W poprzednim tygodniu wyjaśniłem Państwu problem związany z nazewnictwem normy oraz nazewnictwem samego systemu. W dzisiejszym krótkim artykule chciałbym zwrócić Państwa uwagę na jedno z wymagań normy ISO/IEC 27001, którym jest plan ciągłości działania (PCD) lub można również spotkać nazwę Business Continuity Plan (BCP).
Pomocna przy tworzeniu BCP może okazać się nowa norma wydana przez Międzynarodową Organizacje Normalizacyjną (ISO), a mianowicie norma ISO 22301:2012 opisująca szeroko pojęte zarządzanie ciągłością działania (BCM).
Organizacje, w których niedopuszczalne są jakiekolwiek przerwy w realizowanych działaniach, są niemal zobowiązane do korzystania z tej normy podczas opracowywania własnych praktyk ciągłości działania. Norma została przygotowana w taki sposób, iż stosując jej postanowienia organizacja jest w stanie utrzymać ciągłość działania w najbardziej niespodziewanych i trudnych okolicznościach. Opracowanie planu ciągłości działania pozwala firmie na przygotowanie się na nieoczekiwane i trudne okoliczności, natomiast klientowi, który ma zamiar podjąć współpracę lub już współpracuje z taką firmą daje pewność, iż firma jest zabezpieczona i jest w stanie zapewnić bezpieczeństwo interesów klienta. Podstawową częścią każdego planu jest przeprowadzenie analizy ryzyk mogących zakłócić ciągłość działania organizacji. W drugiej kolejności należy sklasyfikować te ryzyka w zależności od tego, co będzie miało wpływ na działalność firmy w stopniu krytycznym. Po ustaleniu tych punktów krytycznych mamy już podstawy do opracowania dla każdego z nich sposobu postępowania w przypadku zaistnienia zagrożenia.
Główne elementy, na które należy zwrócić uwagę podczas opracowywania BCP to:
Znaczenie kluczowego personelu oraz osób zarządzających w firmie.
Czy pracownicy lub osoby zarządzające mogą wykonywać swoje obowiązki zdalnie?
Lokalizacja firmy i możliwość wykonywania pracy w innym miejscu.
Lista kluczowych klientów, kontrahentów lub dostawców oraz informacje niezbędne do utrzymania kontaktu z nimi w przypadku zagrożenia.
Identyfikacja kluczowych dokumentów w firmie, które pozwolą na wznowienie działalności w innym miejscu.
Infrastruktura awaryjna niezbędna do kontynuowania działań po utracie podstawowych środków.
Wyznaczenie odpowiedzialności dla poszczególnych osób wymienionych w planie oraz upewnienie się, że wiedzą one o planie i o swoich obowiązkach z niego wynikających.
Powyższe punkty są niezbędne do opracowania dobrego i przydatnego BCP w firmie, ale nie są jedynymi prametrami. To na co należy zwrócić uwagę w każdej firmie jest ustalane indywidualnie ze względu na różnorodność działalności prowadzonych przez organizacje wdrażające u siebie System Zarządzania Bezpieczeństwem Informacji.
Autor: Marcin Pietrucha
