Pomocna przy tworzeniu BCP może okazać się nowa norma wydana przez Międzynarodową Organizacje Normalizacyjną (ISO), a mianowicie norma ISO 22301:2012 opisująca szeroko pojęte zarządzanie ciągłością działania (BCM).
Organizacje, w których niedopuszczalne są jakiekolwiek przerwy w realizowanych działaniach, są niemal zobowiązane do korzystania z tej normy podczas opracowywania własnych praktyk ciągłości działania. Norma została przygotowana w taki sposób, iż stosując jej postanowienia organizacja jest w stanie utrzymać ciągłość działania w najbardziej niespodziewanych i trudnych okolicznościach. Opracowanie planu ciągłości działania pozwala firmie na przygotowanie się na nieoczekiwane i trudne okoliczności, natomiast klientowi, który ma zamiar podjąć współpracę lub już współpracuje z taką firmą daje pewność, iż firma jest zabezpieczona i jest w stanie zapewnić bezpieczeństwo interesów klienta. Podstawową częścią każdego planu jest przeprowadzenie analizy ryzyk mogących zakłócić ciągłość działania organizacji. W drugiej kolejności należy sklasyfikować te ryzyka w zależności od tego, co będzie miało wpływ na działalność firmy w stopniu krytycznym. Po ustaleniu tych punktów krytycznych mamy już podstawy do opracowania dla każdego z nich sposobu postępowania w przypadku zaistnienia zagrożenia.
Główne elementy, na które należy zwrócić uwagę podczas opracowywania BCP to:
Znaczenie kluczowego personelu oraz osób zarządzających w firmie.
Czy pracownicy lub osoby zarządzające mogą wykonywać swoje obowiązki zdalnie?
Lokalizacja firmy i możliwość wykonywania pracy w innym miejscu.
Lista kluczowych klientów, kontrahentów lub dostawców oraz informacje niezbędne do utrzymania kontaktu z nimi w przypadku zagrożenia.
Identyfikacja kluczowych dokumentów w firmie, które pozwolą na wznowienie działalności w innym miejscu.
Infrastruktura awaryjna niezbędna do kontynuowania działań po utracie podstawowych środków.
Wyznaczenie odpowiedzialności dla poszczególnych osób wymienionych w planie oraz upewnienie się, że wiedzą one o planie i o swoich obowiązkach z niego wynikających.
Powyższe punkty są niezbędne do opracowania dobrego i przydatnego BCP w firmie, ale nie są jedynymi prametrami. To na co należy zwrócić uwagę w każdej firmie jest ustalane indywidualnie ze względu na różnorodność działalności prowadzonych przez organizacje wdrażające u siebie System Zarządzania Bezpieczeństwem Informacji.
Autor: Marcin Pietrucha