TFL Vsebine / TFLGlasnik

1. UVOD

Neprekinjeno poslovanje je v zadnjih letih zaradi vse večjih potencialnih nevarnosti kibernetskih groženj vse pomembnejše za poslovanje vsake organizacije. Nepričakovani dogodki, kot so naravne nesreče, epidemije in pandemije, kibernetski napadi, nezgode na delovnem mestu, okvare informacijskega sistema, okvare infrastrukture, izpadi električne energije ali internetne povezave in podobno, lahko resno ogrozijo obstoj organizacije. Zato sta pripravljenost in ustrezen sistem, ki zagotavlja neprekinjeno poslovanje, ključnega pomena.

Po statističnih podatkih kar 90 odstotkov organizacij, ki doživijo nepričakovane incidente, v naslednjih dveh letih preneha poslovati zaradi nezmožnosti okrevanja, druge pa izboljšajo svoje poslovanje z učinkovitim pristopom k vpeljavi in upravljanju neprekinjenega poslovanja. Visokoogrožene so prav organizacije brez načrta za preživetje v nepredvidljivih situacijah.

Vzpostavitev ustreznega sistema upravljanja neprekinjenega poslovanja (v nadaljnjem besedilu: SUNP) je pomembna za vsako organizacijo, ne glede na panogo, lastništvo, velikost in prihodke. Neobhodna je za vse organizacije, katerih poslovanje je ključnega pomena za delovanje naše družbe (energetika, oskrba s pitno vodo in njena distribucija, informacijske tehnologije, telekomunikacije, zdravstvo) ter proizvodna podjetja, ki v primeru nesreče lahko ogrozijo okolje.

Neprekinjeno poslovanje pomeni zmožnost stalnega poslovanja, ki zajema vnaprejšnje načrtovanje in pripravo z namenom, da bo organizacija zmogla vzpostaviti ključne poslovne procese in opravljati ključne poslovne funkcije tudi ob izrednih dogodkih.

Neprekinjeno poslovanje moramo torej primerno načrtovati, širiti poznavanje načrta ter pozneje po njem tudi vaditi in ga posodabljati. Pripravljenost na krizne dogodke je treba stalno preverjati in testirati.

Področje neprekinjenega poslovanja je logična nadgradnja (tudi) upravljanja varnostnih incidentov, ki so pomemben del varovanja informacij. Incidenti, ki se zgodijo, lahko v določenem trenutku prerastejo v katastrofo. Ob katastrofi nastopi krizna situacija, v kateri je treba za dosego zastavljenih ciljev uporabiti druga sredstva, ročne postopke, rezervne lokacije in vključiti zaposlene, ki so dolžni opraviti aktivnosti, nujne za obnovitev poslovanja po katastrofalnem izpadu.

V Republiki Sloveniji trenutno noben zakon od organizacij ne zahteva uvedbe ali celo certificiranja po sistemu neprekinjenega poslovanja (ISO 22301:2019). Organizacije ga lahko uporabljajo kot pomoč za vzpostavitev in upravljanje SUNP.

Ministrstvo za javno upravo je kot izvedbeni akt zakona o informacijski varnosti¹ pripravilo Uredbo o informacijski varnosti državnih organov,² v kateri je zahteva, da vsak državni organ pripravi načrt neprekinjenega poslovanja.

Organizacije, ki želijo ustrezno obvladovati tveganja in imajo vpeljan sistem upravljanja neprekinjenega poslovanja ali načrtujejo vpeljavo takega sistema, lahko preverijo stanje s presojami in analizami ter revizijskimi pregledi. Na Računskem sodišču smo sprejeli pristop za preverjanje učinkovitosti organizacije pri upravljanju neprekinjenega poslovanja, ki smo ga preverili na treh revizijah učinkovitosti neprekinjenega poslovanja.

V nadaljevanju prispevka je predstavljen pristop k reviziji in dajanju zagotovil učinkovitosti neprekinjenega poslovanja javne organizacije, ki smo ga že večkrat izvedli na Računskem sodišču.

2. TEORIJA

2.1. Neprekinjeno poslovanje

Pojem neprekinjenega poslovanja ni nov, saj so organizacije že v preteklosti morale vzpostavljati pogoje za neprekinjeno delovanje tudi v primeru nesreč oziroma drugih motenj, ki vplivajo na delovanje organizacij. Pred leti so organizacije za upravljanje neprekinjenega poslovanja pogosto uporabljale britanski javno dostopni standard BS PAS 563, ki ga je leta 2006 nadomestil britanski standard BS 259994. Ta standard je po nekaj letih nadomestil mednarodni standard IsO 22301:2012 Družbena varnost – Sistemi za upravljanje neprekinjenega poslovanja – Zahteve5, ki je bil osvežen v letu 2019 in dobil nov naslov ISO 22301:2019 Varnost in vzdržljivost – Sistemi za upravljanje neprekinjenega poslovanja – Zahteve6 (v nadaljnjem besedilu: IsO 22301:2019). Oba standarda je prevedel tudi slovenski inštitut za standardizacijo.⁷ v nekaterih delih sveta uporabljajo lokalizirane standarde na podlagi BS 25999, pa tudi druge metode za upravljanje neprekinjenega poslovanja. Nemško govoreče države na primer uporabljajo standard BSI 100-4.⁸

Upravljanje neprekinjenega poslovanja⁹ je celovit proces upravljanja, ki opredeljuje morebitne grožnje za organizacijo in vplive na poslovanje organizacije, če bi se te grožnje uresničile. Proces upravljanja zagotavlja okvir za povečanje odpornosti organizacije in zmožnost njenega učinkovitega odziva na grožnje, kar varuje interese ključnih deležnikov, ugled in dejavnosti ustvarjanja vrednosti.

Neprekinjeno poslovanje je sposobnost organizacije, da nadaljuje dostavo izdelkov in storitev v sprejemljivih časovnih okvirih z vnaprej določenimi zmogljivostmi med prekinitvijo.¹⁰

Sistem upravljanja neprekinjenega poslovanja¹¹ (SUNP) je del celotnega sistema upravljanja,¹² ki vzpostavlja, izvaja, deluje, spremlja, pregleduje, vzdržuje in izboljšuje neprekinjeno poslovanje.¹³ Organizacije vpeljujejo in upravljajo sistem neprekinjenega poslovanja, da z njim obvladujejo tveganja motenj in nedelovanja svojih procesov.

Načrt neprekinjenega poslovanja¹⁴(angl. Business Continuity Plan) je dokumentiran postopek, ki usmerja organizacijo, da se odzove, si opomore, obnovi ter nadaljuje poslovanje na predhodno določeni še sprejemljivi ravni poslovanja.

Organizacije lahko uporabljajo ISO 22301:2019 kot pomoč za vzpostavitev in upravljanje SUNP. ISO 22301:2019 določa zahteve za načrtovanje, vzpostavitev, izvajanje, delovanje, spremljanje, pregledovanje, vzdrževanje in nenehno izboljševanje dokumentiranega sistema vodenja za zaščito, zmanjšanje verjetnosti pojava, pripravo na, odzivanje in obnovitev po nastopu motenj. Zahteve, določene v ISO 22301:2019, so generične in namenjene uporabi za vse organizacije ali njihove dele, ne glede na vrsto, velikost in naravo organizacije. Obseg uporabe teh zahtev je odvisen od okolja delovanja in zapletenosti organizacije.

Namen ISO 22301:2019 ni zagotoviti enoličnost SUNP različnih organizacij, temveč da vsaka organizacija oblikuje sUNP v skladu s svojimi potrebami in zahtevami strank.

