+ 48 730 668 341
Plan zarządzania ciągłością działania

Jak stworzyć skuteczny plan zarządzania ciągłości działania biznesu zgodnie z ISO 22301?

Wprowadzenie do ISO 22301

ISO 22301 to międzynarodowy standard zarządzania ciągłością działania biznesowego (BCMS), który ma na celu wsparcie organizacji w utrzymywaniu kluczowych funkcji biznesowych w przypadku nieprzewidzianych zdarzeń lub niedogodności. Norma określa wymagania, jakie muszą zostać spełnione przez organizacje w celu opracowania skutecznego planu zarządzania ciągłością działania (BCP). 

Etap 1: Analiza wpływu (BIA business impact analysis) i ocena ryzyka

Pierwszym krokiem w tworzeniu planu ciągłości działania jest przeprowadzenie analizy skutków biznesowych (BIA). Analiza (BIA) może pomóc zidentyfikować kluczowe procesy biznesowe, które są niezbędne do przetrwania organizacji. W tym celu należy : 

Określić kluczowe procesy biznesowe

Kluczowe procesy biznesowe to te, które są niezbędne dla funkcjonowania organizacji i przyczyniają się do wytwarzania wartości dla klientów, partnerów biznesowych i pracowników.

Są to procesy, których zatrzymanie lub działanie poniżej oczekiwanego poziomu może spowodować znaczne problemy dla działalności firmy.

Przykłady krytycznych procesów biznesowych to: 

  1. Procesy produkcyjne i dostawcze – te procesy są kluczowe dla zapewnienia, że produkty i usługi są wytwarzane i dostarczane na czas i zgodnie z oczekiwaniami klientów. 
  2. Procesy obsługi klienta – procesy te są kluczowe dla zapewnienia wysokiej jakości obsługi klienta i zadowolenia klientów.
  3. Procesy finansowe – procesy te są kluczowe dla utrzymania stabilności finansowej organizacji i zapewnienia, że koszty są kontrolowane, a dochody rosną. 
  4. Procesy zarządzania ludźmi – procesy te są kluczowe dla zapewnienia, że organizacja posiada najlepszych pracowników i zapewnia im odpowiednie wsparcie i szkolenia. 
  5. Procesy zapewnienia jakości – procesy te są kluczowe dla zapewnienia, że produkty i usługi są wytwarzane zgodnie z najwyższymi standardami jakości. Wszystkie krytyczne procesy biznesowe powinny być objęte dokładnym nadzorem i strategią zarządzania ryzykiem, aby zapobiegać potencjalnym nieprawidłowościom lub awariom w tych kluczowych obszarach. 

Zdefiniować wymagania dotyczące czasu odzyskiwania pełnej sprawności (RTO) Recovery Time Objective  punktu odzyskiwania (RPO)(ang. Recovery Point Objective.

Recovery Time Objective (RTO) to maksymalny dopuszczalny czas, w którym dane muszą zostać przywrócone do pełnej sprawności lub funkcjonalności po wystąpieniu incydentu, lub awarii. 

RTO decyduje o czasie, jaki organizacja potrzebuje na przywrócenie systemów informatycznych i infrastruktury IT po awarii. 

Wymagania dotyczące RTO powinny uwzględniać poziom krytyczności systemów i danych, a także potrzeby biznesowe firmy.

 Recovery Point Objective (RPO) natomiast określa, jak daleko w czasie organizacja może wrócić w przypadku utraty danych lub systemów. Jest to czas, jaki upłynął od ostatniego punktu odzyskiwania danych do czasu awarii lub incydentu.

Wymagania dotyczące RPO powinny być skorelowane z RTO, aby zapewnić szybkie przywrócenie funkcjonalności systemów oraz minimalizację utraconych danych. Opracowanie odpowiednich wymagań dotyczących RTO i RPO jest kluczowe dla zapewnienia ciągłości działania firmy oraz minimalizacji negatywnych skutków wynikających z awarii systemów.

Przy odpowiednim planowaniu i przygotowaniach, organizacja będzie w stanie szybko i sprawnie przywrócić pełne funkcjonalności systemów informatycznych po awarii. 

Określić minimalne wymagania dotyczące zasobów.

Zasoby w  rozumieniu (BCM Business Continuity Management ) wymagań system zarządzania ciągłością biznesu to personel, infrastruktur, systemy informatyczne i telekomunikacyjne, dostawcy, a także środki do przechowywania i przetwarzania danych.

 Minimalne wymagania związane z tymi zasobami zgodnie z normą ISO 22301 obejmują zapewnienie ich ciągłej dostępności, wydajności, bezpieczeństwa i ochrony przed zagrożeniami i incydentami, takimi jak awarie, ataki cybernetyczne, wypadki, klęski żywiołowe i inne kryzysy biznesowe.

W ramach minimalnych wymagań zgodnie z normą ISO 22301 należy także zapewnić ciągłe doskonalenie i monitorowanie zasobów oraz planowanie i przeprowadzanie regularnych testów BC/DR (Business Continuity / Disaster Recovery). 

Zidentyfikować potencjalne zagrożenia dla każdego procesu. 

Jednym z kluczowych wymagań normy ISO 22301, które należy wykonać jest identyfikacja potencjalnych zagrożeń dla przedsiębiorstwa, które mogą wpłynąć na jego ciągłość działania. Poniżej przedstawiono przykładowe potencjalne zagrożenia dla kilku procesów biznesowych:

  1. Proces sprzedaży:
  • Brak lub niewystarczająca ilość zamówień 
  • Konkurencja i spadająca marża 
  • Problemy z dystrybucją towarów 
  • Problemy z jakością produktów 
  • Zmiany w preferencjach klientów lub ich zachowaniu 

      2. Proces produkcji: 

  • Awaria linii produkcyjnej 
  • Brak surowców lub materiałów do produkcji 
  • Opóźnienia w dostawach surowców 
  • Problemy z jakością produkcji 
  • Problemy z niezawodnością i bezpieczeństwem maszyn 

       3. Proces logistyczny:

  • Ograniczenia dostępu do dróg lub portów
  • Zawieszenie transportu publicznego
  • Brak kierowców, transportu, uszkodzenia pojazdów lub opóźnienia w czasie dostawy
  • Problemy z odprawą celna, taryfami i opłatami
  • Problemy z magazynowaniem, logistyką i kontrolą jakości

      4. Proces zarządzania kadrami:

  • Brak kwalifikacji lub brak lepszych pracowników.
  • Konkurencja o wysokiej jakości pracowników, awansowanie lub odejście najważniejszych członków personelu
  • Problemy z efektywnością zespołu lub wydajnością pracy
  • Brak lub niezdecydowanie dotyczące polityki dotyczącej zatrudnienia, korzyści i perspektyw zawodowych

      5. Proces zarządzania dostawcami:

  • Problemy natury logistycznej i transportowej, utrudniające sprawną współpracę z dostawcami
  • Zmiany w zachowaniu dostawców, wycofywanie się z umów, opóźnienia w czasie dostaw
  • Problemy z jakością dostawy lub produktywnością dostawcy
  • Konkurencja i presja na obniżenie cen, zmiany na rynku lub strategiach biznesowych
  • Opóźnienia w wyniku zdarzeń losowych: katastrofy naturalne, światowe pandemie czy zamieszki.

Ważne jest, aby przedsiębiorstwo identyfikowało i przeglądało swoje zagrożenia oraz opracowywało strategie mające na celu zarządzanie ryzykiem i zapewnienie ciągłości działania. Dzięki temu procesowi przedsiębiorstwo może reagować na zagrożenia na bieżąco i zmaksymalizować swoje szanse na przetrwanie. Następnie należy przeprowadzić ocenę ryzyka, aby zrozumieć prawdopodobieństwo wystąpienia zagrożeń oraz ich potencjalne skutki dla organizacji.

Etap 2: Opracowanie strategii ciągłości działania

Po przeprowadzeniu ( BIA)  i oceny ryzyka, organizacja powinna opracować strategię ciągłości działania. Strategia ta powinna uwzględniać:

  1. Wybór odpowiednich środków zaradczych i prewencyjnych.
  2. Ustalenie priorytetów dla kluczowych funkcji biznesowych.
  3. Opracowanie planów przywracania działania dla każdego procesu biznesowego.
  4. Określenie ról i odpowiedzialności zespołu zarządzania ciągłością działania.

Etap 3: Opracowanie planów ciągłości działania organizacji 

Na podstawie opracowanej strategii organizacja powinna opracować szczegółowe plany zarządzania ciągłością działania. Plan powinien obejmować:

  1. Procedury reagowania w przypadku sytuacji kryzysowej. 
  2. Procedury komunikacji wewnętrznej i zewnętrznej.
  3. Procedury przywrócenia kluczowych funkcji biznesowych.
  4. Procedury zarządzania zasobami i logistyką.
  5. Procedury zarządzania kryzysowego.

Etap 4: Szkolenia i testowanie planów ciągłości działania

Szkolenie personelu i testowanie planów ciągłości działania na wypadek wystąpienia sytuacji kryzysowych są kluczowymi elementami procesami zapewnienia skuteczności planów. W tym celu należy:

  1. Szkolić pracowników w zakresie procedur ciągłości działania oraz ich ról i odpowiedzialności.
  2. Przeprowadzać regularne ćwiczenia i testy planów, aby upewnić się, że są one aktualne i skuteczne.
  3. Dokumentować wyniki testów i przeprowadzać przeglądy planów w celu wprowadzenia ewentualnych poprawek.

Etap 5: Utrzymanie i przeglądanie planów ciągłości działania

Utrzymanie i przeglądanie planów ciągłości działania jest niezbędne, aby zapewnić, że są one nadal aktualne i skuteczne. W tym celu organizacje powinny:

  1. Regularnie przeglądać plany całego systemu zarządzania ciągłością działania w celu uwzględnienia zmian w organizacji, technologii i otoczeniu biznesowym.
  2. Monitorować i oceniać skuteczność środków zaradczych i prewencyjnych.
  3. Utrzymywać otwartą komunikację z interesariuszami w celu identyfikacji nowych zagrożeń i potrzeb. 
  4. Utrzymywać stałą komunikację z operatorami usług kluczowych na wypadek wystąpienia sytuacji kryzysowych. 

Etap 6: Integracja z innymi systemami zarządzania

Integracja planów ciągłości działania z innymi systemami zarządzania, takimi jak zarządzanie jakością (ISO 9001) czy zarządzanie ryzykiem (ISO 31000), może przyczynić się do większej efektywności i skuteczności planów. W ten sposób organizacje mogą:

  1. Zapewnić spójność między różnymi systemami zarządzania.
  2. Wykorzystać synergię między nimi w celu osiągnięcia większej efektywności i efektywności.
  3. Zwiększyć zaangażowanie i odpowiedzialność personelu.

Podsumowanie

Stworzenie skutecznego planu ciągłości działania na podstawie normy ISO 22301 wymaga przeprowadzenia analizy skutków biznesowych, oceny ryzyka, opracowania strategii, szczegółowych planów, szkolenia i testowania oraz utrzymania i przeglądania planów. Integracja z innymi systemami zarządzania może dodatkowo zwiększyć efektywność i skuteczność planów ciągłości działania.

Zapytaj o wdrożenie i certyfikację systemu

Kliknij tutaj

Spis treści

Podobne wpisy

Zapytaj o certyfikat lub wdrożenie

Renata Wojnowska audytor Multicert certyfikacja ISO
Renata Wojnowska
Tel: + 48 730 668 341

Multicert Sp. z o.o.

Jednostka certyfikacyjna zajmująca się certyfikacją i inspekcjami systemów zarządzania. Więcej na www.multicert.pl

Dane rejestrowe

Sąd rejonowy dla m.st. Warszawy ,XIII wydział gospodarczy krajowego rejestru sądowego
KRS 0000681322
NIP 9522163792
REGON 67470425

Adres

Mydlarska 47
Warszawa 04-690​
E;mail : biuro@multicert.com.pl
Tel:(+48)508 354 190​
Tel (+48)22 300 00 18

Godziny Pracy

PN-Pt od 8.00 do 17.00
Sobota od 9. 00 do 16.00​
Na zapytania wysłanie drogą mailową odpowiadamy w ciągu 24 godzin

Ta strona wykorzystuje pliki cookie. Używamy informacji zapisanych za pomocą plików cookies w celu zapewnienia maksymalnej wygody w korzystaniu z naszego serwisu. Mogą też korzystać z nich współpracujące z nami firmy badawcze oraz reklamowe. Jeżeli wyrażasz zgodę na zapisywanie informacji zawartej w cookies kliknij.