bs 25999: ciągłość działania (business continuity management)
Transkrypt
bs 25999: ciągłość działania (business continuity management)
Studia i Materiały. Miscellanea Oeconomicae Rok 15, Nr 2/2011 Wydział Zarządzania i Administracji Uniwersytetu Jana Kochanowskiego w Kielcach Ludzie, zarządzanie, gospodarka Jerzy Zamojski1 BS 25999: CIĄGŁOŚĆ DZIAŁANIA (BUSINESS CONTINUITY MANAGEMENT) – CZY ZNÓW BSI WYTYCZA DROGĘ DLA ŚWIATA BIZNESU? 1. Wprowadzenie Zapewnienie ciągłości działania to jedno z fundamentalnych zadań realizowanych w ramach działalności przedsiębiorstwa. Celem BSI było więc stworzenie takiej normy, która zapewni „minimalizację zakłóceń i maksymalizację efektywności odzyskiwania sprawności.” 2. Historia Norma BS 25999 rozpoczęła swe Ŝycie, jak wiele innych norm, jako „Specyfikacja Dostępna Publicznie” lub PAS, a dokładniej PAS56:2003 Guide to Bussiness Continuity Managment. Została opublikowana w pierwszym kwartale 2003 r., aby umoŜliwić komentarze i ocenę, jako podstawę do dalszego rozwoju. Bardzo zbliŜona do tego dokumentu norma BS 25999-1 została opublikowana pod koniec 2006 roku2. Za całość opracowania odpowiadał Komitet Techniczny BSI BCM/1. W procesie tworzenia normy brały czynny udział osoby z branŜy usług finansowych, administracji, uczelni słuŜb ratunkowych, organizacji biznesowych oraz lekarze róŜnych specjalności3. Organizacje te to m.in. Association of British Certification 1 2 3 Dr Jerzy Zamojski, adiunkt, Uniwersytet Jana Kochanowskiego w Kielcach. http://www.bs25999.biz/history.html http://www.bs25999.com/2010/01/what-is-bs25999/ 99 Bodies, Association of British Insurers, Association of Chief Police Officers (ACPO), Association of Insurance Risk Managers, Association of Local Authority Risk Managers, the Cabinet Office, the Business Continuity Institute (BCI), Continuity Forum, Department of Trade and Industry, Emergency Planning Society, the CFOA, Coventry University, the DTI, the Emergency Planning Association, the Federation of Small Businesses, the Financial Service Authority (FSA), Fire Officers Association, the Institute of Directors, the Institute of Emergency Management (IEM), the Institute of Internal Auditors (IIA), Institute of Risk Management, Intellect, the Metropolitan Police, Securities Industry Business Continuity Management Group, Society of Industrial Emergency Services Officers (SIESO) oraz Survive4. Wyznaczono kilka kamieni milowych podczas prac nad tą normą. Były nimi: − Określenie zakresu prac (wrzesień 2005), − Draft (grudzień 2005 do lipiec 2006), − Udostępnienie dla publicznej oceny (lipiec – sierpień 2006), − WdroŜenie poprawek i uwag (wrzesień – październik 2006), − Opublikowanie normy (listopad 2070). Druga część normy BS 25999-2 została opublikowana w listopadzie 2007 roku. Zajęto się teŜ normami BS 25799 Business Continuity Implementation oraz ISO 31000 przewodnik przy wdraŜaniu zarządzania ryzykiem oraz stworzeniem odpowiednich narzędzi dostępnych przez Internet. 3. Budowa Norma BS 25999 to norma dwuczęściowa. Część pierwszą stanowi zbiór dobrych praktyk w zakresie zarządzania ciągłością działania – BS 25999-1:2006 – Zarządzanie Ciągłością Biznesu. Część 1: Kodeks Stosowania. Składa się na nią dziesięć rozdziałów. Zawiera: − Politykę zarządzania ciągłością działania, − Proces zarządzania ciągłością funkcjonowania organizacji, − Analizę działalności przez pryzmat ryzyka wystąpienia zagroŜeń, − Strategię zarządzania ciągłością działania, − Opracowanie i wdroŜenie środków ochrony (m.in. BCP i DRP), − Testowanie, zarządzanie i przegląd środków ochrony, − Zadanie budowy świadomości pracowników5. Część drugą stanowi dokument BS 25999-2:2007 - Zarządzanie Ciągłością