Można z pewnym uproszczeniem przyjąć, że istotną miarą sukcesu w działalności organizacji jest czas, przez jaki była ona w stanie przetrwać i się rozwijać. Realizacja tego ogólnego i zarazem głównego celu działalności organizacji nie jest możliwa, jeśli jej kierownictwo ignoruje uwarunkowania ciągłości działania. W dzisiejszych czasach zarządzanie ciągłością działalności organizacji jawi się jako ważna i w pewnym sensie odrębna funkcja zarządzania. Empirycznym asumptem do takiego stwierdzenia mogą być wnioski wynikające z obserwacji konsekwencji, jakie występowały w działalności organizacji wskutek różnego rodzaju kryzysów i zakłóceń. W Stanach Zjednoczonych większość firm, które nie wprowadziły na czas efektywnych planów ciągłości działania, a które jednocześnie dotknął poważny incydent, w ciągu 18 miesięcy od jego wystąpienia zostało zamkniętych.
Tabela 5.4. Wybrane zabezpieczenia z załącznika A ISO/IEC 27001 i odpowiadające im cele
| Obszar bezpieczeństwa informacji | Zabezpieczenie/cel stosowania | |
| Polityka bezpieczeństwa | Polityka bezpieczeństwa | Sprawienie, aby kierownictwo wspierało bezpieczeństwo informacji i zarządzało nim zgodnie z wymaganiami biznesowymi i właściwymi przepisami prawa oraz regulacjami wewnętrznymi |
| Organizacja bezpieczeństwa informacji | Organizacja wewnętrzna | Zarządzanie bezpieczeństwem informacji w organizacji |
| Zarządzanie aktywami organizacyjnymi | Klasyfikacja informacji | Sprawienie, aby informacje uzyskały ochronę na odpowiednim poziomie |
| Bezpieczeństwo zasobów ludzkich | Przed zatrudnieniem | Sprawienie, aby pracownicy, wykonawcy oraz użytkownicy reprezentujący strony trzecie rozumieli swoje obowiązki i właściwie odgrywali wyznaczone im role, redukcja ryzyka kradzieży, naruszenia dóbr osobistych i niewłaściwego korzystania z urządzeń |
| Bezpieczeństwo fizyczne i środowiskowe | Bezpieczeństwo sprzętu | Zapobieganie utracie, uszkodzeniu, kradzieży lub naruszeniu aktywów oraz przerwaniu działalności organizacji |
| Zarządzanie komunikacją i informacjami | Procedury eksploatacyjne i zakresy odpowiedzialności | Zapewnienie prawidłowej i bezpiecznej eksploatacji środków przetwarzania informacji |
| Zarządzanie kontrolą dostępu | Zarządzanie dostępem użytkowników | Zapewnienie dostępu autoryzowanym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów informacyjnych |
| Bezpieczeństwo systemów informatycznych | Poprawne przetwarzanie w aplikacjach | Ochrona przed błędami, utratą, nieuprawnioną modyfikacją lub nadużyciem informacji w aplikacjach |
| Zarządzanie incydentami bezpieczeństwa informacji | Zgłaszanie słabości i zdarzeń związanych z bezpieczeństwem informacji | Sprawienie, aby zdarzenia i słabości związane z bezpieczeństwem informacji były zgłaszane w sposób umożliwiający szybkie podjęcie działań korygujących |
| Zarządzanie ciągłością działania | Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania | Przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami systemów informacyjnych lub katastrofami, a także zapewnienie wznowienia działalności w wymaganym czasie |
| Zarządzanie zgodnością | Zgodność z przepisami prawa | Unikanie naruszenia jakichkolwiek przepisów prawa, zobowiązań wynikających z ustaw, regulacji wewnętrznych lub umów oraz jakichkolwiek wymagań bezpieczeństwa |
| Istnieją takie obszary związane z zarządzaniem, w których nie może być odstępstw od przyjętych modeli » |
- doświadczenia wynikające z roli i praktyki postępowania wojska w przypadku zaistnienia różnego rodzaju zdarzeń losowych;
- funkcje obrony cywilnej w zakresie ochrony ludności i przedsiębiorstw przed zjawiskami kryzysowymi i katastrofami naturalnymi;
- pojawienie się technologii informatycznych, które w dużym stopniu uzależniły od siebie procesy zarządzania i jednocześnie postawiły w zupełnie innym świetle kwestie podatności systemów organizacyjnych na różnego rodzaju zagrożenia;
- odbicie się szerokim echem ataków terrorystycznych z 11 września 2001 roku, wprowadzających nowy wątek w zarządzaniu organizacjami, a mianowicie utrzymania krytycznie ważnej infrastruktury oraz ochrony obiektów produkcyjnych i usługowych przed tego rodzaju zdarzeniami;
- wyłonienie się stosunkowo nowej subdyscypliny w ramach nauk o zarządzaniu, jaką jest zarządzanie ciągłością działalności (ang. Business Continuity Management), wpierane częstokroć regulacjami prawnymi dotyczącymi np. funkcji kontrolnych rad nadzorczych;
- obserwowane psychologiczne skutki występowania kryzysów lub nieciągłości w działalności organizacji, dotykające pracowników, np. zachowania opisywane w ramach tzw. teorii syndromu.
- standard NFPA 1600, opublikowany po raz pierwszy w 1995 roku przez Radę Programową Narodowego Stowarzyszenia Ochrony Przeciwpożarowej, traktowany jako pierwowzór kolejnych standardów zarządzania ciągłością;
- brytyjska ustawa o zarządzaniu kryzysowym (Civil Contingencies Act) z 2004 roku, definiująca i klasyfikująca sytuacje kryzysowe i powodujące je zagrożenia oraz wskazująca podmioty odpowiedzialne za podejmowanie reakcji;
- standard ISO/PAS 22399:2007, wyznaczający kompleksowe zasady systemu zarządzania organizacją na wypadek wystąpienia nagłej sytuacji kryzysowej;
- publikacje Business Continuity Institute, będące dobrymi praktykami zarządzania ciągłością działalności;
- standard BS 25999, będący podstawą certyfikacji systemów zarządzania ciągłością działalności organizacji.
- chęć zapewnienia nieprzerwanego działania, choćby w zakresie niezbędnego minimum w przypadku wystąpienia niezaplanowanych niekorzystnych zdarzeń;
- chęć zapewnienia możliwości odtworzenia zdolności organizacji do funkcjonowania w określonym czasie;
- zamiar podniesienia wiarygodności organizacji w oczach klientów czy inwestorów;
- potrzebę ochrony pracowników organizacji;
- kształtowanie reputacji organizacji oraz zarządzanie wartością jej marki;
- spełnienie ewentualnych wymogów przepisów, potencjalnych klientów, ubezpieczycieli;
- kształtowanie przewagi konkurencyjnej rozumianej jako wyższa od konkurentów zdolność do funkcjonowania niezależnie od występujących zakłóceń.
- Samsung Life Insurance (Korea) (BS 25999 Certification Case Study Samsung…, 2010): 1) podkreślenie znaczenia głównej pozycji na rynku jako pierwszej, która wprowadziła standard, 2) podtrzymywanie zaufania do firmy;
- Industrial Bank of Korea (BS 25999 Certification Case Study Industrial…, 2010): 1) zademonstrowanie stosowania najlepszych praktyk, 2) użycie BCM do spełnienia wymagań prawa, w tym umowy bazylejskiej, 3) zdobycie przewagi konkurencyjnej na rynku, 4) zapewnienie większej odporności na kryzysy i zakłócenia;
- Audatex (BS 25999 Certification Case Study Audatex, 2010): zademonstrowanie klientom i innym stronom zainteresowanym proaktywnego podejścia do kwestii bezpieczeństwa.
- Jak już wcześniej zauważono, obecnie najpopularniejsze standardy zarządzania ciągłością działalności to standardy BS 25999 (tabela 5.5).
