ISO 22301 Ciągłość Działania Organizacji

ISO 22301  System Zarządzania Ciągłością Działania (BCMS) został opracowany w celu ochrony firm przed ryzykiem związanym z przestojami, które mogą wystąpić w wyniku nieoczekiwanych zakłóceń lub katastrof. Zakłócenia w działalności firmy mogą powodować utratę przychodów, awarie ryzyka danych i niedostarczenie normalnych usług klienckich zgodnie z umowami o gwarantowanym poziomie usług (SLA). Wdrożenie systemu zarządzania ciągłością działania ISO 22301 wskaże firmie, jak najlepiej zaplanować takie ewentualności oraz się przed nimi ubezpieczyć.

Norma ISO 22301 BCM została zaprojektowana w celu zapewnienia, że ustanowiono solidny system zarządzania ciągłością działania oraz że pracownicy wewnętrzni są w pełni świadomi swojej roli w systemie w przypadku wystąpienia incydentu.

Wdrożenie silnego BCMS pomoże twojej organizacji w szybkim wyjściu z katastrofy lub zakłócenia. BCMS może również chronić organizację przed utratą reputacji, która może wystąpić w wyniku przekroczenia terminów, wycieku danych, awarii operacyjnych, awarii IT, działań przemysłowych, rozczarowanych klientów lub bezpośrednich strat finansowych z powodu zakłócenia.


Jeżeli nie stać Państwa na przestoje, widzicie zagrożenia, zarządzacie ciągłością lub ryzykiem Klienta, pomyślcie o wdrożeniu Systemu Zarządzania Ciągłością Działania wg. normy ISO22301 w niezbędnych co najmniej zakresach.

Najważniejsze elementy normy ISO 22301

  1. Polityka ciągłości działania – organizacja powinna ustalić i wdrożyć politykę ciągłości działania, która określa cele, zasady i procedury zarządzania ciągłością działania.

  2. Analiza ryzyka – organizacja powinna dokonać identyfikacji zagrożeń i oceny ryzyka związanych z ciągłością działania. Następnie powinna opracować plany zarządzania ryzykiem, które umożliwią skuteczne reagowanie na potencjalne zagrożenia.

  3. Planowanie ciągłości działania – organizacja powinna opracować plany ciągłości działania, które określają procedury i strategie, które należy zastosować w celu minimalizacji skutków incydentów i przywrócenia normalnego funkcjonowania.

  4. Zarządzanie zmianami – organizacja powinna zapewnić skuteczne zarządzanie zmianami, które dotyczą systemu zarządzania ciągłością działania, aby system był w stanie dostosować się do zmieniających się warunków.

  5. Wdrażanie i operowanie – organizacja powinna wdrożyć i utrzymywać system zarządzania ciągłością działania, zapewniając ciągłe doskonalenie jego skuteczności.

  6. Testowanie i ćwiczenia – organizacja powinna regularnie testować i ćwiczyć swoje plany ciągłości działania, aby upewnić się, że są one skuteczne i że personel jest odpowiednio przeszkolony i przygotowany do reagowania w sytuacjach kryzysowych.

  7. Monitorowanie i audytowanie – organizacja powinna regularnie monitorować i audytować system zarządzania ciągłością działania, aby upewnić się, że jest on skuteczny i zgodny z wymaganiami normy ISO 22301.

Jakimi incydentami zajmuje się ISO 22301?

ISO 22301 zajmuje się zarządzaniem ciągłością działania organizacji w przypadku różnego rodzaju incydentów, które mogą zakłócić normalne funkcjonowanie firmy. W normie tej wyróżnia się kilka kategorii incydentów, m.in.:

  1. Incydenty związane z technologią – takie jak awarie sprzętu, ataki hakerskie czy błędy ludzkie.

  2. Incydenty związane z infrastrukturą – takie jak wypadki drogowe, problemy z dostępem do wody, gazu czy energii elektrycznej.

  3. Incydenty związane z łańcuchem dostaw – takie jak opóźnienia w dostawach materiałów czy braki w zaopatrzeniu.

  4. Incydenty związane z ludźmi – takie jak strajki, choroby czy absencje pracowników.

  5. Incydenty związane z naturą – takie jak klęski żywiołowe, pożary czy powodzie.

  6. Inne incydenty procesowe, proceduralne, inżynieryjne, gospodarcze, biznesowe, etc.

Norma ISO 22301 ma na celu pomóc organizacjom w przygotowaniu się na różnego rodzaju incydenty i zapewnieniu ciągłości swojego działania w przypadku wystąpienia takich sytuacji. Dzięki temu firmy mogą minimalizować ryzyko finansowe i straty wynikające z incydentów oraz zwiększać zaufanie klientów i partnerów biznesowych.

Checklist 20 najbardziej popularnych incydentów ISO 22301

  1. Awaria systemu informatycznego lub cyberatak.
  2. Przerwanie dostaw od dostawców zewnętrznych.
  3. Wypadki przy pracy lub na terenie firmy.
  4. Zmiana przepisów lub regulacji dotyczących działalności firmy.
  5. Strajki lub zamieszki społeczne, które wpływają na funkcjonowanie firmy.
  6. Awaria systemów komunikacyjnych, takich jak telefonia i internet.
  7. Problemy związane z transportem, takie jak zamknięcie dróg lub awaria transportu publicznego.
  8. Incydenty związane z usługami publicznymi, takimi jak przerwy w dostawie energii elektrycznej, wody czy gazu.
  9. Wybuch pożaru lub awaria systemów bezpieczeństwa przeciwpożarowego.
  10. Zmniejszenie wydajności lub zatrzymanie produkcji z powodu awarii maszyn lub urządzeń.
  11. Incydenty związane z bezpieczeństwem fizycznym, takie jak włamanie, kradzież lub akt wandalizmu.
  12. Zagrożenie ze strony terrorystów lub przestępców.
  13. Wypadki drogowe lub transportowe z udziałem pracowników firmy.
  14. Zmiany na rynku, takie jak spadek popytu na produkty lub usługi firmy.
  15. Incydenty związane z ochroną środowiska, takie jak wycieki substancji chemicznych lub zanieczyszczenie powietrza.
  16. Problemy związane z dostępnością lub wykorzystaniem budynków firmy, takie jak zalanie, zawalenie czy zniszczenie przez trzęsienie ziemi.
  17. Utrata kluczowego personelu lub pracowników z powodu choroby, wypadku lub odejścia z firmy
  18. Problemy związane z bezpieczeństwem żywności, takie jak wycofanie produktów z powodu skażenia lub nieprawidłowego oznakowania.
  19. Zagrożenie ze strony wirusów lub chorób zakaźnych, takich jak pandemia COVID-19.
  20. Problemy finansowe, takie jak bankructwo, niewypłacalność lub brak płynności finansowej.

Wszystkie te incydenty mogą mieć poważny wpływ na działalność firmy i wymagają odpowiedniego zarządzania ciągłością działania organizacji. Standard ISO 22301 pomaga organizacjom w zapobieganiu i przygotowaniu się na takie incydenty oraz minimalizowaniu ich wpływu na biznes.

Jakie główne analizy przeprowadzamy w zakresie ISO 22301?

Analizy to kluczowy element w standardzie ISO 22301, który pomaga organizacjom identyfikować, analizować i oceniać zagrożenia, które mogą wpłynąć na ciągłość działania firmy. Poniżej przedstawiam kilka rodzajów analiz, które są wymagane lub zalecane w standardzie ISO 22301:

  1. Analiza ryzyka – jest to proces identyfikacji, oceny i zarządzania ryzykiem związanym z ciągłością działania organizacji. Analiza ta pozwala na określenie potencjalnych zagrożeń, ich skutków oraz prawdopodobieństwa wystąpienia.

  2. Analiza wpływu na biznes (BIA) – jest to proces identyfikacji i oceny wpływu różnych zagrożeń na kluczowe procesy biznesowe organizacji. BIA pomaga w określeniu, które procesy są najważniejsze dla działalności firmy oraz jakie konsekwencje mogą wyniknąć z ich przerwania.

  3. Analiza krytyczności (CA) – jest to proces identyfikacji i oceny krytycznych systemów, procesów i funkcji organizacji, które muszą działać ciągle, aby firma mogła funkcjonować. Analiza ta pozwala na określenie, które elementy organizacji są najważniejsze dla jej ciągłości działania.

  4. Testy ciągłości działania – są to symulacje lub ćwiczenia, które pozwalają na przetestowanie zdolności organizacji do zachowania ciągłości działania w przypadku wystąpienia zagrożenia. Testy te umożliwiają identyfikację potencjalnych problemów i umożliwiają wprowadzenie odpowiednich poprawek do planów ciągłości działania.

Analizy te pomagają organizacjom w opracowaniu planów ciągłości działania, które pozwalają na minimalizowanie skutków incydentów oraz szybką reakcję w przypadku ich wystąpienia. Wszystkie te analizy są integralną częścią procesu zarządzania ciągłością działania organizacji i są kluczowe dla zapewnienia stabilnej i niezawodnej działalności firmy.