White paper: Kontrolni popis obvezne

dokumentacije za ISO 22301

WHITE PAPER
7. kolovoza, 2014.

Copyright ©2014 27001Academy. Sva prava pridržana.

1. Koji dokumenti i zapisi su potrebni?
Popis u nastav ku prikazuje minimalni skup dokumenata i zapisa koji su potrebni za ISO 22301:2012
(standard nav odi dokumente i zapise kao dokumentirane informacije):

Dokumenti i zapisi ISO 22301 klauzula

Određiv anje konteksta organizacije 4.1

Procedura za identifikaciju v ažećih pravnih i regulatornih zahtjeva 4.2.2

Popis prav nih, regulatornih i ostalih zahtjeva

Opseg BCMS-a (Sustav upravljanja kontinuitetom poslovanja) i 4.3

objašnjenje izuzetaka

Politika kontinuiteta poslovanja 5.3

Ciljev i kontinuiteta poslovanja 6.2

Nadležnosti osoblja 7 .2

Komunikacija sa zainteresiranim stranama 7 .4

Proces analize utjecaja na poslovanje i procjene rizika 8.2.1

Rezultati analize utjecaja na poslovanje 8.2.2

Rezultati procjene rizika 8.2.3

Procedure kontinuiteta poslovanja 8.4.1

Procedure odziva na incidente 8.4.2

Odluka hoće li rizici i utjecaji biti jav no priopćeni 8.4.2

Komunikacija sa zainteresiranim stranama, uključujući i nacionalni 8.4.3

ili regionalni sustav za izv ještavanje o rizicima

Zapisi v ažnih podataka o incidentima, poduzetim mjerama i 8.4.3

donesenim odlukama

Copyright ©2014 27001Academy. Sva prava pridržana. 2

 Procedure za odziv na prekide poslovanja 8.4.4

Procedure za oporavak i pov lačenje privremenih mjera 8.4.5

Rezultati mjera protiv negativnih trendova ili rezultata 9.1 .1

Podaci i rezultati nadzora i mjerenja 9.1 .1

Rezultati pregleda nakon incidenta 9.1 .2

Rezultati internog audita 9.2

Rezultati pregleda od strane menadžmenta 9.3

Priroda nesukladnosti i poduzete mjere 1 0.1

Rezultati korektivnih mjera 1 0.1

Ov o nipošto nije konačan popis dokumenata i zapisa koji se mogu koristiti tijekom implementacije ISO
22301 – standard omogućava dodavanje drugih dokumenata potrebnih za poboljšanje razina otpornosti.

2. Najčešće korišteni neobvezni dokumenti

Ostali dokumenti koje se v rlo često koriste uključuju sljedeće:

Dokumenti ISO 27001 klauzula

Plan implementacije za ostvarenje ciljeva kontinuiteta 6.2
poslovanja

Plan obučavanja i osv ješćivanja 7 .2, 7 .3

Procedura za kontrolu dokumentiranih podataka 7 .5

Ugov ori i sporazumi o razini usluge s dobavljačima i 8.1

partnerima

Strategija kontinuiteta poslovanja 8.3

Tretman rizika 8.3.3

Scenariji incidenata 8.5

Plan održavanja vježbi i testiranja 8.5

Izv ješće nakon održane v ježbe 8.5

Plan održavanja BCMS-a 9.1 .1

Metode nadzora, mjerenja, analize i procjene 9.1 .1

Copyright ©2014 27001Academy. Sva prava pridržana. 3

 Procedura za interni audit 9.2

Program za interni audit 9.2

Procedura za korektivne mjere 1 0.1

3. Kako strukturirati dokumente i zapise

Određivanje konteksta organizacije (4.1)
Kontekst se najčešće određuje kroz nekoliko dokumenata, npr. Procedura za identifikaciju zahtjeva, Politika
kontinuiteta poslovanja, Metodologija analize utjecaja na poslovanje, Metodologija procjene rizika itd.

Drugim riječima, obično nećete napraviti samo jedan dokument za određivanje konteksta; prije ćete ga
dokumentirati kroz nekoliko drugih odgovarajućih dokumenata.

Procedura za identifikaciju važećih pravnih i regulatornih zahtjeva & Popis pravnih,

regulatornih i ostalih zahtjeva (4.2.2)
Ov o je obično v rlo kratka procedura koja definira tko je odgovoran za sukladnost: tko treba identificirati sve
zainteresirane strane, tko treba slijediti sve zakone i propise, kao i druge zahtjeve zainteresiranih strana, tko
će biti odgovoran za ispunjavanje zahtjeva, kako će ti zahtjevi biti priopćeni itd.

Ov u proceduru, i rezultirajući Popis, treba definirati na samom početku projekta, budući da će osigurati
ulazne podatke za cijeli BSMS.

Pročitajte v iše: Kako identificirati zainteresirane strane prema ISO 27 001 i ISO 22301 .

Opseg BCMS-a i objašnjenje izuzetaka (4.3)

Ov aj dokument je također v eoma kratak, i treba ga napisati na početku projekta kontinuiteta poslovanja.
Dokument treba jasno definirati u kojim će dijelovima organizacije biti primijenjen sustav upravljanja
kontinuitetom poslovanja, na temelju identificiranih zahtjeva i aspiracija. Također treba objasniti razloge
zašto su neki dijelovi organizacije isključeni iz opsega.

V rlo često se ovaj dokument kombinira s Politikom kontinuiteta poslovanja.

Politika kontinuiteta poslovanja i ciljevi kontinuiteta poslovanja (5.3, 6.2)

Ov o je središnji dokument u kojem top menadžment treba nav esti što žele postići sa BCMS, i kako će to
kontrolirati. V rlo često, menadžment će odobriti samo ovaj krovni dokument, dok će ostali BCMS dokumenti
biti odobreni od strane menadžera na nižim razinama.

Ov aj dokument je v rlo kratak, a manje i srednje organizacije ga obično sjedine s opsegom, kao i BCMS
ciljev e; v eće organizacije obično imaju opseg i ciljeve kao zasebne dokumente.

Ciljev e BCMS-a ne treba miješati s Ciljanim v remenima oporavka (RTO) – BCMS ciljev i su postavljeni za
cijeli BCMS, a ne za aktiv nosti.

Pročitajte v iše: Sv rha Politike kontinuiteta poslovanja prema ISO 22 301.

Copyright ©2014 27001Academy. Sva prava pridržana. 4

Plan obučavanja i osvješćivanja; nadležnosti osoblja (7.2, 7.3)
Ov i planov i se obično prave na godišnjem niv ou, i uglavnom ih razv ijaju osobe odgovorne za kontinuitet
poslovanja zajedno s odjelom ljudskih resursa (ukoliko imate taj odjel). Odjel ljud skih resursa održava zapise
o nadležnostima – a ako nemate taj odjel, onaj tko obično održava evidenciju o uposlenicima bi trebalo da
radi i ov aj dio. Uglavnom, mapa sa sv im dokumentima će biti dovoljna.

Pročitajte v iše: Kako provesti obučavanje i osvješćivanje za ISO 27 001 i ISO 22301 .

Komunikacija sa zainteresiranim stranama (7.4)

U uporabi je nekoliko načina takv e komunikacije: email, pošta, telefon itd.

Dokumentiranje takve komunikacije je prilično jednostavno – samo trebate čuvati kopije email poruka,
pisama, dokumenata i sl. u nekom tipu arhiv a. Ukoliko se komunikacija obavlja putem telefona, potrebno je
naprav iti zabilješku a zatim ju arhiv irati prema unaprijed definiranim pravilima.

Procedura za kontrolu dokumentiranih informacija (7.5)

To je obično izdvojena procedura, 2 ili 3 stranice. Ako ste v eć implementirali neki drugi standard kao što su
ISO 9001, ISO 1 4001, ISO 22301 i slično, možete koristiti istu proceduru za sv e te standarde upravljanja.
Ponekad je najbolje napisati ovu proceduru kao prvi dokument u projektu.

Pročitajte v iše: Upravljanje dokumentima u ISO 27 001 & BS 25999 -2.

Ugovori i sporazumi o razini usluga (8.1)

Izuzetno je v ažno da v aši dobavljači i partneri reagiraju na očekivani način kada se dogodi incident - to je
razlog zašto bi bilo najbolje da se kreira predložak s minimalnim zahtjevima kontinuiteta poslovanja koji bi
trebalo umetnuti u sv aki ugovor koji s njima potpišete.

