ANALIZA BIA

W praktyce analiza BIA (Business Impact Analysis) polega na badaniu skutków przerwania procesów lub usług, które są istotne dla prawidłowego funkcjonowania organizacji.
Choć sama koncepcja wywodzi się z podejścia biznesowego, jej zastosowanie jest znacznie szersze i obejmuje również podmioty publiczne.

W administracji publicznej można używać określenia „analiza wpływu na kluczowe procesy lub usługi”, ponieważ pojęcie „biznesowe” nie zawsze oddaje charakter zadań publicznych.
Nie oznacza to jednak, że oba pojęcia się wykluczają – przeciwnie, w polskim systemie prawnym mają wspólne korzenie i znaczenie.

Zgodnie z Wytycznymi Ministerstwa Cyfryzacji z grudnia 2015 r. (słownik pojęć, rozdział II):

• (18) interoperacyjność — współdziałanie systemów teleinformatycznych i rejestrów publicznych „wspieranych przez nie procesów biznesowych”, rozumianych jako procesy realizowane poprzez wymianę danych w tych systemach;
• (38) SZBI — część systemu zarządzania „oparta na podejściu wynikającym z ryzyka biznesowego”.

Na gruncie tych definicji termin „biznesowe” jest pojęciem technicznym, odnoszącym się do procesów i ryzyka w ujęciu systemów teleinformatycznych. W praktyce można go czytać jako „kluczowe” dla osiągania celów organizacji i realizacji jej zadań.
Dlatego „analiza wpływu biznesowego” to po prostu analiza wpływu na kluczowe procesy/usługi organizacji — bez względu na jej profil.

W praktyce więc „analiza wpływu biznesowego” jest po prostu analizą wpływu na kluczowe procesy organizacji – niezależnie od tego, czy ma ona charakter publiczny, czy komercyjny.
Ta sama metoda pozwala bowiem spojrzeć na organizację przez pryzmat tego, co jest naprawdę niezbędne do zachowania jej ciągłości działania.

Analiza BIA stanowi punkt wyjścia dla całego Systemu Zarządzania Ciągłością Działania (SZCD).
To od niej zaczyna się zrozumienie, które procesy są naprawdę kluczowe i jakie zasoby są niezbędne do ich utrzymania w przypadku zakłóceń.

Wyniki analizy BIA stanowią podstawę do:

• opracowania strategii odtwarzania procesów i usług,
• przygotowania planów ciągłości działania (PCD / BCP),
• określenia wymagań wobec infrastruktury IT, ludzi i dostawców,
• planowania testów i ćwiczeń ciągłości działania.

Bez rzetelnie przeprowadzonej analizy BIA system SZCD traci praktyczną wartość — dokumenty mogą wyglądać poprawnie, ale nie odzwierciedlają faktycznych potrzeb organizacji ani jej priorytetów.

Dlatego w ISO-LEX realizujemy analizę BIA zawsze w ramach wdrożenia lub aktualizacji SZCD, a nie jako samodzielny dokument. Tylko takie podejście gwarantuje, że wnioski z analizy przekładają się na realne decyzje, działania i mechanizmy odporności organizacyjnej.

W administracji publicznej określenie hierarchii ważności procesów bywa utrudnione.
Większość z nich ma charakter współzależny i wspólnie służy realizacji zadań publicznych, często w ramach jednego środowiska organizacyjnego i informacyjnego.

Z tego względu w praktyce stosuje się podejście polegające na identyfikacji tzw. „usługi kluczowej łącznej”, obejmującej całość procesów istotnych dla zapewnienia ciągłości działania jednostki.
Takie rozwiązanie umożliwia planowanie ciągłości świadczenia usług publicznych w sposób spójny, bez konieczności sztucznego rozdzielania procesów, które w praktyce funkcjonują jako jeden logiczny system realizacji zadań.

W sektorze prywatnym hierarchia procesów jest zazwyczaj bardziej jednoznaczna.
Przerwanie procesów produkcyjnych, łańcucha dostaw czy systemów sprzedaży natychmiast przekłada się na wymierne skutki finansowe i organizacyjne.

Analiza BIA (Business Impact Analysis) umożliwia w tym kontekście precyzyjne określenie priorytetów oraz parametrów odtwarzania (RTO, RPO), co pozwala skutecznie planować działania utrzymujące ciągłość operacyjną i odporność organizacji.

Zakres analizy BIA (Business Impact Analysis) obejmuje identyfikację i ocenę elementów, które decydują o zdolności organizacji do utrzymania lub przywrócenia działania po wystąpieniu zakłóceń.
Na tym etapie gromadzi się dane niezbędne do dalszego określania wymagań i parametrów ciągłości działania.

