QualityAustria

ISO 22301 - System Zarządzania Ciągłością Działania (BCM)


Zarządzanie ciągłością działania (Business Continuity Management, w skrócie BCM)

ISO 22301 – to międzynarodowa norma, która ma zastosowanie w zarządzaniu ciągłością działania w organizacji w kontekście wewnętrznych i zewnętrznych zagrożeń. Norma ta zastąpiła brytyjską normę BS 25999-2. Na dzień dzisiejszy nie ma polskiego odpowiednika.

 

Obszar zastosowania wymagań z zakresu ciągłości działania adresowany jest do tych podmiotów, dla których priorytetem jest:

  • nowoczesne holistyczne zarządzanie organizacją i jej bezpieczeństwo
  • zachowanie „płynności biznesowej” poprzez podejmowanie działań prewencyjnych oraz stosowanie zasad dla ciągłości działania
  • zmniejszenie zagrożenia straty istotnych aktywów przedsiębiorstwa
  • ograniczenie zużycia energii i czasu potrzebnych do odzyskania utraconych aktywów i przywrócenia funkcjonowania firmy
  • ochrona interesów organizacji i interesów klientów
  • dbałość o markę i kulturę organizacyjną
  • zapobieganie konsekwencjom prawnym wynikającym z niewiedzy i nieprzestrzegania obowiązujących przepisów.

 

Aby zapewnić ciągłość działania organizacji, koniecznym jest opracowanie planów ciągłości działania (Business Continuity Planning, w skrócie BCP) oraz określonych strategii, gdzie:

1) plany ciągłości działania – to zbiory instrukcji składające się na proces zarządzania kryzysowego (zawierają m.in. zasady postępowania oraz określone procedury awaryjne jak, np. instrukcje dotyczące ewakuacji, odtwarzania infrastruktury teleinformatycznej etc.). Z zasady powinny odnosić się do potencjalnych sytuacji kryzysowych w kontekście danej firmy i warunków jej funkcjonowania;

2) strategie zachowania ciągłości działania – są opracowywane na podstawie danych uzyskanych w wyniku analizy ryzyka (Risk Analysis, w skrócie RA) oraz analizy wpływu na biznes (Business Impact Analysis, w skrócie BIA) wymagań zawartych w parametrach odtworzenia z uwzględnieniem charakterystyki przedsiębiorstwa i dostępnych mu zasobów. Reasumując, strategia jest optymalną odpowiedzią na pytanie, jak należy postąpić w momencie wystąpienia sytuacji kryzysowej w konkretnej firmie. 

 

Analiza Wpływu na Biznes  (BIA) stanowi podstawę Systemu Zarządzania Ciągłością Działania (Business Continuity Management System, w skrócie BCMS). Jej celem jest określenie wpływu potencjalnych zakłóceń na działania biznesowe. Należy dobrze poznać te procesy, przewidzieć finansowe i niefinansowe (np. utrata wizerunku, zadowolenia klienta etc.) konsekwencje zakłócenia i/lub przerwania działań biznesowych dla organizacji oraz określić priorytetowe terminy wznowienia tych działań z jednoczesnym wyznaczeniem akceptowalnego poziomu ich wznowienia przy uwzględnieniu czasu, w którym skutki na wznowienie tych działań będą już nieakceptowalne.

 

Podczas Analizy Wpływu na Biznes wyznaczane są również podstawowe parametry co do czasu niezbędnego do odtworzenia każdego analizowanego procesu i zasobów organizacji. Są to:

  • RPO (Recovery Point Objective) – to punkt graniczny, od którego informacja wykorzystywana przez określone działanie może zostać odzyskana w celu umożliwienia wznowienia tego działania;
  • RTO (Recovery Time Objective) – czas od wystąpieniu incydentu, w którym musi zostać wznowione dostarczanie produktu czy usługi lub wznowione działanie, czy też muszą zostać zapewnione wymagane zasoby.

 

Można powiedzieć, że im lepiej poznamy organizację, im trafniejsze i bardziej rzetelne będą plany i strategie ciągłości działania, tym większa jest szansa na ochronę firmy przed stratami, jej utrzymanie się na rynku, a także na spełnienie przez nią wymagań branżowych w zakresie podstawowych wymagań bezpieczeństwa w relacji z klientami.  Działania tego typu powinny zapewnić płynność funkcjonowania i zwiększyć odporność firmy zarówno w obliczu katastrof, jak i pomniejszych sytuacji kryzysowych.

Należy przy tym zaznaczyć, iż korzystanie z coraz bardziej popularnych usług outsourcingowych nie zwalnia organizacji z odpowiedzialności wobec własnych klientów za realizację usługi w określonym czasie i na określonym poziomie. Outsourcing (Outside Resource Using) oznacza dosłownie korzystanie z zewnętrznych zasobów. Stąd tak ważne jest, aby w umowie outsourcingowej znalazły się również ustalenia obejmujące swym zakresem zarządzanie ciągłością działania.

