Plan ciągłości działania (z ang. Business Continuity Planning – BCP) – to inaczej zbiór procedur, informacji i działań w zakresie kluczowych obszarów przedsiębiorstwa, na wypadek zdarzeń kryzysowych, których wystąpienie jest mało prawdopodobne, ale ich skutki są potencjalnie katastrofalne. Do zdarzeń takich zaliczyć można m.in. katastrofy naturalne (powodzie, pożary, huragany), wojny, pandemie, katastrofy budowlane itp.
Plan ciągłości działania w założeniu ma więc określić procedury i działania, które będzie można wdrożyć w sytuacji kryzysowej, jak również, których celem będzie jak najsprawniejsze odzyskanie utraconej ciągłości działania oraz wznowienie przerwanych procesów biznesowych.
Gdy wiemy już co to znaczy BCP, warto odpowiedzieć sobie na pytanie, czy, a jeżeli tak to dlaczego warto mieć plan ciągłości działania? Plan ciągłości działania ma na celu jak najsprawniejsze przywrócenie prawidłowego funkcjonowania organizacji w przypadku wystąpienia zdarzenia kryzysowego. Od tego czy dana organizacja ma opracowany plan ciągłości działania oraz czy plan ten jest należycie skonstruowany determinuje zachowanie ciągłości działania w sytuacji kryzysowej i możliwie szybkie przywrócenie normalnego trybu funkcjonowania przedsiębiorstwa. Tym samym BCP jest niezwykle istotnym elementem prowadzenia działalności gospodarczej i każdy przedsiębiorca, niezależnie od skali prowadzenia działalności powinien rozważyć wdrożenie planu ciągłości działania w swojej firmie.
Przeczytaj również: kary RODO
Sprawdź jak wdrożyć RODO w twojej organizacji
Co powinien zawierać plan ciągłości działania?
Skoro dowiedzieliśmy się już dlaczego warto jest przygotować plan ciągłości działania, należy zastanowić się co powinien zawierać taki plan, żeby jak najlepiej wywiązać się ze swojej roli. Co prawda nie istnieje jeden uniwersalny wzór planu ciągłości działania, a jego ostateczny kształt zawsze powinien być dopasowany do rodzaju przedsiębiorstwa i potencjalnych zdarzeń krytycznych, niemniej istnieją pewne elementy i minimalne wymogi, które powinny znaleźć się w każdym dokumencie tego rodzaju.
Plan ciągłości działania powinien więc zawierać m.in.:
- Sposób sprawnego przekazania komunikatu na temat wystąpienia zdarzenia kryzysowego;
- Precyzyjne określenie i podział ról oraz zadań poszczególnych jednostek, zmierzających do zapewnienia ciągłości działania w przypadku wystąpienia zdarzenia kryzysowego i usunięcia jego negatywnych następstw;
- Opracowanie procedur, które zostaną podjęte w przypadku wystąpienia zdarzeń krytycznych, a których celem będzie kontynuowanie lub odzyskanie w określonym czasie ciągłości działania przedsiębiorstwa lub organizacji;
- Wskazanie działań, które zostaną podjęte w celu bieżącego monitorowania wpływu zdarzenia kryzysowego na działanie przedsiębiorstwa/organizacji;
- Zasady wewnętrznego raportowania na temat aktualnego statusu działań podjętych w celu usunięcia negatywnych skutków zdarzenia kryzysowego.
Co po przygotowaniu planu ciągłości działania?
Warto pamiętać, że samo przygotowanie planu ciągłości działania jest niewystarczające. Żeby BCP był skuteczny i rzeczywiście sprawdził się w wypadku wystąpienia zdarzenia zakłócającego ciągłość działania, powinien być regularnie testowany i aktualizowany.
Testowanie planu ciągłości działania powinno odbywać się w oparciu o jak najdokładniejszy scenariusz przewidujący wystąpienie danego zdarzenia kryzysowego i jego skutki. Po przeprowadzeniu takiej symulacji możliwym będzie wychwycenie ewentualnych błędów, czy braków w planie ciągłości działania i odpowiednia aktualizacja planu mająca na celu jego udoskonalenie.
Plan ciągłości działania a RODO
Posiadanie planu ciągłości działania w wypadku wystąpienia zjawisk kryzysowych jest również bardzo istotne z punktu widzenia przepisów RODO. Należy pamiętać, że zjawiska krytyczne mogą przybrać różną formę, a niektóre z nich mogą w bezpośredni sposób zagrażać bezpieczeństwu danych osobowych przetwarzanych i przechowywanych przez przedsiębiorcę, czy organizację. Jednym z takich zdarzeń może być np. atak na infrastrukturę IT.
Zasadnym jest więc, przy przygotowaniu BCP, wyodrębnienie planu ciągłości działania dla systemu informatycznego. W treści takiego planu należy zamieścić wszelkie procedury i informacje na temat działań zmierzających do ochrony danych osobowych oraz jak najsprawniejszego przywrócenia ich przetwarzania i bezpieczeństwa do poziomu wymagane przepisami RODO.