#Bezpieczeństwo biznesu

System Zarządzania Ciągłością Działania (BCMS). Część 6. Kolejne kroki

Zarządzanie w logistyce

Etap 2 (BCP i DRP)

Tomasz Guzikowski


Zarządzający przedsiębiorstwem muszą dbać o rozwój firmy. Zabezpieczenie nieprzerwanego jej funkcjonowania zapewnia system zarządzania ciągłością działania. W kolejnych częściach cyklu prezentuję poszczególne etapy wdrażania tego systemu. Po analizie ryzyka przyszła pora na kolejny krok – opracowanie planów BCP (Business Continuity Plan) i DRP (Disaster Recovery Plan).

Celem tego kroku jest opracowanie planów BCP i DRP zapewniających skuteczny sposób pracy w sytuacji zagrożenia ciągłości działania organizacji. Żeby go zrealizować, należy przeprowadzić kilka poniższych działań.

Opracowanie planów ciągłości działania (BCP) kluczowych procesów biznesowych
Na tym etapie następuje:

  • Opracowanie planów zapewnienia ciągłości działania zawierających listę kroków niezbędnych do wykonania w celu realizacji poszczególnych procesów w przyjętych ramach czasowych w przypadku materializacji ryzyka.
  • Opracowanie zakresu planu ciągłości działania podsumowującego informacje o procesie i zasobach wspierających.
  • Opracowanie struktury odpowiedzialności (struktury zarządczej) za realizację i utrzymanie planu, ze wskazaniem kluczowych ról, uprawnień i odpowiedzialności dla osób i zespołów, które będą korzystać z planu; wytyczne i kryteria dotyczące tego, kto ma prawo odwołać się do planu i w jakich okolicznościach.
  • Opracowanie kryteriów uruchomienia danego planu na podstawie listy kluczowych zagrożeń.
  • Udokumentowanie informacji o kluczowych parametrach odtworzeniowych, w tym:
    Maximum Tolerable Downtime (MTD) – wskaźnik określający maksymalny dopuszczalny przestój krytycznego procesu biznesowego, który nie wywoła żadnych negatywnych konsekwencji dla biznesu; można mierzyć go w godzinach lub dniach. Jego ustalenie jest sprawą priorytetową w kontekście wszystkich dalszych prac projektowych;
    Recovery Point Objective (RPO) – wskaźnik określa, jak szybko infrastruktura IT jest przywrócona do pracy po wystąpieniu awarii lub innego incydentu;
    Recovery Time Objective (RTO) – wskaźnik określa dopuszczalną ilość utraconych danych i maksymalny akceptowalny czas pomiędzy wystąpieniem awarii a backupem danych;
    – wymagania dla poszczególnych zasobów wspierających.
  • Opracowanie diagramu przepływu informacji oraz wymagań dotyczących dokumentacji działań wynikających z planu ciągłości działania.
    Informacje pomocnicze dla koordynacji i komunikacji – dane kontaktowe członków zespołu i innych osób pełniących funkcje i obowiązki.
  • Kryteria wycofania się – mechanizmy wycofywania się po zakończeniu zdarzenia.

Opracowanie planów odtworzeniowych DRP

Tworzy się je dla zasobów, dla których na skutek poważnego zakłócenia (katastrofy) nie jest możliwe przywrócenie normalnej działalności w podstawowej lokalizacji (w sytuacjach, w których odtworzenie w lokalizacji zapasowej jest możliwe).
Na tym etapie następuje:

  • Opracowanie kryteriów uruchomienia danego planu związanych z wystąpieniem katastrofy skutkującej brakiem fizycznego dostępu do zasobów w lokalizacji podstawowej oraz koniecznością przywrócenia ciągłości działania procesu z wykorzystaniem lokalizacji zapasowej.
  • Udokumentowanie informacji o kluczowych parametrach odtworzeniowych (MTD, RPO, RTO) oraz wymaganiach dla poszczególnych zasobów wspierających.
  • Uzupełnienie planów odtworzeniowych o działania konieczne ze względu na wykorzystanie lokalizacji zapasowej.
  • Opracowanie diagramu przepływu informacji oraz wymagań dotyczących dokumentacji działań wynikających z planu DRP.
  • Informacje pomocnicze dla koordynacji i komunikacji – dane kontaktowe członków zespołu i innych osób pełniących funkcje i obowiązki.