Ponadto, organizacja, zlecając firmie zewnętrznej świadczenie pewnych usług, powinna przeprowadzić analizę krytyczności tych usług oraz opracować plan awaryjny, gdyby, z jakichś powodów, usługa nie mogła zostać przez usługobiorcę zrealizowana. Budowanie i utrzymanie Systemu Zarządzania Ciągłością Działania, uwzględniającego także umowy outsourcingowe, leży zatem w interesie każdej firmy. Jego efektywne wdrożenie, utrzymywanie, przeglądanie i uaktualnianie uzależnione jest od przyjętej polityki ciągłości działania, która powinna zostać udokumentowana, zatwierdzona przez zarząd oraz opublikowana po to, aby miały do niej dostęp wszystkie upoważnione do tego osoby.

Jakość systemu powinno się sprawdzać i udoskonalać. Można to uzyskać dzięki cyklicznej weryfikacji planu ciągłości działania, czy reagowaniu na zmiany dokonujące się w firmie, czy poza nią i uwzględnianiu ich przy wprowadzaniu bieżących aktualizacji. Pomocne mogą się tutaj okazać audity i szkolenia. Te pierwsze pozwolą na ustalenie zgodności systemu z polityką zarządzania ciągłością działania danej firmy oraz odpowiednimi normami i przepisami. Te drugie, zwiększą świadomość pracowników, a kadrze zarządzającej dadzą do ręki konkretną wiedzę i narzędzia pozwalające zadbać o bezpieczny rozwój ich firm.

 

Quality Austria-Polska oferuje swoje usługi zarówno w zakresie audytów na zgodność z normą ISO 22301, jak i w zakresie szkoleń.

Proponowane przez nas szkolenia z zakresu zarządzania ciągłością działania dadzą Ci odpowiedź na pytanie, czym jest norma i jakie są jej wymagania oraz dostarczą Ci swoistego know-how, czyli praktycznej wiedzy na temat tego, w jaki sposób powinieneś  przygotować się  na wystąpienie sytuacji kryzysowych w firmie, jak im zapobiegać, minimalizować ich negatywny wpływ i jak, w jak najkrótszym czasie, zapewnić firmie powrót do stanu normalnego funkcjonowania. 

 

Karta katalogowa ISO 22301

PODSTAWA CERTYFIKACJI

ISO 22301:2012 - System Zarządzania Ciągłością Działania (BCM)

ZAKRES

Standard ISO 22301 podaje wytyczne opracowania systemu zarządzania ciągłością działania dla organizacji o dowolnej wielkości i w dowolnej branży.

AKREDYTACJA

qualityaustria prowadzi proces certyfikacji zgodnie z ogólnymi wymaganiami określonymi w normie ISO 17021.

KRYTERIA

Certyfikacja systemu zarządzania ciągłością działania wg ISO 22301 prowadzona przez Quality Austria, odbywa się zgodnie z ustalonym, wraz z klientem, planem audytu. Auditorzy oceniają następujące wymagania i dobre praktyki określone przez normę ISO 22301 m.in. w zakresie:

  • identyfikacji kluczowych czynników ryzyka,
  • analizy potencjalnych skutków ich wystąpienia,
  • opracowania i testowania planów awaryjnych,
  • komunikacji, zasobów, wsparcia najwyższego kierownictwa itd.

CZAS TRWANIA AUDITU

Na czas trwania auditu (wymagania normatywu czasu pracy na miejscu) ma wpływ wiele aspektów, do którym można zaliczyc m.in. liczbę pracowników.

Obniżenie nakładu pracy auditorów na miejscu jest możliwe przy zintegrowanych systemach zarządzania.

ROZPOCZĘCIE PROCESU CERTYFIKACJI

Udzielenie qualityaustria-Polska zlecenia wynikającego ze złożonej oferty na certyfikację na podstawie zapytania o ofertę.

PRZEBIEG PROCESU

  • Przeprowadzenie auditu u klienta
  • Sporządzenie raportu z wnioskiem o wydanie certyfikatu
  • Wydanie certyfikatu

OKRES WAŻNOŚCI CERTYFIKATU

3 lata

ZASADY NADZORU

Warunkiem utrzymania ważności certyfikatu jest poddanie się kolejnym auditom nadzorczym prowadzonym przez jednostkę certyfikujacą w odstępach rocznych.

CERTYFIKAT

W wyniku pozytywnego przejścia procesu certyfikacji Klient otrzymuje certyfikat spełnienia wytycznych normy ISO 22301.

 








Quality Austria - Polska Sp. z o.o.

Quality Austria