The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Pregled koraka u implementaciji norme BS 25999-2

Menadžment vam je u zadatak dao da implementirate kontinuitet poslovanja, ali niste sasvim sigurni kako ćete to učiniti? Iako to nije lak zadatak, možete se poslužiti metodologijom iz norme BS 25999-2 kako biste si olakšali život – u nastavku se nalaze glavni koraci nužni za implementaciju te norme:

1. Osigurajte podršku menadžmenta

Iako to nije obavezni korak prema BS 25999-2, sigurno je ključan za sam početak – ako menadžment ne razumije koristi koje donosi kontinuitet poslovanja i ako nije predan tom projektu, vaš projekt najvjerojatnije neće uspjeti.

2. Primijenite projektni pristup

Za uspostavu sustava za upravljanje kontinuitetom poslovanja (BCMS) bit će potrebno dosta vremena i resursa – morate jasno definirati što se mora učiniti, u kojem vremenskom roku i koje su uloge u provedbi projekta. Drugim riječima, morate primijeniti metode upravljanja projektima.

3. Definirajte ciljeve i opseg; sastavite Politiku upravljanja kontinuitetom poslovanja

Morate definirati što želite postići BCMS-om – sukladnost, smanjenje razine rizika, zahtjevi klijenata/partnera, itd. Također morate definirati što ćete uključiti u svoj BCMS – čitavu organizaciju ili samo jedan njezin dio. Na primjer, možda ćete odlučiti da ćete uključiti samo podatkovni centar ako svojim klijentima pružate usluge hostinga. Sve to treba dokumentirati u Politici upravljanja kontinuitetom poslovanja (Politika BCM-a).

4. Definirajte uloge i odgovornosti za BCMS

Budući da će BCMS postati stalna aktivnost u vašoj organizaciji, morate jasno definirati odgovornosti, osobito za “sponzora” BCMS-a (netko tko je odgovoran za BCMS, ali nije uključen u svakodnevne aktivnosti oko BCMS-a) te “koordinatora upravljanja BCM-om”, “menadžera upravljanja BCM-om” ili neku sličnu funkciju – jedna ili više osoba s aktivnim zaduženjima oko BCMS-a. Te uloge i odgovornosti je najbolje definirati kroz Politiku BCM-a.

5. Implementirajte obavezne procedure

Norma BS 25999-2 propisuje implementaciju sljedeće četiri obavezne procedure: upravljanje dokumentima i zapisima, interni audit, preventivne i korektivne mjere. Te procedure zapravo tvore temelj vašeg sustava upravljanja, slično kao u ISO 27001 ili ISO 9001.

6. Provedite analizu utjecaja na poslovanje i procjenu rizika

Pomoću analize utjecaja na poslovanje morate odrediti kritične aktivnosti, maksimalno tolerirano vrijeme njihovog prekida, međuovisnosti između takvih kritičnih aktivnosti (uključujući i ovisnosti o dobavljačima i outsourcing partnerima), kao i postaviti ciljana vremena oporavka.

Provedbom procjene rizika zapravo ćete saznati koji bi mogli biti uzroci prekida vaših kritičnih aktivnosti – oni mogu biti prirodne, ali i ljudske aktivnosti, i to zlonamjerne ili slučajne. Također biste morali provesti i obradu rizika, što znači da morate odlučiti kako ćete smanjiti vjerojatnost da nešto pođe po zlu. Nažalost ova norma ne definira procjenu i obradu rizika na najbolji način pa bi bilo dobro da pogledate normu ISO 27001 koja ih opisuje mnogo detaljnije.

7. Određivanje strategije kontinuiteta poslovanja

Prije nego krenete s pisanjem planova kontinuiteta poslovanja, morate odrediti koji će vam resursi biti potrebni za ponovno uspostavljanje kritičnih aktivnosti – koji ljudi, lokacije, podaci, hardver, softver, dobavljači, oursourcing partneri, itd.

Strategija kontinuiteta poslovanja mora odrediti ne samo ono što vam je potrebno, nego i kako ćete osigurati te resurse.

8. Pisanje planova za upravljanje incidentima i planova kontinuiteta poslovanja

Svrha planova za upravljanje incidentima je opisati kako ćete izravno reagirati na pojavu incidenta (npr. požar, potres, prijetnja bombom, nestanak struje, itd.) kako biste spriječili njegovo širenje i pokušali smanjiti izravne učinke.

S druge strane, svrha planova kontinuiteta poslovanja je opisati kako ćete oporaviti svoje kritične aktivnosti – kako ćete aktivirati sve resurse koje ste pripremili. To znači da morate opisati tko će što raditi, u kojem vremenu, uz pomoć kojih podataka i tehnologije kako bi vaša organizacija ponovno profunkcionirala.

Sve te planove treba detaljno opisati jer se moraju izvršavati čak i u slučaju da nema glavnog osoblja – zbog toga ih treba pisati tako da ih može provesti i netko drugi.

