+ 48 730 668 341
ISO 22301

Jak wdrożyć ISO 22301

Cele i zadania systemu zarądzania ciągłością działania ISO 22301

W obecnych czasach, kiedy organizacje są narażone na różnego rodzaju zagrożenia i zakłócenia, zarządzanie ciągłością działania (BCM – BUSINESS CONTINUITY MANAGEMNT) jest niezbędnym elementem skutecznego zarządzania ryzykiem. BCM polega na zapewnieniu, że organizacja jest w stanie kontynuować swoją działalność w przypadku wystąpienia nieprzewidzianych zdarzeń lub kryzysów, takich jak pożary, powodzie, cyberataki, pandemie czy problemy z dostawcami.

Jednym ze sposobów na wdrożenie i utrzymanie systemu SZCD ( System zarządzania ciągłością działania)  jest stosowanie normy ISO 22301, która jest międzynarodowym standardem określającym wymagania dla systemu zarządzania ciągłością działania. Norma ta została opublikowana w 2012 roku i zastąpiła wcześniejszą normę brytyjską BS 25999. Norma ISO 22301 jest zgodna z innymi normami ISO dotyczącymi zarządzania jakością, środowiskiem, bezpieczeństwem informacji czy ryzykiem.

Norma ISO 22301 opiera się na cyklu PDCA (plan-do-check-act), który polega na ciągłym doskonaleniu systemu BCM poprzez planowanie, wdrażanie, monitorowanie i poprawianie działań. Norma ta obejmuje następujące obszary:

  • Kontekst organizacji: polega na zrozumieniu potrzeb i oczekiwań interesariuszy oraz określeniu zakresu i celów systemu BCM.
  • Przywództwo: polega na zaangażowaniu i odpowiedzialności najwyższego kierownictwa oraz ustanowieniu polityki BCM.
  • Planowanie: polega na identyfikacji ryzyk i zagrożeń dla ciągłości działania oraz ustaleniu celów i planów BCM.
  • Wsparcie: polega na zapewnieniu odpowiednich zasobów, kompetencji, świadomości, komunikacji i dokumentacji dla systemu BCM.
  • Działanie: polega na realizacji działań zaplanowanych w ramach systemu BCM, takich jak analiza skutków dla biznesu (BIA), ocena ryzyka (RA), strategie ciągłości działania (BCS), plany ciągłości działania (BCP), testy i ćwiczenia oraz zarządzanie incydentami i kryzysami.
  • Ocena wyników: polega na monitorowaniu, pomiarze i ocenie skuteczności systemu BCM oraz przeprowadzaniu audytów wewnętrznych i zewnętrznych.
  • Poprawa: polega na podejmowaniu działań korygujących i zapobiegawczych oraz doskonaleniu systemu BCM.

Dlaczego warto wdrożyć system zarządzania ciągłością działania ISO 22301?

Korzyści wynikające z wdrożenia normy ISO 22301 są liczne i dotyczą zarówno organizacji, jak i jej interesariuszy. Do najważniejszych należą:

  • Zwiększenie odporności organizacji na zakłócenia i kryzysy oraz poprawa jej zdolności do szybkiego przywrócenia normalnego funkcjonowania.
  • Zwiększenie zaufania i wiarygodności organizacji w oczach klientów, dostawców, partnerów, pracowników, inwestorów i organów nadzorczych.
  • Zmniejszenie strat finansowych i operacyjnych spowodowanych zakłóceniami lub przerw
  • Zwiększenie odporności organizacji na nieprzewidziane sytuacje i zdolność do szybkiego przywrócenia normalnego funkcjonowania po wystąpieniu zakłócenia .
  • Spełnienie wymogów prawnych, regulacyjnych i rynkowych dotyczących ciągłości działania  .
  • Zdobycie przewagi konkurencyjnej i lepszego wizerunku na rynku  .

Kluczowe wymagania normy ISO 22301

Norma ISO 22301 wymaga od organizacji wdrożenia całego systemu zarządzania ciągłością działania, który zawiera następujące elementy:

Politykę zarządzania ciągłością działania.

Polityka zarządzania ciągłością działania (ang. Business Continuity Management Policy) to dokument określający zasady, cele i wymagania dotyczące zarządzania ciągłością działania organizacji.

Polityka ta stanowi podstawę dla Programu Zarządzania Ciągłością Działania (ang. Business Continuity Management Program) i określa sposoby i metody postępowania w przypadku wystąpienia nieprzewidzianych zdarzeń, które mogą zagrażać ciągłości działania organizacji. Polityka zarządzania ciągłością działania uwzględnia między innymi: – identyfikację i ocenę ryzyka związanego z działalnością organizacji – planowanie działań awaryjnych oraz przywracania normalnego funkcjonowania – wyznaczanie zadań i odpowiedzialności związanych z działań na wypadek wystąpienia zagrożeń – szkolenia personelu w zakresie działań awaryjnych i przywracania normalnego działania – regularne testowanie planów reakcji na nieprzewidziane zdarzenia – monitorowanie i audytowanie systemu zarządzania ciągłością działania.

Polityka zarządzania ciągłością działania ma na celu zapewnienie ciągłego działania organizacji, minimalizację strat wynikających z nieprzewidzianych zdarzeń oraz ochronę interesów klientów i innych ważnych interesariuszy.

Analizę ryzyka i ocenę wpływu na działalność 

Analiza ryzyka to proces identyfikacji, oceny i kontroli niepożądanych zdarzeń lub sytuacji, które mogą wpłynąć na realizację celów organizacji. Jest to ważna część planowania strategicznego i zarządzania ryzykiem. Ocena wpływu na działalność to proces oceny skutków ryzyka na działalność organizacji. Obejmuje ona identyfikację zagrożeń i szans oraz określenie ich wpływu na cele organizacji, w tym na jej dochody, wizerunek, reputację i bezpieczeństwo pracowników. Główne kroki analizy ryzyka i oceny wpływu na działalność:

  • Identyfikacja zagrożeń i szans – identyfikacja rzeczy, które mogą stanowić zagrożenie lub szansę dla organizacji. Można to zrobić przez przeprowadzenie audytu wewnętrznego, analizę rynku, badanie konkurencji itp. 
  • Ocena prawdopodobieństwa – określenie prawdopodobieństwa wystąpienia określonego zagrożenia lub szansy. 
  • Ocena wpływu – określenie wpływu, jaki zagrożenie lub szansa może mieć na działalność organizacji. Ta ocena może obejmować aspekty finansowe, wizerunkowe, reputacyjne itp.
  • Kontrola ryzyka – opracowanie strategii zarządzania ryzykiem, które obejmuje sposoby ograniczenia ryzyka lub wykorzystania szans. 
  • Monitorowanie postępów – śledzenie postępu realizacji strategii zarządzania ryzykiem i uaktualnianie jej w razie potrzeby. Funkcja analizy ryzyka i oceny wpływu na działalność jest kluczowa dla każdej organizacji w celu ochrony swojego interesu i osiągnięcia swoich celów.

Plan wdrożenia i działania w sytuacjach kryzysowych

Ważnym elementem zarządzania kryzysowego jest przygotowanie odpowiedniego planu działania, który określi procedury i czynności, jakie należy podjąć w przypadku wystąpienia różnego rodzaju sytuacji kryzysowych. Plan ten powinien być dostępny dla wszystkich pracowników organizacji i regularnie aktualizowany.

W sytuacji kryzysowej ważne jest szybkie i skuteczne podejmowanie decyzji. W tym celu warto wyznaczyć zespół kryzysowy, którego zadaniem będzie zarządzanie sytuacją.

Zespół ten powinien być składany z osób posiadających odpowiednie kompetencje i doświadczenie w dziedzinie zarządzania kryzysowego oraz powinien być odpowiednio przeszkolony. W przypadku wystąpienia kryzysu ważne jest także komunikowanie się z interesariuszami. 

