Hrvatsko
zakonodavstvo obvezuje pravne osobe na pravovremeno planiranje zaštite od
katastrofe te u okviru Kaznenih odredbi Zakona o zaštiti i spašavanju (NN
174/04) predviđa kaznu od 10.000 do 40.000 Kn u slučaju neorganiziranja zaštite
i spašavanja i neprovođenja odgovarajućih priprema. U okviru Zakona o zaštiti
na radu (NN 59/96, 94/96, 114/03, 100/04, 86/08, 116/08, 75/09), predviđa se da
je dužnost poslodavca utvrditi plan evakuacije i spašavanja za slučaj
izvanrednog događaja, s njime upoznati sve radnike, te provoditi praktične
vježbe najmanje svake dvije godine. U slučaju izostanka provođenja ovih mjera
predviđena je kazna u iznosu od 10.000 do 20.000 Kn.
No,
osim ovih odredbi koje predstavljaju zakonski minimum, poslodavcima je
ostavljeno na volju da sukladno svojim mogućnostima i dostignutoj
organizacijskoj razini razrade vlastite planove za oporavak od neželjenih
događaja sukladno metodologiji upravljanja poslovnim rizicima koji će omogućiti
minimiziranje utjecaja takvih događaja i omogućiti ponovno uspostavljanje
poslovne aktivnosti. Takve aktivnosti najčešće su sublimirane u obliku plana
kontinuiteta poslovanja. U poslovnoj praksi razina sigurnosti od neželjenih
događaja usko je korelirana s investicijskom sposobnosti i financijskom moći
poduzeća, sklonosti (“apetitom“) prema riziku te zakonskim i regulatornim
zahtjevima, ali isto tako i sviješću rukovodstva o okolini u kojoj posluje
poduzeće i mogućim opasnostima.
[1]
Planiranje
kontinuiteta poslovanja je interdisciplinarna aktivnost a obuhvaća metodologiju
koja se koristi kako bi se stvorio praktičan plan koji opisuje način na koji će
se organizacija oporaviti i vratiti u prijašnje stanje nakon djelomičnog ili
potpunog prekida kritičnih poslovnih funkcija unutar unaprijed određenog
vremena nakon nastupa prekida ili katastrofe. Plan koji je rezultat te
aktivnosti naziva se planom kontinuiteta poslovanja.
On
opisuje način na koji se organizacija priprema za buduće incidente koji bi
mogli ugroziti osnovnu poslovnu djelatnost i dugoročnu stabilnost poduzeća.
Takvi incidenti uključuju lokalne incidente poput požara, regionalne incidente
poput zemljotresa ili nacionalne incidente poput pandemija. U prosincu 2006.
godine Britanski institut za standardizaciju izdao je novi standard, BS 25999
koji se naslanja na standarde BS 7799 odnosno ISO/IEC 27001. Taj novi standard
proteže se na organizacije svih veličina, vrsta i svrha postojanja, bez obzira
na to da li su vladine ili privatne, profitne ili neprofitne, velike ili male,
te neovisno o vrsti industrijskog sektora.
Dovršeni
plan kontinuiteta poslovanja podrazumijeva izdavanje formalnog pisanog
priručnika koji mora biti raspoloživ za korištenje prije, tijekom i nakon što
je došlo do prekida ili katastrofe. Njegova je osnovna svrha umanjiti negativne
posljedice po zainteresirane strane
, kako po pitanju vrste katastrofe, tako i po pitanju
duljine trajanja. Pri tome treba imati na umu da se nazivom “katastrofa”
obuhvaćaju svi oblici ekonomskih, građanskih, prirodnih, tehničkih, sekundarnih
i posljedičnih incidenata koji imaju negativan utjecaj po poslovanje.
