Jak napisać plan ciągłości działania?

Organizacje poszukują nowoczesnych technologii, aby podnosić swoją produktywność i wzmacniać pozycję rynkową. Mało tego, ich działania opierają się w ogromnym stopniu właśnie na technologiach. Mimo ogromnych zalet i korzyści biznesowych wiąże się to też z zagrożeniami, które mogą narazić na poważne, nawet nieoszacowane, straty. Jak uniknąć cyberataków lub awarii? Jak się zabezpieczyć i zapobiec lub zminimalizować straty? Odpowiedzią jest skuteczny plan ciągłości działania.

Przy opracowywaniu planu ciągłości działania (ang. Business Continuity Plan, w skrócie BCP) niezwykle ważna jest świadomość, że nie da się przewidzieć każdego z możliwych scenariuszy powiązanych z ryzykiem. Wszystko przez fakt, że różnorodność zjawisk stanowiących zagrożenie dla osiągnięcia zamierzonych celów przez przedsiębiorstwo jest ogromna. Jednakże dysponowanie odpowiednią wiedzą i procedurami pomoże zredukować skutki wystąpienia zdarzeń takich jak awaria infrastruktury czy cyberatak. Jest to o tyle ważne, że kwestię ciągłości działania możemy odnieść nie tylko do aspektów technicznych (np. niezawodność systemów), ale też biznesowej (ciągłość dostarczania usług i produktów) oraz społecznej (odporność na kryzysy społeczne czy kataklizmy naturalne).

Dodajmy, że deficyt dostępności dotyka aż 82% przedsiębiorstw i może je kosztować nawet 21,8 mln dolarów rocznie (według raportu Veeam). Alarmujące są również wyniki ankiety opublikowanej przez Mercer, globalną firmę konsultingową. Zgodnie z nimi połowa przedsiębiorstw (51%) na całym świecie nie ma planów awaryjnych na wypadek globalnej sytuacji kryzysowej. Jak zatem opracować taki plan działania?

Wzory planów ciągłości działania

Istnieje wiele standardów i wzorów, według których tworzy się BCP. Tak na przykład Komisja Nadzoru Finansowego rekomenduje, aby banki korzystały ze schematów zarządzania ryzykiem zgodnymi z COBIT (ang. Control Objectives for Information and related Technology), czyli wskazówkami opracowanymi przez ISACA oraz IT Governance Institute. Dostępny jest również podręcznik stworzony przez amerykański instytut NIST dla agencji rządowych USA pt. „Contingency Planning Guide for Federal Information Systems”, który pomaga ocenić systemy informacyjne i operacje w celu określenia wymagań i priorytetów planowania awaryjnego. Wzorem dla BCP mogą być również normy: ISO 22313, ISO 22317, ISO 22318, ISO 22398, ISO/IEC 27031, PN-ISO/IEC-1779, PN-ISO/IEC 24762:2010, PD 25666, PD 25111 oraz BS 25999-1.

W PBSG korzystamy ze wzorców opartych na międzynarodowych standardach takich jak BS 25999, ISO 22301, ponadto monitorujemy badania i publikacje Disaster Recovery Insitute (DRI). Bazujemy również na zbiorze własnych dobrych praktyk z zakresu zarządzania kryzysowego.

Właściwe wzory planu ciągłości działania są tak samo istotne, jak aktualność. Plany opracowane w ramach polityki ciągłości działania powinny być regularnie testowane oraz aktualizowane na podstawie analizy nowych źródeł zagrożeń.

Najbliższe terminy szkoleń

Co powinien zawierać plan ciągłości działania (BCP)

Prawidłowo przygotowany plan ciągłości działania powinien uwzględniać m.in. plany i scenariusze dla:

  • odzyskiwania danych po wystąpieniu zakłócenia (ang. Disaster Recovery Plan, DRP)
  • komunikacji w sytuacjach kryzysowych
  • bezpieczeństwa i dostępności pracowników
  • ochrony wizerunku organizacji
  • zapewnienia ciągłości pracy kluczowych dostawców oraz usług outsourcingowych

Jak przygotować plan ciągłości działania w 5 krokach

Krok 1 – Przeanalizuj ryzyko

Na początek należy dokonać dwóch analiz, bez których nie ma szans opracować dobrego planu BCP. Analiza wpływu biznesowego (z ang. Business Impact Analysis, BIA) oraz analiza ryzyka (ang. Risk Analysis, RA) pozwolą zidentyfikować zagrożenia dla procesów oraz dokonać oceny, które z nich są najbardziej prawdopodobne i destrukcyjne dla działania organizacji. Dzięki RA określisz stopień podatności organizacji na zagrożenia, a BIA – które obszary są kluczowe do utrzymania ciągłości działania.

Krok 2 – Opracuj plan

Podczas tego etapu niezwykle ważna jest współpraca pomiędzy firmą opracowującą plan ciągłości działania a pracownikami danej organizacji. Klient powinien wyznaczyć osoby odpowiedzialne za realizację krytycznych procesów lub usług. Z reguły opracowanie planu odbywa się na indywidualnych warsztatach – tak działamy w PBSG. Podczas nich dzielimy się wynikami analiz i określamy, o które obszary należy zadbać w szczególności. W następnym kroku przygotowujemy scenariusze reakcji i procedury, które określają, w jaki sposób organizacja będzie kontynuować działalność w momencie pojawienia się incydentu.

Krok 3 – Przygotuj procedury odtworzeniowe

To bardzo ważny krok, ponieważ dotyczy stworzenia planu odzyskiwania danych i innych niezbędnych elementów działalności (systemowych i biznesowych) po wystąpieniu incydentu.

Krok 4 – Testuj

Dzięki regularnym testom planu działania zyskuje się pewność, że wdrożony plan sprawdza się w praktyce. Systematyczne przeprowadzanie testów pomaga nie tylko nauczyć pracowników odpowiednich reakcji i podnosi ich świadomość, ale też sprawdza koordynację i komunikację zespołu. To również doskonały sposób, by upewnić się, czy pewne obszary nie wymagają ulepszenia. Aby uzyskać miarodajne wyniki testów, dobrze jest skorzystać z zewnętrznych specjalistów, którzy przygotują narzędzia i metodykę zgodną z profilem organizacji – tutaj rekomendujemy naszych konsultantów, szczegóły oferty sprawdzisz na testowanie planu ciągłości działania z PBSG.

Krok 5 – Regularnie aktualizuj

Plan ciągłości działania nie jest zamkniętym dokumentem, który obowiązywać będzie bezterminowo. Należy go regularnie testować i aktualizować, zwłaszcza że rzeczywistość i otoczenie organizacji cały czas się dynamicznie zmieniają, pojawiają się nowe rozwiązania technologiczne, a tym samym nowe zagrożenia. Pamiętaj, aby przeszkolić nowych pracowników z procedur związanych z zarządzaniem ryzykiem.

Plan ciągłości działania - podsumowanie

Plan ciągłości działania jest zestawem scenariuszy przewidywanego materializowania się zagrożeń oraz działań zaplanowanych na taką okoliczność. Chodzi o takie przypadki jak pożar czy zalanie serwerowni, przerwa w dostępie prądu czy poważniejsza awaria informatyczna. Dzięki technikom w zakresie oceny ryzyka i strategii naprawczych możesz zyskać efektywny plan działania, który nie tylko ochroni kluczowe zasoby firmy, ale też pomoże utrzymać wizerunek godnego partnera wśród pracowników i kontrahentów.

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
Czytaj, oglądaj, subskrybuj
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

Agata Drozdowska
Specjalista ds. sprzedaży, ukończyła Uniwersytet im. Adama Mickiewicz w Poznaniu na kierunku filologia rosyjsko – angielska oraz kulturoznawstwo. Dodatkowo ukończyła studia podyplomowe w dziedzinie PR na Uniwersytecie Ekonomicznym w Poznaniu. Wcześniej związana z księgowością na rynki zagraniczne, postanowiła odkrywać nowe horyzonty i rozpoczęła swoją przygodę w sprzedaży. Specjalizuje się w przetargach z sektora publicznego i biznesowego, a poza tym w swojej codziennej pracy wspiera naszych klientów w różnych obszarach. Aktualnie jako Account Manager stale się rozwija i świadczy usługi na wysokim poziomie. Prywatnie ma szeroki zakres zainteresowań, poczynając od sportów, głównie siatkówka, snowboard i jazda na rowerze, po naukę języków obcych oraz podróżowanie do najdalszych zakątków świata, jak Chiny czy Stany Zjednoczone. Mieszka w Poznaniu od ponad 20 lat, a przyjechała z miejscowości słynącej z chmielu i wikliny – Nowego Tomyśla.