JDA Advisory

Wdrożenie ISO 22301 oraz certyfikacja

Wdrożenie ISO 22301 oraz certyfikacja – poznaj fundamenty zarządzania ciągłością działania, które wynikają z normy ISO 22301, i dowiedz się, jak zastosować je w praktyce.

Wdrożenie ISO 22301 oraz certyfikacja – zarządzanie ciągłością działania opiera się na kilku kluczowych filarach. Filary te razem tworzą spójny, powtarzalny i audytowalny system, a tym samym zapewniają odporność organizacji na zakłócenia.

Wdrożenie ISO 22301 oraz certyfikacja – Czym jest system zarządzania ciągłością działania (BCMS) wg ISO 22301

Przedstawiamy typowe wyzwania w zarządzaniu ciągłością działania. Jednocześnie pokazujemy, w jaki sposób nasze usługi pomagają je skutecznie przezwyciężyć. Pokazujemy również w jaki sposób można utrzymać długoterminową odporność operacyjną organizacji.

Zrozumienie organizacji i jej kontekstu biznesowego (ISO 22301)

Identyfikacja kluczowych procesów, zasobów i zależności, jak również ich wzajemnych powiązań w organizacji.

Określenie wymagań prawnych, regulacyjnych i kontraktowych, które mają bezpośredni wpływ na ciągłość działania.

Na tym etapie zespół projektowy definiuje zakres systemu ciągłości działania.

To fundament, ponieważ pozwala zrozumieć, co naprawdę musi działać, aby organizacja mogła funkcjonować nawet w sytuacjach zakłóceniowych.

Dopasowanie strategii ciągłości działania do realiów organizacji

Opracowanie realistycznych, a jednocześnie wykonalnych strategii utrzymania lub odtworzenia procesów jest kluczowe dla skutecznego BCM.

Zidentyfikowanie alternatywnych lokalizacji, zasobów, technologii i modeli pracy.

Jednocześnie zapewnia się dostępność kluczowych kompetencji.

Aby wdrożenie było skuteczne, strategie powinny odpowiadać skali organizacji oraz jej możliwościom.

Analiza wpływu na biznes BIA – fundament ISO 22301

Ustalenie, jakie skutki wywołałoby zatrzymanie poszczególnych procesów, a tym samym jakie konsekwencje biznesowe należy uwzględnić.

Organizacja określa parametry RTO, RPO i MTPD, dlatego możliwe jest ustalenie realnych priorytetów odtworzeniowych.

Priorytetyzacja procesów i zasobów, co pozwala skoncentrować się na elementach krytycznych.

BIA odpowiada na pytanie: co jest krytyczne i jak szybko musi wrócić do działania.

Plany zapewnienia ciągłości działania (BCP) oraz plany awaryjne DRP

Następnie realizowane jest tworzenie planów operacyjnych dla zespołów i procesów.

Instrukcje reagowania, komunikacji, eskalacji i odtwarzania, dzięki którym działania w kryzysie są uporządkowane.

Co istotne, jasne role, odpowiedzialności i procedury.

W sytuacji kryzysowej stanowią one praktyczne narzędzie działania, a nie wyłącznie dokumentację formalną.

Ocena ryzyka ciągłości działania i podatności procesów

Właściciele procesów identyfikują zagrożenia techniczne, organizacyjne i środowiskowe.

Zespół projektowy ocenia prawdopodobieństwo oraz skutki i przesyła do ceny właścicielowi procesu.

W rezultacie następuje dobór środków zapobiegawczych i ograniczających.

Ryzyko i BIA tworzą razem mapę odporności organizacji, dlatego też powinny być analizowane łącznie i w sposób spójny.

Testy, ćwiczenia i weryfikacja systemu BCMS

Regularne testy techniczne i organizacyjne, które pozwalają zweryfikować skuteczność przyjętych rozwiązań.

Symulacje scenariuszy kryzysowych, dzięki którym zespoły uczą się reagować w praktyce.

Wnioski i działania doskonalące, a następnie ich wdrażanie w kolejnych iteracjach systemu.

Bez testów plany pozostają jedynie teorią, dlatego też regularne ćwiczenia są niezbędne do potwierdzenia ich skuteczności.