Organizacja powinna mieć w tym celu przygotowane odpowiednie procedury i narzędzia, w tym listy kontaktowe zewnętrznych partnerów, klientów i innych grup społecznych. Należy także pamiętać o odpowiednim wykorzystaniu mediów społecznościowych i stron internetowych, aby przekazywać informacje o sytuacji kryzysowej oraz o działaniach podejmowanych przez organizację.

Oprócz planu działania, zespołu kryzysowego i procedur komunikacji ważną rolę w zarządzaniu kryzysowym odgrywają również szkolenia pracowników, które powinny być przeprowadzane regularnie.

Dzięki nim pracownicy zyskują wiedzę na temat działań, które należy podejmować w przypadku wystąpienia kryzysu oraz zdobywają umiejętności potrzebne do szybkiego i skutecznego działania. Wszystkie te działania powinny mieć na celu skuteczne zarządzanie sytuacją kryzysową oraz minimalizowanie jej skutków dla organizacji i jej interesariuszy.

Kontrole i testowanie systemu zarządzania ciągłością działania

Kontrole i testowanie systemu zarządzania ciągłością działania (SZCD) są niezbędnymi elementami zapewnienia skuteczności i aktualności tego systemu.

Proces kontroli i testowania SZCD składa się z kilku etapów:

  • Planowanie: na tym etapie określa się zakres, cele, metody, zasoby i harmonogram kontroli i testowania SZCD. Plan powinien być zgodny z polityką i procedurami SZCD organizacji oraz uwzględniać wymagania prawne i regulacyjne.
  • Przygotowanie: na tym etapie przygotowuje się wszystkie niezbędne dokumenty, narzędzia, sprzęt i personel do przeprowadzenia kontroli i testowania SZCD. Należy również poinformować i uzyskać zgodę wszystkich zainteresowanych stron, takich jak klienci, dostawcy, partnerzy i pracownicy.
  • Wykonanie: na tym etapie realizuje się zaplanowane działania kontroli i testowania SZCD. Kontrola polega na sprawdzeniu zgodności systemu z wymaganiami i standardami, a testowanie polega na symulowaniu różnych scenariuszy zakłóceń i ocenie zdolności systemu do utrzymania ciągłości działania. Wyniki kontroli i testowania powinny być rejestrowane i dokumentowane.
  • Ocena: na tym etapie analizuje się wyniki kontroli i testowania SZCD oraz ocenia się skuteczność i adekwatność systemu. Należy również zidentyfikować wszelkie luki, słabości, zagrożenia i możliwości poprawy systemu.
  • Zalecenia: na tym etapie formułuje się zalecenia dotyczące usprawnienia systemu SZCD na podstawie wyników oceny. Zalecenia powinny być konkretne, realistyczne i mierzalne oraz uwzględniać priorytety i ograniczenia organizacji.
  • Implementacja: na tym etapie wdraża się zalecone zmiany w systemie SZCD oraz monitoruje się ich efekty. Należy również aktualizować dokumentację i komunikować wyniki kontroli i testowania SZCD do wszystkich zainteresowanych stron.

Ciągły monitoring i doskonalenie SZCD

Ciągły monitoring i ulepszanie systemu zarządzania ciągłością działania (ang. Continual Monitoring and Improvement of Business Continuity Management System) jest procesem, który obejmuje monitorowanie i ulepszanie systemu zarządzania ciągłością działania firmy (BCMS). Celem tego procesu jest zapewnienie, że system BCMS działa zgodnie z oczekiwaniami i jest w stanie zapewnić ciągłość działania firmy w przypadku wystąpienia incydentów. Ciągły monitoring i ulepszanie systemu BCMS obejmuje kilka kroków, w tym:

  • Ocena ciągłości działania – polega na określeniu, czy system BCMS działa zgodnie z oczekiwaniami i czy jest w stanie zapewnić ciągłość działania firmy. 
  • Analiza ryzyka – służy do określenia, czy istnieją nowe zagrożenia, które mogą wpłynąć na ciągłość działania firmy.
  • Ulepszanie systemu BCMS – obejmuje wprowadzenie zmian w systemie BCMS w celu polepszenia jego skuteczności.
  • Testowanie systemu BCMS – polega na sprawdzeniu, czy wprowadzone zmiany w systemie BCMS są skuteczne w zapewnianiu ciągłości działania firmy. 
  • Szkolenie i informowanie pracowników – służy do informowania pracowników o zmianach wprowadzonych w systemie BCMS i szkoleniu ich w zakresie jego obsługi. 

