Business Continuity Management
Business Continuity Management (též Řízení kontinuity činností organizace nebo BCM) je řídící proces podporovaný vedením společnosti, který identifikuje potenciální dopady ztrát a jehož cílem je vytvořit takové postupy a prostředí, které umožní zajistit kontinuitu a obnovu klíčových procesů a činností organizace, na předem stanovené minimální úrovni, v případě jejich narušení nebo ztráty. BCM ochraňuje zájmy klíčových podílníků, akcionářů a dalších zájmových skupin, dobrou pověst a značku společnosti.
Pozn.: Kontinuita činností organizace (Business Continuity) je chápána jako strategická a taktická způsobilost organizace být připraven a reagovat na incidenty a narušení činností organizace za účelem pokračování na předem stanovené přijatelné úrovni.
Úvod
Řízení kontinuity činností ustanovuje strategický a provozní rámec přiměřený potřebám a cílům organizace, který směřuje k aktivnímu zvyšování odolnosti organizace proti narušení výroby klíčových produktů anebo ztrátě služeb organizace. Organizace mohou být narušeny z mnoha důvodů. Narušení mohou být předvídatelná (jako například ztráta budovy v důsledku požáru či povodně, atd.) nebo nepředvídatelná (například výpadek proudu, zemětřesení, teroristické aktivity, atd.). Řízení kontinuity činností organizace není pouze o nápravě následků způsobených těmito incidenty či haváriemi. Je to také o prevenci jak předejít těmto krizovým a havarijním situacím a o ustanovení takové kultury v rámci organizace, která se snaží vybudovat větší odolnost za účelem zajištění kontinuity dodávky produktů a služeb klientům a zákazníkům.
Standardy BS 25999
V roce 2006 byla ve Velké Británii vydána britským normalizačním institutem (British Standards Institute, BSI), ve spolupráci s Business Continuity Institute (BCI) vůbec první norma pro oblast BCM BS 25999, s cílem stanovit jednotný standard správné praxe a uspokojit přitom potřeby zákazníků, klientů, vlády, regulátorů a všech ostatních zainteresovaných stran.
Pod označením BS 25999 se rozumí dvojice norem, která poskytuje doporučení a požadavky pro oblast řízení kontinuity činností organizace. První část standardu BS 25999-1:2006 „Code of practice for business continuity management“ stanovuje základní principy a poskytuje doporučení pro implementaci BCM v organizaci. Základem této části standardu se stala veřejně dostupná specifikace PAS 56 (Publicly Available Specification) „Guide to Business Continuity Management“, kterou vydal BSI již v roce 2003.
V roce 2007 byla publikována druhá část tohoto nového standardu, BS 25999-2:2007 „Specification for business continuity management“ , která poskytuje požadavky pro certifikaci systémů řízení kontinuity činností (Business Continuity Management System, BCMS).
Životní cyklus BCM
BCM podle doporučení BS 25999-1:2006 může být implementován ve všech organizacích bez ohledu na jejich velikost nebo oblast podnikání. Základem životního cyklu BCM (viz obrázek) je řízení programu BCM, které je bráno jako kontinuální proces.
Efektivní ustanovení a řízení programu BCM je závislé na podpoře vrcholového vedení organizace, demonstrované stanovením rozsahu a cílů BCM a publikací politiky. Viditelný závazek vedení je demonstrován i vyčleněním odpovídajících zdrojů k ustanovení a řízení BCM a přidělení povinností a odpovědností v oblasti kontinuity činností. Organizace musí zabezpečit, aby pracovníci, kterým byly přiděleny nové odpovědnosti, byli způsobilí plnit požadované úkoly.
Konečnou odpovědnost za fungování organizace, tedy i za řízení kontinuity činností organizace má vrcholové vedení organizace. Měl by být určen člen vrcholového vedení, kterému bude přidělena celková odpovědnost za kompletní program řízení kontinuity činností. Důležitým prvkem řízení kontinuity činností je i vytvoření a upevňování kultury BCM v rámci organizace a ustanovení a posilování povědomí o důležitosti a významu řízení kontinuity činností. Jedním ze způsobů jak toho v praxi dosáhnout je vytvoření programu školení a zvyšování povědomí o BCM.
Dále popsané kroky životního cyklu se týkají samotné implementace BCM v organizaci.
Porozumění činnosti organizace
Cílem tohoto kroku je:
- identifikace kritických činností, procesů a zdrojů, které podporují klíčové produkty nebo služby organizace;
- provedení tzv. analýzy dopadů (Business Impact Analysis, BIA), pomocí které se hodnotí, jaké dopady v čase by na organizaci a další zainteresované strany mělo narušení dodávek klíčových produktů nebo služeb. Klíčovými výstupy analýzy pro další kroky implementace BCM jsou stanovené maximální tolerované doby narušení procesu / činnosti (Maximum Tolerable Period of Disruption, MTPD nebo také Maximum Tolerable Outage, MTO), cílové doby obnovy (Recovery Time Objectives, RTO) spolu s minimální požadovanou úrovní funkčnosti služeb (Level of Business Continuity, LBC);
- provedení hodnocení rizik (Risk Assessment) ve vztahu ke zdrojům využívaných v identifikovaných kritických činnostech. Organizace by si měla zvolit vhodnou metodiku hodnocení rizik vyhovující jejím požadavkům, která umožní organizaci porozumět hrozbám působící na tyto zdroje, zranitelnostem těchto zdrojů a dopadu na organizaci, pokud hrozby využijí tyto zranitelnosti a způsobí incident s následkem narušení / přerušení činností;
- vybrání vhodných opatření pro zvládání rizik, která jsou navržena ke snížení pravděpodobnosti narušení, zkrácení doby narušení činností a k omezení dopadu narušení na klíčové produkty a služby organizace.
Určení strategií BCM
S ohledem na výsledky předchozího kroku „Porozumění činnosti organizace“ jsou navrženy vhodné strategie kontinuity, které umožňují identifikovat různé varianty a způsoby obnovy kritických činností organizace v jejich požadovaných časech v případě jejich narušení. Tyto strategie by měly být schváleny vrcholovým vedením organizace.
Cílem tohoto kroku je:
- vytvořit strategii reakcí na incidenty. Každá organizace by měla mít zavedeny postupy na zvládání incidentů, aby byla schopna udržet kontrolu nad vzniklou situací a případně zajistila dosažení požadovaných úrovní kontinuity činností aktivací plánů obnovy, pokud by došlo k narušení kritických činností. Časový přehled pro reakci (viz obrázek níže) popisuje postupnou aktivaci plánu na zvládání incidentu, plánu kontinuity a plánu obnovy.
- určit, jak bude obnovena každá kritická činnost v rámci cílové doby obnovy (RTO), a definovat k tomu potřebné zdroje. Při tom je nutné vzít v úvahu maximální přijatelnou dobu narušení (MTPD, MTO) pro každou činnost, náklady na implementaci strategie a důsledky nečinnosti. Při stanovení strategií je nutné zvážit, jak budou zapojeny klíčové zdroje, např. lidé, finance, provozovny, technologie, informace a služby.
Při přípravě strategií se doporučuje zvážit dále uvedené čtyři základní scénáře:
- zamezení přístupu do prostor (např. v případě hrozby bombového útoku);
- nedostatek pracovníků (např. virové pandemie);
- selhání technologií a podpůrných zařízení;
- selhání klíčového poskytovatele služeb.
Pro realizaci jednotlivých strategií je vždy nezbytné identifikovat typ a množství zdrojů potřebných k jejich dosažení. Určit, jak budou v době narušení zvládány vztahy se všemi zúčastněnými stranami. Zvláštní důraz by měl být kladen na komunikaci s vlastními pracovníky a médii.
Vývoj a implementace BCM
Tato část životního cyklu BCM souvisí s vytvořením a implementací vhodných a přiměřených plánů (postupů), jejichž cílem je umožnit organizaci, aby v případě narušení kritických činností udržela nebo v co nejkratším čase obnovila své procesy na požadovanou provozní úroveň (LBC).
Menší organizace mohou využívat pouze jeden plán kontinuity, zatímco ve větších organizacích může existovat celá řada vzájemně propojených plánů, které pokrývají řízení incidentu, kontinuitu činností a řízení obnovy (viz obrázek Časový přehled reakce na incident).
