ISO 22301 - implementace systému managementu kontinuity podnikání (BCMS)

Obsah:

• Co je norma ISO 22301?
• Co získáte certifikací podle normy ISO 22301?
• Jak implementovat ISO 22301?

Co je norma ISO 22301?

ISO 22301 je mezinárodní standard pro systém řízení kontinuity podnikání (BCMS). Norma svými požadavky určuje rámec pro plánování, vyvíjení a implementaci opatření k prevenci, reakci na rušivé incidenty a postupy jak je eliminovat a obnovit výchozí stav podnikání, případně zmírnit následky rušivých incidentů.

Norma stanoví požadavky na podporu implementace a udržování systému řízení kontinuity podnikání, které jsou následující:

• Rozsah systému řízení zahrnující identifikaci hranic systému a procesů, které budou zahrnuty.
• Hodnocení rizik pro identifikaci potenciálních rušivých incidentů a jejich dopad na organizaci.
• Plán kontinuity podnikání, který nastiňuje opatření, která je třeba podniknout v případě rušivého incidentu. To by mělo zahrnovat postupy pro komunikaci, přemístění a obnovení provozu.
• Tým krizového řízení včetně jeho rolí a odpovědností.
• Plán kontinuity podnikání a související procesy.
• Školení zaměstnanců o plánu a postupech kontinuity podnikání.
• Testování plán kontinuity podnikání pomocí cvičení.
• Pravidelné kontroly a aktualizace plánu kontinuity podnikání.

Implementace systému řízení v souladu s ISO 22301 vyžaduje závazek vrcholového vedení a zapojení zaměstnanců na všech úrovních organizace. Vyžaduje také kulturu neustálého zlepšování, aby byla zajištěna účinnost systému v průběhu času.

Organizace mohou být certifikovány podle normy ISO 22301 akreditovaným certifikačním orgánem. K získání certifikace musí organizace projít auditem, který zajistí, že její BCMS splňuje požadavky normy. Certifikace má obvykle platnost tři roky, poté musí organizace projít recertifikačním auditem, aby si certifikaci udržela.

Co získáte certifikací podle normy ISO 22301?

Zvýšení odolnosti organizace vůči rušivým incidentům

Připravenost organiazce na rušivé incidenty znamená, že s vysokou pravděpodobností organizace bude schopna zvládnout incident bez vyšších finančních a provozních ztrát a obnovit stav podnikání v krátké době. 

Snížení finančních ztrát

Efektivním zvládáním rušivých incidentů organizace může značně snížit finanční ztráty související s případnou ztrátou kontinuity podnikání.

Zlepšení pověsti a důvěryhodnosti u zákazníků

Zlepšení pověsti a důvěryhodnosti ze strany zákazníků a partnerů z důvodu, že organizace může prokázat připravenost plánů pro případ nečekaných událostí a také demonstrovat, že sama nezpůsobí výpadky v dodavatelském řetězci. A také předpokladem schopnosti komunikovat se zákazníky a ostatními zúčastněnými stranami v případě incidentů.

Splnění zákonných požadavků

Národní legislativa může vyžadovat existenci plánů pro případ nečekaných událostí pro specifické obory podnikání.

Jak implementovat ISO 22301?

Implementace požadavků normy zahrnuje několik dále uvedených kroků. Pokud se rozhodnete pro implementaci BCMS, můžeme vám vše zajistit na klíč.

Krok 1.  Rozsah systému řízení kontinuity podnikání (BCMS)

Rozsah systému managementu je oblast, ve které je implementován systém řízení kontinuity podnikání, a procesy, které pokrývá. Rozsah měl by být definován v politice BCMS a může zahrnovat celou organizaci nebo její specifické části, jako jsou konkrétní místa, produkty nebo služby.

Při určování rozsahu systému managementu je důležité zvážit potenciální dopad rušivých incidentů na organizaci a její zainteresované strany. To můžou být dopady na zaměstnance, zákazníky, dodavatele, akcionáře a pověst organizace. Rozsah by měl také vzít v úvahu závislosti organizace na externích stranách a to, jak mohou být ovlivněny rušivými incidenty. Pokud se například organizace spoléhá na jediného dodavatele kritické komponenty, selhání tohoto dodavatele by mohlo mít významný dopad na provoz organizace.