Ciągły monitoring i ulepszanie systemu BCMS jest kluczowy dla zapewnienia ciągłości działania firmy i minimalizacji wpływu incydentów na jej działalność. Przedsiębiorstwa powinny regularnie przeznaczać czas i środki na ten proces, aby zapewnić, że ich system BCMS jest aktualny i skuteczny. 

    Jak wdrożyć system zarządzania ciągłością działania ISO 22301?

    W celu wdrożenia systemu zarządzania ciągłością działania ISO 22301 w Twojej organizacji należy przejść przez następujące etapy:

       

        1. Analiza i ocena ryzyka: W tym kroku należy zbadać swoją organizację w celu zidentyfikowania zagrożeń i określenia ich wpływu na działalność.

        1. Planowanie ciągłości działania: W oparciu o wyniki analizy ryzyka należy opracować plan działania w sytuacjach kryzysowych.

        1. Wdrożenie i działania w sytuacjach kryzysowych: W tym kroku należy wdrożyć plan działania oraz zapewnić ciągłość działania Twojej organizacji w czasie kryzysu.

        1. Monitorowanie i ciągłe doskonalenie: Ostatnim krokiem jest ciągłe monitorowanie systemu zarządzania ciągłością działania i jego ulepszanie.

      Podsumowanie

      Wdrożenie systemu zarządzania ciągłością działania ISO 22301 w Twojej organizacji ma wiele korzyści, takich jak minimalizacja ryzyka, lepsza ochrona danych czy poprawa wizerunku Twojej organizacji. Aby wdrożyć ten system, należy przejść przez kilka etapów, w tym analizę i ocenę ryzyka, planowanie ciągłości działania, wdrożenie i działania w sytuacjach kryzysowych oraz monitorowanie i ulepszanie systemu. Bądź gotowy na kryzysy i przekonaj swoich klientów, że jest to dla Ciebie ważne.

      Zapytaj o wdrożenie i certyfikację systemu

      Kliknij tutaj

      Spis treści

      Podobne wpisy

      Zapytaj o certyfikat lub wdrożenie

      Renata Wojnowska
      Tel: + 48 730 668 341

      Multicert Sp. z o.o.

      Jednostka certyfikacyjna zajmująca się certyfikacją i inspekcjami systemów zarządzania. Więcej na www.multicert.pl

      Dane rejestrowe

      Sąd rejonowy dla m.st. Warszawy ,XIII wydział gospodarczy krajowego rejestru sądowego
      KRS 0000681322
      NIP 9522163792
      REGON 67470425

      Adres

      Mydlarska 47
      Warszawa 04-690​
      E;mail : biuro@multicert.com.pl
      Tel:(+48)508 354 190​
      Tel (+48)22 300 00 18

      Godziny Pracy

      PN-Pt od 8.00 do 17.00
      Sobota od 9. 00 do 16.00​
      Na zapytania wysłanie drogą mailową odpowiadamy w ciągu 24 godzin

      ©2019. Multicert Sp. z o.o.. All Rights Reserved.

      Ta strona wykorzystuje pliki cookie. Używamy informacji zapisanych za pomocą plików cookies w celu zapewnienia maksymalnej wygody w korzystaniu z naszego serwisu. Mogą też korzystać z nich współpracujące z nami firmy badawcze oraz reklamowe. Jeżeli wyrażasz zgodę na zapisywanie informacji zawartej w cookies kliknij.

      Akceptuj