audytor szuka dowodów na to, że zarząd rozumie otoczenie organizacji i wymagania dotyczącego danego obszaru (np. bezpieczeństwa informacji) i podejmuje decyzje w oparciu o udokumentowane wymagania.

Nie. Lista aktów prawnych odpowiada na pytanie, co nas dotyczy. Analiza kontekstu odpowiada na inne pytanie: jakie konkretne wymagania w zakresie objętym normą (np. ciągłości działania lub bezpieczeństwa informacji) z tych aktów wynikają, który proces je realizuje i kto za ten proces odpowiada. W projektach wdrożeniowych i podczas audytów regularnie spotykamy organizacje, które mają starannie prowadzoną listę aktów prawnych, ale nie potrafią wskazać, które wymagania dotyczą ciągłości działania. To jest luka, którą wprawny audytor znajdzie bardzo szybko.

Wymagania interesariuszy (zainteresowanych stron) wobec Twojej organizacji najłatwiej zidentyfikować odpowiadając na pytanie: “Dlaczego dany podmiot, osoba lub grupa osób jest zainteresowana tym, abyśmy chronili informacje (ISO 27001), działali nieprzerwanie (ISO 22301), zarządzali ryzykiem (ISO 31000), dbali o BHP (ISO 45001), etc.?” Innymi słowy są to wszelkie zobowiązania wobec interesariuszy, które nakładają na organizację przepisy prawa, regulacje, które wynikają z podpisanych umów lub porozumień, a także niesformalizowane oczekiwania interesariuszy wobec Twojej organizacji.

Wymagania ciągłości działania łatwo rozpoznać po tym, że:

1. dotyczą terminów wykonania jakiegoś zadania lub czasu przeznaczonego na realizację procesu. Może to być data, godzina lub czas reakcji, np. termin złożenia raportu regulacyjnego, czas usunięcia awarii systemu, czas obsługi reklamacji w ciągu 30 dni.
2. dotyczą poziomu realizacji zadania, np. kompletność danych w raporcie, przepustowość usługi, poziom dostępności systemu.

Organizacja może być prawnie zabezpieczona pod względem terminów, a jednocześnie narażona wizerunkowo przez niespełnienie wymagań dotyczących poziomu jakości, do których przyzwyczaiła klientów. Oba typy wymagań muszą trafić do analizy kontekstu, i oba muszą być uwzględnione jako kryteria oceny wpływu podczas analizy BIA.

Właściciel procesu to komórka organizacyjna, która definiuje (decyduje), jak proces ma być wykonywany, i która odpowiada za zobowiązania z nim związane, nie zawsze ta, która go wykonuje. W projekcie dla firmy telekomunikacyjnej okazało się, że właścicielem usługi połączeń głosowych powinna być sprzedaż, bo to sprzedaż podpisywała umowy z klientami i negocjowała warunki SLA, nawet jeśli sieć utrzymywał dział techniczny, a obsługa klienta przyjmowała reklamacje. Pytania pomocnicze przy identyfikacji właściciela są dwa:

• kto decyduje o tym, jak ten proces powinien wyglądać? oraz
• kto odpowie przed klientami, gdy proces zostaje przerwany?

Może wydawać się, że w przypadku awarii usług głosowych konsekwencje poniesie dział utrzymania sieci, ale to krótkowzroczne myślenie. Konsekwencje poniesie sprzedaż, gdyż klienci zagłosują swoimi portfelami i nie dość, że część klientów utracimy, to może także być trudniej pozyskać kolejnych.

Wymagania nieformalne to standardy obsługi i zobowiązania, do których organizacja “przyzwyczaiła” klientów, a które nie zawsze są zapisane w umowie lub akcie prawnym. Jeden z naszych klientów z sektora telekomunikacyjnego miał zapisane w umowie, że aktywacja usługi nastąpi w ciągu tygodnia. Jego klienci oczekują jednak działającej usługi w ciągu godziny od zakupu. Organizacja jest zabezpieczona pod względem prawnym, ale ryzyko wizerunkowe pozostaje. Wymagania nieformalne powinny być identyfikowane jako element przewagi konkurencyjnej organizacji, np. szybkość, niezawodność, elastyczność. W kontekście wpływu na reputację i utratę klientów wymagania te mają podczas BIA takie samo znaczenie jak wymagania formalne.

Wymagania interesariuszy zebrane w kontekście organizacji stają się kryteriami oceny wpływu podczas analizy ryzyka lub analizy BIA, gdyż powinny one odpowiadać na pytanie nie tylko o straty finansowe, ale też o konsekwencje dla każdej zainteresowanej strony. Co się stanie, jeśli utracimy informacje? jeśli nie dotrzymamy terminu raportu regulacyjnego? Jeśli przekroczymy czas reakcji zapisany w SLA? Jeśli dostawca krytycznych usług ICT wstrzyma świadczenie z powodu niezapłaconych faktur? Kontekst organizacji, którego nie wykorzystujemy w systemie zarządzania, prowadzi do niezgodności i ryzyka pominięcia istotnych aspektów.

Rozporządzenie DORA (UE 2022/2554) nakłada na instytucje finansowe obowiązek utrzymywania ram zarządzania ryzykiem ICT, które muszą obejmować identyfikację źródeł ryzyka i zakresu ekspozycji organizacji, co odpowiada wymaganiu analizy kontekstu z norm ISO. Dyrektywa NIS2 (UE 2022/2555) i polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) analogicznie wymagają udokumentowanej analizy środowiska organizacji. Analiza kontekstu zgodna z normami ISO 27001 i ISO 22301 dostarcza dokumentacji odpowiadającej tym wymaganiom bez konieczności tworzenia oddzielnych opracowań dla każdej regulacji.

Davidson przygotowuje projekt kontekstu samodzielnie na podstawie dokumentów klienta, co eliminuje konieczność angażowania jego zespołu od zera. Czas opracowania projektu zależy od złożoności regulacyjnej i operacyjnej organizacji. Dla podmiotu z jasno zdefiniowanym zakresem działalności i jednym organem regulacyjnym projekt jest gotowy do weryfikacji w ciągu kilku dni roboczych. Weryfikacja i akceptacja po stronie klienta, przy wsparciu naszych ekspertów, zależy od dostępności menedżerów i zwykle zajmuje do dwóch tygodni. Dla organizacji działających w wielu krajach poza Unią Europejską lub prowadzących unikalną działalność czas ustalamy indywidualnie na etapie konsultacji wstępnej.