W praktyce analiza BIA obejmuje:

• Identyfikację procesów, usług i zasobów, które są kluczowe dla realizacji celów organizacji.
• Określenie zależności między tymi elementami – ludzi, systemów, lokalizacji, dostawców oraz danych.
• Ocenę skutków przerwania działalności w wymiarze finansowym, prawnym, operacyjnym i społecznym, pozwalającą określić dopuszczalne granice przestoju.
• Ustalenie wstępnych wartości progów tolerancji zakłóceń, takich jak:
  • MTPD / MAO (Maximum Tolerable Period of Disruption / Minimum Acceptable Output) – maksymalny dopuszczalny okres zakłócenia lub minimalny poziom działania po wznowieniu;
  • RTO (Recovery Time Objective) – docelowy czas odtworzenia usługi do minimalnego poziomu funkcjonalności;
  • RPO (Recovery Point Objective) – w kontekście ICT (zgodnie z ISO/IEC 27031), docelowy punkt odzyskania danych, czyli maksymalna akceptowalna utrata informacji;
  • MBCO (Minimum Business Continuity Objective) – wstępny poziom odtworzenia procesu, który następnie może być skalibrowany w strategii i planach.
    Te wartości są następnie doprecyzowywane w kolejnych etapach strategii i planowania ciągłości działania (ISO/TS 22317:2021).
• Ustalenie minimalnego akceptowalnego poziomu świadczenia usług, na którym organizacja może działać w sytuacji zakłócenia (MBCO/MAO).

Wyniki analizy BIA nie stanowią jeszcze strategii — ale są punktem wyjścia do jej opracowania.
Na ich podstawie ustala się priorytety odtwarzania procesów i usług, szacuje potrzebne zasoby oraz definiuje wymagania techniczne, proceduralne i kadrowe.

Zgodnie z wytycznymi ISO/TS 22317:2021, proces analizy BIA (Business Impact Analysis) przebiega etapowo i obejmuje następujące działania:

1. Zebranie informacji wstępnych – przegląd istniejącej dokumentacji, strategii, planów oraz danych operacyjnych, a także wywiady i warsztaty z właścicielami procesów.
   Celem tego etapu jest zrozumienie struktury organizacji i ustalenie, jakie procesy są objęte analizą.
2. Identyfikacja procesów, zasobów i zależności – mapowanie powiązań pomiędzy procesami, systemami, lokalizacjami, personelem, dostawcami i partnerami zewnętrznymi.
   Tworzy to podstawę do określenia krytycznych punktów, od których zależy ciągłość działania.
3. Ocena wpływu i określenie progów tolerancji zakłóceń – analiza skutków przerwania działalności w różnych wymiarach (finansowym, prawnym, operacyjnym, wizerunkowym).
   Na tym etapie ustala się wstępne wartości parametrów takich jak MTPD/MAO, RTO, RPO oraz MBCO, które później są doprecyzowywane w strategii ciągłości działania.
4. Priorytetyzacja procesów i usług – określenie kolejności ich odtwarzania na podstawie wyników oceny wpływu oraz zależności pomiędzy nimi.
   Pozwala to wskazać procesy, których utrzymanie ma kluczowe znaczenie dla funkcjonowania organizacji.
5. Walidacja i zatwierdzenie wyników – przegląd i potwierdzenie poprawności analizy przez właścicieli procesów i kierownictwo organizacji.
   Etap ten zapewnia, że przyjęte założenia są zgodne z rzeczywistymi potrzebami biznesowymi i poziomem akceptowalnego ryzyka.

Efektem końcowym jest raport z analizy BIA, który stanowi dane wejściowe do opracowania strategii odtwarzania oraz planów ciągłości działania (PCD / BCP).
Dokument ten zawiera zarówno wyniki analizy wpływu, jak i rekomendacje do dalszych działań w ramach Systemu Zarządzania Ciągłością Działania (SZCD).

Wyniki analizy BIA stanowią kluczowe dane wejściowe do dalszych elementów Systemu Zarządzania Ciągłością Działania (SZCD).

Obejmują one informacje o skutkach przerwania procesów, ich wzajemnych zależnościach oraz parametrach tolerancji zakłóceń (MTPD, RTO, RPO, MBCO).
Na tej podstawie organizacja może podejmować świadome decyzje dotyczące utrzymania lub odtwarzania działalności w sytuacjach kryzysowych.

Rezultaty analizy BIA przekładają się bezpośrednio na następujące działania:

• Opracowanie strategii ciągłości działania – określenie sposobów odtwarzania procesów i zasobów zgodnie z przyjętymi parametrami tolerancji.
• Aktualizację planów ciągłości działania (PCD / BCP) – dostosowanie planów operacyjnych i procedur do wyników najnowszej analizy.
• Definiowanie wymagań dla infrastruktury i zasobów IT – ustalenie priorytetów odtworzenia systemów, danych i środowisk technicznych zgodnie z parametrami RTO i RPO.
• Planowanie testów, ćwiczeń i przeglądów – weryfikacja skuteczności przyjętych rozwiązań oraz doskonalenie strategii i planów SZCD.

