BS 25999: CIĄGŁOŚĆ DZIAŁANIA (BUSINESS CONTINUITY MANAGEMENT) CZY ZNÓW BSI WYTYCZA DROGĘ DLA ŚWIATA BIZNESU?

Transkrypt

1 Studia i Materiały. Miscellanea Oeconomicae Rok 15, Nr 2/2011 Wydział Zarządzania i Administracji Uniwersytetu Jana Kochanowskiego w Kielcach L u d zi e, za r zą d za n i e, g o s p o d a r k a Jerzy Zamojski 1 BS 25999: CIĄGŁOŚĆ DZIAŁANIA (BUSINESS CONTINUITY MANAGEMENT) CZY ZNÓW BSI WYTYCZA DROGĘ DLA ŚWIATA BIZNESU? 1. Wprowadzenie Zapewnienie ciągłości działania to jedno z fundamentalnych zadań realizowanych w ramach działalności przedsiębiorstwa. Celem BSI było więc stworzenie takiej normy, która zapewni minimalizację zakłóceń i maksymalizację efektywności odzyskiwania sprawności. 2. Historia Norma BS rozpoczęła swe Ŝycie, jak wiele innych norm, jako Specyfikacja Dostępna Publicznie lub PAS, a dokładniej PAS56:2003 Guide to Bussiness Continuity Managment. Została opublikowana w pierwszym kwartale 2003 r., aby umoŝliwić komentarze i ocenę, jako podstawę do dalszego rozwoju. Bardzo zbliŝona do tego dokumentu norma BS została opublikowana pod koniec 2006 roku 2. Za całość opracowania odpowiadał Komitet Techniczny BSI BCM/1. W procesie tworzenia normy brały czynny udział osoby z branŝy usług finansowych, administracji, uczelni słuŝb ratunkowych, organizacji biznesowych oraz lekarze róŝnych specjalności 3. Organizacje te to m.in. Association of British Certification 1 Dr Jerzy Zamojski, adiunkt, Uniwersytet Jana Kochanowskiego w Kielcach

2 Bodies, Association of British Insurers, Association of Chief Police Officers (AC- PO), Association of Insurance Risk Managers, Association of Local Authority Risk Managers, the Cabinet Office, the Business Continuity Institute (BCI), Continuity Forum, Department of Trade and Industry, Emergency Planning Society, the CFOA, Coventry University, the DTI, the Emergency Planning Association, the Federation of Small Businesses, the Financial Service Authority (FSA), Fire Officers Association, the Institute of Directors, the Institute of Emergency Management (IEM), the Institute of Internal Auditors (IIA), Institute of Risk Management, Intellect, the Metropolitan Police, Securities Industry Business Continuity Management Group, Society of Industrial Emergency Services Officers (SIESO) oraz Survive 4. Wyznaczono kilka kamieni milowych podczas prac nad tą normą. Były nimi: Określenie zakresu prac (wrzesień 2005), Draft (grudzień 2005 do lipiec 2006), Udostępnienie dla publicznej oceny (lipiec sierpień 2006), WdroŜenie poprawek i uwag (wrzesień październik 2006), Opublikowanie normy (listopad 2070). Druga część normy BS została opublikowana w listopadzie 2007 roku. Zajęto się teŝ normami BS Business Continuity Implementation oraz ISO przewodnik przy wdraŝaniu zarządzania ryzykiem oraz stworzeniem odpowiednich narzędzi dostępnych przez Internet. 3. Budowa Norma BS to norma dwuczęściowa. Część pierwszą stanowi zbiór dobrych praktyk w zakresie zarządzania ciągłością działania BS :2006 Zarządzanie Ciągłością Biznesu. Część 1: Kodeks Stosowania. Składa się na nią dziesięć rozdziałów. Zawiera: Politykę zarządzania ciągłością działania, Proces zarządzania ciągłością funkcjonowania organizacji, Analizę działalności przez pryzmat ryzyka wystąpienia zagroŝeń, Strategię zarządzania ciągłością działania, Opracowanie i wdroŝenie środków ochrony (m.in. BCP i DRP), Testowanie, zarządzanie i przegląd środków ochrony, Zadanie budowy świadomości pracowników 5. Część drugą stanowi dokument BS : Zarządzanie Ciągłością Biznesu. Część 1: Wymagania. Zawiera on informacje o: Zakresie Systemu Zarządzania Ciągłością Działania, Planowaniu Systemu Zarządzania Ciągłością Biznesu, Szacowaniu ryzyka, Definiowaniu planów ciągłości biznesu, 4 oraz