Rozsah systému řízení by měl být přezkoumán a aktualizován podle potřeby, aby bylo zajištěno, že zůstane relevantní a přiměřený. Revizi rozsahu je nutné provést v případě změn v provozu organizace, zavádění nových produktů nebo služeb nebo při identifikaci nových rizik nebo závislostí.

Krok 2.  Politika kontinuity podnikání

Nejvyšší management organizace musí učinit prohlášení o odhodlání organizace zajistit kontinuitu podnikání a zásadách, které řídí její úsilí chránit kontinuitu podnikání a zotavovat se z rušivých incidentů. Politika by měla nastínit přístup organizace k řízení kontinuity činnosti, včetně jejích cílů a záměrů, rozsahu systému řízení a rolí a odpovědností zaměstnanců při zavádění a udržování systému.

Tato politika kontinuity provozu musí být přezkoumána a schválená nejvyšším vedením a sdělována všem zaměstnancům a příslušným externím stranám. Její zásady by měly být v souladu s celkovými obchodními cíli organizace a se všemi relevantními právními a regulačními požadavky.

Při vytváření politiky podle normy ISO 22301 je důležité zapojit do procesu všechny relevantní zainteresované strany, včetně zaměstnanců, zákazníků a dodavatelů. To pomůže zajistit, aby politika odrážela potřeby a zájmy všech stran a aby byla podporována na všech úrovních organizace.

Krok 3.  Závazek a odpovědnost managementu

Závazek a odpovědnost managementu je důležitým prvkem systému managementu kontinuity podnikání (BCMS). Vedení organizace by mělo prokázat svůj závazek za následující:

• Implementaci a údržbu systému řízení kontinuity provozu tak, aby systém odpovídal potřebám organizace, poskytování nezbytných zdrojů pro jeho implementaci a údržbu a informování o důležitosti kontinuity podnikání všem zaměstnancům.
• Zřízení týmu krizového řízení a definovat jeho role a odpovědnosti v případě rušivého incidentu. Tým krizového řízení by měl být odpovědný za koordinaci reakce organizace na incidenty a za realizaci plánu kontinuity podnikání.
• Organizaci účasti zaměstnanců na cvičeních a školeních, udržování povědomí o potenciálních rizicích a hlášení jakýchkoli problémů nebo obav souvisejících s kontinuitou podnikání.
• Poskytování nezbytných zdrojů a podpory, zavádění kultury neustálého zlepšování a zajištění toho, aby si všichni zaměstnanci byli vědomi svých rolí a povinností při udržování kontinuity podnikání a chápali je.

Krok 4.  Hodnocení rizik

Proces hodnocení rizik musí zahrnovat identifikaci a hodnocení rizik ohrožujících kontinuitu podnikání organizace a návrhy opatření ke zmírnění nebo odstranění těchto rizik. Existuje několik přístupů k hodnocení rizik a konkrétní použitá metoda bude záviset na potřebách a zdrojích organizace. Některé běžné metody zahrnují:

• Identifikaci nebezpečí a identifikaci potenciálních zdrojů narušení, jako jsou přírodní katastrofy, selhání zařízení, lidská selhání nebo kybernetické útoky.
• Vyhodnocení pravděpodobnosti každého nebezpečí, tedy pravděpodobnosti, že nebezpečí nastane, a pravděpodobnosti toho, že vyústí v rušivý incident.
• Posouzení dopadu každého nebezpečí na organizaci a její zainteresované strany, včetně dopadu na zaměstnance, zákazníky, dodavatele a pověst organizace.
• Stanovení priorit rizik se zaměřením na ta, která se pravděpodobně vyskytnou nebo mají největší potenciální dopad.
• Informování o vývoji plánu kontinuity provozu a stanovení všech nezbytných kontrol nebo opatření ke zmírnění.

Posouzení rizik by také mělo být pravidelně přezkoumáváno a aktualizováno, aby bylo zajištěno, že zůstane relevantní a aktuální.

