ISO 22301 – kako upravljati kontinuitetom poslovanja?

Detalji

Kreirano Ponedjeljak, 07 Siječanj 2019 08:40

Hitovi: 5685

U suradnji s HMD-om objavljujemo članak naziva "ISO 22301 – kako upravljati kontinuitetom poslovanja?" iz časopisa Svijet po mjeri (broj 1/2017) čiji je autor mr. sc. Igor Liščić.

Današnji svijet obilježen je sve većim brojem različitih događaja koji imaju obilježja manjih ili većih katastrofa, i prirodnih (potresi, poplave, požari…) i onih izazvanih ljudskim djelovanjem (teroristički napadi, ratovi, nemiri i drugo). Osim događaja koji imaju svoju uočljivu fizičku manifestaciju, u vremenu sveopće globalizacije i informatizacije sve je više i onih koji su vezani za informacije i informacijske sustave (kibernetički napadi, kvarovi i pogreške informacijskih sustava, gubitci podataka i slično). Mogućnost ostvarenja tih prijetnji izazov je na koji moraju obratiti pozornost vodstva gotovo svih poduzeća, neovisno o veličini i djelatnosti, i to iz vrlo jednostavnoga razloga: ako poduzeće nije spremno učinkovito odgovoriti na pojavu ozbiljne havarije, to može značiti njegov nestanak s tržišta. Tako je, na primjer, jedno istraživanje koje je proveo Business Continuity Institute, 80 % poduzeća koja su bila pogođena značajnijim incidentom, a koja nisu imala uvedeno upravljanje kontinuitetom poslovanja, nestalo s tržišta unutar 13 mjeseci nakon havarije.

Kako bi se osigurao nastavak poslovanja nakon havarije, u nekim djelatnostima (financijski sektor, zdravstvene institucije, infrastrukturne djelatnosti – opskrba električnom energijom, vodom, telekomunikacije) regulativom su propisane obveze poduzeća u pogledu planiranja kontinuiteta poslovanja, dok se kod drugih poduzeća sve više odlučuje na sustavno upravljanje kontinuitetom poslovanja jednostavno zato što su troškovi uvođenja neusporedivo manji od potencijalnih gubitaka. U ovome će članku biti prikazan pregled osnovnih sastavnica sustava upravljanja kontinuitetom poslovanja, zasnovanom na strukturi propisanoj u međunarodnoj normi ISO 22301:2012 „Društvena sigurnost – Upravljanje kontinuitetom poslovanja – Zahtjevi“.

Povijesni razvoj
Ozbiljnija primjena planiranja opravka od havarije (Disaster Recovery) pojavljuje se kao odgovor na prirodne nepogode i terorističke napade tijekom osamdesetih i devedesetih godina prošloga stoljeća, i to najviše u području informatičkih podatkovnih centara. Tako je s jedne strane upravljanje kontinuitetom poslovanja od samih početaka vezano uz sigurnost informacijskih sustava. Ta je povezanost vidljiva i u normi ISO 27001, Sustavi upravljanja informacijskom sigurnošću – Zahtjevi, u kojoj je u zahtjeve uključeno upravljanje kontinuitetom poslovanja (BCM- Business Continuity Management). S druge strane pokazala se i sve veća potreba za cjelovitim upravljanjem kontinuitetom poslovanja, koje će poduzećima omogućiti da učinkovito odgovore na krizne situacije koje ne moraju ugrožavati samo informacijski sustav i koje će u sebi uključivati sve poslovne procese. Kao rezultat tih nastojanja British Standards Institution (BSI) 2006 godine objavljuje normu BS 25999-1 Business Continuity Management – Code of Practice. Norma BS 25999-1 ujedno je i prva norma prema kojoj se mogao certificirati sustav upravljanja kontinuitetom poslovanja. Približno u isto vrijeme međunarodna organizacija za normizaciju ISO, u sklopu tehničkog komiteta TC 223 Societal Security, započinje rad na novome nizu norma kojim bi pokrila to područje. Konačno, u svibnju 2012. godine ISO objavljuje normu ISO 22301 Business Continuity Management Systems — Requirements, koja uspostavlja zahtjeve za certifikaciju, a krajem iste godine i normu ISO 22313 Business Continuity Management Systems — Guidance, koja je vodič za ispunjavanje zahtjeva iz norme ISO 22301. Prema podatcima ISO-a (ISO Survey 2015) do kraja 2015 godine certificirano je 3133 poduzeća, najviše u Aziji i Europi.

Struktura i ključni elementi norme ISO 22301
Struktura norme ISO 22301:2012 zasnovana je na Dodatku SL (Annex SL), kojim je organizacija ISO definirala istovjetan okvir za sve norme koje se odnose na sustave upravljanja (kvaliteta, okoliš, informacijska sigurnost,…), te na poznatom Demingovu krugu (Plan – Do – Check – Act). Dodatak SL ISO je objavio 2012. godine, a njime je definirana takozvana struktura visoke razine (High Level Structure), koju čini deset poglavlja. Sve norme u izdanju ISO-a koje se odnose na upravljačke sustave (ISO 9001, ISO 14001, ISO 27001, …) moraju imati strukturu u skladu s ovim dokumentom. Zahtjevi koje mora ispuniti poduzeće koje želi primijeniti određenu normu sadržani su u poglavljima od 4 do 10. Veza između Demingova kruga i poglavlja norme ISO 22301 prikazana je u tablici u nastavku. Srž je norme poglavlje 8. u kojemu su sadržani svi specifični zahtjevi norme ISO 22301, dok su ostala poglavlja uglavnom ista ili slična odgovarajućim zahtjevima u ostalim normama sustava upravljanja.
Stoga će u nastavku detaljnije biti obrađeno poglavlje 8. i to poglavito:
– analiza utjecaja na poslovanje
– procjena rizika
– strategija kontinuiteta poslovanja
– postupci upravljanja kontinuitetom poslovanja te
– vježbe i testiranja.

Analiza utjecaja na poslovanje
Analiza utjecaja na poslovanje ili BIA (od engleskoga naziva Business Impact Analyse) ključni je element u uspostavi sustava upravljanja kontinuitetom poslovanja. Prvi korak u analizi utjecaja na poslovanje utvrđivanje je onih aktivnosti bez kojih poduzeće ne može isporučiti svojim kupcima proizvode i usluge. Nakon što su te aktivnosti utvrđene, potrebno je procijeniti mogući utjecaj njihova prekida na poslovanje poduzeća, uzima se u obzir protok vremena od nastanka prekida.

Nastavak članka možete pročitati u časopisu Svijet po mjeri (broj 1/2017). Više podataka o časopisu možete saznati na internetskoj stranici Hrvatskog mjeriteljskog društva www.hmd.hr.


Izvor:HMD