bs 25999: ciągłość działania (business continuity management)

bs 25999: ciągłość działania (business continuity management)

Studia i Materiały. Miscellanea Oeconomicae
Rok 15, Nr 2/2011
Wydział Zarządzania i Administracji
Uniwersytetu Jana Kochanowskiego w Kielcach
Ludzie, zarządzanie, gospodarka
Jerzy Zamojski1
BS 25999: CIĄGŁOŚĆ DZIAŁANIA
(BUSINESS CONTINUITY MANAGEMENT)
– CZY ZNÓW BSI WYTYCZA DROGĘ
DLA ŚWIATA BIZNESU?
1. Wprowadzenie
Zapewnienie ciągłości działania to jedno z fundamentalnych zadań realizowanych w ramach działalności przedsiębiorstwa. Celem BSI było więc stworzenie
takiej normy, która zapewni „minimalizację zakłóceń i maksymalizację efektywności odzyskiwania sprawności.”
2. Historia
Norma BS 25999 rozpoczęła swe Ŝycie, jak wiele innych norm, jako „Specyfikacja Dostępna Publicznie” lub PAS, a dokładniej PAS56:2003 Guide to Bussiness Continuity Managment. Została opublikowana w pierwszym kwartale
2003 r., aby umoŜliwić komentarze i ocenę, jako podstawę do dalszego rozwoju.
Bardzo zbliŜona do tego dokumentu norma BS 25999-1 została opublikowana pod
koniec 2006 roku2.
Za całość opracowania odpowiadał Komitet Techniczny BSI BCM/1. W procesie tworzenia normy brały czynny udział osoby z branŜy usług finansowych, administracji, uczelni słuŜb ratunkowych, organizacji biznesowych oraz lekarze róŜnych specjalności3. Organizacje te to m.in. Association of British Certification
1
2
3
Dr Jerzy Zamojski, adiunkt, Uniwersytet Jana Kochanowskiego w Kielcach.
http://www.bs25999.biz/history.html
http://www.bs25999.com/2010/01/what-is-bs25999/
99
Bodies, Association of British Insurers, Association of Chief Police Officers (ACPO), Association of Insurance Risk Managers, Association of Local Authority
Risk Managers, the Cabinet Office, the Business Continuity Institute (BCI), Continuity Forum, Department of Trade and Industry, Emergency Planning Society,
the CFOA, Coventry University, the DTI, the Emergency Planning Association,
the Federation of Small Businesses, the Financial Service Authority (FSA), Fire
Officers Association, the Institute of Directors, the Institute of Emergency Management (IEM), the Institute of Internal Auditors (IIA), Institute of Risk Management, Intellect, the Metropolitan Police, Securities Industry Business Continuity
Management Group, Society of Industrial Emergency Services Officers (SIESO)
oraz Survive4.
Wyznaczono kilka kamieni milowych podczas prac nad tą normą. Były nimi:
− Określenie zakresu prac (wrzesień 2005),
− Draft (grudzień 2005 do lipiec 2006),
− Udostępnienie dla publicznej oceny (lipiec – sierpień 2006),
− WdroŜenie poprawek i uwag (wrzesień – październik 2006),
− Opublikowanie normy (listopad 2070).
Druga część normy BS 25999-2 została opublikowana w listopadzie 2007 roku.
Zajęto się teŜ normami BS 25799 Business Continuity Implementation oraz ISO
31000 przewodnik przy wdraŜaniu zarządzania ryzykiem oraz stworzeniem odpowiednich narzędzi dostępnych przez Internet.
3. Budowa
Norma BS 25999 to norma dwuczęściowa. Część pierwszą stanowi zbiór dobrych praktyk w zakresie zarządzania ciągłością działania – BS 25999-1:2006
– Zarządzanie Ciągłością Biznesu. Część 1: Kodeks Stosowania. Składa się na nią
dziesięć rozdziałów. Zawiera:
− Politykę zarządzania ciągłością działania,
− Proces zarządzania ciągłością funkcjonowania organizacji,
− Analizę działalności przez pryzmat ryzyka wystąpienia zagroŜeń,
− Strategię zarządzania ciągłością działania,
− Opracowanie i wdroŜenie środków ochrony (m.in. BCP i DRP),
− Testowanie, zarządzanie i przegląd środków ochrony,
− Zadanie budowy świadomości pracowników5.