Krok 5.  Plán kontinuity podnikání

Plán kontinuity podnikání je dokument, který popisuje opatření, která je potřeba podniknout v případě rušivého incidentu, aby bylo zajištěno pokračování základních funkcí organizace, ochrana lidí, majetku a dobré pověsti organizace. Norma ISO 22301 vyžaduje, aby organizace vypracovaly plán kontinuity podnikání na základě potřeb organizace výsledků hodnocení rizik. Plán by měl zejména obsahovat:

• Postupy pro identifikaci rušivých incidentů a opatření na jejich eliminaci nebo zmírnění 
• Technická zařízení pro přemístění a obnovu provozu, včetně komunikačních a IT systémů
• Postupy pro údržbu a obnovu kritických zdrojů, včetně zajištění personálu, vybavení a zásob v případě incidentu
• Proces pravidelného přezkoumání a testování plánu

Plán kontinuity provozu by měl být sdělen všem zaměstnancům a příslušným externím stranám a všichni zaměstnanci by měli být proškoleni o tomto plánu a svých rolích a povinnostech v případě rušivého incidentu. Plán by měl být rovněž pravidelně přezkoumáván a aktualizován, aby bylo zajištěno, že zůstane účinný a relevantní.

Krok 6.  Tým krizového řízení

Tým krizového řízení je skupina jednotlivců, zejména zaměstnanců, kteří jsou zodpovědní za koordinaci reakce organizace na rušivý incident a implementaci plánu kontinuity podnikání. Tým krizového řízení by měl jmenovat vrcholový management a měl by zahrnovat zástupce všech příslušných oddělení a funkcí.

Role a odpovědnosti týmu krizového řízení musí být jasně definovány a sdělovány všem zaměstnancům. Zodpovědnosti a role krizového týmu by měly zahrnovat:

• Aktivaci plánu kontinuity podnikání a koordinaci reakcí organizace na incident
• Komunikaci se zaměstnanci, zákazníky, dodavateli a dalšími zainteresovanými stranami
• Koordinaci s externími agenturami a organizacemi, pokud je to relevantní
• Sledování situace a rozhodování k zajištění bezpečnosti zaměstnanců a ochrany majetku a dobrého jména organizace
• Kontrolu a aktualizaci plánu kontinuity podnikání na základě zkušeností organizace a ponaučení z incidentu

Tým krizového řízení by měl být proškolen o svých rolích a povinnostech a měl by se účastnit školení a cvičení, aby otestoval účinnost plánu kontinuity podnikání. Tým by měl mít také přístup k nezbytným zdrojům, jako je komunikační zařízení, nouzové zásoby a záložní zařízení.

Krok 7.  Cvičení a školení

Cvičení a školení jsou důležitou součástí systému řízení kontinuity podnikání v souladu s ISO 22301. Poskytují organizaci příležitost otestovat efektivitu jejího plánu kontinuity podnikání a identifikovat oblasti pro zlepšení.

Existuje několik typů cvičení a cvičení, které lze provádět, včetně:

• Teoretická cvičení, která zahrnují diskuzi založenou na přezkoumání plánu kontinuity podnikání, přičemž účastníci hrají různé scénáře a diskutují o opatřeních, která by měla být přijata.
• Funkční cvičení, kterí zahrnují testování konkrétních prvků plánu kontinuity podnikání, jako jsou komunikační postupy nebo přemísťování zařízení.
• Cvičení v plném rozsahu, která zahrnují simulovaný rušivý incident, kdy účastníci reagují stejně, jako by reagovali na skutečný incident.
• Školení o plánu kontinuity podnikání a jejich rolích a odpovědnostech v případě rušivého incidentu. Školení by mělo být poskytováno všem zaměstnancům a mělo by být pravidelně obnovováno.

Je důležité zkontrolovat výsledky cvičení a školení použít je k identifikaci oblastí pro zlepšení v plánu kontinuity podnikání. Školení by mělo být také hodnoceno, aby bylo zajištěno, že je efektivní a odpovídá potřebám organizace.

Tým krizového řízení by měl být proškolen o svých rolích a povinnostech a měl by se účastnit cvičení a cvičení, aby otestoval účinnost plánu kontinuity podnikání. Tým by měl mít také přístup k nezbytným zdrojům, jako je komunikační zařízení, nouzové zásoby a záložní zařízení.

Krok 8.  Interní audity

Interní audity jsou důležitou součástí normy ISO 22301 a také účinným nástrojem pro přezkoumání a vyhodnocení účinnosti systému řízení kontinuity podnikání (BCMS), s cílem zjištění souladu s požadavky normy a vlastními zásadami, postupy a cíli organizace. Interní audity provádí tým zkušených interních auditorů, kteří znají požadavky normy ISO 22301 a BCMS organizace. Cílem interního auditu je identifikovat oblasti, kde BCMS nesplňuje požadavky normy nebo interních směrnic v rámci plánu a politiky kontinuity podnikání. Interní audity musí být plánované a pravidelné.