Proces za analizu utjecaja na poslovanje & rezultati (8.2.1, 8.2.2)

Prije nego što počnete raditi sv oju analizu utjecaja na poslovanje (BIA), potrebno je definirati pravila o tome
kako se to radi – to se obično radi s Metodologijom analize utjecaja na poslovanje. Takv a metodologija treba
biti napisana na 4-5 stranica - dov oljno kratka da bude lako čitljiva, ali ne prekratka jer bi mogla biti nejasna.

Prikupljanje podataka za takv u analizu se radi putem BIA upitnika, koji može biti u jednostavnom Ex cel
formatu, a možete koristiti i neki od alata za uprav ljanje kontinuitetom poslovanja.

Rezultati procesa analize utjecaja na poslovanje se dokumentiraju bilo u izv ješću analize utjecaja na
poslovanje (za v eće tvrtke), ili možete napraviti sažetak rezultata u strategiji kontinuiteta poslovanja (to je
kraća v erzija - v iše se primjenjuje za manje i srednje organizacije).

Pročitajte v iše: Kako implementirati analizu utjecaja na poslovanje (BIA) prema ISO 22301 .

Proces za procjenu rizika & rezultati (8.2.1, 8.2.3)

Kao i analizu utjecaja na poslovanje, i procjenu rizika treba definirati u metodologiji prije nego ju počnete
prov oditi. Budući da ISO 22301 zapravo ne određuje zahtjeve za procjenu rizika, možete koristiti
metodologiju za ISO 27 001 i ISO 27 005, jer ovi standardi daju v jerojatno najbolju metodologiju za procjenu
rizika kontinuiteta poslovanja. Rezultate procjene rizika treba dokumentirati u Izvješću o procjeni rizika.

Saznajte v iše: Može li se ISO 27 001 procjena rizika koristiti za ISO 22301?

Copyright ©2014 27001Academy. Sva prava pridržana. 5

Strategija kontinuiteta poslovanja (8.3)
Ov o je ključna poveznica između analize utjecaja na poslovanje, procjene rizika i planova – a njezina sv rha je
da osigura dostupnost svih resursa u slučaju prekida. To je presudno, jer bez sv ih resursa, Plan kontinuiteta
poslovanja neće biti ostvariv.

Strategija kontinuiteta poslovanja je obično krovni dokument, i sadrži strategije za sv aku aktivnost kao
priloge.

Pročitajte v iše: Može li v am strategija kontinuiteta poslovanja uštedjeti novac?

Tretman rizika & Implementacija plana za postizanje ciljeva kontinuiteta poslovanja (6.2,
8.3.3)
Tretman rizika je obično dokumentiran kroz Plan obrade rizika; m eđutim, praktičnije bi bilo uklopiti ga u
sv eobuhvatniji Plan implementacije, koji bi uključivao sv e aktivnosti potrebne za implementaciju cijelog
BCMS-a.

Pročitajte v iše: Plan obrade rizika i proces obrade rizika – Koja je razlika?

Procedura kontinuiteta poslovanja (8.4.1)

Općenito govoreći, procedura kontinuiteta poslovanja uključuje planove za odziv na incidente, planove za
oporavak, planove za oporavak od katastrofe, komunikacijske planove, itd. Možete organizirati sv e takve
dokumente unutar jednog Plana kontinuiteta poslovanja, koji će imati priloge za sv aki navedeni element.

Pogledajte detalje u ovom članku: Plan kontinuiteta poslovanja: Kako ga strukturirati prema ISO 22301 .

Procedure odziva na incidente & zapisi o incidentima (8.4.2, 8.4.3)

U ov im procedurama morate nav esti sv e velike rizike s kojima se suočava v aša organizacija – i kako inicijalno
reagirati ukoliko dođe do incidenata. Možete napisati ove procedure kao jedan dokument, ili kao odv ojene
procedure – po jedan dokument za sv aki potencijalni incident. V rlo često, napisane su u dokumentu koji se
zov e Plan odziva na incidente; takav dokument (ili dokumenti) može uključivati i procedure za komunikaciju,
planov e transporta itd. Drugim riječima, ove procedure mogu biti poprilično dugačke.