Część drugą stanowi dokument BS 25999-2:2007 - Zarządzanie Ciągłością
Biznesu. Część 1: Wymagania. Zawiera on informacje o:
− Zakresie Systemu Zarządzania Ciągłością Działania,
− Planowaniu Systemu Zarządzania Ciągłością Biznesu,
− Szacowaniu ryzyka,
− Definiowaniu planów ciągłości biznesu,
4
5
http://www.sbbit.jp/bit/img/bit389401.pdf oraz http://www.bs25999.biz/history.html
http://www.2bcg.pl/index.php?page=bs-25999
100
− Definiowaniu planów zarządzania incydentami,
− Prowadzeniu audytów wewnętrznych i przeglądów,
− Doskonaleniu systemu6.
Całość została tradycyjnie oparta o koło Deminga. W wersji dla zarządzania
ciągłością działania wygląda ono następująco:
− PLAN : Stworzenie polityki zarządzania ciągłością działania, określenie
jej celów, zadań, kontroli procesów i procedur.
− DO : Faktyczne zastosowanie owych planów.
− CHECK : Monitor celów i polityki.
− ACT : Podjęcie działań zapobiegawczych i naprawczych w celu zapewnienia ciągłej poprawy.
Wymagania i
oczekiwania
Zachowanie
ciągłości
działania
Rysunek 1. Cykl PDCA dla Systemu Ciągłości Zarządzania wg normy BS 25999-2.
Źródło: Opracowanie własne, na podstawie BS 25999-2 i
http://www.bs25999.com/2009/12/bs25999-bcms-summary/
W szerszym kontekście oznacza to:
−
PLAN - Ustanowienie i Zarządzanie BCMS
W tej części wymaga się jasnego określenia przez organizację celów ogólnych
i zakresu stosowania zarządzania ciągłością działania. Zakres ten dotyczy takŜe
tego, czy organizacja chce stosować owe zarządzanie w całej organizacji czy teŜ
tylko w jakichś jej częściach.
6
http://www.2bcg.pl/index.php?page=bs-25999
101
Zadaniem organizacji jest takŜe udowodnienie, Ŝe owe metody są stosowane.
Najłatwiejszym sposobem wykazania tego jest uzyskanie certyfikatu BS 25999,
ale stosuje się teŜ szereg innych sposobów, jak np. kwestionariusze czy kontrole.
System zarządzania ciągłością działania biznesowego (BCMS) musi zawierać
co najmniej:
− Politykę ciągłości biznesowej,
− Odpowiedzialność,
− Procesy zarządzania,
− Określenie specyficznych procesów,
− Dokumentację.
Określenie polityki w zakresie zarządzania ciągłością działania jest wymagane, gdyŜ świadczy o zaangaŜowaniu i uszczegóławia zakres i cele całego systemu. NaleŜy dokonywać regularnych przeglądów polityki w tym zakresie. Owa
polityka musi być ogólnodostępna dla wszystkich zainteresowanych stron. Jest to
wymóg analogiczny jak w polityce jakości (ISO 9001), czy bezpieczeństwa (ISO
27001), bo tak jak tam stanowi ona podstawę systemu, gdyŜ pokazuje wyraźne
zobowiązania, zarządzenia oraz określa obowiązki.
Organizacja musi takŜe wykazać, Ŝe na ten system są przyznawane odpowiednie zasoby oraz, Ŝe jest osoba odpowiedzialna za utrzymanie i doskonalenie całego
systemu. W większych organizacjach odpowiedzialność ową dzieli się pomiędzy
menedŜera będącego członkiem zarządu (analogia np. z ISO 9001, czy ISO
14001), ale bezpośrednio za wdroŜenie, utrzymanie i doskonalenie systemu odpowiedzialny jest menedŜer ds. zapewnienia ciągłości działania.
Od osób odpowiedzialnych za zapewnienie ciągłości wymaga się odpowiednich kwalifikacji. Wymagane są w tym zakresie stosowne certyfikaty i uprawnienia. Organizacje muszą zdecydować jakie dokumenty są wymagane. Mogą nimi
być np. kwalifikacje zawodowe, referencje, rejestr szkoleń, testy, kopie opublikowanych prac i inne.
Od osób zaangaŜowanych w system wymagane są szkolenia i zarządzanie
kompetencjami. Owe szkolenia powinny być dostosowane do roli, jaką owe osoby
pełnią w odzyskiwaniu sprawności działania oraz incydentach.
Bardzo istotnym elementem działania jest osadzanie zarządzania ciągłością
działania w kulturze organizacji. Owo zarządzanie musi stać się centralnym elementem z punktu widzenia zarówno perspektywy zarządzania jak i bieŜących programów edukacyjnych. Informacje na ten temat muszą być podejmowane
na miejscu.
Zarządzanie dokumentami i archiwami stanowiącymi część systemu zarządzania ciągłością działania musi być w pełni kontrolowane i chronione przed wyciekiem. SłuŜą do tego dokumenty i procesy autoryzacji.
Minimalny zbiór dokumentów jaki musi zawierać system zarządzania ciągłością działania obejmuje:
− Zakres,
− Politykę,
102
−
−
−
Przepisy odnośnie zasobów,
Kompetencje i zadania personelu,
BIA7 , oceny ryzyka i strategii zarządzania ciągłością (BC – business continuity),
− Struktura reagowania na incydenty, plan reagowania na incydenty i plan
ciągłości działania,
− Ćwiczenie koordynacji,
− Konserwację, przeglądy i badanie procedur,
− Działania zapobiegawcze i naprawcze,
− Zarządzanie ocenami i dowodami prowadzenia ciągłego doskonalenia.
Zarządzanie zapisami, w celu wspierania takich elementów modelu PDCA jak
Planuj, czy Sprawdź stanowi kluczowy element normy. Dotyczy on na przykład,
problemu przechowywania, lokalizacji, zezwolenia, itp.
Dokumentacja systemu moŜe być prowadzona w wersji papierowej i elektronicznej.
−
[DO] WdroŜenie i obsługa systemu zarządzania ciągłością działania
(BCMS)
Celem jest określenie potrzeb w tym zakresie i następnie wdroŜenie odpowiednich działań Ŝycie.
Zrozumienie Organizacji – Ta sekcja zasadniczo formalizuje to, co jest opisane
w części 1. Po pierwsze oznacza przeprowadzenie Analizy BIA a następnie zapisanie wyników w uporządkowany i udokumentowany sposób. Po drugie, korzystając z udokumentowanego procesu oceny ryzyka w organizacji dokonać analizy
zagroŜeń, przed jakimi stoi i luk powodujących owe zagroŜenia, poniewaŜ są one
mierzone w odniesieniu do krytycznej działań i zasobów. Po trzecie, zdecydować,
w jaki sposób organizacja będzie się do tych zagroŜeń przygotowywać. Jednym
z kluczowych elementów tej sekcji jest to, Ŝe procesy oceny ryzyka muszą być
udokumentowane. MoŜna w tym celu zastosować standardowe procedury dokumentacyjne stosowane w organizacji lub zastosować jedną z metod analizy ryzyka.
Organizacja jest zobowiązana do odniesienia się do owych analiz w systemie zarządzania ciągłością działania. Daje to moŜliwość opracowania odpowiedniej strategii i podjęcia działań w zakresie jej wdroŜenia.
Opracowanie i wdroŜenie odpowiedniego zarządzania ciągłością działania
(BCM) – Owo wdroŜenie obejmuje równieŜ struktury reagowania na incydenty.
Ćwiczenia i obsługa zarządzania ciągłością działania (BCM) – Po wdroŜeniu
BCM konieczne jest jego testowanie i prowadzenie odpowiedniego dla organizacji
programu ćwiczeń.
7
Analiza BIA (Business Impact Analysis) jest źródłem informacji na temat tego, co jest krytyczne
dla funkcjonowania organizacji, jakie procesy, zasoby są niezbędne do realizacji produktu, czy
usługi.
103
−
[CHECK] Monitorowanie i weryfikacja BCMS
Procesy monitorowania i weryfikowania są konieczne do tego by zapewnić
sprawność działania systemu. Ogólnie dzieli się je na 2 elementy:
1. Audyt Wewnętrzny – Jeśli organizacja ma juŜ wdroŜone funkcje audytu
wewnętrznego, moŜe mieć sens wykorzystanie procesów i procedur juŜ
uŜywanych. MoŜna w tym zakresie wykorzystać audytorów wewnętrznych innych specjalności.
2. Przegląd zarządzania – coroczny przegląd na podstawie audytu wewnętrznego i zewnętrznego, dotyczący zasobów i innych elementów, oraz
wejść i wyjść. Generalnym celem przeglądu zarządzania jest ustalenie,
czy system w dalszym ciągu spełnia potrzeby organizacji. Takiego przeglądu naleŜy dokonać takŜe w przypadku zaistnienia istotnych zmian organizacyjnych.
