left-svg
Bonus expert support worth $500
with the ISO 27001 Documentation Toolkit
Limited-time offer – ends June 30, 2022.
right-svg
  • (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Kako pisati planove kontinuiteta poslovanja?

    Ako ste započeli provoditi upravljanje kontinuitetom poslovanja, pisanje planova kontinuiteta poslovanja vjerojatno predstavlja najveći izazov.

    Zašto je to toliko teško? Morate se, primjerice, sjetiti različitih scenarija u kojima može doći do havarije (ili drugih vrsta prekida poslovnih aktivnosti) i morate osmisliti način kako postupiti ako se ti iznimno rijetki, ali potencijalno katastrofalni incidenti dogode.

    Osobe koje pišu takve planove obično ne znaju što planovi moraju sadržavati (koji su glavni elementi), koliko moraju biti dugi (koliko opsežni), koje korake moraju obuhvaćati, i sl.

    Za rješavanje svih ovih dilema najbolje je koristiti normu BS 25999-2, koja zajedno s normom BS 25999-1 definira okvir za pisanje planova.

    Prema tim normama, plan kontinuiteta poslovanja mora se sastojati od (1) plana odaziva na incident i (2) planova oporavka. Plan odaziva na incident obično je jedinstven plan koji se odnosi na cijelu organizaciju i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje posljedica incidenta, komunikacija sa službama za hitne slučajeve, evakuacija zgrade, okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju, i sl.

    Planovi oporavka se obično pišu zasebno za svaku kritičnu aktivnost i moraju obuhvaćati sljedeće korake: kada i kako se komunicira s raznim zainteresiranim stranama (zaposlenicima i njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima, i dr.), kako se sastavlja tim, kako se provodi oporavak infrastrukture, kako se provjerava funkcioniraju li aplikacije i jesu li prava pristupa odgovarajuća, kako se provjerava koji podaci nedostaju ili što je oštećeno u havariji, kako se provodi oporavak podataka i kako se donosi odluka da je oporavak završen kako bi se mogle uspostaviti normalne aktivnosti.

    Disaster recovery planove (planovi oporavka ICT infrastrukture) potrebno je pisati pažljivo jer bi oni trebali opisati kako se pokreće svaki pojedini sustav unutar ciljanog vremena oporavka za pojedinu kritičnu aktivnost. Obično se to radi pisanjem detaljnog plana oporavka za svaki sustav koji treba oporaviti.

    Općenito pravilo glasi da svi planovi trebaju sadržavati takvu količinu detalja koja omogućuje da i drugi zaposlenici (ili vanjsko osoblje) koriste plan u slučaju da ljudi koji rade u pojedinoj kritičnoj aktivnosti nisu dostupni. Stoga, koristite zdrav razum u pisanju planova – oni moraju biti razumljivi svima, a ne samo vama.

    Iz iskustva znam da je najveći izazov u pisanju ovih planova taj što se zaposlenici po prvi put moraju baviti nečim potpuno drugačijim, nečim o čemu nikada prije nisu morali razmišljati. Taj ćete problem najbolje riješiti radionicom na kojoj će zaposlenici, sa ili bez moderatora, moći razmijeniti svoja razmišljanja o tome što bi se dogodilo kad bi…, kako reagirati ako…, i sl.

    Sama činjenica da su vaši zaposlenici počeli razmišljati o kontinuitetu poslovanja već je 50% obavljenog posla – takvim pristupom rezultati planiranja kontinuiteta poslovanja bit će mnogo bolji.

    Ovaj besplatni webinar će Vam također pomoći: Writing a business continuity plan according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Povežite se s Dejan: