VELEUČILIŠTE U RIJECI

POSLOVNI ODJEL

DAVID KRNJAK

UPRAVLJANJE KONTINUITETOM POSLOVANJA

SEMINARSKI RAD

Rijeka, 2009.
 VELEUČILIŠTE U RIJECI
POSLOVNI ODJEL

UPRAVLJANJE KONTINUITETOM POSLOVANJA

SEMINARSKI RAD

Predmet: Upravljanje kvalitetom informacijskih sustava

Mentor: Miro Frančić
Studenti: David Krnjak, MB 2422023492/06

Rijeka, svibanj, 2009.

Sadržaj
SADRŽAJ........................................................................................................................................................ 2

1 UVOD.................................................................................................................................................... 3

2 UPRAVLJANJE KONTINUITETOM POSLOVANJA.......................................................................................4

2.1 EVOLUCIJA KA BCM -U...............................................................................................................................4

2.2 UTJECAJ Y2K NA BCM...............................................................................................................................5
2.3 POVEZANOST SA ANALIZOM RIZIKA................................................................................................................6

3 KVALITETA INFORMACIJSKIH SUSTAVA I SIGURNOST.............................................................................7

3.1 STANDARDNI I NORME................................................................................................................................7

3.1.1 Control objectives for information and related technology (CobiT)...................................................7
3.1.2 IT infrastructure library (ITIL)..............................................................................................................9
3.1.3 International Standards Organization (ISO).....................................................................................10
3.1.4 Disaster recovery institut (DRII)........................................................................................................11
3.1.5 British Standards Institution (BSI).....................................................................................................12

4 ZAKLJUČAK.......................................................................................................................................... 14

LITERATURA................................................................................................................................................ 15

2
1 Uvod
U današnje vrijeme svjedoci smo revolucionarnih tehnoloških postignuća. S tehnološko-znanstvenog
pogleda tehnologija koju danas koristimo sutra je već zastarjela. Sva ta postignuća promijenila su
spoznaju vrijednosti informacija kao primarni resurs daljnjeg razvoja, što organizacije, što društva pa
možemo reći čitavog svijeta. Komunikacijske tehnologije potpuno su izbrisale geografske granice.
Ljudi, usluge i informacije dostupne su pokretu, kod kuće, na poslu, u bilo kome trenu. Podjela koju
smo nekada poznavali kao bogati i siromašni danas je poprimila oblik na one koji posjeduju te na one
koji ne posjeduju informacije. U novije vrijeme pismenost zamjenjuje informatička pismenost,
kompanije se otvaraju u virtualnim okruženjima, a ulaganja u cjelokupnu informatičko-tehnološku
domenu nikad nisu bila veća. Sama činjenica da smo u relativno kratkome roku napredovali od
računala prve generacije do današnjih minijaturnih računala koja ulaze u petu generaciju
inteligentnih sistema, govori o naglom i kontinuiranome razvoju. U bliskoj budućnosti automatizacija
svakodnevnih ljudskih poslova koja je već odavno započela biti će završena. Industrijska
automatizacija odavno je na visokom nivou. Sve ovo pokazuje koliko nam je u ovome trenu, a koliko
će nam u budućnosti tehnologija biti važna za normalno odvijanje privatnog i poslovnog života.

U konkurentnom okruženju kao što je danas, zahtjevi svih strana za kvalitetnijih proizvodima i
uslugama konstantno raste. Paralelno s time potrebe za informacijama i pristupom tim
informacijama također rastu. Pristup cjelovitim, raspoložljivim, povjerljivim informacijama postaje od
presudne važnosti u poslovnome svijetu. S povećanjem ovisnosti o informacijskih tehnologijama
rastu rizici, prijetnje te ranjivosti kojima su izloženi izvori informacija.

Sustav upravljanja informacijskom sigurnošću pokušava prepoznati te rizike, te donijeti određene

planove za njihovo uklanjane. Jedan dio informacijske sigurnosti odnosi se i na kontinuirano
poslovanje, koje će ovaj rad pobliže opisati, kao osnova raspložljivosti informacija.

3
2 Upravljanje kontinuitetom poslovanja
Od najranijih dana naše povijesti vladari i vojskovođe shvaćali su važnost postojanja određenog
mehanizma zaštite dokumenata. Postoje tragovi prvih kamenih pečata već oko 2000 godina p.n.e. 1,
dok se prvi vladar koji je počeo koristiti određenu vrstu kriptografije spominje Julije Cezar. On je 50
godina p.n.e.2 oformio način kriptiranja ne bi li spriječio širenje informacija neželjenim smjerovima.

Sa dolaskom svjetskih ratova počinje i profesionalizacija informacijske sigurnosti, od kriptografije do

fizičkih zaštita te klasifikacije podataka. U novije vrijeme razvojem komunikacijskih tehnologija te
nakraju i interneta dolazi do sasvim drugih pogleda na sigurnost. Privreda koja je potpuno ovisna o
elektroničkim medijima, pojava globalnoga terorizma te galopirajući rast računalnog kriminala doveo
je do hitne potrebe za sistematizacijom informacijske sigurnosti.

Govoriti o kvalitetnom informacijskome sustavu, a ne osigurati ga od mogućih sigurnosnih rizika, u

današnjem je okruženju praktički nemoguće. U slučaju povrede povjerljivosti podataka, može doći do
propuštene dobiti, nedostupnost informacija vrla nas lako može koštati ugleda, dok nas prirodna
katastrofa bez plana kontinuiteta poslovanja može koštati bankrota.

Upravljanje kontinuitetom poslovanja predstavlja postupak predviđanja incidenata koji mogu utjecati
na kritične poslovne funkcije i procese te pripremanja odgovora na incidente kroz planirani i detaljno
istraženi način.

Možemo reći da je BCM3 proces predviđanja i pripremanja na moguće incidente, u svrhu što boljeg
odgovora na njih ako se oni i ostvare. Ako je plan, koji je nastao kao rezultat analize rizika dobro
pripremljen, testiran, prezentiran osoblju, te ako je ključno osoblje dobro obučeno za provedbu tog
plana, u slučaju katastrofe, organizacija će nastaviti raditi sa što manjim prekidom i sa što manjom
razlikom od standardnog poslovanja. Ovdje se mora naglasiti da BCM ne predstavlja samo postupak
izrade plana, već je on kontinuirani proces koji osigurava da su same mjere predstavljene i
implementirane.

2.1 Evolucija ka BCM -u

BCM je nastao kao rezultat procesa, započetog početkom 1970. godine u računalnim granama,
znanog kao „Planiranje oporavka od katastrofe“ (Disaster recovery planning – DRP). U to je vrijeme
shvaćeno da koncentracija podataka i sistema predstavlja rizik sam po sebi. Računalni su manageri
tada predstavili danas dobro znane procedure kao izrada sigurnosne kopije (back-up) i povrat
podataka iz sigurnosnih kopija (recovery), ograničenje pristupa, fizička sigurnost. Također tu se
pojavljuju redundantna napajanja te arhive promjena. Tih se godina, u slučaju velikih incidenata,
vrijeme za ponovnu uspostavu poslovanja mjerilo u danima. No unatoč tome, banke su od najranijih
dana bile u nezavidnome položaju. Upravo njihove težnje i nemala ulaganja u instalacije i testiranje
računalnih sistema na alternativnim lokacijama, te premještanje sistema za izradu sigurnosnih kopija
na veće udaljenosti od samog sistema koji on štiti je doveo do velikog porasta sličnih komercijalnih
usluga u 1980. –ima.

1
http://www.thebakken.org/artifacts/cylinder-seal.htm (15.04.2009)
2
http://www.secretcodebreaker.com/history2.html (15.04.2009)
3
Business Continuity Management

4
Bilo kako bilo, i dalje se uglavnom sve svodilo na IT. Planovi oporavka od katastrofe dokumentirali su
akcije potrebne da bi se sačuvali i povratili računalni sustavi, podatci i sam informacijski sustav u
globalu. Ono što se tada nije ticalo ovakvih planova je recimo kamo smjestiti ljude koji će nastaviti
raditi sa tim sustavom. Tek tokom 1990. Te još više 2000. DRP se polako prebacio u BCP 4 te se tako i
udaljio od striktno IT voda. Danas BCP se pak promijenio u BCM te tako stavlja naglasak na
upravljanje, za razliku od planiranja, a ujedno i označava kontinuirani pristup ovome problemu.

Nakon svima poznatoga 11. Rujna, rušenja WTC tornjeva u New Yorku, BCM poprima novu razinu
ukupnog utjecaja na planiranje poslovnog procesa u mnogim kompanijama diljem svijeta. Taj je
primjer pokazao kao se u času firme prestaju boriti sa dnevnim poslovima i počinju boriti za čisto
preživljavanje. BCM se ubrzo počeo adresirati u samim zahtjevima poslovanja pri početku projekta za
razliku od ranije kada se njemu pristupalo tek nakon završetka, što je naravno uvelike povećavalo
troškove.

2.2 Utjecaj Y2K na BCM

Cijela ta zbrka, strka, hitno izdavanje zakrpa, planovi za nepredvidivi slučaj koji su okruživali Y2K 5 je
imao ogromne implikacije na BCM. Na samome početku Y2K bio je strah od nepredvidivog,
nepoznatog događaja koji se ticao prelaska datuma na 2000. Godinu. To je nagnalo mnoge firme da
se po prvi puta zapitaju i razmisle nad svojim BCM. Ovaj je problem jedan od prvih koji je masovno
podigao osviještenost o mogućim prekidima poslovanja, pomogao je u boljem shvaćanju kritičnih
procesa i njihovih ranjivosti te je poboljšao komunikaciju privatnog i poslovnog sektora na hitnim i
gorućim problemima.

Posao koji je tada napravljen ne bi li se osiguralo točno sistemsko adresiranje datuma dovelo je do
osjetno bolje kontrole sistema u globalu, dokumentiranost sistema se poboljšala dok su neke firme
po prvi put organizirale inventure podataka i podsistema. Većina organizacija do tada nije nikada
shvaćala koliko su zapravo njihovi procesi i oprema ovisne o računalnome čipu. Uz samu brigu o
vlastitim organizacijama, Y2K je pokazao važnost kriznog komuniciranja kod BCM –a. Nesigurnost
sisteme zbog već spomenutog buga bio je globalan, pa je problem postojao i u organizacijama o
kojima su ovisile druge. Tako je zabrinutost zbog mogućih gubitka struje, plina, vode, transportnih i
komunikacijskih usluga nagnala je organizacije na masivnu korespondenciju te razmjenu informacija
između njih isključivo vezanih uz taj zajednički problem.

Nerijetko, nakon što je Y2K prošao, ljudima koji su radili na njegovom rješavanju ponuđeno je da
nastave raditi na potpunome korporativnome planu kontinuiteta poslovanja.

4
Business Continuity Planning
5
Year 2000 problem

5
2.3 Povezanost sa analizom rizika
BCM je vrlo usko vezan uz analizu rizika. U mnogim organizacijama BCM se smatra dijelom ukopnog
upravljanja rizikom. Ovo je osobito slučaj u financijskim institucijama gdje je analiza rizika odavno
poznata, postavljena i organizirana te odgovara i izvještava sam vrh rukovodstva.

Upravljanje rizikom je proces identifikacije rizika, evaluacije njihovih mogućih posljedica te

određivanje najefikasnijih rješenja kontrole tih rizika ili odgovora na njih. Cilj je smanjiti ponavljanje
rizičnih događaja kada god je to moguće, a također i minimizirati težinu njihovih posljedica ako se
ipak dogode. Upravljanje rizikom danas je gotovo dnevna rutina bilo kojem manageru, kako na
strateškoj tako i na projektnoj ili operacijskoj razini.