3 Definiowaniu planów zarządzania incydentami, Prowadzeniu audytów wewnętrznych i przeglądów, Doskonaleniu systemu 6. Całość została tradycyjnie oparta o koło Deminga. W wersji dla zarządzania ciągłością działania wygląda ono następująco: PLAN : Stworzenie polityki zarządzania ciągłością działania, określenie jej celów, zadań, kontroli procesów i procedur. DO : Faktyczne zastosowanie owych planów. CHECK : Monitor celów i polityki. ACT : Podjęcie działań zapobiegawczych i naprawczych w celu zapewnienia ciągłej poprawy. Wymagania i oczekiwania Zachowanie ciągłości działania Rysunek 1. Cykl PDCA dla Systemu Ciągłości Zarządzania wg normy BS Źródło: Opracowanie własne, na podstawie BS i W szerszym kontekście oznacza to: PLAN - Ustanowienie i Zarządzanie BCMS W tej części wymaga się jasnego określenia przez organizację celów ogólnych i zakresu stosowania zarządzania ciągłością działania. Zakres ten dotyczy takŝe tego, czy organizacja chce stosować owe zarządzanie w całej organizacji czy teŝ tylko w jakichś jej częściach

4 Zadaniem organizacji jest takŝe udowodnienie, Ŝe owe metody są stosowane. Najłatwiejszym sposobem wykazania tego jest uzyskanie certyfikatu BS 25999, ale stosuje się teŝ szereg innych sposobów, jak np. kwestionariusze czy kontrole. System zarządzania ciągłością działania biznesowego (BCMS) musi zawierać co najmniej: Politykę ciągłości biznesowej, Odpowiedzialność, Procesy zarządzania, Określenie specyficznych procesów, Dokumentację. Określenie polityki w zakresie zarządzania ciągłością działania jest wymagane, gdyŝ świadczy o zaangaŝowaniu i uszczegóławia zakres i cele całego systemu. NaleŜy dokonywać regularnych przeglądów polityki w tym zakresie. Owa polityka musi być ogólnodostępna dla wszystkich zainteresowanych stron. Jest to wymóg analogiczny jak w polityce jakości (ISO 9001), czy bezpieczeństwa (ISO 27001), bo tak jak tam stanowi ona podstawę systemu, gdyŝ pokazuje wyraźne zobowiązania, zarządzenia oraz określa obowiązki. Organizacja musi takŝe wykazać, Ŝe na ten system są przyznawane odpowiednie zasoby oraz, Ŝe jest osoba odpowiedzialna za utrzymanie i doskonalenie całego systemu. W większych organizacjach odpowiedzialność ową dzieli się pomiędzy menedŝera będącego członkiem zarządu (analogia np. z ISO 9001, czy ISO 14001), ale bezpośrednio za wdroŝenie, utrzymanie i doskonalenie systemu odpowiedzialny jest menedŝer ds. zapewnienia ciągłości działania. Od osób odpowiedzialnych za zapewnienie ciągłości wymaga się odpowiednich kwalifikacji. Wymagane są w tym zakresie stosowne certyfikaty i uprawnienia. Organizacje muszą zdecydować jakie dokumenty są wymagane. Mogą nimi być np. kwalifikacje zawodowe, referencje, rejestr szkoleń, testy, kopie opublikowanych prac i inne. Od osób zaangaŝowanych w system wymagane są szkolenia i zarządzanie kompetencjami. Owe szkolenia powinny być dostosowane do roli, jaką owe osoby pełnią w odzyskiwaniu sprawności działania oraz incydentach. Bardzo istotnym elementem działania jest osadzanie zarządzania ciągłością działania w kulturze organizacji. Owo zarządzanie musi stać się centralnym elementem z punktu widzenia zarówno perspektywy zarządzania jak i bieŝących programów edukacyjnych. Informacje na ten temat muszą być podejmowane na miejscu. Zarządzanie dokumentami i archiwami stanowiącymi część systemu zarządzania ciągłością działania musi być w pełni kontrolowane i chronione przed wyciekiem. SłuŜą do tego dokumenty i procesy autoryzacji. Minimalny zbiór dokumentów jaki musi zawierać system zarządzania ciągłością działania obejmuje: Zakres, Politykę, 102