Procedury odzyskiwania powinny obejmować również wznowienie wszystkich działań, a nie tylko określonych jako priorytetowe. Uznaje się, że działania o niższym priorytecie muszą być wznowione w pewnym momencie i również mają wymagania dotyczące zasobów, które muszą być spełnione.

Procedury komunikacyjne

Nie mniej ważne są procedury dotyczące komunikacji w sytuacjach kryzysowych. Komunikacja, która będzie dostarczana i odbierana podczas incydentu czy kryzysu, powinna być zarządzana i koordynowana. Procedury powinny zawierać:

  • szczegóły dotyczące tego, w jaki sposób i w jakich okolicznościach organizacja będzie komunikować się z pracownikami i ich bliskimi oraz innymi zainteresowanymi stronami,
  • szczegóły dotyczące reakcji medialnej organizacji w następstwie incydentu lub kryzysu, które obejmują:
    – strategię komunikacji w następstwie incydentu;
    – preferowany interfejs z mediami;
    – wytyczne lub szablony do sporządzenia oświadczenia dla mediów;
    – kompetentnych rzeczników upoważnionych do przekazywania informacji mediom.

Ważne, aby czas i treści komunikacji wewnętrznej i zewnętrznej były spójne. Komunikacja wewnętrzna jest priorytetem, aby zbudować pewność siebie i zaufanie. Przygotowane wcześniej informacje mogą być szczególnie przydatne we wczesnych fazach incydentu. Umożliwią one zespołowi przekazanie szczegółów dotyczących organizacji i jej działalności biznesowej, podczas gdy szczegóły incydentu są jeszcze ustalane.

Ewakuacja

W każdej organizacji priorytetem powinno być jednak bezpieczeństwo ludzi. Szczególnie w sytuacji bezpośredniego zagrożenia życia i zdrowia zarówno pracowników, jak i wykonawców, klientów i gości. Planując odpowiednie działania w tym zakresie, należy uwzględnić co najmniej takie elementy, jak:

  • zapewnienie sprawnej ewakuacji, w tym wyznaczenie i oznaczenie dróg ewakuacji oraz punktów zbiórki – najczęściej takie informacje znajdują się w Instrukcji Bezpieczeństwa Pożarowego,
  • zapewnienie udzielenia pierwszej pomocy zarówno przez wyspecjalizowane służby ratownicze, jak i odpowiednio przeszkolonych pracowników,
  • lokalizowanie i przeliczenie osób, które znajdowały się na miejscu zdarzenia – najczęściej poprzez wyznaczonych koordynatorów ewakuacji, którzy przekazują stosowne informacje odpowiednim służbom ratowniczym.

Dalsze kroki przedstawię w kolejnych częściach artykułach z tego cyklu.

Tomasz Guzikowski
Menedżer z wieloletnim doświadczeniem w obszarze zarządzania bezpieczeństwem i ciągłością działania, w tym bezpieczeństwa procesowego i zawodowego, ochrony infrastruktury krytycznej, ochrony informacji niejawnych w budownictwie i dużych zakładach produkcyjnych należących do grupy zakładów dużego ryzyka powstania awarii przemysłowej. Obecnie zarządza obszarem bezpieczeństwa w globalnym koncernie chemicznym CIECH.

Tomasz Guzikowski

Zobacz poprzednie artykuły tego cyklu:
System Zarządzania Ciągłością Działania (BCMS). Cz. 5. Kolejne kroki – Etap 2. (analiza ryzyka)
System Zarządzania Ciągłością Działania (BCMS). Cz. 4.
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS)

System Zarządzania Ciągłością Działania (BCMS). Część 6. Kolejne kroki

Przegląd Techniczny Bezpieczeństwa

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.