Systemy zarządzania i ciągłość działania w czasie pandemii – doświadczenia z tegorocznych auditów systemów zarządzania
Dostawy energii, wody, żywności mają fundamentalne znaczenia dla społeczeństwa, a ich bezpieczeństwo jest jednym z elementów charakteryzujących kraje wysoko rozwinięte. Przewidywanie zagrożeń i działania podejmowane w celu minimalizowania ich niekorzystnych skutków stanowią fundament zarządzania infrastrukturą krytyczną. Obecne zagrożenie epidemiologiczne, które zmaterializowało się na niespotykaną w ostatnich dziesięcioleciach skalę, rewiduje gotowość poszczególnych przedsiębiorstw do utrzymania ciągłości działania. Dostosowanie się do obostrzeń związanych z COVID-19 wymusiło zastosowanie nadzwyczajnych środków bezpieczeństwa nie tylko przez operatorów systemów infrastruktury krytycznej, które z uwagi na reżim prawny, w jakim funkcjonują, dysponowały planami działania na wypadek epidemii, ale także przez pozostałe podmioty gospodarki narodowej.
Przegląd stosowanych zabezpieczeń COVID-19
Pierwsze działania prewencyjne przedsiębiorstwa podejmowały już w marcu 2020 r. Odpowiadały one na ówczesne obostrzenia, związane z dezynfekcją, utrzymaniem dystansu, zakrywaniem ust i nosa. W większych przedsiębiorstwach powołane zostały sztaby kryzysowe, które miały za zadanie wypracowanie odpowiednich w stosunku do zagrożenia, specyfiki organizacji oraz aktualnych obostrzeń związanych z COVID-19 planów działania, instrukcji i zasad monitorowania, nadzorowania i raportowania efektów prowadzonych działań oraz podejmowanie decyzji w przypadku zarażenia lub kwarantanny pracowników lub członków ich rodzin. Organizacje na niespotykaną wcześniej skalę wprowadziły pracę zdalną. Część z przedsiębiorstw wprowadziła rotacyjny i zmianowy system pracy. Weryfikowano plan zastępstw, sprawdzano dostęp do kluczowych kompetencji i odpowiedzialności. Ograniczono dostęp fizyczny i jednocześnie dodano do niego dodatkowe kryteria – pomiar temperatury, dezynfekcja dłoni, środki ochrony indywidualnej (maseczka, przyłbica). Rejestracja osób przebywających na terenie przedsiębiorstwa została uzupełniona o wykaz kontaktów bezpośrednich między pracownikami organizacji oraz między pracownikami a gośćmi z zewnątrz.
Przedsiębiorstwa korzystały przy tym z metodologii własnej lub z wytycznych branżowych opracowanych przez Ministerstwo Rozwoju, Pracy i Technologii we współpracy z Głównym Inspektorem Sanitarnym.
UDT-CERT prowadzi weryfikację spełnienia przez przedsiębiorstwo wytycznych branżowych opracowanych przez Ministerstwo Rozwoju, Pracy i Technologii. Zapraszamy do kontaktu.
Działania Jednostki Certyfikującej Systemy Zarządzania UDT-CERT
W odpowiedzi na zagrożenie epidemiologiczne jednostka certyfikująca UDT-CERT dostosowała sposób świadczenia usług zgodnie z wyżej wymienionymi wytycznymi, a także wprowadzając na szeroką skalę audity zdalne. Podstawą do ich prowadzenia są dokumenty wydane przez IAF (International Accreditation Forum) IAF ID 3:2011 dotyczące zarządzania w sytuacjach nadzwyczajnych, mających wpływ na jednostki certyfikujące i certyfikowane organizacje, oraz dokument IAF MD 4 dotyczący prowadzenia auditów z wykorzystaniem technologii ICT, czyli technologii i sprzętu do gromadzenia, przechowywania, wyszukiwania, przetwarzania, analizowania i przekazywania informacji: telefony, smartfony, laptopy, komputery stacjonarne, kamery wideo (np. w smartfonie). Audity zdalne okazały się niezbędne z uwagi na wprowadzone przez szereg przedsiębiorstw restrykcyjnych zasad związanych z przeciwdziałaniem rozprzestrzenianiu się COVID-19.
Szeroka dostępność platform komunikacyjnych, systemów wymiany plików oraz poziom informatyzacji w przedsiębiorstwach umożliwiają obecnie nie tylko świadczenie pracy zdalnie, ale również sprawną komunikację między organizacjami, w tym przypadku między certyfikowaną organizacją a auditorami jednostki certyfikującej. Ewentualne bariery to przede wszystkim IT, w tym dostosowanie się do polityk bezpieczeństwa informatycznego stosowanych przez przedsiębiorstwa, zapewnienie poufności danych, kompatybilność poszczególnych platform komunikacyjnych z przeglądarkami internetowymi.
Wnioski z tegorocznych auditów wskazują, że pandemia w istotny sposób wpłynęła na systemy zarządzania przedsiębiorstw, wdrożono szereg procedur prewencyjnych i organizacyjnych, uaktualniono sposoby postępowania oraz analizy ryzyka. Podmioty gospodarcze, które w odpowiedzi na zagrożenie epidemiologiczne wdrożyły plany działania mające za zadanie w pierwszej kolejności zapobieganie zagrożeniu, a w drugiej przygotowanie przedsiębiorstwa do ewentualnych przerw lub ograniczeń działalności, szukają potwierdzenia, czy ich sposób postępowania jest prawidłowy. W ramach auditów systemów zarządzania możemy zweryfikować te elementy, m.in. sprawdzając działania podejmowane przez organizacje w stosunku do ryzyk i szans, które stanowią wymagania standardów, takich jak: ISO 9001 (Systemy zarządzania jakością) czy ISO 45001 (Systemy zarządzania bezpieczeństwem i higieną pracy). Dla niektórych z przedsiębiorców jest to jednak zbyt mało i tutaj właściwym rozwiązaniem może być skorzystanie z normy ISO 22301 (Systemy zarządzania ciągłością działania).
Standard ISO 22301 ma więcej elementów i wymagań niż te, które mogą wynikać z podjętych przez organizację działań w wyniku trwającej pandemii, jednakże warto rozważyć jego wdrożenie w celu zabezpieczenia działalności również z tytułu innych zagrożeń. Norma stanowi ramę do identyfikacji kluczowych czynników ryzyka mających wpływ na organizację oraz na utrzymanie jej działań w najtrudniejszych warunkach. Przeznaczona jest dla wszystkich organizacji, które chcą:
- ustanowić, wdrożyć, utrzymać i doskonalić system zarządzania ciągłością działania;
- zapewnić zgodność z ustanowioną polityką ciągłości biznesu;
- certyfikować system zarządzania ciągłością działania;
- deklarować zgodność z międzynarodowym standardem ISO 22301.
Korzyści wynikające z wdrożenia wymagań nowej ISO 22301:
- umożliwienie odtworzenia zdolności organizacji do ponownego działania w określonym czasie i na ustalonym poziomie w przypadku nieplanowanych zdarzeń;
- podniesienie wiarygodności firmy w oczach klientów, inwestorów i udziałowców;
- zwiększenie konkurencyjności na rynku ze względu na zdolność do funkcjonowania niezależnie od niekorzystnych czynników;
- umożliwienie skutecznej reakcji na sytuacje kryzysowe;
- poprawa wizerunku firmy jako przygotowanej na nieprzewidziane zdarzenia.
Obserwowane przez UDT-CERT zwiększone zainteresowanie wdrożeniem i certyfikacją systemów zarządzania ciągłością działania, po części związane z COVID-19, a po części spowodowane obowiązkami operatorów usług kluczowych, wynikającymi z Ustawy o krajowym systemie cyberbezpieczeństwa, dla wielu organizacji stanowi naturalną drogę rozwoju systemu zarządzania. Norma ISO 22301 może stanowić dobry punkt odniesienia dla wszystkich przedsiębiorstw, nie tylko operatorów infrastruktury krytycznej czy usług kluczowych, podejmujących prace służące określeniu środków, które mają zmniejszyć prawdopodobieństwo wystąpienia zakłóceń, skrócić czas ich trwania oraz ograniczyć ich wpływ na kluczowe produkty i usługi organizacji.
Opracowano na podstawie: PN-EN ISO 22301:2020-04 Bezpieczeństwo i odporność. Systemy zarządzania ciągłością działania. Wymagania.
Źródło: Adam Goreń, Koordynator Zespołu Certyfikacji Systemów Zarządzania, Departament Certyfikacji i Oceny Zgodności, Urząd Dozoru Technicznego