DOKUMENTACJA SZCD
SYSTEM ZARZĄDZANIA CIĄGŁOŚCIĄ DZIAŁANIA
WZORY ORAZ WDROŻENIA
Dokumentacja SZCD (System Zarządzania Ciągłością Działania)
Czym jest Plan Ciągłości Działania?
Plan Ciągłości działania jest jednym w wielu elementów składowych ogólnego Systemu Zarządzania Ciągłością Działania wg normy ISO PN‑EN 22031. Sam Plan Ciągłości Działania (czy też Plany Ciągłości Działania) powinien być poprzedzony m.in. procesem Analizy Wpływu Biznesowego (BIA) (zwanej też „Analizą wpływu na kluczowe procesy”) oraz Oceną ryzyka.
W skrócie:
- na etapie BIA: szukamy co się stanie, gdy proces zostanie zakłócony,
- na etapie Oceny Ryzyka: szukamy, co może być źródłem przerwania procesu (szukamy źródła skutku).
Warto zauważyć, iż etap „Oceny ryzyka” w normie ISO PN‑EN 22301 jest swoistym procesem szacowania ryzyka opartym o normę dot. szacowania ryzyka PN‑ISO 31000. Nazwa tego etapu może być myląca, gdyż sama „Ocena ryzyka” jest elementem składowym metodologii szeroko rozumianego procesu szacowania ryzyka. Pamiętaj o tym.
Nie zapominaj, że Plany Ciągłości Działania powinny być testowane oraz doskonalone. Rozliczalność tychże działań powinno się dokumentować, co zawarte jest w naszej dokumentacji w postaci obszernych wzorów.
Plan Ciągłości Działania w ramach SZCD – podstawa prawna
Przepisy, które mogą wskazywać na konieczność wdrożenia dokumentacji z zakresu Systemu Zarządzania Ciągłością Działania są następujące:
- RODO, art. 32 ust. 1 pkt b,
- rozporządzenie Krajowych Ram Interoperacyjności,
- ustawa o Krajowym Systemie Cyberbezpieczeństwa.
Powyższe przepisy prawa wprost odnoszą się do konieczności zapewnienia przez jednostkę / organizację atrybutu dostępności w zakresie przetwarzanych danych osobowych. Atrybut dostępności w szczególności uwzględnia się w tzw. Systemach Zarządzania Ciągłością Działania. W ogóle wszelkie systemy zarządzania są w dzisiejszych czasach codziennością (np. w zakresie bezpieczeństwa informacji, jakości, żywności, BHP czy właśnie wspomnianej ciągłości działania). Analogicznie wszelakie procedury związane z bezpieczeństwem informacji czy to na kanwie RODO czy też Krajowych Ram Interoperacyjności wespół z Krajowym Systemem Cyberbezpieczeństwa to Systemy Zarządzania Bezpieczeństwem Informacji (zgodnie z przyjętą nomenklaturą w wytycznych Ministerstwa Administracji i Cyfryzacji z 2015 roku dla Najwyższej Izby Kontroli). Oczywiście nie wymaga się certyfikacji jednostki / organizacji zgodnie z wybraną(ymi) normą ISO. Nazewnictwo to jest powszechnie używane chociażby w przypadku wprowadzania procedur opartych o standardy międzynarodowe (ISO) lub inne wytyczne. Tak też jest z ciągłością działania. Co poniektóre jednostki / organizacje ciągłość działania implementują w macierzyste polityki takie jak: Polityka Bezpieczeństwa Informacji czy Polityka Bezpieczeństwa Teleinformatycznego, przy czym nazewnictwo jest dowolne. Z uwagi na fakt, iż na ciągłość działania składa się wiele procedur, zwyczajowo stosuje się nomenklaturę: System Zarządzania Ciągłością Działania.
Dokumentacja SZCD | Co się składa na System Zarządzania Ciągłością Działania?
Jako organizacja preferujemy budowanie Systemu Zarządzania Ciągłością Działania w oparciu o normę ISO PN‑EN ISO 22301. Jest to jedyny międzynarodowy standard określający to zjawisko. Dodatkowo standard ten wskazany jest literalnie w ustawie o Krajowym Systemie Cyberbezpieczeństwa jak i w rozporządzeniu Krajowych Ram Interoperacyjności oraz RODO. Modelując Ciągłość Działania jednostki / organizacji ukierunkowujemy ją na bezpieczeństwo informacji. Istotnym elementem podejścia do Ciągłości Działania jest wskazanie kluczowych procesów jednostki / organizacji i określenie skutku ich zakłócenia. Zjawisko to nazywa się analizą BIA. Następnie wykonuje się proces szacowania ryzyka mający na celu wskazanie potencjalnych zagrożeń (i ich źródeł) mogących spowodować zakłócenie działania jednostki / organizacji. Oczywiście całość musi być związana Planami Ciągłości Działania, które szczegółowo określają postępowanie w przypadku wystąpienia zakłócenia (incydentu). Aby jednak prawidłowo je zbudować, w jednostce / organizacji musi być wskazanych kilka współczynników mających bezpośrednie przełożenie na przedmiotowe plany, m.in.: MBCO (Minimalny poziom odtworzenia procesu(ów), MTPD (Maksymalny dopuszczalny okres zakłóceń) oraz RTO (Docelowy czas odtwarzania).
Na zakres dokumentacji SZCD co do zasady składa się m.in.:
- Metodologia;
- Polityka Ciągłości Działania;
- Wzór oświadczenia uczestnika SZCD;
- Dokumenty niezbędne do wyznaczenia Zespołu ds. ZCD;
- Analiza Wpływu Biznesowego (BIA);
- Ocena ryzyka;
- Plany Ciągłości Działania w ośmiu głównych obszarach;
- Wzór raportu z uruchomienia Planu Ciągłości Działania;
- Wzór ewidencji ćwiczeń i testowania PCD;
- Wzór planu audytu wewnętrznego;
- Wzór raportu z audytu wewnętrznego;
- Wzór karty przeglądu zarządzania SZCD;
- Wzór karty ciągłego doskonalenia SZCD.
Kto decyduje o wdrożeniu i zakresie dokumentacji SZCD?
Decyzja o implementacji Systemu Zarządzania Ciągłością Działania (SZCD) dla obszaru Bezpieczeństwa Informacji leży w gestii najwyższego kierownictwa / administratora danych, który definiuje zarządzanie ciągłością działania. Kluczowe przy tworzeniu SZCD jest stosowanie metodologii procesowej, zazwyczaj zgodnej z wytycznymi normy ISO PN‑EN 22301. Obejmuje to proces ustanawiania, wdrażania i eksploatacji, monitorowania i doskonalenia systemu zarzadzania. Jednostka / organizacja powinna prowadzić dokumentację dla każdego etapu Cyklu Deminga, który stanowi oś procesu zarządzania.
Jak wdrożyć dokumentację SZCD?
Wdrożenie SZCD nie musi się wiązać z certyfikacją Systemu Zarządzania Ciągłością Działania, chyba, że jednostka / organizacja wyraża taką chęć bądź czuje potrzebę organizacyjno‑biznesową. Istotą wdrożenia Systemu Zarządzania Ciągłością Działania (SZCD) jest spójne zintegrowanie obszaru bezpieczeństwa danych (w tym danych osobowych) oraz utrzymywania ciągłości dla poufności, dostępności oraz integralności danych w wielu kontekstach. Decyzję o wdrożeniu podejmuje administrator danych / najwyższe kierownictwo. Pamiętaj, wdrożenie oraz certyfikacja to odmienne terminy w Systemach Zarządzania.
Korzyści z wdrożenia SZCD w obszarze bezpieczeństwa Informacji
Wartości, jakie przynosi realizacja Systemu Zarządzania Ciągłością Działania (SZCD) w obszarze Ciągłości Działania oraz Bezpieczeństwa Informacji są bezcenne. Do kluczowych zalet należy zaliczyć poprawę dostępności danych, wprowadzenie jasnych procedur reagowania na incydenty lub zakłócenia oraz podniesienie poziomu świadomości pracowników zajmujących się danymi wraz z określeniem obowiązków dotyczących utrzymania ciągłości działania. Ocena skuteczności stosowanych Planów Ciągłości Działania (PCD), które mają na celu zapewnienie nieprzerwanego funkcjonowania jednostki / organizacji oraz możliwość szybkiej reaktywacji procesów jest jednym z najważniejszych elementów Systemu Zarządzania Ciągłością Działania.
Kontakt ws. dokumentacji:
Zadaj pytanie bezpośrednio poprzez formularz kontaktowy:
KLAUZULA INFORMACYJNA