5 Przepisy odnośnie zasobów, Kompetencje i zadania personelu, BIA 7, oceny ryzyka i strategii zarządzania ciągłością (BC business continuity), Struktura reagowania na incydenty, plan reagowania na incydenty i plan ciągłości działania, Ćwiczenie koordynacji, Konserwację, przeglądy i badanie procedur, Działania zapobiegawcze i naprawcze, Zarządzanie ocenami i dowodami prowadzenia ciągłego doskonalenia. Zarządzanie zapisami, w celu wspierania takich elementów modelu PDCA jak Planuj, czy Sprawdź stanowi kluczowy element normy. Dotyczy on na przykład, problemu przechowywania, lokalizacji, zezwolenia, itp. Dokumentacja systemu moŝe być prowadzona w wersji papierowej i elektronicznej. [DO] WdroŜenie i obsługa systemu zarządzania ciągłością działania (BCMS) Celem jest określenie potrzeb w tym zakresie i następnie wdroŝenie odpowiednich działań Ŝycie. Zrozumienie Organizacji Ta sekcja zasadniczo formalizuje to, co jest opisane w części 1. Po pierwsze oznacza przeprowadzenie Analizy BIA a następnie zapisanie wyników w uporządkowany i udokumentowany sposób. Po drugie, korzystając z udokumentowanego procesu oceny ryzyka w organizacji dokonać analizy zagroŝeń, przed jakimi stoi i luk powodujących owe zagroŝenia, poniewaŝ są one mierzone w odniesieniu do krytycznej działań i zasobów. Po trzecie, zdecydować, w jaki sposób organizacja będzie się do tych zagroŝeń przygotowywać. Jednym z kluczowych elementów tej sekcji jest to, Ŝe procesy oceny ryzyka muszą być udokumentowane. MoŜna w tym celu zastosować standardowe procedury dokumentacyjne stosowane w organizacji lub zastosować jedną z metod analizy ryzyka. Organizacja jest zobowiązana do odniesienia się do owych analiz w systemie zarządzania ciągłością działania. Daje to moŝliwość opracowania odpowiedniej strategii i podjęcia działań w zakresie jej wdroŝenia. Opracowanie i wdroŝenie odpowiedniego zarządzania ciągłością działania (BCM) Owo wdroŝenie obejmuje równieŝ struktury reagowania na incydenty. Ćwiczenia i obsługa zarządzania ciągłością działania (BCM) Po wdroŝeniu BCM konieczne jest jego testowanie i prowadzenie odpowiedniego dla organizacji programu ćwiczeń. 7 Analiza BIA (Business Impact Analysis) jest źródłem informacji na temat tego, co jest krytyczne dla funkcjonowania organizacji, jakie procesy, zasoby są niezbędne do realizacji produktu, czy usługi. 103