Identifikacija rizika

Pracenje rizika Analiza rizika

Kontrola rizika

Slika 1 - Ciklus upravljanja rizikom

6
3 Kvaliteta informacijskih sustava i sigurnost
Polje BCM tek se prije kratko vrijeme počelo detaljno razrađivati unutar određenih preporuka,
smjernica ili standarda. Do tada se uglavnom spominjao kao manji dio nekih provjera, u pravilu ne
toliko detaljno opisan. Jedan od prvih važniji naglasaka na BCM dan je u standardima za informacijsku
sigurnost pošto se oni direktno tiču dostupnosti informacija i podataka. Sa dolaskom danas vrlo
poznatih BS 7799 te kasnije BS/ISO 17799 i ISO 27001 BCM je postao i nužan za dobivanje tih
prestižnih i na tržištu traženih certifikata.

3.1 Standardni i norme

Razlikujemo standarde na svjetskim razinama (ISO, IEC), regionalne (CEN), nacionalne i slično. U polju
upravljanja informacijskih tehnologijama, a posredno dakle i informacijskom sigurnošću te zaštitom
podataka postoji nekoliko međunarodno priznatih standarda i okvira za upravljanje i procjenu. Svi se
oni u većoj ili manjoj mjeri moraju uhvatiti u koštac sa problemom kontinuiranog poslovanja, koji se
uglavnom spominje u kontekstu integralnog sustava za upravljanje informacijskom sigurnosti.

3.1.1 Control objectives for information and related technology (CobiT)

Nastao je 1992. Godine od strane Information Systems Audit and Control Association (ISACA) i IT
Governance Institute (ITGI). Predstavlja preporuke sa stajališta revizije i kontrole IS –a. Možemo ga
gledati kao skup mjera, procesa i pravila koja nam pomažu u maksimizaciji koristi informacijskog
sustava. Kao što možemo vidjeti COBIT se dijelom dotiče sigurnosti i kontinuiteta u manjem broju
procesa unutar DS grupe.

COBIT definira 34 IT procesa, podijeljena unutar 4 grupe.

 Planiranje i organizacija (PO)

 Akvizicija i implementacija (AI)
 Isporuka i podrška (DS)
 Isporuka i podrška (DS)

1. Planiranje i organizacija (PO) – Opisuje tehnologije i načine korištenja samih

P01 Strateško planiranje IS

P02 Definiranje informacijske arhitekture
P03 Određivanje tehnoloških smjernica
P04 Definiranje IT procesa, organizacije i odnosa
P05 Rukovođenje IT investicijama
P06 Komuniciranje cilja i smjera rukovodstva
P07 Upravljanje ljudskim resursima
P08 Upravljanje kvalitetom
P09 Procjena i upravljanje IT rizicima
P010 Upravljanje projektima

7
 2. Akvizicija i implementacija (AI)– Definira zahtjeva za informacijskim tehnologijama, nabavu,
primjenu te samo održavanje.

AI1 Identifikacija rješenja

AI2 Nabava i održavanje aplikacijskog softvera
AI3 Nabava i održavanje tehnološke infrastrukture
AI4 Korištenje i funkcionalnost rada
AI5 Nabava IT resursa
AI6 Upravljanje promjenama
AI7 Instalacija rješenja i promjena
3. Isporuka i podrška (DS) – Opisuje primjenu i upravljanje aplikativnim rješenjima, obuku ali se
djelom bavi i sigurnošću te kontinuitetom usluga.

DS1 Definiranje i rukovođenje nivoima usluga

DS2 Upravljanje vanjskim uslugama
DS3 Rukovođenje kapacitetom i performansama sustava
DS4 Osiguravanje kontinuiteta usluga
DS5 Osiguravanje sigurnosti sistema
DS6 Identifikacija i određivanje troškova
DS7 Edukacija i trening korisnika
DS8 Podrška korisnicima
DS9 Upravljanje konfiguracijom
DS10 Upravljanje problemima i incidentima
DS11 Upravljanje podacima
DS12 Upravljanje pomoćnom opremom
DS13 Upravljanje operativom

4. Nadzor i procjena (ME) – Opisuje postojeći sustav te njegovu usklađenost sa strategijom i

ciljevima poduzeća. Također opisuje „nadzor onoga tko nadzire“ odnosno evaluaciju
efikasnosti kontrola koje su na snazi.

ME1 Nadzor i procjena IT performansi

ME2 Nadzor i procjena internih kontrola
ME3 Osiguravanje sukladnosti sa zakonskim propisima
ME4 Korporativno upravljanjem IT-om

8
3.1.2 IT infrastructure library (ITIL)
Predstavlja jedan od najraširenijih pristupa upravljanju IT uslugama. To je zapravo set tehnika za
rukovođenje IT infrastrukturom dobivenih i prihvaćenih u poslovnom i javnom sektoru. On uključuje
incidenti, promjene, kapacitet, određivanje i upravljanje razinama usluge - SLA, upravljanje
sigurnošću, korisnička podrška, itd.

ITIL v3 najnovije je izdanje izdano 2007. Za razliku od v2 izdanu 2000 sastoji se od 5 kategorija:

 Service Strategy
 Service Design
 Service Transition
 Service Operation
 Continual Service Improvement

Slika 2 - Grafički prikaz ITIL procesa upravljanja 6

Informacijska sigurnost jedan je do procesa koje definira ITIL v3, za razliku od v2 u kojem je ISM 7 bio
manje važan proces ovaj je ipak osjetno unaprijeđen. Ono što mu se često zamjera je to što su ITIL
kontrole u najvećem broju orijentirane ka fizičkoj sigurnosti podataka ne toliko logičkoj i aplikacijskoj.

6
Izvor: www.algebra.hr
7
Information Security Management

9
Kao prednosti ITIL –a često se navode vrlo zrele, dobro definirane detaljne upute koje se tiču same
primjene IT –a te kvalitete isporučene usluge. ITIL je sam po sebi kompatibilan sa drugim standardima
te se može koristiti u sprezi sa njima.

3.1.3 International Standards Organization (ISO)

ISO predstavlja skup korisnički orijentiranih standarda koji pomažu razvoju i upravljanju sustava. Oni
omogućavaju vrlo viski stupanj kontrole i dokumentiranosti procesa koji se odvijaju unutar
organizacija. Postoji veliki broj samih ISO standarda koji se tiču različitih strukovnih grana, onaj
najvažniji za samu informacijsku sigurnost sigurno je ISO 27001.

Objavljen je u listopadu 2005. godine kao zamjena za dotad dominantni standard informacijske
sigurnosti BS7799-2. Ciljevi ovog standarda su ponuditi model za uspostavljanje, implementaciju,
operacionalizaciju, nadzor (monitoring), reviziju, održavanje i unapređenje sustava upravljanja
informacijskom sigurnošću. Kao i većina današnjih standarda kvalitete strateškog upravljanja
informacijskim tehnologijama, opseg ovoga standarda prilično je širok pa tako obuhvaća veći broj
detaljno razrađenih skupova kontrolnih ciljeva i smjernica za upravljanje informacijskom sigurnošću.
Standard ISO 27001 može se shvatiti i kao iscrpan popis tehnika kojima se u praksi nastoji uspostaviti
željena razina informacijske sigurnosti u poduzećima i ostalim organizacijama te upravljanja
poslovnim rizicima i sukladnosti s pozitivnom nacionalnom i međunarodnom pravnom regulativom.

