ИСО 22301 – Управување со деловен континуитет

  • Печати

Деловниот континуитет (ДК) најчесто се опишува и доживува како “логично размислување”. Се однесува на преземање на одговорност за вашиот бизнис (работење) и овозможување да се опстане на вистинскиот пат, без разлика какви бури и невремиња го попречуваат тоа. Во такви критични ситуации потребно е “да се остане смирен и да се продолжи со работата!”   

Деловниот континуитет опфаќа градење и подобрување на отпорноста на работењето (од поголеми прекини), идентификација на клучните производи и услуги, како и утврдување на најитните активности кои ги опслужуваат истите. Потоа откако ќе се заврши анализата, потребно е да се осмислат плановите и стратегиите кои ќе овозможат да се продолжи со деловните операции и брзо и ефективно закрепнување од било какви нарушувања, без разлика на нивната големина и причина на настанување. Планирањето ви дава солидна рамка на која можете да се потпрете во услови на кризни ситуации и ви дава стабилност и безбедност. Всушност, интегрирањето на “деловен континуитет” во вашето работење докажано ви носи деловни предности.

Деловниот континуитет е составен дел од повеќе менаџмент системи, како што се управувањето со ризици, управување со безбедност на информации и испорака на ИТ сервиси.

Стандардот ИСО22301 е применлив за СИТЕ видови на индустрии, воопшто не е ограничен на ИТ или слични дејности.

Стандарди кои се релевантни и поврзани со оваа тема

Британски:

  • Business Continuity Institute (BCI), British Standard Institute (BSI)
  • PAS 56 Publicly Available Specification – Guide to Business Continuity Management  
  • BS 25999-1:2006, Business continuity management — Code of practice 
  • BS 25999-2:2007, Business continuity management — Specification

Меѓународни:

  • ISO 22301:2012 Societal security, Business continuity management systems - Requirements
  • ISO 22313 Societal security — Business continuity management systems — Guidance 
  • ISO 22398  Societal security — Guidelines for exercises and testing
  • ISO 31000 Risk Management Principles and Guidelines

Дефиниција за управување со деловен континуитет - ДК (Business Continuity Management)

  • Холистички менаџмент процес
  • Рамка за истрајност и реактивност
  • Обезбедување на интересите на клучните засегнати страни
  • Идентификација на потенцијални ризици, закани и влијанија.

Дефиниција според стандардот ИСО 22301:2012:

Деловниот континуитет цели да ги обезбеди интересите на организацијата и нејзините клучни засегнати страни, со заштитување на критичните деловни функции во однос на претходно утврдени поголеми прекини.

 

Искуствен пример – кризна ситуација во поранешни гиганти на мобилната индустрија

Вовед:

  • Период на најголем развој на индустрија на мобилни телефони (2004г) 
  • Фабрика на полупроводници во Албекерки (САД)
  • Производство на чипови за мобилни телефони, критични компоненти
  • 40% од производството е наменето за Нокиа (Финска) и Ериксон (Шведска)

Инцидент:

  • Пожар во погоните од струен удар од гром
  • Пожарот е ставен под контрола за неколку минути
  • Штетата се однесува на чадот и водата-средствата за гасење

Влијание:

  • Прекин на производството со чипови
  • Потребни неколку недели за воспоставување на работење со нормални капацитети

Нокиа:

  • Мониторинг на ланецот на добавувачи
  • Веднаш се преземени акции за непречена набавка на деловите
  • Преконфигурирање на производството за да ги запази различните спецификации

Ериксон:

  • Веруваше на ветувањето на добавувачот дека не станува збор за голем проблем
  • Доцнење со преземањето на активности за справување во рок од 2 недели.

 

Клучни области на ризици – влијание врз работењето (Business Impact)

Кога се случуваат вакви големи прекини, предизвикани од природни или други појави, планирањето треба да ги опфати СИТЕ аспекти на работењето, односно:

  • Луѓето
  • Информации и податоци
  • Згради, работна околина и придружни уреди
  • Опрема и потрошен материјал
  • Компјутерски системи
  • Транспорт
  • Финансии
  • Партнери и добавувачи

За какви ситуации е потребно да се биде подготвен?

Сведоци сме на се почести природни непогоди - во моментов беснеат најголемите пожари во историјата на Калифорнија, каде покрај големиот број на човечки жртви, настрадаа и голем број на деловни објекти. Исто така во последните две години искусивме интензивни врнежи и поплави, па дури и појава на невообичаени природни феномени, како што беше ураган во Рим! 

Редовни се прекините во снабдување со ел. енергија - Западна Македонија беше без електрична енергија во период од 4-5 дена за време на студовите и снежните наноси во 2016г.

Европските метрополи се цел на редовни терористички напади, но тие земаат се поголем замав.  

Прекини во сообраќајните мрежи – оштетувања на железнички линии, затворени автопатишта за време на силни ветрови и снежни наноси.

Во истражувањата од 2013г. на BCI најголема причина за организациските прекини во 2012 година биле

  • Зимски услови 77% 
  • Неприсутноста на вработени заради      болести 42%
  • Прекин на ИТ сервиси 40%
  • Прекин на телекомуникации 27%

Последните истражувања на Sungard Availability Services од 2017 се дека прекините во работната околина заради игнорирање на случувањата во животната околина се повисоки од било кога!

 

Корист од кризниот менаџмент

Ги намалува негативните влијанија и го забрзува воспоставувањето на нормално работење во сите видови на корпоративни кризни ситуации

Управувањето со деловен континуитет е целосно компатибилно со PDCA (Plan-Do-Check-Act) циклусот на сите менаџмент стандарди.