6 [CHECK] Monitorowanie i weryfikacja BCMS Procesy monitorowania i weryfikowania są konieczne do tego by zapewnić sprawność działania systemu. Ogólnie dzieli się je na 2 elementy: 1. Audyt Wewnętrzny Jeśli organizacja ma juŝ wdroŝone funkcje audytu wewnętrznego, moŝe mieć sens wykorzystanie procesów i procedur juŝ uŝywanych. MoŜna w tym zakresie wykorzystać audytorów wewnętrznych innych specjalności. 2. Przegląd zarządzania coroczny przegląd na podstawie audytu wewnętrznego i zewnętrznego, dotyczący zasobów i innych elementów, oraz wejść i wyjść. Generalnym celem przeglądu zarządzania jest ustalenie, czy system w dalszym ciągu spełnia potrzeby organizacji. Takiego przeglądu naleŝy dokonać takŝe w przypadku zaistnienia istotnych zmian organizacyjnych. [ACT] Utrzymanie i doskonalenie BCMS Jednym z celów kaŝdego standardu zarządzania jest ciągłe doskonalenie. Norma wymaga, aby organizacja stale poprawiała ogólną efektywność BCMS poprzez róŝnorodne działania, zarówno profilaktyczne jak i naprawcze. Działania zapobiegawcze i korygujące są identyfikowane przez szereg czynności, takich jak audyty, analizy zdarzeń lub przeglądy zarządzania. Wszystkie one muszą być formalnie zapisane i wykorzystane do kontroli. Przeglądu zarządzania określa zakres działań, które naleŝy podjąć. 4. Certyfikacja Podstawowe etapy na drodze do certyfikacji systemu zarządzania ciągłością działania to: 1. ZaangaŜowanie Zarządu, 2. Deklaracja odnośnie zakresu systemu, 3. Wybór jednostki certyfikacyjnej, 4. Zakończenie Analizy BIA i Oceny Ryzyka, 5. Tworzenie i wdraŝanie BCMS, 6. Szkolenia i konsultacje (Opcjonalnie), 7. Opracowanie i wdroŝenie udokumentowanego systemu zarządzania w celu spełnienia wymagań normy i wszelkich specyficznych wymagań klienta, 8. Kompletny Audyt Wewnętrzny w zakresie oceny Cyklu PDCA i zarządzania, 9. Zakończenie procesu rejestracji 8. 8 Steps to BS Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, 2008, s

7 Rysunek 2. Proces rejestracji wg normy BS Źródło: Steps to BS Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, Podsumowanie Obydwie normy z powodzeniem mogą być stosowane w kaŝdym typie organizacji i o dowolnej wielkości, o ile ta chce zapewnić sobie znacznie większe bezpieczeństwo w trzech obszarach: Elastyczność Aktywna poprawa elastyczności firmy w zakresie realizowania podstawowych celów w obliczu zakłóceń. Dostarczanie Zapewnia sprawdzoną metodę przywracania dostarczania najwaŝniejszych produktów i usług do ustalonego poziomu i w określonym czasie od zakłócenia. Zarządzanie Zapewnia sprawdzoną zdolność zarządzania zakłóceniami i ochrony reputacji i marki firmy 9. Dzięki certyfikacji firma moŝe uzyskać takŝe potwierdzenie strony trzeciej stosowania uznanych na świecie zasad zarządzania ciągłością działania, co moŝe w istotnym stopniu podnieść zaufanie, jakim cieszy się u partnerów biznesowych. Międzynarodowa organizacja normalizacyjna ISO takŝe zajęła się juŝ tą problematyką tworząc na bazie normy australijsko-nowozelandzkiej nową normę AS/NZS / 105

8 ISO 31000: MoŜna więc zapewne spodziewać się nowej rodziny norm ISO serii 31000, w której doświadczenia z wdraŝania normy brytyjskiej będą bardzo istotne 11. Bibliografia: Steps to BS Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, Abstrakt W artykule przedstawiono brytyjską normę zarządzania ciągłością działalności biznesowej (BCM) BS 25999, część 1 i 2. Przedstawiono historię jej powstania i jej współtwórców. Wyjaśniono zasady działania koła PDCA w ramach systemu zarządzania ciągłością działania (BCMS). Opisano proces auditu według normy BS część 2. BS 25999: Business Continuity Management does BSI pave the way for the world of business again? The article presents the British standard business continuity management (BCM) BS 25999, Parts 1 and 2. It tells the story of its creation and its contributors, explains the principles of the PDCA circle in the business continuity management system (BCMS) and describes the process of the audit according to the standard BS Part 2. PhD Jerzy Zamojski, assistant professor, Jan Kochanowski University in Kielce. 10 Opublikowany przez ISO 15 listopad 2009 roku. Cztery lata po rozpoczęciu prac w oparciu o australijsko-nowozelandzką normę AS/NZS 4360: