Autor: Ireneusz Piasecki
26 Grudzień 2023
4 min.
|
Uwaga
Z racji tego, iż specyfika problemu jest złożona (Plan Ciągłości Działania ma zapewnić działanie organizacji jako całości - we wszystkich obszarach) zalecamy nawiązanie współpracy z firmami, które zajmują się zagadnieniem kompleksowo.
Możemy jednak pomóc w Państwa organizacji przygotować jeden z elemetów PCD tj. dla obszaru IT - “Plan Odtworzenia Po Katastrofie” - Disaster Recovery Plan - zapraszamy do KONTAKTU i współpracy!
Tel. kontaktowy: +48 606 356 235
Spis treści
1. Wstęp
Plan Ciągłości Działania (PCD) (Business Continuity Plan — BCP) powinien zostać przygotowany na wypadek wystąpienia sytuacji kryzysowej w danej organizacji. W czasie wdrożenia PCD powinny zostać wyznaczone krytyczne dla organizacji procesy, zasoby (materialne, ludzkie) i lokalizacje, które są niezbędne dla utrzymania ciągłości działania.
Wdrażając Plan Ciągłości Działania wykonuje się analizy przygotowawcze, tworzy analizę ryzyka RA - Risk Analysis oraz analizę BIA - Business Impact Analysys. Następnie należy określić czasy potrzebne do przywrócenia procesów po wystąpieniu awarii RTO - Recovery Time Objective oraz akceptowalny poziom utraty danych wyrażony w czasie RPO - Recovery Point Objective. Dla infrastruktury IT należy przygotować również “Plan Odtworzenia Po Katastrofie” - Disaster Recovery Plan, który jasno wskaże działania mające na celu odzyskanie utraconych danych lub zasobów w wyniku sytuacji kryzysowej.
Aby sprawdzić założenia teoretyczne, należy przeprowadzić testy stworzonych procedur. PCD musi być regularnie przeglądany, aktualizowany i testowany. Przygotowanie PCD warto oprzeć o sprawdzone wzorce m.inn. na międzynarodowych standardach takich jak BS 25999, ISO 22301, badaniach i publikacjach DRI - Disaster Recovery Insitute.
2. Audyt wstępny
Przygotowanie PCD należało by rozpocząć od rozpoznania sytuacji w danej organizacji. Jakie procesy występują w organizacji, które są kluczowe dla działania, a które mogą zostać wstrzymane lub ograniczone na czas kryzysu. Należy również zidentyfikować wymagania prawne oraz biznesowe. Kolejnym elementem będzie wykonanie inwentaryzacji i analizy aktywów - gdzie nastąpi identyfikacja krytycznych procesów oraz zasobów niezbędnych do utrzymania ciągłości działania.
3. Analiza BIA
W kolejnym kroku należy wykonać BIA - Business Impact Analysys, co da podstawę do określenia możliwych strat wynikających z zakłóceń realizacji krytycznych procesów. BIA uwzględni możliwe straty finansowe, wizerunkowe oraz obniżenie poziomu satysfakcji klientów. Dla krytycznych zasobów i procesów, które zostały wyznaczone na podstawie analizy BIA, zostaną określone parametry RTO i RPO.
4. Analiza ryzyka
Dzięki analizie ryzyka zostaną zidentyfikowane zagrożenia dla procesów organizacji oraz zostanie dokonana ocena, które z tych zagrożeń mogą spowodować najbardziej destrukcyjny wpływ oraz jakie jest prawdopodobieństwo ich wystąpienia. Zdefiniowaniu ulegnie również stopień podatności organizacji na zagrożenia oraz zostanie określone, które zasoby i elementy infrastruktury są kluczowe dla jej funkcjonowania.
Na tej podstawie zostaną ustalone działania mające na celu zabezpieczenie organizacji przed utratą ciągłości działania.
5. Wdrożenie “Planu Ciągłości Działania”
Na podstawie zebranych danych i informacji przygotowuje się dla organizacji “Plan Ciągłości Działania”. Opracowane scenariusze spowodują, że w przypadku wystąpienia sytuacji kryzysowej organizacja będzie działać w sposób ustrukturyzowany, ze zminimalizowanymi stratami i skróconym czasem wznowienia krytycznych procesów i zasobów.
Na koniec należy wykonać test “Planu Ciągłości Działania”, który powinien być cyklicznie powtarzany w celu sprawdzania poprawności założeń PCD.
6. Zarządzanie “Ciągłością Działania”
Zarządzanie “Ciągłością Działania” dotyczy przede wszystkim przewidywania incydentów i zakłóceń związanych z prowadzoną działalnością, a także do reagowania na nie tak, by móc kontynuować działalność (czasem w ograniczonym zakresie - minimalizacja strat). Inaczej rzecz ujmując, zarządzanie “Ciągłością Działania” to nic innego jak procesy i procedury zarządzania ryzykiem, które mają zapobiec przerwom w świadczeniu usług o znaczeniu krytycznym oraz przywrócić funkcjonowanie organizacji tak szybko i płynnie, jak to tylko możliwe.
Podstawowym wymogiem zachowania ciągłości jest utrzymanie podstawowych funkcji podczas wystąpienia sytuacji kryzysowej. Przy czym należy uwzględnić różne nieprzewidywalne zdarzenia takie jak klęski żywiołowe, pożary, epidemie chorób, cyberataki i inne zagrożenia zewnętrzne.
Należy podkreślić, iż jest to proces ciągły, którego poszczególne elementy muszą być weryfikowane testami i audytami potwierdzającymi aktualność Planu Ciągłości Działania oraz właściwe zarządzanie “Ciągłością Działania”.
7. Podsumowanie
Plan Ciągłości Działania to podstawowy element systemu bezpieczeństwa, który powinna posiadać każda organizacja. Dobrze przygotowany PCD sprawia, iż w przypadku wystąpienia zdarzenia krytycznego mającego wpływ na działanie kluczowych procesów, organizacja jest w stanie zminimalizować straty, a dzięki aktywom i zasobom ludzkim (również podmiotom współpracującym), szybko przywrócić sprawność zakłóconego procesu.
Podsumowując, zakres działań przy tworzeniu “Planu Ciągłości Działania (PCD)” obejmuje: audyt wstępny, analizę ryzyka, wdrożenie PCD oraz opracowanie scenariuszy awarii. Wszystkie te etapy są kluczowe dla minimalizacji ryzyka biznesowego i zapewnienia ciągłości działania organizacji w przypadku wystąpienia nieoczekiwanych zdarzeń.