Cum trebuie structurat planul de continuitate a activitatii conform ISO 22301
Conform observatiilor consultantilor ISO, companiile considera ca cele mai dificile lucruri in managementul continuitatii afacerii si managementul securitatii informatiei sunt doua la numar: evaluarea riscurilor si planificarea continuitatii activitatii. Va prezentam mai jos cateva sfaturi referitoare la planurile de continuitate a activitatii (PCA).
Ce este un plan de continuitate a activitatii?
Potrivit standardului international ISO 22301, un plan de continuitate a activitatii (denumit si plan de continuitate a afacerii) este definit ca “procedurile documentate care indruma organizatiile in vederea raspunsului, recuperarii, reluarii si restabilirii unui nivel predefinit al operatiunilor in urma intreruperii activitatii.” (clauza 3.5)
Acest lucru inseamna, practic, ca PCA se axeaza pe dezvoltarea planurilor/procedurilor, insa nu include analiza care constituie fundamentul unei astfel de planificari, nici mijloacele de mentinere a unor astfel de planuri – toate acestea sunt elemente ale managementului continuitatii afacerii care sunt necesare pentru asigurarea unei planificari reusite a raspunsului la situatii neprevazute.
Un exemplu de plan de continuitate a activitatii
Va prezentam una dintre structurile considerate drept optime pentru planul de continuitate a activitatii a intreprinderilor mici si mijlocii si ceea ce ar trebui sa includa fiecare sectiune:
Scopul, domeniul de aplicare si utilizatorii – de ce este dezvoltat PCA, obiectivele sale, ce parti ale organizatiei sunt acoperite si cine ar trebui sa il consulte.
Documentele de referinta – la ce documente trebuie sa se refere planul? In mod normal, acestea sunt politica privind continuitatea activitatii, analiza impactului activitatii, strategia privind continuitatea activitatii etc.
Premisele – conditiile preliminare care trebuie sa existe pentru ca planul sa fie eficient.
Rolurile si responsabilitatile – cine va fi responsabil de gestionarea incidentului perturbator si cine este autorizat sa efectueze anumite activitati in cazul unui incident perturbator – de exemplu, activarea planurilor, achizitii urgente, comunicarea cu mass-media etc.
Contactele cheie – detaliile de contact ale persoanelor care vor participa la executarea planului de continuitate a activitatii – aceasta reprezinta de obicei una dintre anexele planului.
Activarea si dezactivarea planului – in ce situatii poate fi activat planul, ca si metodele de activare; ce conditii trebuie sa existe pentru a dezactiva planul.
Comunicarea – ce mijloace de comunicare vor fi folosite intre diferitele echipe si celelalte parti interesate in timpul unui incident perturbator. Cine este insarcinat sa comunice cu fiecare parte interesata si ce reguli speciale de comunicare exista in legatura cu mass-media si agentiile guvernamentale.
Raspunsul la incidente – cum trebuie reactionat initial la un incident pentru a reduce daunele – aceasta este adesea o anexa a planului principal.
Locatiile fizice si transportul – care sunt locatiile principale si alternative, unde sunt punctele de adunare si cum se ajunge de la locatiile principale la cele alternative.
Ordinea de recuperare pentru activitati – lista tuturor activitatilor, cu obiective precise privind timpul de recuperare pentru fiecare in parte.
Planurile de recuperare pentru activitati – descrierea pas cu pas a actiunilor si responsabilitatilor pentru recuperarea fortei de munca, a facilitatilor, a infrastructurii, a software-ului, a informatiilor si a proceselor, incluzand interdependenta si interactiunile cu alte activitati si cu partile interesate – acestea sunt adesea anexe ale planului principal.
Planul de redresare in caz de dezastru – acesta este de obicei un tip de plan de recuperare care se axeaza pe recuperarea infrastructurii IT&C.
Resursele necesare – o lista a tuturor angajatilor, a serviciilor de terta parte, a facilitatilor, a infrastructurii, informatiilor, echipamentelor etc. necesare pentru a realiza recuperarea – si cine este responsabil de furnizarea fiecarei resurse in parte.
Restabilirea si reluarea activitatilor prin masuri temporare – cum trebuie restabilite activitatile de afaceri la fel ca inainte, odata ce incidentul perturbator a fost rezolvat.
ISO 22301 solicita existenta tuturor elementelor care sunt necesare pentru ca acest plan sa fie util in caz de dezastru (sau in caz de orice alta intrerupere in activitatile unei companii). Cu toate acestea, niciun standard nu va poate ajuta daca nu va luati sarcinile in serios – un plan cuprinzator, intocmit in mod adecvat, va poate salva compania in vremuri de restriste, in timp ce un plan conceput in mod superficial nu va face decat sa inrautateasca lucrurile.