Osnove ISO 22301

Što je ISO 22301?

Puni naziv ovog standarda je ISO 22301:2012 Societal security – Business continuity management systems – Requirements (za sada ne postoji službeni prijevod na hrvatski jezik). Ovaj standard su pisali vodeći stručnjaci za kontinuitet poslovanja, i on pruža najbolji okvir za upravljanje kontinuitetom poslovanja u organizaciji. Jedna od stvari po čemu se ovaj standard razlikuje od ostalih metodologija i standarda za kontinuitet poslovanja jest što se organizacije mogu certificirati po ISO 22301 od strane akreditiranih certifikacijskih kuća, i na taj način dokazati svoju sukladnost prema svojim klijentima, partnerima, vlasnicima i ostalim zainteresiranim stranama.

Odnos s BS 25999-2

ISO 22301 je zamijenio BS 25999-2 – ta dva standarda su relativno slična, i može se reći da je ISO 22301 unaprijeđena verzija BS 25999-2. Za razlike između ova dva standarda pogledajte infografiku ISO 22301 vs. BS 25999-2.

Koje su koristi od kontinuiteta poslovanja?

Kada se upravljanje kontinuitetom poslovanja implementira na primjeren način smanjit će se mogućnost za prekid poslovanja, ali ako takav prekid i nastupi, organizacija će biti sposobna odgovoriti na primjeren način što će drastično smanjiti potencijalnu štetu od takvog prekida.

Tko može implementirati ovaj standard?

Bilo koja organizacija – velika ili mala, profitna ili neprofitna, privatna ili javna. Standard je koncipiran na takav način da je primjenjiv za bilo koju veličinu ili bilo koju vrstu organizacije.

Na koji način se uklapa upravljanje kontinuitetom poslovanja u ukupno upravljanje u organizaciji?

Upravljanje kontinuitetom poslovanja je dio upravljanja rizicima, s time da postoji veliko preklapanje sa upravljanjem informacijskom sigurnošću i sa upravljanjem informacijskim tehnologijama.

Napomena: upravljanje rizicima je dio generalnog upravljanja na nivou cijele organizacije.

Osnovni termini koji se koriste u standardu

• Sustav upravljanja kontinuitetom poslovanja (engl. Business Continuity Management System – BCMS) – dio ukupnog sustava upravljanja uz pomoću kojeg se planira, implementira, održava i poboljšava kontinuitet poslovanja
• Maksimalni prihvatljivi zastoj (engl. Maximum Acceptable Outage – MAO) – maksimalno vrijeme koje aktivnost može biti prekinuta bez da pretrpi neprihvatljivu štetu (također engl. Maximum Tolerable Period of Disruption – MTPD)
• Ciljano vrijeme oporavka (engl. Recovery Time Objective – RTO) – unaprijed određeno vrijeme unutar kojeg aktivnost mora nastaviti sa normalnim funkcioniranjem, ili unutar kojeg se resursi moraju oporaviti
• Ciljana točka oporavka (engl. Recovery Point Objective – RPO) – maksimalni gubitak podataka, tj. minimalna količina podataka koja se mora oporaviti
• Minimalna razina kontinuiteta poslovanja (engl. Minimum Business Continuity Objective – MBCO) – minimalna razina usluga ili proizvoda koju organizacija mora pružati nakon što nastavi sa normalnim funkcioniranjem

Sadržaj ISO 22301

Standard sadrži slijedeća poglavlja: Uvod 0.1 Generalno 0.2 Plan-Do-Check-Act (PDCA) model 0.3 Komponente PDCA modela u ovom međunarodnom standardu 1 Opseg 2 Normativne odredbe 3 Pojmovi i definicije 4 Kontekst organizacije 4.1 Razumijevanje organizacije i njenog konteksta 4.2 Razumijevanje potreba i očekivanja zainteresiranih strana 4.3 Određivanje opsega sustava upravljanja 4.4 Sustav upravljanja kontinuitetom poslovanja 5 Rukovođenje 5.1 Generalno 5.2 Posvećenost menadžmenta 5.3 Politika 5.4 Organizacijske uloge, odgovornosti i ovlaštenja 6 Planiranje 6.1 Mjere za rješavanje rizika i povoljnih prilika 6.2 Ciljevi kontinuiteta poslovanja i planovi za njihovo postizanje 7 Podrška 7.1 Resursi 7.2 Sposobnosti 7.3 Osviještenost 7.4 Komunikacija 7.5 Dokumentirane informacije 8 Provedba 8.1 Operativno planiranje i kontrola 8.2 Analiza utjecaja na poslovanje i procjena rizika 8.3 Strategija kontinuiteta poslovanja 8.4 Uspostavljanje i implementacija procedura za kontinuitet poslovanja 8.5 Vježbanje i testiranje 9 Ocjena učinka 9.1 Praćenje, mjerenje, analiza i ocjenjivanje 9.2 Interni audit 9.3 Pregled od strane menadžmenta 10 Poboljšavanje 10.1 Nesukladnosti i korektivne mjere 10.2 Stalno poboljšavanje Bibliografija

Obvezna dokumentacija

Ako organizacija želi implementirati ovaj standard, slijedeća dokumentacija je obvezna:

• Popis primjenjivih zakonskih, regulatornih i ostalih zahtjeva
• Opseg ISMS-a
• Politika kontinuiteta poslovanja
• Ciljevi kontinuiteta poslovanja
• Dokazi o sposobnostima zaposlenih
• Zapisi o komunikaciji sa zainteresiranim stranama
• Analiza utjecaja na poslovanje
• Procjena rizika, što uključuje i određivanje prihvatljive razine rizika
• Struktura za odziv na incident
• Planovi kontinuiteta poslovanja
• Procedure za oporavak
• Rezultati preventivnih mjera
• Rezultati praćenja i mjerenja
• Rezultati internih audita
• Rezultati pregleda od strane menadžmenta
• Rezultati korektivnih mjera

Kliknite ovdje da biste vidjeli detaljno objašnjenje svakog obveznog dokumenta.

Povezani standardi

Ostali standardi koji mogu biti korisni u implementaciji kontinuiteta poslovanja su:

• ISO/IEC 27031 – Guidelines for information and communication technology readiness for business continuity
• PAS 200 – Crisis management – Guidance and good practice
• PD 25666 – Guidance on exercising and testing for continuity and contingency programmes
• PD 25111 – Guidance on human aspects of business continuity
• ISO/IEC 24762 – Guidelines for information and communications technology disaster recovery services
• ISO/PAS 22399 – Guideline for incident preparedness and operational continuity management
• ISO/IEC 27001 – Information security management systems – Requirements

Da saznate više o implementaciji ISO 22301 posjetite našu stranicu ISO 22301 Besplatno preuzimanje. Pronaći ćete mnoštvo korisnih resursa.