9. Obučavanje i osvješćivanje

Morate definirati kompetencije potrebne za izvršavanje planova kontinuiteta poslovanja u slučaju prekida i zatim provesti obuku svog osoblja (kako zaposlenika tako i vanjskih partnera) da bi se postigla ta razina kompetencije.

Međutim, to nije dovoljno – osoblju ćete još morati objasniti zašto je upravljanje kontinuitetom poslovanja nužno. Budimo realni, svoje ćete planove kontinuiteta poslovanja primijeniti možda jednom u životu pa će ih većina zbog toga smatrati gubitkom vremena. Zato im morate objasniti zašto tako nešto postoji. (Vidi također Upravljanje kontinuitetom poslovanja – kako izići na kraj sa skepticima?)

10. Vježbanje BCM-a

Ako ste pomislili da ste napisali savršene planove, vjerojatno griješite – gotovo je nemoguće odmah na početku sastaviti plan bez greške. Zbog toga je vježbanje obavezni dio BCMS-a – planove morate testirati u situaciji koja više ili manje nalikuje stvarnom prekidu. Tek ćete tada znati što ste planirali dobro, a što niste.

11. Održavanje i pregledavanje BCMS-a

Još jedan način kako svoj BCMS možete stalno održavati ažurnim je definiranje intervala u kojima ćete pregledavati svoje planove kontinuiteta poslovanja, ali i druge aranžmane (npr. ugovore s dobavljačima i outsourcing partnerima, obučavanje i osvješćivanje itd.). Različite promjene u okolini prijete da vaša dokumentacija postane zastarjela – dovoljno je da neki zaposlenik napusti tvrtku pa da vam u planu ostane neupotrebljivi telefonski broj ako je ta osoba imala ulogu u BCMS-u.

Također je obavezno provesti pregled nakon incidenta ako je stvarno došlo do incidenta – njegova svrha je saznati kako je organizacija stvarno reagirala – je li slijedila planove ili ne.

12. Interni audit

Svrha internog audita je saznati je li sve u redu, na objektivan način – interni auditor mora biti osoba koja treba saznati je li nešto u vašem BCMS-u učinjeno pogrešno kako bi se to moglo ispraviti. Ako se učini kako treba, interni audit može biti jedan od najboljih načina da poboljšate svoj BCMS. (Nedoumice vezane za interne auditore po normama ISO 27001 i BS 25999-2)

13. Pregled od strane menadžmenta

Kako je već rečeno, vrlo je važno da se menadžment uključi u projekt – pregled od strane menadžmenta služi upravo tome. Norma propisuje da menadžment mora ispitati sve relevantne činjenice o upravljanju kontinuitetom poslovanja i odlučiti je li ono ispunilo svoju svrhu. Kad je to učinjeno, menadžment mora donijeti odluku o tome koja poboljšanja treba provesti.

14. Preventivne i korektivne mjere

Najbolje bi bilo spriječiti da se pogreške (ili “nesukladnosti” u terminologiji norme BS 25999) događaju – tome služe preventivne mjere. One predstavljaju sustavan način ispravljanja stvari prije nego dođe do problema. Slično preventivnim mjerama, tu su i korektivne mjere koje rješavaju problem koji se već dogodio.

Sad je pitanje: zašto biste uopće koristili normu BS 25999-2? Iako ona (još uvijek) nije međunarodna norma, radi se o najpopularnijoj normi za kontinuitet poslovanja u cijelom svijetu. Navedene korake osmislili su najbolji stručnjaci s područja kontinuiteta poslovanja pa ako želite implementirati najbolje prihvaćene prakse za kontinuitet poslovanja, ne morate tražiti dalje.

Ovdje možete preuzeti  dijagram Proces implementacije norme BS 25999-2 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom (potrebno je registrirati se).

Ako Vam se svidio ovaj članak, pretplatite se na ažuriranja.

Poboljšajte svoje znanje s našim besplatnim resursima za ISO 27001/ISO 22301 standarde.

Pretplatu možete otkazati u bilo kojem trenutku.

Za više informacija o tome koje osobne podatke prikupljamo, zašto su nam potrebni, što činimo s njima, koliko dugo ih čuvamo, te koja su Vaša prava, pogledajte ovu Obavijest o privatnosti.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa *

NAŠI KLIJENTI

NAŠI PARTNERI

  • Advisera je certificirana od strane Exemplar Global kao pružatelj TPECS za IS, QM, EM, TL i AU kompetencijske jedinice.
  • ITIL® je registrirani zaštitni znak tvrtke AXELOS Limited. Koristi se prema licenci tvrtke AXELOS Limited. Sva prava pridržana.
  • DNV GL Business Assurance je jedan od vodećih pružatelja usluga certificiranja akreditiranih sustava upravljanja.