Wdrożenie ISO 22301 oraz certyfikacja – Harmonogram wdrożenia ISO 22301 – etapy krok po kroku

Wdrożenie ISO 22301 oraz certyfikacja – ETAP 1 – Inicjacja i przygotowanie projektu (Tydzień 1-2)

Cele:

  • Powołanie zespołu BCM i właścicieli procesów.
  • Zdefiniowanie zakresu systemu i celów wdrożenia.
  • Ustalenie harmonogramu, ról, odpowiedzialności i struktury raportowania.

Kluczowe produkty

  • Plan komunikacji i governance
  • Karta projektu BCM
  • Zakres ISO 22301

Wdrożenie ISO 22301 oraz certyfikacja – ETAP 2 – Zrozumienie organizacji i kontekstu (Tydzień 2-3)

Cele:

  • Analiza procesów, lokalizacji, zasobów, technologii i zależności.
  • Identyfikacja wymagań prawnych, regulacyjnych i kontraktowych.

Kluczowe produkty

  • Rejestr interesariuszy i wymagań
  • Analiza kontekstu

Wdrożenie ISO 22301 oraz certyfikacja – ETAP 3 — Analiza BIA (Business Impact Analysis) (Tydzień 3–6)

Cele:

  • Identyfikacja procesów krytycznych.
  • Ustalenie parametrów RTO, RPO, MTPD.
  • Priorytetyzacja procesów i zasobów, co pozwala skoncentrować się na elementach krytycznych.

Kluczowe produkty:

  • Wymagania odtworzeniowe dla zasobów
  • Raport BIA
  • Macierz krytyczności procesów
ISO 22301:2019

Wdrożenie ISO 22301 oraz certyfikacja- System BCMS – szczegółowy harmonogram dalszych etapów

Poznaj szczegółowy proces wdrożenia systemu BCMS według zaleceń normy ISO 22301, który krok po kroku prowadzi organizację do skutecznego zarządzania ciągłością działania.

Wdrożenie ISO 22301 oraz certyfikacja – ETAP 4 — Ocena ryzyka ciągłości działania (Tydzień 5–7)

Cele:

  • Identyfikacja zagrożeń i podatności.
  • Ocena ryzyka zakłóceń i ich wpływu na procesy.
  • W rezultacie następuje dobór środków zapobiegawczych i ograniczających.

Kluczowe produkty:

  • Plan postępowania z ryzykiem
  • Rejestr ryzyk BCM

ETAP 7 — Testy, ćwiczenia i weryfikacja systemu BCMS (Tydzień 12–14)

Cele:

  • Ponadto zespół przeprowadza testy techniczne i organizacyjne.
  • Symulacje scenariuszy kryzysowych, dzięki którym zespoły uczą się reagować w praktyce.
  • Jednocześnie następuje weryfikacja skuteczności planów.

Kluczowe produkty:

  • Lista działań doskonalących
  • Raport z testów i ćwiczeń

Wdrożenie ISO 22301 oraz certyfikacja – ETAP 5 — Opracowanie strategii ciągłości działania (Tydzień 7–9)

Cele:

  • Wybór strategii utrzymania lub odtworzenia procesów krytycznych.
  • Identyfikacja alternatywnych lokalizacji, zasobów, modeli pracy i technologii.

Kluczowe produkty:

  • Wymagania dla zasobów i infrastruktury
  • Dokument strategii BCM

ETAP 8 — Audyt wewnętrzny i przegląd zarządzania (Tydzień 14–16)

Cele:

  • Na końcu realizowana jest ocena zgodności z ISO 22301.
  • Zamknięcie niezgodności i wdrożenie działań korygujących.
  • W rezultacie organizacja przygotowuje się do certyfikacji w sposób uporządkowany i zgodny z wymaganiami normy.

Kluczowe produkty:

  • Protokół przeglądu zarządzania
  • Raport z audytu wewnętrznego

Wdrożenie ISO 22301 oraz certyfikacja – ETAP 6 — Budowa planów ciągłości działania i planów awaryjnych (Tydzień 9–12)

Cele:

  • Opracowanie planów operacyjnych dla zespołów i procesów.
  • Zdefiniowanie procedur reagowania, eskalacji, komunikacji i odtwarzania.

Kluczowe produkty:

  • Procedury komunikacji kryzysowej
  • Plany ciągłości działania (BCP)
  • Plany awaryjne IT / DRP

ETAP 9 — Audyt certyfikujący (Tydzień 16–18)

Cele:

  • Audyt Etap I – ocena dokumentacji i gotowości.
  • Audyt Etap II – ocena wdrożenia w praktyce.

Kluczowe produkty:

  • Raport z audytu certyfikującego
  • Certyfikat ISO 22301 (ważny 3 lata)
Więcej szczegółów – zapraszamy do kontaktu

Najczęstsze błędy przy wdrażaniu ISO 22301 w organizacjach

Poniżej przedstawiamy najczęstsze błędy popełniane podczas wdrożenia ISO 22301, opisane w sposób praktyczny, zgodny z realiami projektów BCM i stylem, który możesz od razu wykorzystać w audycie wstępnym. To lista, która świetnie działa również jako „checklista ryzyk wdrożeniowych”

Traktowanie ISO 22301 jako projektu dokumentacyjnego

Największy błąd: skupienie się na tworzeniu dokumentów zamiast na realnej odporności operacyjnej.


W efekcie powstaje system „na papierze”, który nie działa w sytuacji kryzysowej.

Pomijanie oceny ryzyka lub wykonywanie jej powierzchownie

Organizacje często skupiają się wyłącznie na BIA, ignorując ryzyka zakłóceń.


Efekt: brak zabezpieczeń prewencyjnych i nadmierne poleganie na planach awaryjnych.

Brak testów lub testy pozorne

Najczęstsze błędy:

  • testy tylko „na papierze”,
  • brak scenariuszy,
  • brak wniosków i działań doskonalących.

Efekt jest taki, że plany nie są sprawdzone, dlatego organizacja nie wie, czy rzeczywiście zadziałają w praktyce.

Brak integracji BCM z innymi systemami

Częsty błąd: BCM działa w izolacji od:

  • zarządzania ryzykiem,
  • bezpieczeństwa informacji (ISO 27001),
  • ITSM,
  • zarządzania kryzysowego.

W konsekwencji pojawia się niespójność procesów i brak koordynacji podczas incydentów.

Brak zaangażowania kierownictwa

Bez aktywnego udziału zarządu BCM nie ma mocy decyzyjnej, a tym samym stopniowo traci swoją skuteczność.


W rezultacie występuje brak zasobów, brak priorytetów oraz brak realnych zmian.

Strategie ciągłości oderwane od realiów

Typowe błędy:

  • strategie zbyt kosztowne,
  • strategie niewykonalne operacyjnie,
  • strategie nieuzgodnione z IT lub HR.

Ostatecznie są to plany, których nie da się wdrożyć w praktyce.

Brak cyklicznego przeglądu i aktualizacji

Typowe błędy:

  • BCM to system żywy, jednak organizacje często o tym zapominają, co prowadzi do jego dezaktualizacji.
  • Efekt: plany nieaktualne, niezgodne z nową strukturą, technologią lub procesami, dlatego system nie działa skutecznie.
Niewłaściwie dobrana firma doradcza

Typowe błędy:

Dodatkowo problemem jest niedostateczna wiedza konsultantów oraz brak zrozumienia wymagań biznesowych i charakteru organizacji.

Niewłaściwie wykonana analiza BIA

Najczęstsze problemy:

  • kopiowanie danych z poprzednich lat,
  • brak rozmów z właścicielami procesów,
  • ustalanie RTO „na oko”.

W efekcie pojawiają się błędne priorytety oraz strategie niedopasowane do realnych potrzeb.

Plany ciągłości zbyt ogólne lub zbyt szczegółowe

Najczęstsze problemy:

W praktyce obserwuje się dwa skrajne przypadki:

  • plany ogólne, bez instrukcji działania,
  • plany tak szczegółowe, że nikt ich nie użyje.

W praktyce oznacza to chaos w sytuacji kryzysowej.

Niewystarczająca świadomość pracowników

Brak szkoleń i komunikacji powoduje, że w konsekwencji:

  • w rezultacie pracownicy nie znają swoich ról,
  • a także nie wiedzą, jak reagować,
  • oraz nie wiedzą, gdzie znajdują się plany.

W efekcie nawet najlepszy system nie działa zgodnie z założeniami.

Wdrożenie ISO 22301 oraz certyfikacja- Checklista audytowa ISO 22301 – weryfikacja zgodności BCMS

Kontekst organizacji (klauzula 4)

✔ Zrozumienie otoczenia organizacji oraz jej funkcjonowania

  • Organizacja określiła zakres BCMS i odpowiednio go uzasadniła?
  • Organizacja zidentyfikowała czynniki wewnętrzne i zewnętrzne wpływające na ciągłość działania?
  • Organizacja określiła wymagania prawne i regulacyjne oraz kontraktowe?
  • Organizacja zidentyfikowała istotnych interesariuszy i ich potrzeby?

Przywództwo (klauzula 5)

✔ Zaangażowanie najwyższego kierownictwa

  • Czy organizacja jasno zdefiniowała role i uprawnienia oraz odpowiedzialności?
  • Kierownictwo aktywnie wspiera funkcjonowanie BCMS?
  • Czy kierownictwo ustanowiło politykę ciągłości działania?

Planowanie (klauzula 6)

✔ Ryzyka oraz szanse

  • Czy organizacja przeprowadziła ocenę ryzyka dla BCMS?
  • Czy organizacja określiła działania odnoszące się do ryzyk i szans?

✔ Cele w obszarze ciągłości działania

  • Czy jednocześnie opracowano plany realizacji celów?
  • Cele są zgodne z polityką jak również są mierzalne i monitorowane?

Wsparcie (klauzula 7)

✔ Zasoby

  • Organizacja zapewniła aktywa niezbędne do wdrożenia i utrzymania BCMS?

✔ Kompetencje

  • Pracownicy posiadają odpowiednie zakres wymagań?
  • Dodatkowo, czy zrealizowano szkolenia z zakresu BCM?

✔ Proces komunikacji – wymagania organizacji

  • Opracowano plan komunikacji wewnętrznej i zewnętrznej?

✔ Udokumentowana informacja

  • Dokumentacja BCMS jest aktualna i kompletna oraz odpowiednio nadzorowana?

Działania operacyjne (klauzula 8)

✔ Business Impact Analysis (BIA)

  • Przeprowadzono analizę BIA dla wszystkich procesów w organizacji ?
  • Parametry RTO, RPO oraz MTPD zostały zidentyfikowane i określone?
  • Zidentyfikowano zależności i zasoby krytyczne?

✔ Ocena ryzyka w obszarze ciągłości działania

  • Zidentyfikowano zagrożenia i podatności przez zespół?
  • Zespół ocenił ryzyka zakłóceń?
  • Organizacja określiła działania zapobiegawcze?

✔ Dopasowanie strategii ciągłości działania do realiów organizacji

  • Przyjęto rozwiązania zostały zatwierdzone i są realistyczne do wykonalne?
  • Kierunek strategiczny uwzględnia personel oraz jej zasoby i lokalizacje jak również technologie?

✔ Plany ciągłości działania

  • Opracowano plany BCP dla procesów uznanych za krytyczne?
  • Organizacja opracowała plany awaryjne IT/DRP?
  • Dokumentacja obejmuje procedury komunikacji i eskalacji oraz reagowania?

✔ Testowanie

  • Organizacja udokumentowała wyniki ćwiczeń i działania doskonalące?
  • Zostały przeprowadzone działania techniczne ?
  • Zrealizowano przypadki scenariuszowe?

Ocena wyników (klauzula 9)

✔ Monitorowanie oraz pomiary

  • Wskaźniki BCM są monitorowane?
  • Czy ponadto incydenty oraz zakłócenia są analizowane?

✔ Audyt wewnętrzny

  • Organizacja zrealizowała audyt BCMS zgodnie z przyjętym planem?
  • Zidentyfikowano niezgodności i działania korygujące w organizacji?

✔Przegląd zarządzania

  • Uwzględniono wyniki audytów i testów oraz zmian zachodzących w ?organizacji
  • Przegląd BCMS został przeprowadzony przez kierownictwo?

Doskonalenie (klauzula 10)

✔ Działania korygujące i zapobiegawcze

  • Niezgodności są analizowane i skutecznie eliminowane?
  • Podejmowane działania korygujące są skuteczne?

✔ Ciągłe doskonalenie BCMS

  • Organizacja reaguje na zmiany regulacyjne i organizacyjne oraz technologiczne?
  • Czy w rezultacie BCMS jest aktualizowany w sposób regularny?
ISO 22313:2020 – BCMS security and resilience