Biznesu. Część 1: Wymagania. Zawiera on informacje o: − Zakresie Systemu Zarządzania Ciągłością Działania, − Planowaniu Systemu Zarządzania Ciągłością Biznesu, − Szacowaniu ryzyka, − Definiowaniu planów ciągłości biznesu, 4 5 http://www.sbbit.jp/bit/img/bit389401.pdf oraz http://www.bs25999.biz/history.html http://www.2bcg.pl/index.php?page=bs-25999 100 − Definiowaniu planów zarządzania incydentami, − Prowadzeniu audytów wewnętrznych i przeglądów, − Doskonaleniu systemu6. Całość została tradycyjnie oparta o koło Deminga. W wersji dla zarządzania ciągłością działania wygląda ono następująco: − PLAN : Stworzenie polityki zarządzania ciągłością działania, określenie jej celów, zadań, kontroli procesów i procedur. − DO : Faktyczne zastosowanie owych planów. − CHECK : Monitor celów i polityki. − ACT : Podjęcie działań zapobiegawczych i naprawczych w celu zapewnienia ciągłej poprawy. Wymagania i oczekiwania Zachowanie ciągłości działania Rysunek 1. Cykl PDCA dla Systemu Ciągłości Zarządzania wg normy BS 25999-2. Źródło: Opracowanie własne, na podstawie BS 25999-2 i http://www.bs25999.com/2009/12/bs25999-bcms-summary/ W szerszym kontekście oznacza to: − PLAN - Ustanowienie i Zarządzanie BCMS W tej części wymaga się jasnego określenia przez organizację celów ogólnych i zakresu stosowania zarządzania ciągłością działania. Zakres ten dotyczy takŜe tego, czy organizacja chce stosować owe zarządzanie w całej organizacji czy teŜ tylko w jakichś jej częściach. 6 http://www.2bcg.pl/index.php?page=bs-25999 101 Zadaniem organizacji jest takŜe udowodnienie, Ŝe owe metody są stosowane. Najłatwiejszym sposobem wykazania tego jest uzyskanie certyfikatu BS 25999, ale stosuje się teŜ szereg innych sposobów, jak np. kwestionariusze czy kontrole. System zarządzania ciągłością działania biznesowego (BCMS) musi zawierać co najmniej: − Politykę ciągłości biznesowej, − Odpowiedzialność, − Procesy zarządzania, − Określenie specyficznych procesów, − Dokumentację. Określenie polityki w zakresie zarządzania ciągłością działania jest wymagane, gdyŜ świadczy o zaangaŜowaniu i uszczegóławia zakres i cele całego systemu. NaleŜy dokonywać regularnych przeglądów polityki w tym zakresie. Owa polityka musi być ogólnodostępna dla wszystkich zainteresowanych stron. Jest to wymóg analogiczny jak w polityce jakości (ISO 9001), czy bezpieczeństwa (ISO 27001), bo tak jak tam stanowi ona podstawę systemu, gdyŜ pokazuje wyraźne zobowiązania, zarządzenia oraz określa obowiązki. Organizacja musi takŜe wykazać, Ŝe na ten system są przyznawane odpowiednie zasoby oraz, Ŝe jest osoba odpowiedzialna za utrzymanie i doskonalenie całego systemu. W większych organizacjach odpowiedzialność ową dzieli się pomiędzy menedŜera będącego członkiem zarządu (analogia np. z ISO 9001, czy ISO 14001), ale bezpośrednio za wdroŜenie, utrzymanie i doskonalenie systemu odpowiedzialny jest menedŜer ds. zapewnienia ciągłości działania. Od osób odpowiedzialnych za zapewnienie ciągłości wymaga się odpowiednich kwalifikacji. Wymagane są w tym zakresie stosowne certyfikaty i uprawnienia. Organizacje muszą zdecydować jakie dokumenty są wymagane. Mogą nimi być np. kwalifikacje zawodowe, referencje, rejestr szkoleń, testy, kopie opublikowanych prac i inne. Od osób zaangaŜowanych w system wymagane są szkolenia i zarządzanie kompetencjami. Owe szkolenia powinny być dostosowane do roli, jaką owe osoby pełnią w odzyskiwaniu sprawności działania oraz incydentach. Bardzo istotnym elementem działania jest osadzanie zarządzania ciągłością działania w kulturze organizacji. Owo zarządzanie musi stać się centralnym elementem z punktu widzenia zarówno perspektywy zarządzania jak i bieŜących programów