Politika kontinuity podnikání a obnovy po havárii

Politika kontinuity podnikání a obnovy po havárii stanovuje povinná opatření, procesy a odpovědnosti pro udržení nebo obnovu kritických obchodních provozních činností a ICT služeb organizace během a po narušujících incidentech. Poskytuje strukturovaný rámec pro ochranu života, zajištění provozní stability, plnění právních a zákaznických závazků a ochranu dobré pověsti organizace tím, že ukotvuje odolnost prostřednictvím proaktivního plánování a validovaných schopností obnovy. Tato politika se vztahuje na všechny organizační jednotky, informační systémy organizace, obchodní procesy, personál a služby třetích stran, které jsou považovány za kritické nebo nezbytné na základě výsledků posouzení dopadů na obchodní činnost (BIA). Rozsah je komplexní a pokrývá přírodní i člověkem způsobená narušení, jako jsou kybernetické útoky, selhání infrastruktury, výpadky datových center, pandemie a přerušení služeb dodavatelů. Stanovuje základní očekávání pro plánování, průběžné testování a neustálé zlepšování plánů kontinuity podnikání (BCP) a plánů obnovy po havárii (DRP) a zajišťuje splnění povinností vůči regulačním, smluvním a odvětvovým standardům. Mezi klíčové cíle politiky patří zajištění kontinuity provozu prostřednictvím předem definovaných a otestovaných postupů, minimalizace potenciálních provozních, reputačních a právních dopadů a zajištění včasné obnovy v rámci definovaných cílů doby a bodu obnovy (RTO a RPO). Politika přiřazuje jasnou odpovědnost napříč podnikem: výkonné vedení, vedoucí kontinuity podnikání a IT obnovy po havárii, vedoucí oddělení, ředitel informační bezpečnosti (CISO) a tým reakce na krize mají definované role pro strategii, plánování, realizaci a komunikaci. Politika vyžaduje zavedení jednotného systému řízení kontinuity podnikání (BCMS) v souladu s požadavky ISO 22301 a systému řízení bezpečnosti informací (ISMS) dle ISO/IEC 27001. Požaduje každoroční BIA pro všechny kritické jednotky, tvorbu a schválení BCP/DRP a udržování přesné dokumentace, eskalačních toků a kontaktních seznamů. Plány musí zahrnovat manuální náhradní postupy, aktivaci alternativního pracoviště, krizovou komunikaci a strategie pro mimořádné situace v dodavatelském řetězci. Pravidelné testování, včetně každoročních posouzení odolnosti, stolních cvičení a simulovaných přepnutí na záložní prostředí, je povinné pro přezkum účinnosti, závislostí a stavu připravenosti. Politika se rovněž zabývá integrací plánování kontinuity s bezpečností a reakcí na incidenty a zajišťuje, že během obnovy nedojde ke kompromitaci opatření bezpečnosti informací. Jsou definovány správa výjimek, hodnocení rizik a eskalační protokoly, zatímco průběžné monitorování souladu a disciplinární opatření při nesouladu zajišťují vynucování politiky. Tato politika je přísně sladěna s předními globálními standardy a regulačními rámci a podporuje náležitou péči v oblasti provozní odolnosti a auditovatelnosti pro právní nebo smluvní povinnosti.