2.2. Zahteve zakonodaje – Zakon o kritični infrastrukturi, Zakon o informacijski varnosti in izvajalci bistvenih storitev

Konec leta 2017 je bil sprejet Zakon o kritični infrastrukturi¹⁵, ki med drugim določa tudi upravljavce kritične infrastrukture. Ti v okviru svojih nalog upravljajo posamezne sektorje kritične infrastrukture in so pomembni pri zagotavljanju varnosti države in državljanov.

Kritična infrastruktura Republike Slovenije obsega tiste zmogljivosti, ki so ključnega pomena za državo in bi prekinitev njihovega delovanja ali njihovo uničenje pomembno vplivalo in imelo resne posledice za nacionalno varnost, gospodarstvo, in druge ključne družbene funkcije ter zdravje, varnost, zaščito in blaginjo ljudi.

Aprila leta 2018 je bil sprejet  Zakon o informacijski varnosti¹⁶ (v nadaljnjem besedilu: ZInfv), ki je med drugimi zavezanci po tem zakonu določil tudi izvajalce bistvenih storitev. Med izvajalci bistvenih storitev so subjekti, ki delujejo na naslednjih področjih:

1. energija,
2. digitalna infrastruktura,
3. oskrba s pitno vodo in njena distribucija,
4. zdravstvo,
5. promet,
6. bančništvo,
7. infrastruktura finančnega trga,
8. preskrba s hrano in
9. varstvo okolja.

Bistvena storitev je storitev, ki se zagotavlja na naštetih področjih ter je bistvena za ohranitev ključnih družbenih in gospodarskih dejavnosti.

Navedena zakona določata aktivnosti, področja in deležnike, ki so povezani z zagotavljanjem neprekinjenega poslovanja kritične infrastrukture oziroma bistvenih storitev, in določata naloge, ki jih morajo upravljavci/izvajalci izvajati za zagotavljanje neprekinjenega poslovanja. Vlada Republike Slovenije (v nadaljnjem besedilu: vlada) je februarja 2019 določila upravljavce kritične infrastrukture,¹⁷ oktobra 2019 pa je začela določati tudi izvajalce bistvenih storitev.¹⁸

ZInfv in na njegovi podlagi izdani predpisi in akti določajo aktivnosti, področja in deležnike, ki so povezani z zagotavljanjem neprekinjenega poslovanja izvajalcev bistvenih storitev, in določajo naloge, ki jih morajo izvajalci izvajati za zagotavljanje neprekinjenega poslovanja. Vlada na podlagi meril, določenih v zInfv, določila posamezne izvajalce bistvenih storitev. Med njimi so tudi subjekti, ki delujejo na področju preskrbe¹⁹ s pitno vodo in njene distribucije. Vlada je oktobra 2019 s sklepom določila Javni zavod lekarna ljubljana (v nadaljnjem besedilu: lekarna Ljubljana) kot izvajalca bistvenih storitev.²⁰

3. PRISTOPI

3.1. Revizijski pristop

V nadaljevanju je predstavljen pristop za preverjanje učinkovitosti organizacije pri upravljanju neprekinjenega poslovanja na primeru lekarne Ljubljana.

Določili smo cilj revizije, ki je bil izrek mnenja o učinkovitosti lekarne Ljubljana pri upravljanju neprekinjenega poslovanja v obdobju, na katero se nanaša revizija. Revizija je obsegala obdobje od 1. 1. 2020 do 31. 10. 2021.

Da bi lahko izrekli mnenje, smo si zastavili glavno revizijsko vprašanje, ali je Lekarna Ljubljana učinkovito upravljala neprekinjeno poslovanje.

Odgovor na glavno vprašanje smo pridobili z odgovori na naslednja podvprašanja:

• ali je lekarna Ljubljana učinkovito upravljala strategijo in načrt neprekinjenega poslovanja;
• ali je lekarna Ljubljana učinkovito izvajala redno testiranje načrta neprekinjenega poslovanja;
• ali je lekarna Ljubljana učinkovito upravljala strategijo in načrt neprekinjenega delovanja informacijskega sistema (v nadaljnjem besedilu: IS);
• ali je lekarna Ljubljana učinkovito izvajala redno testiranje načrta neprekinjenega delovanja IS.

Za presojo poslovnega področja smo uporabili mednarodni standard ISO 22301:2019, saj ta na strukturiran način omogoča pregled nad vsemi elementi upravljanja neprekinjenega poslovanja organizacije, tudi če se ta ne odloči, da vpelje standard kot zavezujoč za svoje delovanje. Za presojo specifičnih področij informacijske podpore smo smiselno uporabili ogrodje za upravljanje in nadzor informacijskih tehnologij (v nadaljnjem besedilu: IT) COBIT 4.121.

Ustrezne in zadostne dokaze za izrek mnenja smo pridobili z različnimi kvalitativnimi in kvantitativnimi metodami in tehnikami revidiranja, predvsem:

• s proučevanjem pravnih in drugih podlag, ki opredeljujejo upravljanje neprekinjenega poslovanja revidiranca;
• z zbiranjem, pregledom in presojo dokumentacije s področja upravljanja neprekinjenega poslovanja revidiranca;
• z analizo pridobljenih podatkov in informacij o upravljanju neprekinjenega poslovanja revidiranca;
• z metodo intervjuja in pisnimi vprašanji revidirancu;
• s pregledom spletnih strani, medijskih poročil in drugih javno dostopnih virov, ki so povezani z delovanjem revidiranca;
• z analiziranjem in primerjavo javno objavljenih podatkov ter podatkov, pridobljenih pri revidirancu;
• z ogledom lokacij, kjer upravljajo neprekinjeno poslovanje in delovanje IS.

3.2. Zahteve standarda ISO 22301:2019

Na splošno neprekinjeno poslovanje v organizacijah delimo na neprekinjeno poslovanje temeljnih, podpornih in organizacijskih procesov ter neprekinjeno delovanje IS, ki te procese podpirajo.

Razkritja, povezana z neprekinjenostjo poslovanja temeljnih, podpornih in organizacijskih procesov organizacije, smo primerjali s poglavitnimi zahtevami, ki jih določa standard ISO 22301:2019.

V delu, kjer smo presojali, ali ima revidiranec sprejeto strategijo neprekinjenega poslovanja in načrt neprekinjenega poslovanja oziroma kako ima neprekinjeno poslovanje urejeno v svojih dokumentih, smo stanje v organizaciji primerjali s poglavitnimi zahtevami, ki jih standard ISO 22301:2019 opredeljuje v naslednjih poglavjih:

1. Okvir organizacije;
2. voditeljstvo;
3. Načrtovanje;
4. Podpora;
5. Delovanje (del).

Kot sodila za presojo smo določili naslednje zahteve standarda ISO 22301:2019:

iz poglavja 4 – Okvir organizacije:

• povezave politike neprekinjenega poslovanja s cilji in drugimi politikami organizacije, vključno s skupno strategijo za upravljanje tveganj;

iz poglavja 5 – voditeljstvo:

• zavezanost vodstva pri upravljanju neprekinjenega poslovanja;

iz poglavja 6 – Načrtovanje:

• opredeljevanje ukrepov za obravnavanje tveganj in priložnosti tako, da se preprečijo ali zmanjšajo neželeni učinki in izvaja nenehno izboljševanje;
• določanje ciljev neprekinjenega poslovanja in načrt, kako to uresničiti z implementacijo določenih funkcij v organizaciji, ki določajo, kdo je odgovoren, kaj bo izvedeno, kakšna sredstva so potrebna ter ob zaključku, kako bodo rezultati ocenjeni;

iz poglavja 7 – Podpora:

• zavedanje zaposlenih v organizaciji glede politike neprekinjenega poslovanja, njihovega prispevka k učinkovitosti SUNP ter glede posledic neskladnosti s SUNP in njihovo vlogo pri motnjah;
• določanje notranje in zunanje komunikacije o sporočilih, pomembnih za SUNP, vključno s tem, kdo, kdaj in kako naj komunicira;
• zagotavljanje, da je dokumentacija na voljo, kadar jo zaposleni potrebujejo, ter da je ustrezno zaščitena pred nepooblaščenim spreminjanjem ali brisanjem;
• organizacija mora zagotavljati ustrezen nadzor nad dokumentacijo pri distribuciji, dostopu pridobivanja in uporabi, shranjevanju, nadzoru sprememb, zadržanju, iskanju, ohranitvi čitljivosti in preprečevanju nenamerne uporabe zastarelih informacij;

iz poglavja 8 – Delovanje:

• zagotavljanje vzpostavitve, delovanja in vzdrževanja formalno dokumentiranega procesa ocenjevanja tveganja, ki sistematično identificira, analizira in ocenjuje tveganja za motnje ter prekinitve procesov v organizaciji;
• zagotavljanje postopkov za odkrivanje incidentov, rednega spremljanja incidentov, komuniciranja in evidentiranja
• pomembnih informacij o incidentu, sprejetih ukrepih in odločitvah;

Zagotavljanje priprave in vzdrževanja načrta neprekinjenega poslovanja, ki vsebuje namen in področje uporabe, cilje, aktivacijska merila in postopke, izvedbene postopke, vloge, odgovornosti in pooblastila, komunikacijske zahteve in postopke, notranje in zunanje soodvisnosti in interakcije, potrebe po virih ter proces pretokov informacij in dokumentacije.

V delu, kjer smo revidirali preverjanje načrta neprekinjenega poslovanja, smo stanje organizacije primerjali s poglavitnimi zahtevami, ki jih standard ISO 22301:2019 opredeljuje v naslednjih poglavjih:

1. Delovanje (del);
2. vrednotenje;
3. Izboljševanje.

Kot sodila za presojo smo izbrali naslednje zahteve standarda ISO 22301:2019:

Iz poglavja 8 – Delovanje:

• delovanje preverjanj postopkov neprekinjenega poslovanja, da se zagotovi skladnost s cilji neprekinjenega poslovanja s testi, ki so v skladu s področjem uporabe in cilji SUNP;
• temeljijo na ustreznih scenarijih, ki so dobro načrtovani, z jasno opredeljenimi cilji;
• zmanjšujejo tveganje za motnje v poslovanju;
• vsebujejo formalizirana poročila po izvedbi, ki vsebujejo rezultate, priporočila in ukrepe za izvajanje izboljšav;
• spodbujajo stalne izboljšave ter potekajo v načrtovanih časovnih presledkih in kadar pride do pomembnih sprememb znotraj organizacije ali okolja, v katerem deluje organizacija;

Iz poglavja 9 – vrednotenje:

• zagotavljanje notranjih presoj oziroma notranjih revizij, ki organizaciji omogočajo pridobivanje informacij, če SUNP deluje v skladu z lastnimi zahtevami organizacije oziroma ISO 22301:2019;
• zagotavljanje, da se opravijo vodstveni pregledi v rednih časovnih intervalih, kjer se pregledajo upravljanje stanja ukrepov iz prejšnjih pregledov, spremembe, nastale znotraj ali zunaj organizacije, in njihov vpliv na sUNP ter informacije o uspešnosti neprekinjenega poslovanja; rezultati vodstvenih pregledov vključujejo odločitve v zvezi s stalnimi možnostmi izboljšav in morebitno potrebo po spremembah SUNP;

Iz poglavja 10 – Izboljševanje:

• zagotavljanje, da organizacija nenehno izboljšuje primernost, ustreznost ali učinkovitost SUNP z vodenjem, načrtovanjem in ocenjevanjem uspešnosti.

Celoten članek je dostopen za naročnike!