Studia i Materiay.

Miscellanea Oeconomicae
Rok 15, Nr 2/2011
Wydzia Zarzdzania i Administracji
Uniwersytetu Jana Kochanowskiego w Kielcach

Ludzie, zarzdzanie, gospodarka

Jerzy Zamojski1

BS 25999: CIGO DZIAANIA

(BUSINESS CONTINUITY MANAGEMENT)
CZY ZNW BSI WYTYCZA DROG
DLA WIATA BIZNESU?

1. Wprowadzenie
Zapewnienie cigoci dziaania to jedno z fundamentalnych zada realizowanych w ramach dziaalnoci przedsibiorstwa. Celem BSI byo wic stworzenie
takiej normy, ktra zapewni minimalizacj zakce i maksymalizacj efektywnoci odzyskiwania sprawnoci.
2. Historia

Norma BS 25999 rozpocza swe ycie, jak wiele innych norm, jako Specyfikacja Dostpna Publicznie lub PAS, a dokadniej PAS56:2003 Guide to Bussiness Continuity Managment. Zostaa opublikowana w pierwszym kwartale
2003 r., aby umoliwi komentarze i ocen, jako podstaw do dalszego rozwoju.
Bardzo zbliona do tego dokumentu norma BS 25999-1 zostaa opublikowana pod
koniec 2006 roku2.
Za cao opracowania odpowiada Komitet Techniczny BSI BCM/1. W procesie tworzenia normy bray czynny udzia osoby z brany usug finansowych, administracji, uczelni sub ratunkowych, organizacji biznesowych oraz lekarze rnych specjalnoci3. Organizacje te to m.in. Association of British Certification
1
2
3

Dr Jerzy Zamojski, adiunkt, Uniwersytet Jana Kochanowskiego w Kielcach.

http://www.bs25999.biz/history.html
http://www.bs25999.com/2010/01/what-is-bs25999/

99

Bodies, Association of British Insurers, Association of Chief Police Officers (ACPO), Association of Insurance Risk Managers, Association of Local Authority
Risk Managers, the Cabinet Office, the Business Continuity Institute (BCI), Continuity Forum, Department of Trade and Industry, Emergency Planning Society,
the CFOA, Coventry University, the DTI, the Emergency Planning Association,
the Federation of Small Businesses, the Financial Service Authority (FSA), Fire
Officers Association, the Institute of Directors, the Institute of Emergency Management (IEM), the Institute of Internal Auditors (IIA), Institute of Risk Management, Intellect, the Metropolitan Police, Securities Industry Business Continuity
Management Group, Society of Industrial Emergency Services Officers (SIESO)
oraz Survive4.
Wyznaczono kilka kamieni milowych podczas prac nad t norm. Byy nimi:
Okrelenie zakresu prac (wrzesie 2005),
Draft (grudzie 2005 do lipiec 2006),
Udostpnienie dla publicznej oceny (lipiec sierpie 2006),
Wdroenie poprawek i uwag (wrzesie padziernik 2006),
Opublikowanie normy (listopad 2070).
Druga cz normy BS 25999-2 zostaa opublikowana w listopadzie 2007 roku.
Zajto si te normami BS 25799 Business Continuity Implementation oraz ISO
31000 przewodnik przy wdraaniu zarzdzania ryzykiem oraz stworzeniem odpowiednich narzdzi dostpnych przez Internet.
3. Budowa
Norma BS 25999 to norma dwuczciowa. Cz pierwsz stanowi zbir dobrych praktyk w zakresie zarzdzania cigoci dziaania BS 25999-1:2006
Zarzdzanie Cigoci Biznesu. Cz 1: Kodeks Stosowania. Skada si na ni
dziesi rozdziaw. Zawiera:
Polityk zarzdzania cigoci dziaania,
Proces zarzdzania cigoci funkcjonowania organizacji,
Analiz dziaalnoci przez pryzmat ryzyka wystpienia zagroe,
Strategi zarzdzania cigoci dziaania,
Opracowanie i wdroenie rodkw ochrony (m.in. BCP i DRP),
Testowanie, zarzdzanie i przegld rodkw ochrony,
Zadanie budowy wiadomoci pracownikw5.
Cz drug stanowi dokument BS 25999-2:2007 - Zarzdzanie Cigoci
Biznesu. Cz 1: Wymagania. Zawiera on informacje o:
Zakresie Systemu Zarzdzania Cigoci Dziaania,
Planowaniu Systemu Zarzdzania Cigoci Biznesu,
Szacowaniu ryzyka,
Definiowaniu planw cigoci biznesu,
4
5

http://www.sbbit.jp/bit/img/bit389401.pdf oraz http://www.bs25999.biz/history.html

http://www.2bcg.pl/index.php?page=bs-25999

100

 Definiowaniu planw zarzdzania incydentami,

Prowadzeniu audytw wewntrznych i przegldw,
Doskonaleniu systemu6.
Cao zostaa tradycyjnie oparta o koo Deminga. W wersji dla zarzdzania
cigoci dziaania wyglda ono nastpujco:
PLAN : Stworzenie polityki zarzdzania cigoci dziaania, okrelenie
jej celw, zada, kontroli procesw i procedur.
DO : Faktyczne zastosowanie owych planw.
CHECK : Monitor celw i polityki.
ACT : Podjcie dziaa zapobiegawczych i naprawczych w celu zapewnienia cigej poprawy.

Wymagania i
oczekiwania

Zachowanie
cigoci
dziaania

Rysunek 1. Cykl PDCA dla Systemu Cigoci Zarzdzania wg normy BS 25999-2.

rdo: Opracowanie wasne, na podstawie BS 25999-2 i

http://www.bs25999.com/2009/12/bs25999-bcms-summary/

W szerszym kontekcie oznacza to:

PLAN - Ustanowienie i Zarzdzanie BCMS

W tej czci wymaga si jasnego okrelenia przez organizacj celw oglnych
i zakresu stosowania zarzdzania cigoci dziaania. Zakres ten dotyczy take
tego, czy organizacja chce stosowa owe zarzdzanie w caej organizacji czy te
tylko w jakich jej czciach.

http://www.2bcg.pl/index.php?page=bs-25999

101

Zadaniem organizacji jest take udowodnienie, e owe metody s stosowane.

Najatwiejszym sposobem wykazania tego jest uzyskanie certyfikatu BS 25999,
ale stosuje si te szereg innych sposobw, jak np. kwestionariusze czy kontrole.
System zarzdzania cigoci dziaania biznesowego (BCMS) musi zawiera
co najmniej:
Polityk cigoci biznesowej,
Odpowiedzialno,
Procesy zarzdzania,
Okrelenie specyficznych procesw,
Dokumentacj.
Okrelenie polityki w zakresie zarzdzania cigoci dziaania jest wymagane, gdy wiadczy o zaangaowaniu i uszczegawia zakres i cele caego systemu. Naley dokonywa regularnych przegldw polityki w tym zakresie. Owa
polityka musi by oglnodostpna dla wszystkich zainteresowanych stron. Jest to
wymg analogiczny jak w polityce jakoci (ISO 9001), czy bezpieczestwa (ISO
27001), bo tak jak tam stanowi ona podstaw systemu, gdy pokazuje wyrane
zobowizania, zarzdzenia oraz okrela obowizki.
Organizacja musi take wykaza, e na ten system s przyznawane odpowiednie zasoby oraz, e jest osoba odpowiedzialna za utrzymanie i doskonalenie caego
systemu. W wikszych organizacjach odpowiedzialno ow dzieli si pomidzy
menedera bdcego czonkiem zarzdu (analogia np. z ISO 9001, czy ISO
14001), ale bezporednio za wdroenie, utrzymanie i doskonalenie systemu odpowiedzialny jest meneder ds. zapewnienia cigoci dziaania.
Od osb odpowiedzialnych za zapewnienie cigoci wymaga si odpowiednich kwalifikacji. Wymagane s w tym zakresie stosowne certyfikaty i uprawnienia. Organizacje musz zdecydowa jakie dokumenty s wymagane. Mog nimi
by np. kwalifikacje zawodowe, referencje, rejestr szkole, testy, kopie opublikowanych prac i inne.
Od osb zaangaowanych w system wymagane s szkolenia i zarzdzanie
kompetencjami. Owe szkolenia powinny by dostosowane do roli, jak owe osoby
peni w odzyskiwaniu sprawnoci dziaania oraz incydentach.
Bardzo istotnym elementem dziaania jest osadzanie zarzdzania cigoci
dziaania w kulturze organizacji. Owo zarzdzanie musi sta si centralnym elementem z punktu widzenia zarwno perspektywy zarzdzania jak i biecych programw edukacyjnych. Informacje na ten temat musz by podejmowane
na miejscu.
Zarzdzanie dokumentami i archiwami stanowicymi cz systemu zarzdzania cigoci dziaania musi by w peni kontrolowane i chronione przed wyciekiem. Su do tego dokumenty i procesy autoryzacji.
Minimalny zbir dokumentw jaki musi zawiera system zarzdzania cigoci dziaania obejmuje:
Zakres,
Polityk,
102

Przepisy odnonie zasobw,

Kompetencje i zadania personelu,
BIA7 , oceny ryzyka i strategii zarzdzania cigoci (BC business continuity),
Struktura reagowania na incydenty, plan reagowania na incydenty i plan
cigoci dziaania,
wiczenie koordynacji,
Konserwacj, przegldy i badanie procedur,
Dziaania zapobiegawcze i naprawcze,
Zarzdzanie ocenami i dowodami prowadzenia cigego doskonalenia.
Zarzdzanie zapisami, w celu wspierania takich elementw modelu PDCA jak
Planuj, czy Sprawd stanowi kluczowy element normy. Dotyczy on na przykad,
problemu przechowywania, lokalizacji, zezwolenia, itp.
Dokumentacja systemu moe by prowadzona w wersji papierowej i elektronicznej.

[DO] Wdroenie i obsuga systemu zarzdzania cigoci dziaania

(BCMS)
Celem jest okrelenie potrzeb w tym zakresie i nastpnie wdroenie odpowiednich dziaa ycie.
Zrozumienie Organizacji Ta sekcja zasadniczo formalizuje to, co jest opisane
w czci 1. Po pierwsze oznacza przeprowadzenie Analizy BIA a nastpnie zapisanie wynikw w uporzdkowany i udokumentowany sposb. Po drugie, korzystajc z udokumentowanego procesu oceny ryzyka w organizacji dokona analizy
zagroe, przed jakimi stoi i luk powodujcych owe zagroenia, poniewa s one
mierzone w odniesieniu do krytycznej dziaa i zasobw. Po trzecie, zdecydowa,
w jaki sposb organizacja bdzie si do tych zagroe przygotowywa. Jednym
z kluczowych elementw tej sekcji jest to, e procesy oceny ryzyka musz by
udokumentowane. Mona w tym celu zastosowa standardowe procedury dokumentacyjne stosowane w organizacji lub zastosowa jedn z metod analizy ryzyka.
Organizacja jest zobowizana do odniesienia si do owych analiz w systemie zarzdzania cigoci dziaania. Daje to moliwo opracowania odpowiedniej strategii i podjcia dziaa w zakresie jej wdroenia.
Opracowanie i wdroenie odpowiedniego zarzdzania cigoci dziaania
(BCM) Owo wdroenie obejmuje rwnie struktury reagowania na incydenty.
wiczenia i obsuga zarzdzania cigoci dziaania (BCM) Po wdroeniu
BCM konieczne jest jego testowanie i prowadzenie odpowiedniego dla organizacji
programu wicze.

Analiza BIA (Business Impact Analysis) jest rdem informacji na temat tego, co jest krytyczne
dla funkcjonowania organizacji, jakie procesy, zasoby s niezbdne do realizacji produktu, czy
usugi.

103

[CHECK] Monitorowanie i weryfikacja BCMS

Procesy monitorowania i weryfikowania s konieczne do tego by zapewni
sprawno dziaania systemu. Oglnie dzieli si je na 2 elementy:
1. Audyt Wewntrzny Jeli organizacja ma ju wdroone funkcje audytu
wewntrznego, moe mie sens wykorzystanie procesw i procedur ju
uywanych. Mona w tym zakresie wykorzysta audytorw wewntrznych innych specjalnoci.
2. Przegld zarzdzania coroczny przegld na podstawie audytu wewntrznego i zewntrznego, dotyczcy zasobw i innych elementw, oraz
wej i wyj. Generalnym celem przegldu zarzdzania jest ustalenie,
czy system w dalszym cigu spenia potrzeby organizacji. Takiego przegldu naley dokona take w przypadku zaistnienia istotnych zmian organizacyjnych.

