787 974 136
Pożar serwerowni, atak ransomware, pandemia, powódź, awaria kluczowego dostawcy – każde z tych zdarzeń może w ciągu kilku godzin sparaliżować działalność firmy, która nie jest na nie przygotowana. ISO 22301 to norma, która zmienia podejście do takich scenariuszy: zamiast reagować na kryzys w chaosie, organizacja zarządza nim według wcześniej zaplanowanych i przetestowanych procedur. Ciągłość biznesu przestaje być kwestią szczęścia i staje się kwestią systemu.
ISO 22301 (pełna nazwa: „Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania”) to międzynarodowa norma opracowana przez ISO w odpowiedzi na rosnące zainteresowanie brytyjską normą BS 25999-2. Stanowi pierwszą międzynarodową normę służącą utrzymaniu działalności przedsiębiorstw w kryzysowych warunkach. Aktualna wersja to ISO 22301:2019, która zastąpiła edycję z 2012 roku i wprowadza silniejsze powiązanie z podejściem opartym na ryzyku oraz większą spójność z innymi normami systemów zarządzania opartymi na High Level Structure.
Norma jest adresowana do wszystkich organizacji – prywatnych, publicznych i non-profit – niezależnie od branży, wielkości i formy prawnej. Wytyczne normy ISO 22301 regulują wszystkie procesy zarządzania zasobami przedsiębiorstwa, zapewniają ich ochronę i szybki powrót do równowagi w przypadku incydentów krytycznych. Certyfikacja ISO 22301 jest dobrowolna, jednak coraz częściej wymagana przez partnerów handlowych, instytucje finansowe i organy regulacyjne jako dowód dojrzałości organizacyjnej.
Zrozumienie ISO 22301 wymaga znajomości kilku pojęć, które są fundamentem całego systemu zarządzania ciągłością działania.
BIA (Business Impact Analysis) – analiza wpływu na działalność biznesową. To proces identyfikacji krytycznych procesów biznesowych i oceny skutków ich przerwania w czasie. BIA odpowiada na pytanie: które procesy są niezbędne do przeżycia organizacji i co się stanie, jeśli przestaną działać na godzinę, dobę, tydzień? Wyniki BIA są podstawą całej strategii ciągłości działania – bez rzetelnej analizy wpływu nie można właściwie ustalić priorytetów odtwarzania.
RTO (Recovery Time Objective) – maksymalny dopuszczalny czas przywrócenia danego procesu lub systemu po incydencie. Jeśli RTO dla systemu obsługi zamówień wynosi 4 godziny, oznacza to, że organizacja nie może tolerować dłuższej przerwy w jego działaniu bez poważnych konsekwencji biznesowych. RTO wyznacza cel dla planów odtwarzania.
RPO (Recovery Point Objective) – maksymalny dopuszczalny okres utraty danych, wyrażony w czasie. Jeśli RPO dla bazy danych klientów wynosi 1 godzina, organizacja musi zapewnić tworzenie kopii zapasowych co najmniej co godzinę. RPO wyznacza wymagania dla systemów backupu i replikacji danych.
Trzy te parametry – BIA, RTO i RPO – tworzą szkielet strategii ciągłości działania i muszą być zdefiniowane, udokumentowane i regularnie weryfikowane jako element systemu zarządzania zgodnego z ISO 22301.
ISO 22301 jest zbudowana zgodnie z High Level Structure, co czyni ją kompatybilną z ISO 9001, ISO 27001, ISO 45001 i innymi normami systemów zarządzania. Wymagania normy obejmują kilka kluczowych elementów:
Polityka i cele ciągłości działania – kierownictwo musi ustanowić i zakomunikować politykę ciągłości działania, określić mierzalne cele i zapewnić zasoby niezbędne do ich realizacji. ISO 22301 wymaga wyraźnego zaangażowania najwyższego kierownictwa – nie wystarczy delegowanie odpowiedzialności na zespół IT czy dział zarządzania ryzykiem.
Ocena ryzyka i BIA – organizacja musi przeprowadzić identyfikację zagrożeń mogących zakłócić działalność oraz analizę BIA. Wyniki obu analiz muszą być udokumentowane i regularnie aktualizowane.
Plany ciągłości działania (BCP) – udokumentowane procedury opisujące, jak organizacja będzie funkcjonować podczas incydentu i jak przywróci normalne działanie. Plany muszą być realistyczne, znane kluczowemu personelowi i regularnie testowane.
Testowanie i ćwiczenia – to jeden z najważniejszych elementów systemu. Norma wymaga regularnego testowania planów ciągłości przez ćwiczenia i symulacje, analizowania ich wyników i aktualizowania planów na tej podstawie. Plan, który nigdy nie był testowany, jest planem, który nie zadziała w kryzysie.
Dla coraz większej liczby organizacji ISO 22301 przestaje być wyborem, a staje się wymogiem wynikającym z otoczenia regulacyjnego lub kontraktowego.
Rozporządzenie DORA, obowiązujące od stycznia 2025 roku, nakłada na instytucje finansowe i ich dostawców usług ICT rygorystyczne wymagania dotyczące odporności operacyjnej, planowania ciągłości działania i testowania planów awaryjnych. ISO 22301 jest jednym z najskuteczniejszych narzędzi wykazania zgodności z tymi wymaganiami. Dyrektywa NIS2 nakłada podobne wymagania na operatorów usług kluczowych i ważnych w wielu sektorach – w tym energetyce, transporcie, ochronie zdrowia i infrastrukturze cyfrowej.
Poza regulacjami, wymaganie posiadania certyfikatu ISO 22301 lub udokumentowanego systemu zarządzania ciągłością działania pojawia się coraz częściej w specyfikacjach przetargów publicznych i w wymaganiach kwalifikacyjnych dużych partnerów handlowych – szczególnie w sektorach, gdzie przerwa w dostawach lub usługach generuje poważne ryzyko dla łańcucha wartości.
DJB DORADZTWO
Marcin Chorąży