Plan odziv a na incidente bi trebao definirati metode bilježenja činjenica o incidentu – to može biti nešto
jednostavno poput rukom pisanih bilješki pokraj svakog koraka poduzetog tijekom provedbe plana.

Saznajte v iše: Procedura aktivacije za plan kontinuiteta poslovanja .

Procedure za komunikaciju (8.4.2, 8.4.3)

Ov e procedure moraju uključivati odluke o tome da li će rizici i utjecaji biti jav no priopćeni, te kako
komunicirati sa zainteresiranim stranama, posebno s nacionalnim ili regionalnim sustavom za izv ještavanje
o rizicima (npr. cunami). Za manje i srednje tv rtke, takve procedure će biti dio plana odziva na incidente, dok
će u v ećim tvrtkama biti izdv ojeni dokumenti.

Poanta je da se jasno definira tko je zadužen za komunikaciju s kim, a pogotovo tko je ovlašten za
komunikaciju s medijima i držav nim tijelima. Također, predlošci mogu biti razvijeni za komunikaciju s
medijima, što će v am pomoći da v rlo brzo izdate priopćenja za jav nost, ako je potrebno.

Copyright ©2014 27001Academy. Sva prava pridržana. 6

Procedure za odziv na prekid poslovanja (8.4.4)
To su obično procedure za oporavak (s naglaskom na oporavak infrastrukture za informacijsku i
komunikacijsku tehnologiju), i postupci oporavka aktivnosti (s naglaskom na oporavak pos lovanja
organizacije).

Zajedno s planom odziv a na incidente, ova procedura čini najveći dio procedure kontinuiteta poslovanja.

Pročitajte v iše: Disaster recovery vs. kontinuitet poslovanja.

Procedure za oporavak i povlačenje privremenih mjera (8.4.5)

U v ećini slučajeva, ove procedure neće biti vrlo detaljne, jer ne možete unaprijed znati koju v rstu štete će vaši
objekti pretrpjeti. Dakle, možete ukratko odrediti tko će biti odgovoran za procjenu štete i donošenje
odgovarajućih odluka - možete uklopiti takvu proceduru u krovni plan kontinuiteta poslovanja.

Scenariji incidenata (8.5)

To su kratki opisi (ili priče) o tome kako se određeni incident može razvijati i kako će to utjecati na
poslovanje v aše tvrtke.

Trebali bi biti razv ijeni na temelju rezultata procjene rizika (trebali bi odražavati v elike rizike), a mogu se
dodati u Plan v ježbanja i testiranja ili Strategiju kontinuiteta poslovanja.

Plan vježbanja i testiranja & Izvješće sa provedene vježbe (8.5)

V ježbe i testiranja su ključni za poboljšanje procedura kontinuiteta poslovanja – obično biste trebali provesti
v ježbe i testiranja najmanje jednom godišnje, a oni bi trebali predstavljati sve veći izazov sv ake naredne
godine.

Sv aki plan mora definirati ciljeve koje treba ispuniti, kao i scenarija; Iz vješće mora navesti do koje mjere su ti
ciljev i ostvareni.

Rezultati mjera protiv negativnih trendova ili rezultata (9.1.1)

Ov e mjere se iskazuju u dv a oblika: (1 ) Plan obrade rizika (gore naveden) i (2) prev entivne mjere.

Prev entivne mjere nisu obvezne u ISO 22301, ali postoje u ISO 27 001, ISO 9001 i drugim sustavima
uprav ljanja – dakle, ako v eć imate Proceduru za preventivne mjere zbog drugih sustava, možete ju koristiti i
za BCMS.

Plan održavanja BCMS-a (9.1.1)

Budući da BCMS dokumentacija može biti v rlo sveobuhvatna, a zastarijeva prilično brzo, to je dobra praksa
da se točno definira kada će svaki dokument biti pregledan. To može biti jednostavna tablica koja definira
kada je potrebno pregledati svaki dokument i tko će to učiniti.

Metode nadzora, mjerenja, analiza i procjena (9.1.1)

Najjednostavniji način za opisati kako treba provoditi mjerenje sustava je putem svake politike i procedure -
obično ovaj opis može biti napisan na kraju sv akog dokumenta, i definira v rste ključnih pokazatelja
uspješnosti koje je potrebno mjeriti za sv aki dokument.

Copyright ©2014 27001Academy. Sva prava pridržana. 7

Podaci i rezultati nadzora i mjerenja (9.1.1)
To su sv a izv ješća, ključni pokazatelji, neslužbeni rezultati poslani putem e -maila, odluke, itd. - sv e to treba
čuv ati određeno v rijeme.

Rezultati pregleda nakon incidenta (9.1.2)

Najbolja metoda bi bila da se kreira obrazac sa sv im potrebnim podacima koje treba uzeti u obzir nakon
incidenta. Kada se takav obrazac ispuni i donesu odgovarajući zaključci (bez obzira da li su planov i
kontinuiteta poslovanja provedeni do bro ili ne), potrebno ga je čuv ati određeno v rijeme.

Procedura za interni audit, plan internog audita i rezultati internog audita (9.2)
Procedura za interni audit je obično izdv ojena procedura koja može sadržati 2 do 3 stranice, i mora biti
napisana prije početka internog audita. Kao i Procedura za upravljanje dokumentima, jedna procedura za
interni audit se može koristiti za v iše sustava upravljanja.

Plan internog audita može biti jednostavan dokument na jednoj stranici koji opisuje kada će se održati audi ti
i tko će ih prov esti.

Rezultati internog audita su dokumentirani kroz izv ješće o internom auditu - takv o izv ješće treba pokriti sva
zapažanja i nesukladnosti.

Pročitajte v iše: Kako napraviti kontrolni popis za ISO 27 001 / ISO 22301 interni audit?

Rezultati pregleda od strane menadžmenta (9.3)

Ov i zapisi su obično u obliku zapisnika sa sastanka - moraju sadržavati sv e materijale koji su bili uključeni na
sastanku menadžmenta, kao i sv e donesene odluke. Zapisnik može biti u papirnatom ili digitalnom obliku.

Pročitajte v iše: Zašto je pregled od strane menadžmenta v ažan za ISO 27 001 i ISO 22301 ?

Nesukladnosti i korektivne mjere (10.1)

Obično, ov o pokriva Procedura za korektivne mjere - ako v eć imate ISO 27 001, ISO 9001 ili druge standarde
uprav ljanja, onda možete koristiti postojeću proceduru u te sv rhe.

Takv a procedura uglavnom ne sadrži v iše od 2 ili 3 stranice. Ov a procedura može biti napisana na kraju
projekta implementacije, iako je bolje napisati ju ranije, tako da se uposlenici mogu nav iknuti na nju.

Rezultati korektivnih mjera tradicionalno su uključeni u Obrasce korektivnih mjera (CARs). Međutim , puno
je bolje uklopiti takve zapise u neku aplikaciju koja se v eć koristi u organizaciji za Odjel za pomoć (Help
Desk) - jer korektivne mjere nisu ništa drugo nego popisi zadataka s jasno definiranim odgovornostima,
zadacima i rokovima.

Pročitajte v iše: Praktična uporaba korektivnih mjera za ISO 27 001 i ISO 22301.

Copyright ©2014 27001Academy. Sva prava pridržana. 8

4. Uzorak predložaka dokumentacije
Ov dje možete preuzeti besplatni uzorak Paketa dokumentacije za ISO 27 001 & ISO 22301 – u tom
besplatnom pregledu možete v idjeti pregled sadržaja svake od spomenutih politika i procedura, kao i
nekoliko sekcija iz sv akog dokumenta.

Copyright ©2014 27001Academy. Sva prava pridržana. 9

 EPPS usluge d.o.o.
za usluge elektroničkog poslovanja i
poslovnog savjetovanja
UI. V ladimira Nazora 59, 1 0000 Zagreb
Hrv atska, Europska unija
Email: support@iso27 001standard.com
Telefon: +385 1 48 34 1 20
Telefon (za klijente iz SAD): +1 (646) 7 97 27 44
Fax : +385 1 556 07 11

Copyright ©2014 27001Academy. Sva prava pridržana. 10

Copyright ©2014 27001Academy. Sva prava pridržana.