[ACT] Utrzymanie i doskonalenie BCMS

Jednym z celw kadego standardu zarzdzania jest cige doskonalenie. Norma wymaga, aby organizacja stale poprawiaa ogln efektywno BCMS poprzez
rnorodne dziaania, zarwno profilaktyczne jak i naprawcze. Dziaania zapobiegawcze i korygujce s identyfikowane przez szereg czynnoci, takich jak audyty,
analizy zdarze lub przegldy zarzdzania. Wszystkie one musz by formalnie
zapisane i wykorzystane do kontroli. Przegldu zarzdzania okrela zakres dziaa,
ktre naley podj.
4. Certyfikacja
Podstawowe etapy na drodze do certyfikacji systemu zarzdzania cigoci
dziaania to:
1. Zaangaowanie Zarzdu,
2. Deklaracja odnonie zakresu systemu,
3. Wybr jednostki certyfikacyjnej,
4. Zakoczenie Analizy BIA i Oceny Ryzyka,
5. Tworzenie i wdraanie BCMS,
6. Szkolenia i konsultacje (Opcjonalnie),
7. Opracowanie i wdroenie udokumentowanego systemu zarzdzania w celu
spenienia wymaga normy i wszelkich specyficznych wymaga klienta,
8. Kompletny Audyt Wewntrzny w zakresie oceny Cyklu PDCA i zarzdzania,
9. Zakoczenie procesu rejestracji8.

Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA, 2008, s. 8.

104

Rysunek 2. Proces rejestracji wg normy BS 25999-2.

rdo: Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA,
2008.

5. Podsumowanie
Obydwie normy z powodzeniem mog by stosowane w kadym typie organizacji i o dowolnej wielkoci, o ile ta chce zapewni sobie znacznie wiksze bezpieczestwo w trzech obszarach:
Elastyczno Aktywna poprawa elastycznoci firmy w zakresie realizowania podstawowych celw w obliczu zakce.
Dostarczanie Zapewnia sprawdzon metod przywracania dostarczania
najwaniejszych produktw i usug do ustalonego poziomu i w okrelonym
czasie od zakcenia.
Zarzdzanie Zapewnia sprawdzon zdolno zarzdzania zakceniami
i ochrony reputacji i marki firmy9.
Dziki certyfikacji firma moe uzyska take potwierdzenie strony trzeciej stosowania uznanych na wiecie zasad zarzdzania cigoci dziaania, co moe
w istotnym stopniu podnie zaufanie, jakim cieszy si u partnerw biznesowych.
Midzynarodowa organizacja normalizacyjna ISO take zaja si ju t problematyk tworzc na bazie normy australijsko-nowozelandzkiej now norm AS/NZS

http://www.bsigroup.pl/pl/Auditowanie-i-certyfikacja/Systemy-zarzadzania/Normy-i-programy/BS25999/

105

ISO 31000:200910. Mona wic zapewne spodziewa si nowej rodziny norm ISO
serii 31000, w ktrej dowiadczenia z wdraania normy brytyjskiej bd bardzo
istotne11.
Bibliografia:
1.
2.
3.
4.
5.
6.
7.

http://www.2bcg.pl/
http://www.bs25999.biz/
http://www.bs25999.com/
http://www.bsigroup.pl/
http://www.safetyrisk.com.au/
http://www.sbbit.jp/
Steps to BS 25999 Registration, Perry Johnson Registrars Inc., Southfield, Michigan USA,
2008.

Abstrakt
W artykule przedstawiono brytyjsk norm zarzdzania cigoci dziaalnoci
biznesowej (BCM) BS 25999, cz 1 i 2. Przedstawiono histori jej powstania
i jej wsptwrcw. Wyjaniono zasady dziaania koa PDCA w ramach systemu
zarzdzania cigoci dziaania (BCMS). Opisano proces auditu wedug normy
BS 25999 cz 2.
BS 25999: Business Continuity Management does BSI pave the way for the
world of business again?
The article presents the British standard business continuity management
(BCM) BS 25999, Parts 1 and 2. It tells the story of its creation and its contributors, explains the principles of the PDCA circle in the business continuity management system (BCMS) and describes the process of the audit according to the
standard BS 25999 Part 2.

PhD Jerzy Zamojski, assistant professor, Jan Kochanowski University in Kielce.

10

Opublikowany przez ISO 15 listopad 2009 roku. Cztery lata po rozpoczciu prac w oparciu
o australijsko-nowozelandzk norm AS/NZS 4360:2004.
11
http://www.safetyrisk.com.au/2010/05/03/new-risk-management-standard-asnzs-iso-31000/

106