Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

Kako pisati planove kontinuiteta poslovanja?

Ako ste započeli provoditi upravljanje kontinuitetom poslovanja, pisanje planova kontinuiteta poslovanja vjerojatno predstavlja najveći izazov.

Zašto je to toliko teško? Morate se, primjerice, sjetiti različitih scenarija u kojima može doći do havarije (ili drugih vrsta prekida poslovnih aktivnosti) i morate osmisliti način kako postupiti ako se ti iznimno rijetki, ali potencijalno katastrofalni incidenti dogode.

Osobe koje pišu takve planove obično ne znaju što planovi moraju sadržavati (koji su glavni elementi), koliko moraju biti dugi (koliko opsežni), koje korake moraju obuhvaćati, i sl.

Za rješavanje svih ovih dilema najbolje je koristiti normu BS 25999-2, koja zajedno s normom BS 25999-1 definira okvir za pisanje planova.

Prema tim normama, plan kontinuiteta poslovanja mora se sastojati od (1) plana odaziva na incident i (2) planova oporavka. Plan odaziva na incident obično je jedinstven plan koji se odnosi na cijelu organizaciju i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje posljedica incidenta, komunikacija sa službama za hitne slučajeve, evakuacija zgrade, okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju, i sl.

Planovi oporavka se obično pišu zasebno za svaku kritičnu aktivnost i moraju obuhvaćati sljedeće korake: kada i kako se komunicira s raznim zainteresiranim stranama (zaposlenicima i njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima, i dr.), kako se sastavlja tim, kako se provodi oporavak infrastrukture, kako se provjerava funkcioniraju li aplikacije i jesu li prava pristupa odgovarajuća, kako se provjerava koji podaci nedostaju ili što je oštećeno u havariji, kako se provodi oporavak podataka i kako se donosi odluka da je oporavak završen kako bi se mogle uspostaviti normalne aktivnosti.

Disaster recovery planove (planovi oporavka ICT infrastrukture) potrebno je pisati pažljivo jer bi oni trebali opisati kako se pokreće svaki pojedini sustav unutar ciljanog vremena oporavka za pojedinu kritičnu aktivnost. Obično se to radi pisanjem detaljnog plana oporavka za svaki sustav koji treba oporaviti.

Općenito pravilo glasi da svi planovi trebaju sadržavati takvu količinu detalja koja omogućuje da i drugi zaposlenici (ili vanjsko osoblje) koriste plan u slučaju da ljudi koji rade u pojedinoj kritičnoj aktivnosti nisu dostupni. Stoga, koristite zdrav razum u pisanju planova – oni moraju biti razumljivi svima, a ne samo vama.

Iz iskustva znam da je najveći izazov u pisanju ovih planova taj što se zaposlenici po prvi put moraju baviti nečim potpuno drugačijim, nečim o čemu nikada prije nisu morali razmišljati. Taj ćete problem najbolje riješiti radionicom na kojoj će zaposlenici, sa ili bez moderatora, moći razmijeniti svoja razmišljanja o tome što bi se dogodilo kad bi…, kako reagirati ako…, i sl.

Sama činjenica da su vaši zaposlenici počeli razmišljati o kontinuitetu poslovanja već je 50% obavljenog posla – takvim pristupom rezultati planiranja kontinuiteta poslovanja bit će mnogo bolji.

Ovaj besplatni webinar će Vam također pomoći: Writing a business continuity plan according to ISO 22301.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Povežite se s Dejan: