Norma ISO 22301 została wprowadzona parę lat temu, jako norma uzupełniająca dla systemu zarządzania bezpieczeństwem informacji, która reguluje sprawy związane zapewnieniem ciągłości działania organizacji. Norma ISO 22301 dotyczy systemu zarządzania ciągłością działania (BCP).
System zarządzania ciągłością działania ma na celu zapewnienie, że przedsiębiorstwo jest w stanie funkcjonować mimo zmiennych warunków otoczenia. Standardowo przyjmuje się, że plan ciągłości działania ma zapewnić firmie przetrwanie w przypadku wystąpienia mniejszych kataklizmów oraz zmniejszenie zagrożeń na skale lokalną. Standardowy plan ciągłości działania ma zapewnić działanie firmy podczas masowej awarii sprzętu, masowej nieobecności pracowników (do 50%), chwilowych zachwiań dostaw prądu i innych mediów, braku łączności z brakiem Internetu włącznie. Podstawowy system zarządzania ciągłością działania pozwala na chwalenie się przed kontrahentami posiadaniem standardowych (ww.) planów na wypadek wystąpienia sytuacji awaryjnych.
System zarządzania ciągłością działania w oparciu o ISO 22301 może zostać nam narzucony przez korporacje lub jednostkę rządową. W takim przypadku zapewne będzie wymagane, abyśmy byli w stanie zapewnić ciągłość funkcjonowania w sytuacjach skrajnych, takich jak, kataklizmy pogodowe (powódź, huragan) epidemie (nieobecność pracowników do 70%), długotrwałe przerwy w zasilaniu, długotrwałe przerwy w dostawie mediów, brak łączności. Chcąc wdrożyć taki system zarządzania ciągłością działania, musimy się opierać o dobre praktyki, które najlepiej zaciągnąć z wojska. Niestety jest to dosyć kosztowne działanie i wymaga wysokiego stopnia organizacji pracy. Podczas wdrażania systemu możemy zaoszczędzić znaczne kwoty, jeżeli będziemy dobrze zorganizowani. Musimy pamiętać o tym, że plany mające na celu zapewnienie ciągłości działania są tylko dokumentami i nie będą robić wrażenia na naszych kontrahentach jeżeli nie będziemy okresowo testować planów, które posiadamy, przeprowadzać ćwiczeń i dokumentować to w odpowiedni sposób. Dopiero tak przedstawiony plan ciągłości działania wraz z potwierdzeniem wykonania ćwiczenia jest wiarygodnym dowodem na to, że nasza firma jest przygotowana na wypadek określonych sytuacji.
Norma ISO 22301 jest również uzupełnieniem normy ISO/IEC 27001 oraz normy ISO 2000-1. W przypadku normy ISO/IEC 27001 jest zawarte wymaganie, aby organizacja, która wdraża system zarządzania bezpieczeństwem informacji posiadała plany zachowania ciągłości działania na wypadek sytuacji przewidzianych w analizie ryzyka. Norma ISO/IEC 27001 nie ma wymagania, aby plan ciągłości działania systemu były zgodne z normą ISO 22301. Jednak norma ta jest podręcznikiem dobrej praktyki, w zakresie ciągłego systemu zarządzania ciągłością działania, a co za tym idzie. wykazując się dobrą praktyką należy w oparciu o tą normę taki system zbudować.
W przypadku normy ISO 2000-1 sytuacja jest podobna. Norma zawiera wymóg, aby zarządzać planem ciągłości działania, jednak również nie narzuca nam obowiązku, aby plan ten był zgodny z normą ISO 22301. Podobnie jak w przypadku ISO/IEC 27001 , jeżeli chcemy zachować dobre praktyki, należy deklarować, iż plan ciągłości działania, który wyrażamy jest zgodny z normą ISO 22301.
Norma ISO 22301 system zarządzania ciągłością działania pozwoli nam w naszych przedsiębiorstwach zachować pewną i stabilną sytuację, zarówno w aspekcie bezpieczeństwa fizycznego, w aspekcie bezpieczeństwa finansowego, w aspekcie bezpieczeństwa teleinformatycznego oraz personalnego. Wystarczy po nią sięgnąć i wdrążyć jej wymagania.
Autor: Mariusz Mazur