Tabela 5.5. Podstawowe standardy serii BS 25999
| BS 25999-1:2006 Zarządzanie ciągłością działania biznesu. Kodeks stosowania. | BS 25999-2: 2007 Zarządzanie ciągłością działania biznesu. Specyfikacja. |
Ideę kształtowania programów zarządzania ciągłością działalności według BS 25999 pokazano na rysunku 5.3.
Rysunek 5.3. Ramowy model programu zarządzania ciągłością działalności według BS 25999
Źródło: opracowanie własne na podstawie How to Deploy… (2010: 5)
Zastosowanie standardu BS 25999 do budowy programów zarządzania ciągłością działalności składa się z czterech niżej opisanych faz.
Planowanie programu
Obejmuje następujące kluczowe elementy:
- Wymagania dla programu, w tym identyfikację jego zakresu i celów, uwzględnienie strategicznych celów organizacji, kluczowych produktów i usług, granic akceptacji ryzyka oraz innych wymagań, w tym prawnych.
- Politykę zarządzania ciągłością działalności, której określenie (jak również określenie jej celów) jest odpowiedzialnością najwyższego kierownictwa. Polityka i cele powinny być zakomunikowane pracownikom.
- Zapewnienie zasobów i kompetencji personelu, obejmujące wszystkie kategorie zasobów niezbędne do wprowadzenia i utrzymywania programu, a także szkolenia i ciągły rozwój kompetencji pracowników.
- Osadzenie (zakorzenienie) filozofii zarządzania ciągłością w organizacji, szczególnie poprzez uświadomienie pracowników.
- Nadzór nad dokumentacją i zapisami, w tym ich utworzenie.
Implementacja i bieżące operacje
| Systemy zarządzania są najbardziej dojrzałymi rozwiązaniami » |
- analiza oddziaływania zdarzeń na krytycznie ważne działania organizacji;
- ocena ryzyka dotycząca zagrożeń i wrażliwości organizacji;
- określanie potencjalnych wyborów dotyczące identyfikacji możliwych scenariuszy postępowania w celu łagodzenia skutków bądź eliminowania zagrożeń;
- określanie strategii zarządzania ciągłością, obejmujące relacje z wewnętrznymi i zewnętrznymi stronami zainteresowanymi;
- struktura odpowiedzialności zarządzania incydentami, w tym: identyfikacja odpowiedzialności personelu, tworzenie planów działania i alokacja niezbędnych zasobów, określenie odpowiedzialności za komunikację z otoczeniem;
- plany zarządzania ciągłością i incydentami dokumentujące, jak organizacja będzie postępować stosownie do określonego poziomu niebezpieczeństwa;
- ćwiczenia i testy mające na celu walidację określonych planów i rozwiązań;
- utrzymywanie i przeglądy zarządzania ciągłością działalności, dotyczące oceny adekwatności i skuteczności dobranych rozwiązań.
Monitorowanie i przeglądy
W fazie tej wyróżniono dwa kluczowe wymagania:
- audity wewnętrzne, sprawdzające osiąganie zaplanowanych zamierzeń, utrzymywanie i doskonalenie oraz realizację polityki i celów;
- przeglądy zarządzania, oceniające przydatność, adekwatność i skuteczność rozwiązań.
Utrzymywanie i doskonalenie
W tej fazie powinnością organizacji jest:
- doskonalenie zarządzania ciągłością działalności na podstawie działań korygujących i zapobiegawczych;
- ciągłe doskonalenie skuteczności zarządzania ciągłością działalności oparte na przeglądzie polityki i celów, rezultatach auditów, analizach i wynikach monitorowania zdarzeń, działaniach korygujących i zapobiegawczych oraz na przeglądzie zarządzania.
*Artykuł stanowi fragment książki pt. Współczesne systemy zarządzania. Jakość, bezpieczeństwo, ryzyko (Helion/Onepress 2012)
Źródło:
