Autor: Zoran Stojanović
* NAPOMENA: ISO 22301 JE U TRANZICIONOM PERIODU, ROK ZA TRANZICIJU JE 30. APRIL 2023. GODINE
Organizacije moraju imati sposobnost da umanje štetu i nastave sa radom tokom ili nakon vanrednih situacija. ISO 22301 je međunarodni standard za upravljanje kontinuitetom poslovanja (BCM), dizajniran je da pomogne organizacijama da se pripreme, odgovore i oporave od iznenadnih incidenata. U tu svrhu standard pruža praktičan okvir za uspostavljanje efikasnog sistema upravljanja kontinuitetom poslovanja. ISO 22301 treba da zaštiti organizaciju od potencijalnih pretnji različitog intenziteta.
U mnogim zemljama postoje zakonski zahtevi koji definišu odgovornosti organizacija da planiraju vanredne situacije i odgovor na njih. Te odgovornosti često uključuju implementaciju sistema menadžmenta kontinuitetom poslovanja.
ISO 22301 je zabeležio povećanje broja sertifikata za 82,9% svetskih sertifikata 2020. godine, što pokazuje značaj ovog standarda.
Sistem menadžmenta kontinuitetom poslovanja funkcioniše na sličnim principima kao i drugi sistemi menadžmenta, po modelu Plan-Do-Check-Act.
Plan: Odrediti potrebe organizacije i razumeti razloge za planove kontinuiteta poslovanja:
• Šta je važno (koji proces) nastaviti u slučaju prekida? • Zašto je to važno i kome? • Koji nivo poremećaja su organizacija i njene zainteresovane strane spremne da prihvate?
Do: Uspostaviti okvire za postizanje ublažavanja poremećaja. Ovo može uključivati:
• Procese • Sposobnosti • Strukture odgovora
Check: Provera performanse i efikasnosti sistema praćenjem i merenjem. Praktično govoreći, ovo uključuje testiranje planova kontinuiteta poslovanja.
Act: Unapređenje sistem na osnovu utvrđenih mera, preispitivanje planova kontinuiteta poslovanja i njihovo usklađivanje sa onim što je sprovedeno.
Jedna od ključnih karakteristika BCMS-a (Sistem Menadžmenta Kontinuitetom Poslovanja) je da se retko primenjuje – aktivira. Za razliku od toga, sistemi menadžmenta kvalitetom, kao što je ISO 9001 , implementiraju se u svakodnevni rad kompanije, dok se sistemi kontinuiteta poslovanja u potpunosti aktiviraju tek kada dođe do vanredne situacije, odnosno prekida. To znači da treba staviti veći naglasak na:
• Testiranje ili vežbanje plana kontinuiteta poslovanja (BCP) • Zadržavanje i osvežavanje organizacionih sposobnosti i znanja za podršku kontinuitetu poslovanja
Neophodna su periodična preispitivanja sistema, njegovih procesa i mera kako bi se osiguralo da ostane usklađen sa promenama u organizaciji.
Sistem menadžmenta kontinuitetom poslovanja funkcioniše na sličnim principima kao i drugi sistemi menadžmenta, po modelu Plan-Do-Check-Act.
Plan: Odrediti potrebe organizacije i razumeti razloge za planove kontinuiteta poslovanja:
• Šta je važno (koji proces) nastaviti u slučaju prekida? • Zašto je to važno i kome? • Koji nivo poremećaja su organizacija i njene zainteresovane strane spremne da prihvate?
Do: Uspostaviti okvire za postizanje ublažavanja poremećaja. Ovo može uključivati:
• Procese • Sposobnosti • Strukture odgovora
Check: Provera performanse i efikasnosti sistema praćenjem i merenjem. Praktično govoreći, ovo uključuje testiranje planova kontinuiteta poslovanja.
Act: Unapređenje sistem na osnovu utvrđenih mera, preispitivanje planova kontinuiteta poslovanja i njihovo usklađivanje sa onim što je sprovedeno.
Jedna od ključnih karakteristika BCMS-a (Sistem Menadžmenta Kontinuitetom Poslovanja) je da se retko primenjuje – aktivira. Za razliku od toga, sistemi menadžmenta kvalitetom, kao što je ISO 9001 , implementiraju se u svakodnevni rad kompanije, dok se sistemi kontinuiteta poslovanja u potpunosti aktiviraju tek kada dođe do vanredne situacije, odnosno prekida. To znači da treba staviti veći naglasak na:
• Testiranje ili vežbanje plana kontinuiteta poslovanja (BCP) • Zadržavanje i osvežavanje organizacionih sposobnosti i znanja za podršku kontinuitetu poslovanja
Neophodna su periodična preispitivanja sistema, njegovih procesa i mera kako bi se osiguralo da ostane usklađen sa promenama u organizaciji.
Sajber bezbednost i planiranje IT katastrofa zauzimaju visoko mesto na dnevnom redu mnogih organizacija. Plan kontinuiteta poslovanja podržava kompaniju u upravljanju uticajem IT prekida. Prekidi mogu biti zlonamerna radnja ili kvar infrastrukture. Kripto virusi, DDoS napadi i kvarovi centara podataka mogu stvoriti duboke i dugotrajne poremećaje u svim funkcijama organizacije.
Sertifikati o sajber bezbednosti, poput ISO 27001 i Cyber Essentials, ne rešavaju u potpunosti izazove kontinuiteta u slučaju prekida. ISO 27001 pokušava da se pozabavi kontinuitetom unutar same IT funkcije i strukture. U Aneksu A – Referentni ciljevi kontrola i kontrola koji je normativan, odnosno čija je primena obavezujuća, ISO 27001 definiše i kontrole u vezi kontinuiteta bezbednosti informacija, ali to se ne odnosi na ostatak organizacije. ISO 22301 pruža okvir za rešavanje šireg uticaja na organizaciju nego što su IT otkazi. Zbog toga je sistem za upravljanje kontinuitetom poslovanja (ISO 22301) pogodan za integraciju sa sistemom upravljanja bezbednošću informacija ISO 27001.
U prošlosti je planiranje kontinuiteta poslovanja bilo rezervisano za kritičnu nacionalnu infrastrukturu i velike korporacije. Danas je kontinuitet poslovanja pitanje koje u određenoj meri pogađa praktično sve organizacije.
ISO 22301 je primenljiv na svaku organizaciju bez obzir na tip, delatnost, veličinu i oblik vlasništva bez obzira da li je zakonski obavezna da se bavi planiranjem nepredviđenih situacija, uključujući komunalne usluge, transport, zdravstvo i osnovne javne usluge. Pravilno implementiran sistem upravljanja kontinuitetom poslovanja trebalo bi prilagoditi veličini i složenosti organizacije – čineći ga pogodnim i za male i srednje kompanije i za velike korporacije.
Osnovna svrha sistema upravljanja kontinuitetom poslovanja je da omogući ublažavanje poremećaja bilo da se radi o spašavanju života u bolnici ili o smanjenju finansijskog uticaja na proizvodno preduzeće.
Sajber bezbednost i planiranje IT katastrofa zauzimaju visoko mesto na dnevnom redu mnogih organizacija. Plan kontinuiteta poslovanja podržava kompaniju u upravljanju uticajem IT prekida. Prekidi mogu biti zlonamerna radnja ili kvar infrastrukture. Kripto virusi, DDoS napadi i kvarovi centara podataka mogu stvoriti duboke i dugotrajne poremećaje u svim funkcijama organizacije.
Sertifikati o sajber bezbednosti, poput ISO 27001 i Cyber Essentials, ne rešavaju u potpunosti izazove kontinuiteta u slučaju prekida. ISO 27001 pokušava da se pozabavi kontinuitetom unutar same IT funkcije i strukture. U Aneksu A – Referentni ciljevi kontrola i kontrola koji je normativan, odnosno čija je primena obavezujuća, ISO 27001 definiše i kontrole u vezi kontinuiteta bezbednosti informacija, ali to se ne odnosi na ostatak organizacije. ISO 22301 pruža okvir za rešavanje šireg uticaja na organizaciju nego što su IT otkazi. Zbog toga je sistem za upravljanje kontinuitetom poslovanja (ISO 22301) pogodan za integraciju sa sistemom upravljanja bezbednošću informacija ISO 27001.
U prošlosti je planiranje kontinuiteta poslovanja bilo rezervisano za kritičnu nacionalnu infrastrukturu i velike korporacije. Danas je kontinuitet poslovanja pitanje koje u određenoj meri pogađa praktično sve organizacije.
ISO 22301 je primenljiv na svaku organizaciju bez obzir na tip, delatnost, veličinu i oblik vlasništva bez obzira da li je zakonski obavezna da se bavi planiranjem nepredviđenih situacija, uključujući komunalne usluge, transport, zdravstvo i osnovne javne usluge. Pravilno implementiran sistem upravljanja kontinuitetom poslovanja trebalo bi prilagoditi veličini i složenosti organizacije – čineći ga pogodnim i za male i srednje kompanije i za velike korporacije.
Osnovna svrha sistema upravljanja kontinuitetom poslovanja je da omogući ublažavanje poremećaja bilo da se radi o spašavanju života u bolnici ili o smanjenju finansijskog uticaja na proizvodno preduzeće.
