Zarządzanie ciągłością działania

System zarządzania ciągłością działania (Business Continuity Management, BCM) to całościowy proces obejmujący analizę wpływu biznesowego, ocenę ryzyka, opracowanie planów, testowanie gotowości i ciągłe doskonalenie. Plan ciągłości działania (BCP) jest jednym z elementów tego systemu — dokumentem operacyjnym, który opisuje, co robić, gdy proces zostanie przerwany. Organizacja, która ma plan, ale nie ma systemu, zwykle nie jest w stanie utrzymać tego planu w aktualnym stanie ani zweryfikować, czy nadal odpowiada rzeczywistości operacyjnej.

Norma ISO 22301:2019 definiuje wymagania dla systemów zarządzania ciągłością działania i jest podstawą certyfikacji. Rozporządzenie DORA (UE 2022/2554) w artykule 11 nakłada na instytucje finansowe obowiązek identyfikacji funkcji krytycznych i istotnych oraz dokumentowania wymagań odtworzeniowych dla wspierających je systemów ICT. Dyrektywa NIS2 (UE 2022/2555) i polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) stawiają analogiczne wymagania podmiotom kluczowym i ważnym w sektorach krytycznych. System BCM zgodny z ISO 22301 dostarcza dokumentacji odpowiadającej tym wymaganiom bez konieczności tworzenia osobnych opracowań dla każdej regulacji.

Czas zależy od zakresu organizacji, liczby procesów objętych analizą BIA i stanu istniejącej dokumentacji. Dla organizacji z dobrze udokumentowaną listą procesów kluczowych i dostępnymi właścicielami procesów etap BIA zajmuje zwykle dwa do czterech tygodni. Opracowanie planów i procedur realizujemy równolegle. Dla organizacji, które dopiero budują system od podstaw, pełne wdrożenie zajmuje od trzech do sześciu miesięcy — zależnie od złożoności regulacyjnej i liczby lokalizacji. Indywidualny harmonogram ustalamy podczas konsultacji wstępnej.

Tak. Audytorzy certyfikujący ISO 22301 i inspektorzy organów nadzorczych sprawdzają, czy parametry RTO i RPO mają uzasadnienie w udokumentowanej analizie wpływu. Regularnie spotykamy organizacje, które mają gotowe plany ciągłości działania, ale nie są w stanie wyjaśnić, skąd wzięły się wartości RTO i dlaczego wybrały te, a nie inne procesy do objęcia planem. To luka, którą audytor znajdzie szybko. Dokumentacja BIA przeprowadzanej przez Davidson Consulting zawiera profil wpływu dla każdego procesu z uzasadnieniem parametrów odtworzenia i logicznym śladem audytowym od wymagania interesariusza do decyzji o klasyfikacji procesu jako krytycznego.

W modelu BPO przejmujemy operacyjną odpowiedzialność za wyznaczone zadania BCM — prowadzenie analiz BIA, organizację testów, zarządzanie dokumentacją i monitorowanie zmian regulacyjnych wpływających na system. Odpowiedzialność zarządcza i decyzyjna pozostaje po stronie organizacji — Zarząd zatwierdza listę procesów krytycznych i wymagania odtworzeniowe, co jest wymagane zarówno przez ISO 22301, jak i przez regulacje finansowe. Nasi eksperci wspierają Zarząd merytorycznie przez cały czas trwania umowy BPO.

ISO 22301 wymaga regularnych testów, ale nie narzuca jednego formatu. Skuteczny program testów obejmuje co najmniej ćwiczenia konferencyjne (desk-top exercises), które weryfikują kompletność i spójność procedur, oraz symulacje scenariuszowe angażujące rzeczywisty zespół decyzyjny. Testy powinny mieć zdefiniowany cel, scenariusz i kryteria oceny — a ich wyniki, w tym zidentyfikowane luki i rekomendacje naprawcze, powinny być udokumentowane. DORA w artykule 11 dodatkowo wymaga testowania planów ciągłości w zakresie ICT co najmniej raz w roku. Projektujemy testy tak, żeby ich dokumentacja była użyteczna zarówno operacyjnie, jak i podczas audytu.