ISO 27001 se sastoji od 133 kontrole podijeljene u 11 podskupina:

 Sigurnosna informacijska politika

 Organizacija informacijske sigurnosti
 Upravljanje informacijskom imovinom
 Sigurnost zaposlenika
 Fizička sigurnost i sigurnost okruženja
 Komunikacije i operativno upravljanje
 Kontrole pristupa informacijskim resursima
 Pribavljanje, razvoj i održavanje informacijskih sustava
 Upravljanje incidentima
 Upravljanje kontinuitetom poslovanja
 Sukladnost regulatornim zahtjevima

Također, kao i većina standarda, ISO 27001 ne propisuje konkretne korake i procedure niti precizno
definira tehniku implementiranja. Ono što nam on nudi su unaprijed definirane kontrole koje trebaju
biti zadovoljene, no ne i način kako ih zadovoljiti.

Vidi se da je cijelo jedno poglavlje dodijeljeno upravo BCM –u, no unatoč tome samo se četiri
kontrole nalaze unutar tog poglavlja.

10
3.1.4 Disaster recovery institut (DRII)
Donedavno, najpopularnija metodologija za upravljanje kontinuitetom poslovanja bila je upravo DRII
metodologija. Ovaj je institut propisao deset smjernica koje je potrebno zadovoljiti, te tak osigurati
naše poslovanje od mogućih neželjenih posljedica.

1. Inicijalizacija i upravljanje projektom

2. Procjena rizika
3. Analiza utjecaja na poslovanje
4. Razvoj strategija oporavka poslovanja
5. Plan odziva u slučaju nužde
6. Razvoj planova kontinuiteta poslovanja
7. Osviještenost i obuka djelatnika
8. Održavanje i vježbanje planova kontinuiteta
9. Krizno komuniciranje
10. Koordinacija sa državnim organima

Institut je predvidio da se prva četiri koraka izvode sekvencijalno, dok se izradi planova može
simultano pristupiti. Nakon planova nastupa obuka, osvješćivanje, testiranje, vježbanje i ostali koraci.
Ovaj projekt kontinuiranoga poslovanja treba promatrati kao kontinuirani proces, koji nikada nije
završen. Sami planovi se moraju dorađivati zavisno o promjenama u organizaciji, obuka se mora
kontinuirano provoditi, kadrovi uključeni u planove se mijenjaju, novi rizici na poslovanje se mogu
pojaviti itd.

Procjena rizika
Inicijalizacija i
upravljanje projektom Analiza utjecaja na
poslovanje

Krizno komuniciranje Razvoj i održavanje planova

Plan odziva u slučaju

Vježbanje planova
nužde

Slika 3 - Kontinuirani proces po DRII –u

11
3.1.5 British Standards Institution (BSI)

BSI grupa osnovana je 1901 8 u Londonu kao povjerenstvo za tehničke standarde, 17 godina kasnije
proširuje se u standardizacijsko društvo te joj se nakon dodjele povelje mijenja i ime u današnje. BSI
danas predstavlja ključni posao BSI grupe djeluje kao nacionalno standardizacijsko tijelo. Ono dakle
objavljuje i priprema britanske standarde te predstavlja Veliku Britaniju u internacionalnim i
europskim standardizacijskim tijelima.

BSI 2003. godine izdaje PAS 569 koji postavlja terminologiju, principe i sam proces kontinuiteta
poslovanja. Točnije PAS 56 je opisao procese koji sudjeluju te sam ishod postavljanja procesa
upravljanja kontinuiranim poslovanjem. Također preporučio je nekoliko praksa vezanih uz sam
proces. Ovaj je standard opisao opći okvir za upravljanje rizicima te na odgovaranje na njih. Također
je opisao kriterije i tehnike za provođenje evaluacije. Nastao je u suradnji sa mnogim veliki
organizacijama / firmi, pa su tako poštanska služba, EDS 10, Sainsbury's bili temelj za stvaranje ovoga
standarda.

U studenome 2006. Godine BSI izdanje službeni standard kao nasljednik PAS 56, BS 25999-1 – „Sustav
za upravljanje kontinuitetom poslovanja“. Ovaj je standard nastao također u suradnji velikih
organizacija / firmi, a tokom izrade dodatne firme su bile pozvane za konzultante.

