Strona główna Bezpieczeństwo biznesu System Zarządzania Ciągłością Działania (BCMS). Część 6. Kolejne kroki

System Zarządzania Ciągłością Działania (BCMS). Część 6. Kolejne kroki

Zarządzanie w logistyce

Etap 2 (BCP i DRP)

Tomasz Guzikowski

Zarządzający przedsiębiorstwem muszą dbać o rozwój firmy. Zabezpieczenie nieprzerwanego jej funkcjonowania zapewnia system zarządzania ciągłością działania. W kolejnych częściach cyklu prezentuję poszczególne etapy wdrażania tego systemu. Po analizie ryzyka przyszła pora na kolejny krok – opracowanie planów BCP (Business Continuity Plan) i DRP (Disaster Recovery Plan).

Celem tego kroku jest opracowanie planów BCP i DRP zapewniających skuteczny sposób pracy w sytuacji zagrożenia ciągłości działania organizacji. Żeby go zrealizować, należy przeprowadzić kilka poniższych działań.

Opracowanie planów ciągłości działania (BCP) kluczowych procesów biznesowych
Na tym etapie następuje:

  • Opracowanie planów zapewnienia ciągłości działania zawierających listę kroków niezbędnych do wykonania w celu realizacji poszczególnych procesów w przyjętych ramach czasowych w przypadku materializacji ryzyka.
  • Opracowanie zakresu planu ciągłości działania podsumowującego informacje o procesie i zasobach wspierających.
  • Opracowanie struktury odpowiedzialności (struktury zarządczej) za realizację i utrzymanie planu, ze wskazaniem kluczowych ról, uprawnień i odpowiedzialności dla osób i zespołów, które będą korzystać z planu; wytyczne i kryteria dotyczące tego, kto ma prawo odwołać się do planu i w jakich okolicznościach.
  • Opracowanie kryteriów uruchomienia danego planu na podstawie listy kluczowych zagrożeń.
  • Udokumentowanie informacji o kluczowych parametrach odtworzeniowych, w tym:
    Maximum Tolerable Downtime (MTD) – wskaźnik określający maksymalny dopuszczalny przestój krytycznego procesu biznesowego, który nie wywoła żadnych negatywnych konsekwencji dla biznesu; można mierzyć go w godzinach lub dniach. Jego ustalenie jest sprawą priorytetową w kontekście wszystkich dalszych prac projektowych;
    Recovery Point Objective (RPO) – wskaźnik określa, jak szybko infrastruktura IT jest przywrócona do pracy po wystąpieniu awarii lub innego incydentu;
    Recovery Time Objective (RTO) – wskaźnik określa dopuszczalną ilość utraconych danych i maksymalny akceptowalny czas pomiędzy wystąpieniem awarii a backupem danych;
    – wymagania dla poszczególnych zasobów wspierających.
  • Opracowanie diagramu przepływu informacji oraz wymagań dotyczących dokumentacji działań wynikających z planu ciągłości działania.
    Informacje pomocnicze dla koordynacji i komunikacji – dane kontaktowe członków zespołu i innych osób pełniących funkcje i obowiązki.
  • Kryteria wycofania się – mechanizmy wycofywania się po zakończeniu zdarzenia.

Opracowanie planów odtworzeniowych DRP

Tworzy się je dla zasobów, dla których na skutek poważnego zakłócenia (katastrofy) nie jest możliwe przywrócenie normalnej działalności w podstawowej lokalizacji (w sytuacjach, w których odtworzenie w lokalizacji zapasowej jest możliwe).
Na tym etapie następuje:

  • Opracowanie kryteriów uruchomienia danego planu związanych z wystąpieniem katastrofy skutkującej brakiem fizycznego dostępu do zasobów w lokalizacji podstawowej oraz koniecznością przywrócenia ciągłości działania procesu z wykorzystaniem lokalizacji zapasowej.
  • Udokumentowanie informacji o kluczowych parametrach odtworzeniowych (MTD, RPO, RTO) oraz wymaganiach dla poszczególnych zasobów wspierających.
  • Uzupełnienie planów odtworzeniowych o działania konieczne ze względu na wykorzystanie lokalizacji zapasowej.
  • Opracowanie diagramu przepływu informacji oraz wymagań dotyczących dokumentacji działań wynikających z planu DRP.
  • Informacje pomocnicze dla koordynacji i komunikacji – dane kontaktowe członków zespołu i innych osób pełniących funkcje i obowiązki.

