Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Kako pisati planove kontinuiteta poslovanja?

    Ako ste započeli provoditi upravljanje kontinuitetom poslovanja, pisanje planova kontinuiteta poslovanja vjerojatno predstavlja najveći izazov.

    Zašto je to toliko teško? Morate se, primjerice, sjetiti različitih scenarija u kojima može doći do havarije (ili drugih vrsta prekida poslovnih aktivnosti) i morate osmisliti način kako postupiti ako se ti iznimno rijetki, ali potencijalno katastrofalni incidenti dogode.

    Osobe koje pišu takve planove obično ne znaju što planovi moraju sadržavati (koji su glavni elementi), koliko moraju biti dugi (koliko opsežni), koje korake moraju obuhvaćati, i sl.

    Za rješavanje svih ovih dilema najbolje je koristiti normu BS 25999-2, koja zajedno s normom BS 25999-1 definira okvir za pisanje planova.

    Prema tim normama, plan kontinuiteta poslovanja mora se sastojati od (1) plana odaziva na incident i (2) planova oporavka. Plan odaziva na incident obično je jedinstven plan koji se odnosi na cijelu organizaciju i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje posljedica incidenta, komunikacija sa službama za hitne slučajeve, evakuacija zgrade, okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju, i sl.

    Planovi oporavka se obično pišu zasebno za svaku kritičnu aktivnost i moraju obuhvaćati sljedeće korake: kada i kako se komunicira s raznim zainteresiranim stranama (zaposlenicima i njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima, i dr.), kako se sastavlja tim, kako se provodi oporavak infrastrukture, kako se provjerava funkcioniraju li aplikacije i jesu li prava pristupa odgovarajuća, kako se provjerava koji podaci nedostaju ili što je oštećeno u havariji, kako se provodi oporavak podataka i kako se donosi odluka da je oporavak završen kako bi se mogle uspostaviti normalne aktivnosti.

    Disaster recovery planove (planovi oporavka ICT infrastrukture) potrebno je pisati pažljivo jer bi oni trebali opisati kako se pokreće svaki pojedini sustav unutar ciljanog vremena oporavka za pojedinu kritičnu aktivnost. Obično se to radi pisanjem detaljnog plana oporavka za svaki sustav koji treba oporaviti.

    Općenito pravilo glasi da svi planovi trebaju sadržavati takvu količinu detalja koja omogućuje da i drugi zaposlenici (ili vanjsko osoblje) koriste plan u slučaju da ljudi koji rade u pojedinoj kritičnoj aktivnosti nisu dostupni. Stoga, koristite zdrav razum u pisanju planova – oni moraju biti razumljivi svima, a ne samo vama.

    Iz iskustva znam da je najveći izazov u pisanju ovih planova taj što se zaposlenici po prvi put moraju baviti nečim potpuno drugačijim, nečim o čemu nikada prije nisu morali razmišljati. Taj ćete problem najbolje riješiti radionicom na kojoj će zaposlenici, sa ili bez moderatora, moći razmijeniti svoja razmišljanja o tome što bi se dogodilo kad bi…, kako reagirati ako…, i sl.

    Sama činjenica da su vaši zaposlenici počeli razmišljati o kontinuitetu poslovanja već je 50% obavljenog posla – takvim pristupom rezultati planiranja kontinuiteta poslovanja bit će mnogo bolji.

    Ovaj besplatni webinar će Vam također pomoći: Writing a business continuity plan according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan posjeduje brojne certifikate, uključujući Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor i Associate Business Continuity Professional. Dejan rukovodi našim timom u uređivanju nekoliko internet stranica koje su specijalizirane za pružanje potpore ISO i IT stručnjacima u razumijevanju i uspješnom implementiranju vrhunskih svjetskih standarda. Dejan je magistrirao na Henley Management College, i posjeduje veliko iskustvo u području investicija, osiguranja i bankarstva. Poznat je po svojoj stručnosti na polju međunarodnih standarda za kontinuitet poslovanja i informacijsku sigurnost – ISO 27001 & ISO 22301 – i kao autor brojnih video tutorijala, paketa dokumentacije i knjiga.