Godinu dana kasnije, u studenome 2007. izdaje se drugi dio standarda, BS 25999-2, koji je isto tako
nastao u suradnji grupacije koja sačinjava BCM povjerenstvo unutar samoga BSI -a.

BS 25999 danas dakle sačinjavaju dvije publikacije, BS 25999-1 i BS 25999-2. Prvi predstavlja kodeks
prakse dok drugi specificira BCM, definira zahtjeve za implementaciju, provođenje te poboljšanje
dokumentiranoga BCMS 11–a. Možemo zaključiti da je prvi dio bio smjernica koja je preporučala
određene koraka, dok je drugi dio internacionalna specifikacija koja nalaže određene korake.

8
Robert C McWilliam, „BSI: The first hundred years“
9
Publicly Available Specifications
10
Electronic Data Systems
11
Business Continuity Management System

12
Standard se temelji na Plan-Do-Check-Act (PDCA) odnosno Planiraj-Učini-Provjeri-Primijeni (PUPP)
modelu te s time osigurava konzistenciju sa ostalim standardima vezanih uz sisteme upravljanja kao
npr. BS EN ISO 9001:2000 (Upravljanje kvalitetom), BS EN ISO 14001:1996 (Upravljanje okolinom),
BSI/IEC 27001:2005:2005 (Upravljanje informacijskom sigurnošću), BS ISO/IEC 20000-2:2005
(Upravljanje IT uslugama).

PLAN

ACT
DO

CHECK

Slika 4 - PDCA ciklus

Imajući na umu PDCA metodu standard se dijeli na šest poglavlja:

1. Domena standarda
2. Termini i definicije
3. Planiranje BCM sistema (PLAN)
4. Implementacija i korištenje (DO)
5. Praćenje i revizija (CHECK)
6. Održavanje i poboljšanje (ACT)

13
4 Zaključak
Svima postaje jasno da se informacijskome sustav budućnosti ne može potpuno vjerovati ako ga
jedan interni ili eksterni rizik može u potpunosti onesposobiti. Nedopustivo je da organizacija dođe
do ruba bankrota zato što je samo jedan njen krucijalan bio izložen velikoj katastrofi. U prošlosti,
nekoliko se puta već cijeli svijet upoznao sa ovakvim scenarijem. Uzmemo li Y2K kao početak
masovnog uvođenja i uspostavljanja BCM, a 11. Rujan kao veliki podsjetnik na važnost ovakvih
planova, vidimo da se će u novije doba sve više voditi računa o kontinuitetu i kontigenciji. Prije dvije
godine pojavljuje se prvi službeni standard koji definira i specificira potrebne radnje ne bi li se
organizacija što je moguće bolje osigurala i pripremila na neplanirane incidente. Kroz narednih par
godina za pretpostaviti je da će ISO i sam prihvatiti ovaj ili neki sličan standard, a organizacije će se
moći i certificirati po njima. Kao što je već napomenuto, iako se organizacija interno pripremi i
osigura najboljim mogućim mjerama, njen partner može sa svojim padom povući i sve ostale direktno
ovisne o njemu. Tu treba tražiti pravi smisao standarda i potrebe za certifikatom za uspješno
uvedenim BCM procesom.

14
Literatura
1. Michael Gallagher, „Business Continuity Management: How to protect your company from
danger“, Financial Times Management, 2003
2. Mark Stamp, „Information security principles and practice“, Wiley-Interscience, 2006.
3. Thomas Norman, „Integrated security systems design: Concepts, Specifications and
Implementation“, Elsevier, 2007.
4. Saša Aksentijević, završni rad "Integralna zaštitna funkcija unutar poduzeća i sustav
upravljanja informacijskom sigurnošću – Saipem Mediteran Usluge d.o.o“ , Sveučilište u
Rijeci, 2008

Ostali izvori:

1. Borea RiskManage, http://www.borea.hr/ (24.04.2009)

2. Portal za infomacijsku sigurnost, http://www.sigurnost.info/ (20.04.2009)
3. BS 25999-2, BSI, 2007
4. ISO 27001 standard, ISO, 2005

15