U poslednje vreme svedoci smo da kompanije koje su sposobne da upravljaju ometajućim događajima imaju mnogo veće mogućnosti da opstanu. Raznovrsnost pretnji koje mogu izazvati poremećaje u poslovanju sve je veća. Bez obzira da li se radi o sajber napadima i globalnim pandemijama do prirodnih katastrofa, organizaciji je potreban skup alata da bi opstala u nesigurnim vremenima.
Neke od prednosti implementacije ovog standarda su:
• Prepoznatljiva otpornost: Efikasan BCMS pruža dokaz trenutnim i potencijalnim korisnicima o spremnosti organizacije za poremećaje. Ovo je posebno važno u sektorima u kojima poremećaji mogu imati značajan uticaj na živote ljudi, kao i finansijske uticaje; uključujući vladu, zdravstvo, finansije, odbranu, socijalne usluge. • Konkurentna prednost: Mogućnost nastavka poslovanja tokom ili ubrzo nakon prekida daje kompaniji konkurentsku prednost. Kratkoročno bi moglo uspeti da dobije posao od konkurenata koji nisu u stanju da rade ili to rade sa smanjenim kapacitetom. Dugoročno gledano, kompanija može ostvariti reputacionu korist koja će privuci kupce, ali i imati koristi od jačih finansijskih mogućnosti. • Zaštita vrednosti organizacije: BCMS može uštedeti organizaciji značajne količine novca, vremena i ugleda, kao i očuvanje imovine, sredstava i intelektualne svojine. • Povećano samopouzdanje: Budućnost je neizvesna. Efikasno implementiran BCMS daje organizaciji poverenje da napreduje znajući da može da se izbori sa prekidima rada. • Očuvanje lanca snabdevanja: Organizacija i njeni partneri koji su deo lanca snabdevanja i koji su usvojili ISO 22301 imaju značajan doprinos u funkcionisanju lanca snabdevanja u vreme prekida ili vanrednih situacija kod bilo koga iz tog lanca. • Brz oporavak nakon incidenta i/ili vanredne situacije: Organizacije koje planiraju vreme i način oporavka brže i sa što manje posledica izlaze iz incidenata i/ili vanrednih situacija. • Poboljšana ukupna bezbednost: Planovi kontinuiteta poslovanju povećavaju ukupnu bezbednost organizacije u vreme vanrednih situacija, naročito onih koje implementiraju odgovor na vanredne situacije u skladu sa ISO 14001 i ISO 45001.
U poslednje vreme svedoci smo da kompanije koje su sposobne da upravljaju ometajućim događajima imaju mnogo veće mogućnosti da opstanu. Raznovrsnost pretnji koje mogu izazvati poremećaje u poslovanju sve je veća. Bez obzira da li se radi o sajber napadima i globalnim pandemijama do prirodnih katastrofa, organizaciji je potreban skup alata da bi opstala u nesigurnim vremenima.
Neke od prednosti implementacije ovog standarda su:
• Prepoznatljiva otpornost: Efikasan BCMS pruža dokaz trenutnim i potencijalnim korisnicima o spremnosti organizacije za poremećaje. Ovo je posebno važno u sektorima u kojima poremećaji mogu imati značajan uticaj na živote ljudi, kao i finansijske uticaje; uključujući vladu, zdravstvo, finansije, odbranu, socijalne usluge. • Konkurentna prednost: Mogućnost nastavka poslovanja tokom ili ubrzo nakon prekida daje kompaniji konkurentsku prednost. Kratkoročno bi moglo uspeti da dobije posao od konkurenata koji nisu u stanju da rade ili to rade sa smanjenim kapacitetom. Dugoročno gledano, kompanija može ostvariti reputacionu korist koja će privuci kupce, ali i imati koristi od jačih finansijskih mogućnosti. • Zaštita vrednosti organizacije: BCMS može uštedeti organizaciji značajne količine novca, vremena i ugleda, kao i očuvanje imovine, sredstava i intelektualne svojine. • Povećano samopouzdanje: Budućnost je neizvesna. Efikasno implementiran BCMS daje organizaciji poverenje da napreduje znajući da može da se izbori sa prekidima rada. • Očuvanje lanca snabdevanja: Organizacija i njeni partneri koji su deo lanca snabdevanja i koji su usvojili ISO 22301 imaju značajan doprinos u funkcionisanju lanca snabdevanja u vreme prekida ili vanrednih situacija kod bilo koga iz tog lanca. • Brz oporavak nakon incidenta i/ili vanredne situacije: Organizacije koje planiraju vreme i način oporavka brže i sa što manje posledica izlaze iz incidenata i/ili vanrednih situacija. • Poboljšana ukupna bezbednost: Planovi kontinuiteta poslovanju povećavaju ukupnu bezbednost organizacije u vreme vanrednih situacija, naročito onih koje implementiraju odgovor na vanredne situacije u skladu sa ISO 14001 i ISO 45001.