edukacyjnych. Informacje na ten temat muszą być podejmowane na miejscu. Zarządzanie dokumentami i archiwami stanowiącymi część systemu zarządzania ciągłością działania musi być w pełni kontrolowane i chronione przed wyciekiem. SłuŜą do tego dokumenty i procesy autoryzacji. Minimalny zbiór dokumentów jaki musi zawierać system zarządzania ciągłością działania obejmuje: − Zakres, − Politykę, 102 − − − Przepisy odnośnie zasobów, Kompetencje i zadania personelu, BIA7 , oceny ryzyka i strategii zarządzania ciągłością (BC – business continuity), − Struktura reagowania na incydenty, plan reagowania na incydenty i plan ciągłości działania, − Ćwiczenie koordynacji, − Konserwację, przeglądy i badanie procedur, − Działania zapobiegawcze i naprawcze, − Zarządzanie ocenami i dowodami prowadzenia ciągłego doskonalenia. Zarządzanie zapisami, w celu wspierania takich elementów modelu PDCA jak Planuj, czy Sprawdź stanowi kluczowy element normy. Dotyczy on na przykład, problemu przechowywania, lokalizacji, zezwolenia, itp. Dokumentacja systemu moŜe być prowadzona w wersji papierowej i elektronicznej. − [DO] WdroŜenie i obsługa systemu zarządzania ciągłością działania (BCMS) Celem jest określenie potrzeb w tym zakresie i następnie wdroŜenie odpowiednich działań Ŝycie. Zrozumienie Organizacji – Ta sekcja zasadniczo formalizuje to, co jest opisane w części 1. Po pierwsze oznacza przeprowadzenie Analizy BIA a następnie zapisanie wyników w uporządkowany i udokumentowany sposób. Po drugie, korzystając z udokumentowanego procesu oceny ryzyka w organizacji dokonać analizy zagroŜeń, przed jakimi stoi i luk powodujących owe zagroŜenia, poniewaŜ są one mierzone w odniesieniu do krytycznej działań i zasobów. Po trzecie, zdecydować, w jaki sposób organizacja będzie się do tych zagroŜeń przygotowywać. Jednym z kluczowych elementów tej sekcji jest to, Ŝe procesy oceny ryzyka muszą być udokumentowane. MoŜna w tym celu zastosować standardowe procedury dokumentacyjne stosowane w organizacji lub zastosować jedną z metod analizy ryzyka. Organizacja jest zobowiązana do odniesienia się do owych analiz w systemie zarządzania ciągłością działania. Daje to moŜliwość opracowania odpowiedniej strategii i podjęcia działań w zakresie jej wdroŜenia. Opracowanie i wdroŜenie odpowiedniego zarządzania ciągłością działania (BCM) – Owo wdroŜenie obejmuje równieŜ struktury reagowania na incydenty. Ćwiczenia i obsługa zarządzania ciągłością działania (BCM) – Po wdroŜeniu BCM konieczne jest jego testowanie i prowadzenie odpowiedniego dla organizacji programu ćwiczeń. 7 Analiza BIA (Business Impact Analysis) jest źródłem informacji na temat tego, co jest krytyczne dla funkcjonowania organizacji, jakie procesy, zasoby są niezbędne do realizacji produktu, czy usługi. 103 − [CHECK] Monitorowanie i weryfikacja BCMS Procesy monitorowania i weryfikowania są konieczne do tego by zapewnić sprawność działania systemu. Ogólnie dzieli się je na 2 elementy: 1. Audyt Wewnętrzny – Jeśli organizacja ma juŜ wdroŜone funkcje audytu wewnętrznego, moŜe mieć sens wykorzystanie procesów i procedur juŜ uŜywanych. MoŜna w tym zakresie wykorzystać audytorów wewnętrznych innych specjalności. 2. Przegląd zarządzania – coroczny przegląd na podstawie audytu wewnętrznego i zewnętrznego, dotyczący zasobów i innych elementów, oraz wejść i wyjść. Generalnym celem przeglądu zarządzania jest ustalenie, czy system w dalszym ciągu spełnia potrzeby organizacji. Takiego przeglądu naleŜy dokonać takŜe w przypadku zaistnienia istotnych zmian organizacyjnych. − [ACT] Utrzymanie i doskonalenie BCMS Jednym z celów kaŜdego standardu zarządzania jest ciągłe doskonalenie. Norma wymaga, aby organizacja stale poprawiała ogólną efektywność BCMS poprzez róŜnorodne działania, zarówno profilaktyczne jak i naprawcze. Działania zapobiegawcze i korygujące są identyfikowane przez szereg czynności, takich jak audyty, analizy zdarzeń lub przeglądy zarządzania. Wszystkie one muszą być formalnie zapisane i wykorzystane do kontroli. Przeglądu zarządzania określa zakres działań, które naleŜy podjąć. 4. Certyfikacja Podstawowe etapy na drodze do certyfikacji systemu zarządzania ciągłością działania to: 1. ZaangaŜowanie Zarządu, 2. Deklaracja odnośnie zakresu systemu, 3. Wybór jednostki certyfikacyjnej, 4. Zakończenie Analizy BIA i Oceny Ryzyka, 5. Tworzenie i wdraŜanie BCMS, 6. Szkolenia i konsultacje (Opcjonalnie), 7. Opracowanie i wdroŜenie udokumentowanego systemu zarządzania w celu spełnienia wymagań normy i wszelkich specyficznych wymagań klienta, 8. Kompletny Audyt Wewnętrzny w zakresie oceny Cyklu PDCA i zarządzania, 9. Zakończenie procesu rejestracji8. 8 Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, 2008, s. 8. 104 Rysunek 2. Proces rejestracji wg normy BS 25999-2. Źródło: Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, 2008. 5. Podsumowanie Obydwie normy z powodzeniem mogą być stosowane w kaŜdym typie organizacji i o dowolnej wielkości, o ile ta chce zapewnić sobie znacznie większe bezpieczeństwo w trzech obszarach: − Elastyczność – Aktywna poprawa elastyczności firmy w zakresie realizowania podstawowych celów w obliczu zakłóceń. − Dostarczanie – Zapewnia sprawdzoną metodę przywracania dostarczania najwaŜniejszych produktów i usług do ustalonego poziomu i w określonym czasie od zakłócenia. − Zarządzanie – Zapewnia sprawdzoną zdolność zarządzania zakłóceniami i ochrony reputacji i marki firmy9. Dzięki certyfikacji firma moŜe uzyskać takŜe potwierdzenie strony trzeciej stosowania uznanych na świecie zasad zarządzania ciągłością działania, co moŜe w istotnym stopniu podnieść zaufanie, jakim cieszy się u partnerów biznesowych. Międzynarodowa organizacja normalizacyjna ISO takŜe zajęła się juŜ tą problematyką tworząc na bazie normy australijsko-nowozelandzkiej nową normę AS/NZS 9 http://www.bsigroup.pl/pl/Auditowanie-i-certyfikacja/Systemy-zarzadzania/Normy-i-programy/BS25999/ 105 ISO 31000:200910. MoŜna więc zapewne spodziewać się nowej rodziny norm ISO serii 31000, w której doświadczenia z wdraŜania normy brytyjskiej będą bardzo istotne11. Bibliografia: 1. 2. 3. 4. 5. 6. 7. http://www.2bcg.pl/ http://www.bs25999.biz/ http://www.bs25999.com/ http://www.bsigroup.pl/ http://www.safetyrisk.com.au/ http://www.sbbit.jp/ Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, 2008. Abstrakt W artykule przedstawiono brytyjską normę zarządzania ciągłością działalności biznesowej (BCM) BS 25999, część 1 i 2. Przedstawiono historię jej powstania i jej współtwórców. Wyjaśniono zasady działania koła PDCA w ramach systemu zarządzania ciągłością działania (BCMS). Opisano proces auditu według normy BS 25999 część 2. BS 25999: Business Continuity Management – does BSI pave the way for the world of business again? The article presents the British standard business continuity management (BCM) BS 25999, Parts 1 and 2. It tells the story of its creation and its contributors, explains the principles of the PDCA circle in the business continuity management system (BCMS) and describes the process of the audit according to the standard BS 25999 Part 2. PhD Jerzy Zamojski, assistant professor, Jan Kochanowski University in Kielce. 10 Opublikowany przez ISO 15 listopad 2009 roku. Cztery lata po rozpoczęciu prac w oparciu o australijsko-nowozelandzką normę AS/NZS 4360:2004. 11 http://www.safetyrisk.com.au/2010/05/03/new-risk-management-standard-asnzs-iso-31000/ 106