- Wiedzy nigdy dosyć. Kiedyś specjaliści z zakresu zarządzania ciągłością działania mogli opierać się wyłącznie na standardach brytyjskich: BS 25999. Standardy ISO poświęcone tej dziedzinie mają już sporą konkurencję w postaci krajowych wytycznych. W tym przypadku niemieckich
Niemiecka, rządowa instytucja o nazwie Bundesamt für Sicherheit in der Informationstechnik (BSI) opublikowała kilka dni temu wersję roboczą (draft) nowych wytycznych dotyczących zarządzania ciągłością działania: „BSI-Standard 200-4 Business Continuity Management”.
Poprzednia wersja, nosząca oznaczenie „BSI 100-4” ukazała się bodajże w roku 2009.
Prezes BSI uzasadnia pojawienie się tej publikacji troską o to, „aby systemy informatyczne w biznesie i państwie były bardziej odporne na awarie oraz aby umożliwić użytkownikom szybkie reagowanie w sytuacjach kryzysowych i awaryjnych”.
W tym jednym zdaniu zostało zawarte jednoznaczne wskazanie tego aspektu funkcjonowania firm i instytucji, do którego owe wytyczne się odnoszą – a mianowicie do systemów informatycznych. Ale nie tylko.
Niemiecki BSI – prosimy nie mylić z Brytyjskim Instytutem Standaryzacyjnym (British Standards Institution – BSI) – zapewnia, że publikacja jest zgodna ze standardem ISO 22301 z roku 2019. Przy czym trzeba pamiętać, że ta publikacja (BSI 200-4) odnosi się przede wszystkim do praktyk i narzędzi zarządzania obszarem i bezpieczeństwem IT w ramach rozwijanej od wielu lat metodyki o nazwie „IT-Grundschutz”.
Kilka zasadniczych nowości pokazało się w wersji roboczej BSI 200-4:
– wprowadzono i zdefiniowano trzy rodzaje BCMS (Business Continuity Management System): reaktywny, strukturalny i klasyczny – standardowy,
– podkreślono znaczenie pojęcia „odporność” w koncepcji zarządzania ciągłością działania,
– wprowadzono zagadnienia związane z ciągłością działania w ramach łańcucha dostaw.
Na marginesie należy dodać, że w ostatnim czasie, zapewne ze względu na Covid-19, wyjątkowo dużo uwagi poświęca się w publikacjach (z zakresu zarządzania ryzykiem) zagadnieniom ryzyka łańcuchów dostaw.
Słabszą stroną publikacji jest – naszym zdaniem – dość ogólnikowe potraktowanie struktury Systemu Zarządzania Ciągłością Działania ale w tej sprawie BSI 200-4 nie odróżnia się od ISO 22301.
Wprawdzie – jak BSI informuje – są to wytyczne odnoszące się do systemów IT niemniej nie ma w tej publikacji słownictwa stricte informatycznego i bezpośrednich odniesień do zagadnień technicznych. Stąd uważamy, że może to być pozycja przydatna nie tylko dla specjalistów bezpośrednio zajmujących się ciągłością funkcjonowania systemów IT.
Warto zaznaczyć, że wersja robocza dokumentu liczy sobie blisko 300 stron i już to porównanie z ISO 22301:2019 (około 30 stron) wskazuje na poziom szczegółowości obu publikacji.
Okres zgłaszania uwag upływa 30 czerwca bieżącego roku zatem najpewniej na jesieni można spodziewać się wersji ostatecznej.
Śmiało można zapoznawać się z wersją roboczą bowiem z naszych doświadczeń wynika, że tego typu dokumenty rzadko kiedy ulegają radykalnym zmianom w wyniku nadesłanych uwag i komentarzy.
Jest tylko jeden problem: publikacja jest w języku niemieckim. Ale zapewne wersja ostateczna zostanie przetłumaczona i opublikowana również w języku angielskim – podobnie jak wersja BSI 100-4.