Wprowadzenie Polityki Zarządzania Ciągłością Działania.
Dz.Urz.MF.2022.15
Akt obowiązującyZARZĄDZENIE
MINISTRA FINANSÓW
z dnia 24 lutego 2022 r.
w sprawie wprowadzenia Polityki Zarządzania Ciągłością Działania
ZAŁĄCZNIK
POLITYKA ZARZĄDZANIA CIĄGŁOŚCIĄ DZIAŁANIA
POLITYKA ZARZĄDZANIA CIĄGŁOŚCIĄ DZIAŁANIA
Zarządzanie ciągłością działania to kompleksowe działania pozwalające zidentyfikować potencjalne zagrożenia i określić ich wpływ na organizację. Mają one na celu budowanie odporności i zdolności organizacji do efektywnej reakcji na zagrożenie tak, aby zabezpieczyć realizację zadań organizacji i jej wizerunek.
Celem Polityki jest przedstawienie podejścia do ustanowienia i wdrożenia mechanizmów zabezpieczających przed zagrożeniami wpływającymi na ciągłość realizacji procesów oraz na wizerunek jednostek 1 , czyli systemu zarządzania ciągłością działania, zwanego dalej "Systemem".
Polityka określa:
Każdy pracownik 2 jest odpowiedzialny za utrzymanie właściwego poziomu gotowości do zapewnienia funkcjonowania jednostki w zakresie swoich obowiązków i uprawnień.
Obowiązki w zakresie wdrożenia, koordynowania i monitorowania oraz nadzoru nad poprawnością funkcjonowania Systemu realizują:
Obowiązki w zakresie utrzymania i doskonalenia Systemu spoczywają na pracownikach, którzy realizują zadania wynikające z przypisanych ról i zadań określonych w opracowanej dokumentacji Systemu.
Do wdrożenia w organizacji Systemu niezbędna jest realizacja następujących działań:
System powinien docelowo obejmować całą jednostkę, natomiast dopuszczalne jest, by działania związane z jego wdrożeniem rozpocząć od obszaru wskazanego przez kierującego jednostką.
Tworząc System, należy wskazać osoby i zespoły odpowiedzialne za wdrożenie, utrzymanie i doskonalenie Systemu oraz wyznaczyć im role, zadania, zakresy obowiązków i odpowiedzialności.
Polityka nie narzuca jednolitych rozwiązań w zakresie wyznaczania ról, zadań, obowiązków i odpowiedzialności, uwzględniając różnorodność jednostek, ich zadań i struktur organizacyjnych.
Określenie ról wynikających z Systemu i przypisanie do nich osób należy wskazać w opracowywanej dokumentacji Systemu.
Wdrażanie Systemu związane jest z opisaniem działalności jednostki, którą należy przedstawić za pomocą zidentyfikowania i opisania realizowanych w niej procesów.
Procesy dzieli się na procesy główne, do realizacji których organizacja została powołana, i procesy pomocnicze, zapewniające zasoby do działania procesów głównych.
Po zidentyfikowaniu procesów realizowanych w jednostce należy określić jakie procesy są dla organizacji krytyczne i w tym celu wykonuje się analizę BIA - analiza wpływu biznesowego (business impact analysis), która:
Analizę BIA przeprowadza się zgodnie z zasadami opisanymi w normie ISO/TS 22317:2015 - Bezpieczeństwo społeczne - Systemy zarządzania ciągłością działania - Wytyczne do analizy wpływu na biznes (BIA).
Analiza ryzyka jest to działanie polegające na analizowaniu informacji do zidentyfikowania źródeł ryzyka oraz jego oszacowania. W kontekście ciągłości działania analiza ryzyka przeprowadzana jest dla procesów krytycznych i koniecznych do ich realizacji zasobów.
Analiza ryzyka określa wpływ potencjalnego zagrożenia na jednostkę oraz stworzenie warunków do budowania odporności i zdolności skutecznej reakcji w zakresie:
Analiza ryzyka pomaga w:
Precyzyjne określenie wpływu poszczególnych zagrożeń na ciągłość procesów krytycznych, a także zdefiniowanie scenariuszy zdarzeń, umożliwia usystematyzowanie już posiadanych lub wdrożenie brakujących rozwiązań proceduralnych, organizacyjnych i technicznych w zakresie ciągłości działania, adekwatnych do skali prawdopodobnych zdarzeń. Scenariusze zdarzeń definiują najbardziej dotkliwe oraz prawdopodobne zagrożenie, które w momencie wystąpienia może doprowadzić do całkowitego przerwania realizacji procesów krytycznych i służą do opracowania strategii zachowania ciągłości działania.
Zasady zarządzania ryzykiem, porady w zakresie szacowania ryzyka, postępowania z ryzykiem, akceptacji ryzyka, informowania o ryzyku i przeglądu ryzyka określa norma PN-ISO 31000:2018 Zarządzanie ryzykiem - Zasady i wytyczne.