−
[ACT] Utrzymanie i doskonalenie BCMS
Jednym z celów kaŜdego standardu zarządzania jest ciągłe doskonalenie. Norma wymaga, aby organizacja stale poprawiała ogólną efektywność BCMS poprzez
róŜnorodne działania, zarówno profilaktyczne jak i naprawcze. Działania zapobiegawcze i korygujące są identyfikowane przez szereg czynności, takich jak audyty,
analizy zdarzeń lub przeglądy zarządzania. Wszystkie one muszą być formalnie
zapisane i wykorzystane do kontroli. Przeglądu zarządzania określa zakres działań,
które naleŜy podjąć.
4. Certyfikacja
Podstawowe etapy na drodze do certyfikacji systemu zarządzania ciągłością
działania to:
1. ZaangaŜowanie Zarządu,
2. Deklaracja odnośnie zakresu systemu,
3. Wybór jednostki certyfikacyjnej,
4. Zakończenie Analizy BIA i Oceny Ryzyka,
5. Tworzenie i wdraŜanie BCMS,
6. Szkolenia i konsultacje (Opcjonalnie),
7. Opracowanie i wdroŜenie udokumentowanego systemu zarządzania w celu
spełnienia wymagań normy i wszelkich specyficznych wymagań klienta,
8. Kompletny Audyt Wewnętrzny w zakresie oceny Cyklu PDCA i zarządzania,
9. Zakończenie procesu rejestracji8.
8
Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, 2008, s. 8.
104
Rysunek 2. Proces rejestracji wg normy BS 25999-2.
Źródło: Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA,
2008.
5. Podsumowanie
Obydwie normy z powodzeniem mogą być stosowane w kaŜdym typie organizacji i o dowolnej wielkości, o ile ta chce zapewnić sobie znacznie większe bezpieczeństwo w trzech obszarach:
− Elastyczność – Aktywna poprawa elastyczności firmy w zakresie realizowania podstawowych celów w obliczu zakłóceń.
− Dostarczanie – Zapewnia sprawdzoną metodę przywracania dostarczania
najwaŜniejszych produktów i usług do ustalonego poziomu i w określonym
czasie od zakłócenia.
− Zarządzanie – Zapewnia sprawdzoną zdolność zarządzania zakłóceniami
i ochrony reputacji i marki firmy9.
Dzięki certyfikacji firma moŜe uzyskać takŜe potwierdzenie strony trzeciej stosowania uznanych na świecie zasad zarządzania ciągłością działania, co moŜe
w istotnym stopniu podnieść zaufanie, jakim cieszy się u partnerów biznesowych.
Międzynarodowa organizacja normalizacyjna ISO takŜe zajęła się juŜ tą problematyką tworząc na bazie normy australijsko-nowozelandzkiej nową normę AS/NZS
9
http://www.bsigroup.pl/pl/Auditowanie-i-certyfikacja/Systemy-zarzadzania/Normy-i-programy/BS25999/
105
ISO 31000:200910. MoŜna więc zapewne spodziewać się nowej rodziny norm ISO
serii 31000, w której doświadczenia z wdraŜania normy brytyjskiej będą bardzo
istotne11.
Bibliografia:
1.
2.
3.
4.
5.
6.
7.
http://www.2bcg.pl/
http://www.bs25999.biz/
http://www.bs25999.com/
http://www.bsigroup.pl/
http://www.safetyrisk.com.au/
http://www.sbbit.jp/
Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA,
2008.
Abstrakt
W artykule przedstawiono brytyjską normę zarządzania ciągłością działalności
biznesowej (BCM) BS 25999, część 1 i 2. Przedstawiono historię jej powstania
i jej współtwórców. Wyjaśniono zasady działania koła PDCA w ramach systemu
zarządzania ciągłością działania (BCMS). Opisano proces auditu według normy
BS 25999 część 2.
BS 25999: Business Continuity Management – does BSI pave the way for the
world of business again?
The article presents the British standard business continuity management
(BCM) BS 25999, Parts 1 and 2. It tells the story of its creation and its contributors, explains the principles of the PDCA circle in the business continuity management system (BCMS) and describes the process of the audit according to the
standard BS 25999 Part 2.
PhD Jerzy Zamojski, assistant professor, Jan Kochanowski University in Kielce.
10
Opublikowany przez ISO 15 listopad 2009 roku. Cztery lata po rozpoczęciu prac w oparciu
o australijsko-nowozelandzką normę AS/NZS 4360:2004.
11
http://www.safetyrisk.com.au/2010/05/03/new-risk-management-standard-asnzs-iso-31000/
106