Планирањето се однесува на анализа на прекините врз работењето, како и идентификација на сите ризици. Справувањето со ризиците се однесува на нивно намалување (или задржување), избегнување-отстранување-споделување, како и идентификација на преостанатиот ризик. Мерењето, анализата и тестирањето на деловниот континуитет ќе ги прикажат слабостите, за кои ќе се потребни подобрувања. И понатаму повторно истиот континуиран циклус.

Активности кои ги опфаќа управувањето со деловниот континуитет:

  • Опсег и цели
  • Разбирање на бизнисот, работењето
  • Оценка на ризикот
  • Оценка на потенцијални мерки за континуитет
  • Дефинирање на вашата стратегија
  • Развивање на планови за континуитет
  • Одржување, обука и вежбање на плановите за континуитет

Како и кај сите понови верзии на меѓународните стандарди, така и овој ја запазува новата генерална структура, која ќе биде идентична за сите нив. Како иницијална активност е утврдување на контекстот на организацијата, односно идентификација на сите внатрешни и надворешни фактори кои влијаат во работењето.

Меѓу другото потребно е и воспоставување на одговорности на неколку раководни функции во внатрешната организација.

Врвното раководство е одговорно за воспоставување на Политиката за ДК и нејзина имплементација.

Понатаму потребни се раководни одговорности за имплементација и одржување на системот за управување со ДК, односно да постојат одговорни лица (сопственици) на процедурите за ДК кои ќе се грижат за нивното одржување и спроведување.

Креирање на тимови за реакција при инциденти, кои имаат одговорност за алармирање, односно активирање на плановите за континуитет, соодветни контакти за информирање, како и тимови за справување со инцидентите. Секако во сите овие активности не треба да се заборават останатите вработени и добавувачите

Параметри кои ги дефинираат деловниот континуитет (RTO, RPO и MTPOD)

При планирање и димензионирање на плановите за континуитет, потребно е организацијата да утврди неколку параметри по кои треба да се води.

RPO – Recovery Point Objective 

RTO – Recovery Time Objective 

MTPOD – Maximum Tolerable Period of Dowtime

Овие параметри, најчесто се изразени во часови кај оние кои имаат критични производи-процеси, кај кои е потребно брзо воспоставување на нормалното работење. Кај оние со помалку критични активности-услуги, овие времиња може да се поголеми, понекогаш и во денови. Затоа е многу битно да се разбере контекстот на организацијата и да се опфатат само критичните делови од работењето, за да не се предимензионираат плановите, и тие да претставуваат непотребен трошок и оптеретување на организацијата.

Целите на управувањето со деловниот континуитет мора да се:

  • Јасно дефинирани
  • Во склад со Политиката (SMART = Specific, Measurable, Achievable, Relevant, Time-oriented)
  • Да ги имаат предвид апликативните потреби и барања
  • Да овозможат одржување или подобрување на перформансите
  • Да се мониторираат и ажурираат соодветно

За исполнувањето на овие цели, организацијата мора да одреди, КОЈ е одговорен за реализација, ШТО ќе се направи и КОГА ќе бидат комплетирани активностите, и КАКО ќе се оценат резултатите.

Компоненти кои ги сочинуваат активностите во однос на Управувањето со ДК се:

  • Бекап на компјутерските системи
  • Активности за далечинско работење
  • План за (итна) реакција на локација
  • Преселба на резервна локација
  • Комуникација со добавувачи
  • Медиумска реакција за теми од континуитетот
  • Пристап до алтернативни сервиси (бекап струен генератор) 
  • Алтернативни добавувачи

Како да се биде подготвен

По појавата на непланираниот прекин, од било која причина, деловниот континуитет опфаќа четири главни фази:

Итна реакција (Emergency Response):

  • Иницијална контрола на итната ситуација
  • Спасување на човечките животи, заштита на физичките уреди, минимизирање на штетата и влијанието врз работењето, избегнување на загадување на животната околина
  • Стабилизирање, безбедност, оценка на штета

Кризен менаџмент (Crisis Management):

  • Стратегиски насоки – одржување на Политиката
  • Комуникација во кризни услови – внатрешна и надворешна (медиуми)
  • Справување со надворешни страни – засегнати, корисници и сл.
  • Координација на напорите за повторно воспоставување на услугите

Обновување на работењето (Business Recovery)

  • Постапно враќање на бизнис-критичните процеси

Обновување од несреќата

  • Обновување на инфраструктурата и услугите
  • Враќање во состојба на нормално работење

 

Деловни предности од управувањето со деловниот континуитет

  • Подобрување на издржливоста на работењето (бизнисот) – 86%
  • Заштита на репутација – 74%
  • Задоволување на клиентските потреби – 72%
  • Помага организацијата по настанатиот инцидент, побрзо да се врати во нормална состојба 85% 

Дефинирањето на управувањето со деловниот континуитет може да се усогласи, имплементира, одржува и провери во однос на  барања во законска регулатива (пр. Закон за заштита на лични податоци, НБРМ итн) или некои поконкретни стандарди за определена индустрија, а најмногу детали се опишани во меѓународните стандарди ИСО 22301, ИСО27001, ИТИЛ-ИСО 20000, BCI насоки за најдобра пракса, BS 25999 и други организации.

 

Насоки за успешна имплементација и управување со деловниот континуитет:

  • Започнете со разбирање на вашето работење, но не само во однос на потенцијалните закани. Анализата на влијанието (на прекинот) врз работењето е далеку побитна отколку оценката на ризиците.
  • Редовно преиспитување и тестирање на плановите за ДК
  • Постојано информирање
  • Да не се запостави ланецот на добавувачи
  • Да се дефинираат јасни раководни улоги и одговорности
  • Малите и средни (по обем) организации особено треба да се посветат како да го искористат управувањето со деловниот континуитет за да ја подобрат својата отпорност од прекини во работењето.