Osnovni
dio izrade plana kontinuiteta poslovanja je određivanje ciljnog vremena
oporavka (engl. RTO - Recovery Time Objective). RTO u biti predstavlja vrijeme,
ali i servisne nivoe (engl. Service Level) unutar kojih se poslovni procesi
moraju ponovno uspostaviti kako bi se izbjegle nepoželjne posljedice povezane s
kontinuitetom prekida. RTO se određuje u fazi analize utjecaja od strane
vlasnika procesa, u suradnji s onim tko izrađuje plan kontinuiteta poslovanja te
se prezentira vrhu rukovodstva organizacije radi usvajanja. Pritom treba
napomenuti da je RTO *cilj* a ne točno određena vrijednost. Stoga će u praksi
vrlo često biti odabrana strategija koja neće uspjeti dostići RTO, no on
svejedno ostaje cilj sljedeće revizije strategije. Stvarna vrijednost u ovom
kontekstu naziva se RTA (engl. RTA - Recovery Time Actual), dok se razlika do
RTO naziva "gap". Do stvarne RTA vrijednosti se dolazi simulacijama
ili vježbama, odnosno empirijski, u slučaju nastupa stvarnog prekida
poslovanja.
Metodologija
planiranja kontinuiteta poslovanja mora biti prilagođena svim organizacijama
neovisno
o veličini i kompleksnosti. Iako ona ima korijene u industrijskom sektoru,
svaka
organizacija
može stvoriti svoj plan kontinuiteta poslovanja. Statistike govore da poduzeća
ne ulažu dovoljno vremena i resursa u pripremu plana kontinuiteta poslovanja,
pa tako recimo požari zatvaraju 44% poduzeća u kojima se dogode. Priručnik za
kontinuitet poslovanja manje organizacije može biti jednostavan tiskani
priručnik koji mora biti spremljen na sigurnom mjestu, udaljenom od primarne
radne lokacije i koji sadrži:
- imena, adrese i telefonske brojeve kriznog rukovodstva
- lista zaposlenih u generalnim/općim službama
- lista najvažnijih klijenata i dobavljača
- točna lokacija udaljenih sigurnosnih kopija podataka
- kopije ugovora o osiguranju
- kopije drugih kritičnih materijala nužnih za
preživljavanje organizacije
Kompleksniji
priručnik može sadržavati i sljedeće elemente:
- opis sekundarne (rezervne) radne pozicije, u slučaju
uništenja ili onesposobljavanja primarne lokacije
- tehnički zahtjevi
- zakonski zahtjevi za izvješćivanjem i akcijama po nastupu
katastrofalnog događaja
-
mjere za početak oporavka radne aktivnosti poduzeća
- mjere za ponovno uspostavljanje integriteta fizičkih
zapisa
- načini ponovnog uspostavljanja lanca nabave
- načini izgradnje novih proizvodnih centara
Zbog
konstantne promjene poslovnih zahtjeva, tehnike planiranja poslovnog
kontinuiteta koje su bile adekvatne prije više godina, u današnje doba postaju
zastarjele. Iako temeljne postavke ostaju, moderni planovi kontinuiteta
poslovanja moraju biti fleksibilni, moraju inzistirati na prevenciji a ne
isključivo rješavanju već nastalih problema, moraju promovirati holistički
pristup, što znači da se kontinuitet poslovanja ne može više promatrati
odvojeno od ostalih informatičkih disciplina, dok planiranje mora biti
fleksibilno na način da daje opće okvire za postizanje stabilnosti poslovanja, a
ne orijentira se samo na identificirane prijetnje. Naposlijetku, manje
organizacije imaju na raspolaganju značajno veći odabir mogućih rješenja za
osiguravanje kontinuiteta poslovanja dok veće organizacije imaju veću
financijsku i organizacijsku moć koji stoje na raspolaganju u svrhu izrade i
provođenje plana kontinuiteta poslovanja kao i mogućnost
outsourcing-a tih aktivnosti.
[1]
Nastavak članka je baziran na članku
objavljenom na portalu sigurnost.info 2008. godine