Procedury odzyskiwania powinny obejmować również wznowienie wszystkich działań, a nie tylko określonych jako priorytetowe. Uznaje się, że działania o niższym priorytecie muszą być wznowione w pewnym momencie i również mają wymagania dotyczące zasobów, które muszą być spełnione.

Procedury komunikacyjne

Nie mniej ważne są procedury dotyczące komunikacji w sytuacjach kryzysowych. Komunikacja, która będzie dostarczana i odbierana podczas incydentu czy kryzysu, powinna być zarządzana i koordynowana. Procedury powinny zawierać:

  • szczegóły dotyczące tego, w jaki sposób i w jakich okolicznościach organizacja będzie komunikować się z pracownikami i ich bliskimi oraz innymi zainteresowanymi stronami,
  • szczegóły dotyczące reakcji medialnej organizacji w następstwie incydentu lub kryzysu, które obejmują:
    – strategię komunikacji w następstwie incydentu;
    – preferowany interfejs z mediami;
    – wytyczne lub szablony do sporządzenia oświadczenia dla mediów;
    – kompetentnych rzeczników upoważnionych do przekazywania informacji mediom.

Ważne, aby czas i treści komunikacji wewnętrznej i zewnętrznej były spójne. Komunikacja wewnętrzna jest priorytetem, aby zbudować pewność siebie i zaufanie. Przygotowane wcześniej informacje mogą być szczególnie przydatne we wczesnych fazach incydentu. Umożliwią one zespołowi przekazanie szczegółów dotyczących organizacji i jej działalności biznesowej, podczas gdy szczegóły incydentu są jeszcze ustalane.

Ewakuacja

W każdej organizacji priorytetem powinno być jednak bezpieczeństwo ludzi. Szczególnie w sytuacji bezpośredniego zagrożenia życia i zdrowia zarówno pracowników, jak i wykonawców, klientów i gości. Planując odpowiednie działania w tym zakresie, należy uwzględnić co najmniej takie elementy, jak:

  • zapewnienie sprawnej ewakuacji, w tym wyznaczenie i oznaczenie dróg ewakuacji oraz punktów zbiórki – najczęściej takie informacje znajdują się w Instrukcji Bezpieczeństwa Pożarowego,
  • zapewnienie udzielenia pierwszej pomocy zarówno przez wyspecjalizowane służby ratownicze, jak i odpowiednio przeszkolonych pracowników,
  • lokalizowanie i przeliczenie osób, które znajdowały się na miejscu zdarzenia – najczęściej poprzez wyznaczonych koordynatorów ewakuacji, którzy przekazują stosowne informacje odpowiednim służbom ratowniczym.

Dalsze kroki przedstawię w kolejnych częściach artykułach z tego cyklu.

Tomasz Guzikowski
Menedżer z wieloletnim doświadczeniem w obszarze zarządzania bezpieczeństwem i ciągłością działania, w tym bezpieczeństwa procesowego i zawodowego, ochrony infrastruktury krytycznej, ochrony informacji niejawnych w budownictwie i dużych zakładach produkcyjnych należących do grupy zakładów dużego ryzyka powstania awarii przemysłowej. Obecnie zarządza obszarem bezpieczeństwa w globalnym koncernie chemicznym CIECH.

 Tomasz Guzikowski

Zobacz poprzednie artykuły tego cyklu:
System Zarządzania Ciągłością Działania (BCMS). Cz. 5. Kolejne kroki – Etap 2. (analiza ryzyka)
System Zarządzania Ciągłością Działania (BCMS). Cz. 4.
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS)

POWIĄZANE ARTYKUŁYWIĘCEJ TEGO AUTORA