BIA
dla ciągłości działania

Analiza wpływu biznesowego (Business Impact Analysis, BIA) to proces systematycznego szacowania skutków przerwy w działaniu procesów organizacji dla kolejnych przedziałów czasowych. Skutki są szacowane w kilku kategoriach wpływu, zgodnie z wymaganiami ISO 22301, na przykład finansowych, wizerunkowych, prawnych i operacyjnych. Jej wynikiem są wymagania dotyczące ciągłości działania i oczekiwane parametry odtworzenia procesów krytycznych:

• wymagany czas odtworzenia (Recovery Time Objective, RTO),
• dopuszczalny poziom utraty danych (Recovery Point Objective, RPO),
• minimalny poziom realizacji procesu po przerwie,
• lista zasobów niezbędnych do realizacji procesu.

Dane te stanowią podstawę oceny ryzyka i planu ciągłości działania oraz są wymagane przez ISO 22301, ISO 27001, DORA i ustawę o KSC.

Analiza BIA odpowiada na pytanie: jakie będą skutki przerwania procesu oraz czy i jak szybko staną się nieakceptowalne, a także czego potrzebujemy do utrzymania minimalnego poziomu realizacji procesu.

Ocena ryzyka odpowiada na pytanie: co może spowodować tę przerwę, jak prawdopodobne jest wystąpienie tego zagrożenia i jak dobrze jesteśmy na nie przygotowani.

Dlatego zaleca się, aby analiza BIA poprzedzała ocenę ryzyka. Organizacja musi najpierw wiedzieć, co ma chronić i dlaczego, zanim przystąpi do szacowania zagrożeń dla poszczególnych komponentów i oceny poziomu ryzyka. W Davidson Consulting wyniki BIA zasilają bezpośrednio ocenę ryzyka prowadzoną zgodnie z autorską metodyką ERAMIS, ponieważ wpływ na dostępność procesu wyznaczony w BIA jest jednym z parametrów wejściowych modelu.

Norma ISO 22301:2019 w punkcie 8.2 wymaga przeprowadzenia analizy wpływu biznesowego jako kluczowego elementu planowania ciągłości działania. Rozporządzenie DORA (UE 2022/2554) w artykule 11 nakłada na instytucje finansowe obowiązek identyfikacji i klasyfikacji funkcji krytycznych i istotnych, procesów ICT oraz dokumentowania wymagań odtworzeniowych. Dyrektywa NIS2 (UE 2022/2555) i polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) zawierają analogiczne wymagania dla podmiotów kluczowych i ważnych. Analiza BIA przeprowadzona zgodnie z ISO 22301 dostarcza dokumentacji odpowiadającej tym wymaganiom bez konieczności tworzenia osobnych opracowań dla każdej regulacji.

Tak, i to dość szczegółowo. Audytorzy certyfikujący ISO 22301 i inspektorzy organów nadzorczych sprawdzają, czy lista zasobów oraz parametry RTO i RPO procesów są uzasadnione analizą wpływu wraz z dokumentacją metodyki i toku rozumowania. Regularnie spotykamy organizacje, które mają gotowe plany ciągłości działania, ale nie są w stanie wyjaśnić, skąd pochodzą wartości RTO i dlaczego wybrano te, a nie inne procesy lub systemy ICT do objęcia planem BCP. Jest to luka, którą audytor znajdzie bardzo szybko. Dokumentacja analizy BIA przeprowadzanej przez Davidson Consulting zawiera profil wpływu dla każdego procesu, wymagania interesariuszy jako kryteria oceny oraz parametry odtworzenia wraz z uzasadnieniem. Każda pozycja ma logiczny ślad audytowy, od wymagania interesariusza do parametru RTO i zasobów niezbędnych do odtworzenia procesu.

Czas zależy od liczby procesów objętych analizą i dostępności właścicieli procesów. W organizacjach z dobrze udokumentowanym kontekstem organizacji i listą procesów kluczowych zebranie danych w ImpactApp zajmuje właścicielom kilka godzin, najczęściej rozłożonych na przestrzeni tygodnia lub dwóch. Właściciele lub osoby przez nich wyznaczone pracują samodzielnie, we własnym rytmie.

Opracowanie wyników i przygotowanie dokumentacji realizowane jest równolegle. Etap weryfikacji i akceptacji listy procesów krytycznych przez zarząd zależy od wewnętrznych procedur organizacji, a zespół Davidson wspiera go merytorycznie przez cały czas jego trwania.

Tak. ImpactApp jest dostępna jako narzędzie dla organizacji, które chcą przeprowadzić analizę BIA samodzielnie. Davidson oferuje zarówno realizację pełnego projektu BIA, jak i wsparcie metodyczne dla zespołów prowadzących analizę wewnętrznie. Możliwy jest także model mieszany: organizacja przeprowadza analizę w ImpactApp samodzielnie, a Davidson weryfikuje wyniki i wspiera etap akceptacji przez zarząd.