Zgodnie z ISO 22301 analiza BIA powinna być utrzymywana i regularnie przeglądana.
W praktyce zaleca się jej aktualizację co najmniej raz w roku lub każdorazowo po istotnych zmianach w organizacji — takich jak wprowadzenie nowych systemów, reorganizacja struktury czy zmiana kluczowych dostawców.
Dzięki temu BIA pozostaje wiarygodnym narzędziem wspierającym podejmowanie decyzji w zakresie zarządzania ciągłością działania.

Koncepcja „usługi kluczowej łącznej” znajduje zastosowanie w jednostkach administracji publicznej, w których trudno jednoznacznie wyodrębnić pojedyncze procesy lub usługi o odrębnym charakterze.

Dotyczy to w szczególności sytuacji, gdy:

• jednostka realizuje wiele zadań w ramach jednej infrastruktury organizacyjnej lub informatycznej,
• procesy są silnie współzależne i wzajemnie warunkują swoje działanie,
• brak jest realnej możliwości rozdzielenia usług, ponieważ wszystkie wspólnie tworzą jeden logiczny system realizacji zadań publicznych.

W praktyce administracji publicznej dodatkowym czynnikiem utrudniającym klasyczną hierarchizację jest charakter zadań wynikających z przepisów prawa.
Trudno bowiem wskazać, który przepis ma „większe znaczenie” – każde zadanie publiczne wykonywane na podstawie ustawy ma własne znaczenie prawne i społeczne.
W takich warunkach ustalanie gradacji procesów mogłoby prowadzić do sztucznego różnicowania obowiązków ustawowych, co nie znajduje uzasadnienia ani organizacyjnego, ani prawnego.

Zastosowanie podejścia „usługi kluczowej łącznej” pozwala uniknąć takich wątpliwości.
Umożliwia ono opisanie całego obszaru działalności jednostki jako jednej usługi o charakterze nadrzędnym, w ramach której definiuje się parametry ciągłości działania – w szczególności RTO, MTPD i MBCO.
Dzięki temu analiza BIA pozostaje zgodna z rzeczywistym sposobem funkcjonowania urzędu, a jednocześnie z zasadą równego traktowania wszystkich zadań publicznych wynikających z prawa.
Takie podejście upraszcza planowanie ciągłości działania, zachowując pełną zgodność z wymaganiami Systemu Zarządzania Ciągłością Działania (SZCD).

W praktyce wdrażania i utrzymywania Systemów Zarządzania Ciągłością Działania (SZCD) można zaobserwować powtarzające się błędy, które obniżają wartość analizy BIA lub powodują, że staje się ona jedynie formalnym załącznikiem do dokumentacji.
Świadomość tych problemów pozwala lepiej zaplanować proces i uniknąć zbędnych kosztów oraz nieporozumień.

• traktowanie analizy BIA jako formalności, wykonywanej wyłącznie na potrzeby audytu,
• brak rzeczywistego zaangażowania właścicieli procesów i ograniczenie się do analizy biurowej,
• nieuwzględnianie zależności między jednostkami organizacyjnymi lub systemami informatycznymi,
• mechaniczne kopiowanie parametrów RTO / RPO bez uzasadnienia i bez odniesienia do wyników oceny wpływu.

• angażowanie osób odpowiedzialnych za procesy na etapie warsztatów i przeglądów,
• stosowanie prostych, mierzalnych i powtarzalnych modeli oceny wpływu, umożliwiających porównywalność wyników,
• powiązanie wyników BIA z procesem szacowania ryzyka, budżetem oraz planowaniem zasobów,
• zapewnienie regularnych przeglądów i aktualizacji analizy BIA w cyklu rocznym lub po każdej istotnej zmianie w organizacji.

Rzetelnie przeprowadzona i aktualizowana analiza BIA staje się narzędziem wspierającym zarządzanie, a nie tylko wymogiem formalnym.
To właśnie jej wyniki przesądzają o skuteczności strategii ciągłości działania i realnej odporności organizacji na zakłócenia.

W ISO-LEX realizujemy analizę BIA (Business Impact Analysis) jako integralny element Systemu Zarządzania Ciągłością Działania (SZCD).
Łączymy wiedzę wynikającą z audytów zgodnych z ISO 22301 i wymagań Krajowego Systemu Cyberbezpieczeństwa (KSC) z praktyką warsztatową, skupioną na rzeczywistych procesach organizacji.

Każde opracowanie przygotowujemy indywidualnie, z uwzględnieniem specyfiki zarówno sektora realizującego zadania publiczne, jak i sektora prywatnego.
W trakcie realizacji angażujemy właścicieli procesów, kierownictwo oraz zespoły techniczne, dzięki czemu analiza BIA nie jest jedynie dokumentem, lecz rzeczywistym narzędziem zarządzania ciągłością działania.

Efektem jest raport BIA, który odzwierciedla rzeczywiste priorytety organizacji, definiuje procesy krytyczne i wskazuje obszary wymagające wzmocnienia.
Najważniejsze jednak, że proces ten prowadzi do świadomego zrozumienia, co jest kluczowe dla utrzymania ciągłości i odporności organizacyjnej – zarówno w wymiarze operacyjnym, jak i strategicznym.