Při sestavování plánů je důležité, aby byly do tohoto procesu zapojeny všechny dotčené složky organizace. Jednotlivé plány kontinuity by měly identifikovat činnosti a zdroje potřebné pro hladké zvládání nastalých krizových situací. Každý plán by měl jasně specifikovat podmínky své aktivace, a stejně tak identifikovat osoby s odpovědností za vykonávání každého bodu plánu. Každý plán musí mít stanoveného vlastníka a měl by být přístupný všem pracovníkům, od nichž se vyžaduje, aby jej použili. Každý plán by měl minimálně obsahovat následující informace:
- Účel a rozsah
- Role a odpovědnosti
- Podmínky a postupy aktivace plánu
- Alternativní lokality
- Přehled úkolů a činností - co se má udělat, kdy, kde a v jakém pořadí
- Umístění alternativních zdrojů
- Důležité kontaktní údaje
- Další potřebné údaje a informace
Testování, udržování a přezkoumání BCM
Vytvořené plány musí organizace testovat a tím se ujistit, že jsou úplné, reálné a funkční. Testování odhaluje nesouvislosti a opomenutí v plánech dříve, než jsou použity v případě nastalé havárie. Testování a nacvičení plánů zároveň slouží k proškolení těch pracovníků, kterým jsou v plánech kontinuity přiřazeny role.
Testování a revize plánů by měly probíhat v pravidelných intervalech, dle harmonogramu schváleného vrcholovým vedením organizace, nebo vždy když v organizaci dojde k významným změnám, které mohou ovlivnit kontinuitu činností. Testování by nemělo ohrozit organizaci tím, že by samo způsobilo narušení. Testování musí být praktické a ekonomické, přiměřené organizaci a navržené tak, aby budovalo důvěru ve vytvořené plány. Testování plánů musí být řízeno na základě vhodných scénářů, které jsou uzpůsobeny potřebám organizace. Scénáře mohou zahrnovat různé typy kontrol úplnosti plánů, až po simulace havarijních situací.
Průběh každého testu musí být detailně zaznamenán, veškeré činnosti a výsledky testů musí být následně přezkoumány. Plány kontinuity musí vždy postihovat aktuální změny ve společnosti. Při změnách v organizaci ovlivňující kontinuitu kritických činností může být nezbytné opakovat analýzu dopadů (BIA) a znovu ohodnotit kritické činnosti, podpůrné procesy a zdroje.
Odkazy
Reference
- BS 25999-1:2006, Business continuity management – Part 1: Code of practice. London: British Standards Institution, 2006. Dostupné online.
- BS 25999-2:2007, Business continuity management – Part 2: Specification. London: British Standards Institution, 2007. Dostupné online.
- AS/NZS 4360:2004, Risk Management. Sydney: Standards Australia and New Zeland, překlad a interpretaci pro české prostředí vytvořila společnost Risk Analysis Consultants, 2004. Dostupné online. ISBN 0733759041.
- ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management. London: International Organization for Standardization Dostupné online. S. 64.
- Business continuity management: Good practice guidelines, The Business Continuity Institute. [s.l.]: [s.n.], 2010. Dostupné v archivu pořízeném dne 2010-03-31. Archivováno 31. 3. 2010 na Wayback Machine.
- HB 292:2006, A practitioners Guide to Business Continuity Management. [s.l.]: Standards Australia, 2006. Dostupné online.
- PAS 56:2003 Guide to Business Continuity Management. London: British Standards Institution, překlad a interpretaci pro české prostředí vytvořila společnost Risk Analysis Consultants, 2003. Dostupné v archivu pořízeném dne 2010-05-11. ISBN 0580413705. S. 54. Archivováno 11. 5. 2010 na Wayback Machine.
- SHARP, John. Jak postupovat při řízení kontinuity činností. Praha: překlad a interpretace pro české prostředí Risk Analysis Consultants, 2009. Dostupné online. ISBN 978-80-254-3992-0. S. 117.
Související články
- Obnova po havárii (Disaster recovery)
- Business Continuity Management System
- Business Impact Analysis
- CRAMM
Externí odkazy
- webové stránky o systému řízení kontinuity činností (BCMS)
- prověření implementace standardu BS25999 v organizaci[nedostupný zdroj]
- Zálohování a archivace dat v podnikovém prostředí – 6. díl (část 1/3), Business Continuity Management (BCM), Dostupné online, Storagecraft
- Zálohování a archivace dat v podnikovém prostředí – 6. díl (část 2/3), Business Continuity Management (BCM), Dostupné online, Storagecraft
- Zálohování a archivace dat v podnikovém prostředí – 6. díl (část 3/3), Business Continuity Management (BCM), Dostupné online, Storagecraft