Polityka ciągłości działania i odtwarzania po awarii

Polityka ciągłości działania i odtwarzania po awarii ustanawia obowiązkowe środki kontrolne, procesy i odpowiedzialności w zakresie utrzymania lub odtworzenia krytycznych operacji biznesowych organizacji oraz usług ICT w trakcie i po incydentach zakłócających. Zapewnia ustrukturyzowane ramy ochrony życia, zapewnienia stabilności operacyjnej, dotrzymania zobowiązań prawnych i wobec klientów oraz ochrony reputacji organizacji poprzez osadzenie odporności dzięki proaktywnemu planowaniu i zwalidowanym zdolnościom odtwarzania. Niniejsza polityka ma zastosowanie do wszystkich jednostek organizacyjnych, systemów informatycznych organizacji, procesów biznesowych, personelu oraz usług stron trzecich uznanych za krytyczne lub niezbędne na podstawie wyników analizy wpływu na działalność (BIA). Zakres jest kompleksowy i obejmuje zakłócenia naturalne i spowodowane przez człowieka, takie jak cyberataki, awarie infrastruktury, przerwy w działaniu centrów danych, pandemie oraz przerwy w usługach dostawców. Określa podstawowe oczekiwania dotyczące planowania, bieżącego testowania i ciągłego doskonalenia planów ciągłości działania (BCP) oraz planów odtwarzania po awarii (DRP), zapewniając spełnienie obowiązków wynikających z regulacji, umów i norm branżowych. Kluczowe cele polityki obejmują zagwarantowanie ciągłości działania poprzez zdefiniowane i przetestowane procedury, minimalizację potencjalnych skutków operacyjnych, reputacyjnych i prawnych oraz zapewnienie terminowego odtworzenia w ramach zdefiniowanych celów czasu i punktu odtworzenia (RTO i RPO). Polityka przypisuje jasną rozliczalność w całym przedsiębiorstwie: kierownictwo wykonawcze, liderzy ciągłości działania i odtwarzania po awarii IT, kierownicy działów, dyrektor ds. bezpieczeństwa informacji oraz zespół reagowania kryzysowego mają zdefiniowane role w zakresie strategii, planowania, realizacji i komunikacji. Polityka wymaga ustanowienia jednolitego systemu zarządzania ciągłością działania (BCMS) zgodnego z wymaganiami ISO 22301 oraz ISO/IEC 27001. Wymaga corocznej BIA dla wszystkich jednostek krytycznych, opracowania i zatwierdzenia BCP/DRP oraz utrzymywania aktualnej dokumentacji, przepływów eskalacji i list kontaktowych. Plany muszą obejmować ręczne obejścia, uruchomienie lokalizacji alternatywnej, komunikację kryzysową oraz strategie awaryjne łańcucha dostaw. Regularne testowanie, w tym coroczne oceny odporności, ćwiczenia typu tabletop oraz symulowane przełączenia awaryjne, jest obowiązkowe w celu przeglądu skuteczności, zależności i poziomu gotowości. Polityka obejmuje również integrację planowania ciągłości działania z bezpieczeństwem i reagowaniem na incydenty, zapewniając brak kompromisu w zakresie środków kontroli bezpieczeństwa informacji podczas odtwarzania. Zdefiniowano zarządzanie wyjątkami, ocenę ryzyka oraz protokoły eskalacji, natomiast monitorowanie zgodności i środki dyscyplinarne za niezgodność zapewniają egzekwowanie polityki. Niniejsza polityka jest ściśle zgodna z wiodącymi globalnymi normami i ramami regulacyjnymi, wspierając należytą staranność w zakresie odporności operacyjnej oraz audytowalność dla obowiązków prawnych lub umownych.