Celem strategii ciągłości działania jest:
Strategia ciągłości działania określa sposób postępowania z zasobami niezbędnymi do realizacji procesów krytycznych, w szczególności z zasobami:
Do realizacji procesów krytycznych w sytuacji wystąpienia zagrożenia wykorzystuje się zasoby dostępne w jednostce i funkcjonujące już rozwiązania. W szczególnych sytuacjach możliwe jest wykorzystanie zasobów dostępnych na podstawie zawartych umów z podmiotami zewnętrznymi.
Dla procesów krytycznych opracowuje się plany ciągłości działania zapewniające w sytuacji wystąpienia zagrożenia zachowanie ciągłości ich realizacji na określonym poziomie lub w celu przywrócenia ich działania w określonym czasie. Procesy pomocnicze ujmuje się w tych planach w zakresie, w jakim wpływają na krytyczne procesy główne.
Plan ciągłości działania określa:
Sposób postępowania opisany w planie ciągłości działania polega na:
Dopuszcza się włączenie do Systemu rozwiązań doraźnych w formie awaryjnych planów ciągłości działania opracowanych w związku z wystąpieniem niespodziewanych zdarzeń.
Funkcjonowanie Systemu zależne jest od opracowanych i wdrożonych rozwiązań z zakresu ciągłością działania, jak również od innych przyjętych w jednostce rozwiązań dotyczących, w szczególności:
Zaleca się, prowadzenie i weryfikowanie aktualności dokumentacji jednostki, która może wpływać na bezpieczeństwo, uodpornienie na zagrożenia i zapewnienie prawidłowego funkcjonowania, w powiązaniu z dokumentacją Systemu, w szczególności planu zarządzania kryzysowego, procedur postępowania, instrukcji, planów awaryjnych dla systemów teleinformatycznych, planów ochrony obiektu.
Celem działań weryfikacyjnych jest potwierdzenie:
Podstawowym narzędziem weryfikacji poprawności funkcjonowania Systemu jest cykliczne testowanie rozwiązań zawartych w planach ciągłości działania. Testy dostarczają wiarygodnych informacji zarządczych o stanie Systemu w jednostce, w szczególności ocenę:
Testy obejmują wszystkie zdefiniowane plany ciągłości działania w jednostce i zaangażowanie wszystkich niezbędnych zasobów do realizacji procesów krytycznych wraz z niezbędnymi rozwiązaniami organizacyjnymi, technologicznymi, infrastrukturą i danymi.
Poszczególne testy mogą dotyczyć tylko wybranych części planu ciągłości działania, w szczególności:
W wybranych zakresach działania jednostki testy powinny być przeprowadzane co najmniej raz w roku na podstawie opracowanych scenariuszy testowych.
Scenariusze testowe należy regularnie przeglądać pod kątem:
Wykonanie testu planu ciągłości działania zostaje potwierdzone raportem, zawierającym jego wyniki. Raport stanowi syntetyczne podsumowanie przeprowadzonych działań i przedstawia ocenę skuteczności Systemu. Raport wskazuje również potrzebne działania korygujące, z podziałem na działania usprawniające i naprawcze.
Rekomendacje działań korygujących zawierają uzasadnienie, są skierowane do właściwych osób i weryfikowane jest ich wprowadzenie.
System musi być utrzymywany w sprawności, stale aktualizowany i doskonalony w celu zapewnienia jego funkcjonowania oraz dostosowania do zagrożeń. Zadania te są realizowane przy udziale komórek i osób zaangażowanych w realizację określonych procesów krytycznych jednostki, dla których opracowane są rozwiązania z zakresu ciągłości działania. Celem aktualizacji i doskonalenia Systemu jest zwiększenie prawdopodobieństwa zapewnienia nieprzerwanej realizacji procesów krytycznych.
Aktualizacji Systemu dokonuje się w przypadku:
Aktualizacja i doskonalenie Systemu poprzedzone są jego przeglądem. Przegląd Systemu ma na celu sprawdzenie, czy System jest spójny i czy zawiera odpowiednie zabezpieczenia do postępowania z ryzykiem. Na podstawie przeglądu wytypowanych obszarów Systemu, określa się:
Szkolenia pracowników w zakresie wiedzy o Systemie zwiększają prawdopodobieństwo niezakłóconej realizacji zadań, za które pracownicy odpowiadają. Szkolenia powinny obejmować wszystkich pracowników, ze szczególnym uwzględnieniem pracowników, którzy uczestniczą w realizacji zadań wynikających z planów ciągłości działania. Wskazany jest podział szkoleń ze względu na następujące grupy pracowników, do których jest kierowany, na szkolenie:
Departament Bezpieczeństwa i Ochrony Informacji w Ministerstwie Finansów opracuje w porozumieniu z jednostkami wzorcową dokumentację i instrukcje dla jednostek w zakresie wdrożenia Systemu. Dokumentacja ta podlegać będzie zmianom w zależności od potrzeb i wymagań zgłaszanych przez jednostki. Opracowane instrukcje dotyczyć będą w szczególności: