...

Gotowość ICT do ciągłości działania

Picture of Dariusz Rycek

Dariusz Rycek

ICT - Gotowość do ciągłości działania

Czternaście lat czekaliśmy na aktualizację normy ISO/IEC 27031. Zmieniono strukturę dokumentu, zakres oraz dodano treści techniczne w punktach 6.4, 6.5, 6.6, 9.2 i 10.1.5. To tak z grubsza można by posumować, a na ile wpisują się one w potrzeby rynku pozostawiamy lekturze artykułu, oraz ocenie własnej. Osobiście czekałem na ten standard obserwując już prace nad nim od DIS’a, gdyż nowa edycja normy ISO/IEC 27001:2022 w załączniku A 5.30 – Gotowość ICT do ciągłości działania, wymaga większego zakresu opracowania i działania niż było to w poprzedniej edycji tej normy z 2013 roku w art.. A 17. A przy różnych publikacjach i certyfikacji SZBI widać, że ten obszar jest słabo poznany przez beneficjentów.

Standard ISO/IEC 27031:2025 „Cybersecurity — Information and communication technology readiness for business continuity” dostarcza organizacjom kompleksowego podejścia do zapewnienia gotowości systemów informatycznych na wypadek incydentów lub katastrof, które mogą zakłócić ciągłość działania. Jest to druga, zaktualizowana edycja pierwszego wydania z 2011 roku, odzwierciedlająca zmiany w otoczeniu technologicznym oraz nowe wymagania związane z rosnącym wykorzystaniem rozwiązań chmurowych. Celem tego artykułu jest przedstawienie głównych założeń normy, rodzaju wiedzy, jaką organizacja pozyskuje dzięki jej implementacji, sposobów praktycznego zastosowania oraz korzyści wynikających z jej wykorzystania.

RTO, RPO, BCM, BCP

Czym jest standard ISO/IEC 27031:2025?

Standard ISO/IEC 27031:2025 stanowi zbiór wytycznych definiujących ICT Readiness for Business Continuity (IRBC) – czyli stan gotowości technologii informacyjno-komunikacyjnych do utrzymania ciągłości działania. Dokument ten:

  1. Opisuje zakres i strukturę procesu IRBC, wskazując powiązania z systemami zarządzania bezpieczeństwem informacji (ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005) oraz z zarządzaniem ciągłością działania (ISO 22301);
  2. Precyzuje kluczowe pojęcia (m.in. RTO, RPO, MBCO, gotowość ICT, odzyskiwanie ICT) wraz z terminologią zaczerpniętą z ISO/IEC 27000, ISO/IEC 27035-1, ISO 22300 i ISO 22301;
  3. Wskazuje związki między celami biznesowymi a wymaganiami dotyczącymi gotowości ICT, ułatwiając integrację działań działu IT z ogólną strategią zarządzania ryzykiem i ciągłością działania;
  4. Prezentuje ramy metodologiczne obejmujące wszystkie fazy życia IRBC: planowanie, realizację, testowanie i doskonalenie.

W efekcie ISO/IEC 27031:2025 jest praktycznym przewodnikiem, który pomaga działom IT dostosować procesy, zasoby i technologie do wymagań wynikających z analizy wpływu na biznes (Business Impact Analysis) i zarządzania ryzykiem. Szkoda, że tak późno go zaktualizowano.

Wiedza pozyskiwana ze standardu

Implementacja normy ISO/IEC 27031:2025 umożliwia organizacji zdobycie wiedzy w następujących obszarach:

  1. Powiązanie z zarządzaniem ciągłością działania (BCM)
    • Zrozumienie, jak IRBC wpisuje się w szerszy proces Business Continuity Management (BCM), w szczególności w kontekście określania priorytetów działań krytycznych, celów minimalnych MBCO (Minimum Business Continuity Objective) oraz kluczowych parametrów RTO (Recovery Time Objective) i RPO (Recovery Point Objective).
    • Świadomość konieczności współpracy między działem IT a komórkami odpowiedzialnymi za BCM i zarządzanie incydentami (ISO/IEC 27035-1).
  2. Zarządzanie ryzykiem dla dostępności ICT
    • Poznanie procesu identyfikacji i oceny ryzyk, które mają charakter bardzo niskiej prawdopodobności, ale wysokiego impaktu (np. cyberataki DDoS, awarie chmury).
    • Wiedza na temat dobierania odpowiednich zabezpieczeń (kontrole z ISO/IEC 27002:2022, klauzula 5.30) oraz planów ciągłego monitorowania, wykrywania i analizowania zagrożeń, by wczesne sygnały (np. nietypowe ruchy sieciowe, błędy systemowe) mogły uruchomić proces IRBC.
  3. Określanie wymagań biznesowych dla usług ICT
    • Zrozumienie, które usługi i komponenty ICT są krytyczne („critical ICT services”), oraz ich powiązań z kluczowymi procesami biznesowymi (np. ERP, systemy płatności online, poczta elektroniczna).
    • Umiejętność opracowania dokumentacji opisującej zasoby ICT (infrastruktura, aplikacje, dane, personel, dostawcy) w kontekście zależności end-to-end.
  4. Tworzenie strategii gotowości ICT
    • Poznanie katalogu opcji strategicznych: od duplikacji zasobów w wielu lokalizacjach (Dual site, high-availability), przez wykorzystanie chmury i usług zewnętrznych („fallback to secure state”, „suppliers take over”), po minimalizację („minimization”) i podejścia hybrydowe.
    • Zrozumienie znaczenia planowania redundancji sprzętowej (cold/warm/hot backup) i procedur „workaround” (tymczasowych rozwiązań pozwalających działać pomimo awarii podstawowego systemu).
  5. Opracowanie planów ciągłości ICT
    • Umiejętność określania ról i odpowiedzialności w zespole IRBC, w tym kompetencji personelu, potrzeb szkoleniowych, procedur eskalacji incydentów do poziomu IRBC i późniejszego powrotu kontroli do zespołu ds. incydentów.
    • Wiedza na temat etapów od aktywacji planu, przez odzyskanie infrastruktury (odtwarzanie backupów, przełączanie na środowisko zapasowe), aż po przywrócenie pełnej wydajności (scale-up, testy akceptacyjne).
  6. Testy, ćwiczenia i audyt
    • Zrozumienie, jak definiować kryteria jakościowe i ilościowe (metryki z ISO/IEC 27004) do oceny skuteczności IRBC.
    • Umiejętność projektowania programu ćwiczeń, uwzględniającego różne poziomy (od warsztatów warsztatowych, przez próby odtworzenia środowisk, po pełne symulacje katastrof), oraz analizowania wyników, by stale doskonalić proces.
  7. Zaangażowanie top managementu
    • Wiedza o wymogach dokumentowania polityki IRBC, zatwierdzania strategii, monitorowania zmian w środowisku ICT (np. wdrożenie nowego systemu ERP, migracja do chmury) i dokonywania przeglądu zgodności z potrzebami biznesu.

Dzięki powyższym elementom wiedzy, organizacja zyskuje holistyczne podejście do przygotowania technologicznego, oparte na solidnych podstawach formalnych i najlepszych praktykach. Szkoda, że w ramach zmian w standardach opracowanych w komitecie ISO/TC 292 nie pokuszono się o uaktualnienie normy ISO 22398:2013 Societal security — Guidelines for exercises, gdyż jest to kolejny obszar często zaniedbywany przy wdrażaniu BCMS.

Backup, DRP, RTO, IRBC

Jak wykorzystać ISO/IEC 27031:2025 w praktyce?

Implementacja IRBC wg ISO/IEC 27031:2025 wymaga realizacji kilku kroków, które można zgrupować w kluczowe fazy:

  1. Analiza wstępna (Gap Analysis)
    • Przeprowadzenie analizy stanu obecnego w odniesieniu do wymagań IRBC: ocena posiadanych mechanizmów wykrywania zagrożeń, procedur backupów, redundancji sprzętowej, umów z dostawcami, kompetencji personelu.
    • Opracowanie matrycy krytyczności usług ICT, opisanie zależności pomiędzy systemami a kluczowymi procesami biznesowymi (np. usługa płatności wspiera proces e-sklepu).
  2. Określenie celów i metryk
    • Zdefiniowanie MBCO dla każdej krytycznej usługi ICT – czyli minimalnego poziomu dostępności lub wydajności, który pozwala utrzymać funkcjonowanie procesów biznesowych.
    • Ustalenie RTO (maksymalnego czasu, w którym usługa ICT ma zostać przywrócona) i RPO (maksymalnej dopuszczalnej straty danych wyrażonej w czasie, np. „30 minut danych transakcyjnych”).
  3. Opracowanie strategii IRBC
    • Wybór strategii technologicznych (np. replikacja w czasie rzeczywistym do drugiego centrum danych, klastering geograficzny, usługi DR w chmurze) w oparciu o budżet i założone RTO/RPO.
    • Planowanie redundancji sprzętowej: określenie, które zasoby będą miały hot-standby (natychmiastowa dostępność), które wymagać będą konfiguracji (warm-standby) i które można odtworzyć z magazynu (cold-standby).
    • Uwzględnienie zależności od dostawców zewnętrznych: sporządzenie listy krytycznych partnerów, weryfikacja ich możliwości dostarczenia sprzętu lub usług backupowych w wymaganym czasie.
  4. Ustalenie struktury organizacyjnej IRBC
    • Wyznaczenie osoby lub komitetu odpowiedzialnego za politykę IRBC, wraz z zespołem specjalistów ds. odzyskiwania ICT.
    • Zdefiniowanie ról: koordynator IRBC, administratorzy systemów, specjaliści ds. sieci, analitycy bezpieczeństwa, testerzy planów.
    • Przygotowanie harmonogramu szkoleń i ćwiczeń, aby personel posiadał kompetencje do realizacji powyższych ról w sytuacji kryzysowej.
  5. Opracowanie i wdrożenie planów ciągłości ICT
    • Spisanie procedur odzyskiwania infrastruktury („recovery runbook”) — krok po kroku, jak przekierować ruch na zapasowe serwery, przywrócić bazy danych z kopii, skonfigurować środowisko zastępcze.
    • Ustalenie sposobów komunikacji w sytuacji kryzysowej: kanały powiadamiania zespołu IRBC, procedury eskalacji do zarządu, współpraca z zespołem incident response (ISO/IEC 27035-1).
    • Dokumentacja planów „workaround” — tymczasowych metod świadczenia usług (np. ręczne procesy księgowe, fallback na system wspomagający) na czas odbudowy głównych systemów.
  6. Testowanie i doskonalenie
    • Regularne ćwiczenia symulacyjne (tabletop, walk-through), sprawdzające zarówno aspekty techniczne (przywracanie backupów, przełączanie sieci), jak i organizacyjne (podejmowanie decyzji, komunikacja z interesariuszami).
    • Przeprowadzanie testów pełnej odtwarzalności (end-to-end) w środowisku podobnym do produkcyjnego, w celu weryfikacji, czy RTO i RPO są osiągalne.
    • Analiza wyników ćwiczeń, identyfikowanie luk (np. zbyt długi czas odtworzenia bazy danych, brak kompetencji w zespole), wprowadzanie usprawnień i aktualizacja dokumentacji.
  7. Monitorowanie i nadzór
    • Ustanowienie mechanizmów ciągłego monitorowania zagrożeń dla ICT: systemy SIEM, IDS/IPS, alerty dotyczące wydajności, stanów magazynów kopii zapasowych.
    • Okresowe przeglądy zgodności IRBC z bieżącymi wymaganiami biznesowymi — np. w przypadku wprowadzenia nowej aplikacji lub migracji do innej platformy.
    • Comiesięczne lub kwartalne raportowanie do top managementu o stanie gotowości ICT, wynikach testów i nowych ryzykach.

Wdrożenie ISO/IEC 27031:2025 to proces iteracyjny, w którym kluczowe jest stałe dostosowywanie działań IRBC do zmieniającego się środowiska technologicznego, zmian w strategii biznesowej i ewoluujących zagrożeń cybernetycznych. Dlatego oceniam tą normę jako pomostową między zagadnieniami BC w SZBI a pełnym wdrożeniem BCMS wg ISO 22301.

Język korzyści w opraciu o ISO/IEC 27031:2025

Zastosowanie standardu IRBC przynosi szereg korzyści organizacji, zarówno o charakterze operacyjnym, jak i strategicznym:

  1. Zwiększenie odporności operacyjnej
    • Dzięki precyzyjnemu zdefiniowaniu RTO i RPO oraz opracowaniu procedur awaryjnych, usługi ICT mogą być przywracane szybko i w określonym zakresie, co minimalizuje przestoje i straty finansowe.
    • Wypracowane „workaroundy” pozwalają na tymczasowe utrzymanie krytycznych procesów, nawet gdy główne systemy są niedostępne.
  2. Lepsze zarządzanie ryzykiem
    • Świadomość zagrożeń oraz możliwość wczesnego wykrywania anomalii (monitoring, detekcja, analiza) pozwala proaktywnie przeciwdziałać incydentom, co skraca czas reakcji i redukuje skalę potencjalnych szkód.
    • Integracja z procesem zarządzania ryzykiem (ISO/IEC 27005) umożliwia świadomość wpływu awarii ICT na cele biznesowe i podejmowanie decyzji o priorytetach inwestycji w infrastrukturę.
  3. Usprawnienie komunikacji wewnętrznej i zewnętrznej
    • Wypracowane procedury eskalacji incydentów i kanały powiadamiania ułatwiają koordynację działań między działami IT, BCM, kierownictwem oraz dostawcami zewnętrznymi.
    • Jasno określone role i obowiązki minimalizują ryzyko nieporozumień w sytuacji kryzysowej.
  4. Oszczędność kosztów i optymalizacja zasobów
    • Dzięki analizie zależności usług ICT względem procesów biznesowych możliwe jest optymalne dopasowanie poziomu ochrony do rzeczywistych potrzeb („nie przeinwestować” w nadmierne zabezpieczenia tam, gdzie nie są niezbędne).
    • Poznanie realnego zapotrzebowania na zapasowy sprzęt, chmurę czy usługi dostawców pozwala zawierać korzystniejsze umowy SLA oraz redukuje ryzyko niepotrzebnych wydatków.
  5. Spełnienie wymagań regulacyjnych i kontraktowych
    • W wielu sektorach (finanse, zdrowie, administracja publiczna) oczekuje się formalnego udokumentowania mechanizmów ciągłości ICT. Certyfikacja lub potwierdzenie zgodności z ISO/IEC 27031:2025 może być dowodem spełniania wymogów audytowych.
    • Umieszczanie wymagań IRBC w kontraktach z dostawcami (ISO/IEC 27036-1) ułatwia egzekwowanie poziomu wsparcia i terminowości „przywrócenia usługi” w sytuacji kryzysowej.
  6. Budowanie zaufania interesariuszy
    • Automatyczne uczestnictwo w programach ćwiczeń i regularne testowanie planów ICT DR (disaster recovery) zwiększa wiarygodność klien­tów, partnerów i inwestorów w zdolność organizacji do utrzymania ciągłości działania nawet w ekstremalnych warunkach.
    • Przejrzysta komunikacja wewnątrz organizacji buduje świadomość bezpieczeństwa oraz zachęca personel IT do podnoszenia kompetencji i doskonalenia procedur.
  7. Utrzymanie konkurencyjności
    • Organizacje, które szybko i skutecznie radzą sobie z awariami ICT, rzadziej doświadczają zakłóceń w świadczeniu usług, co przekłada się na wyższą satysfakcję klientów i przewagę rynkową.
    • Gotowość ICT bywa często czynnikiem decydującym o wyborze dostawcy — szczególnie w branżach, w których wymagana jest wysoka dostępność (np. e-commerce, finanse).

Zgodność z ISO/IEC 27001:2022 – A 5.30

Pięć kluczowych elementów zgodności SZBI w zakresie nowej edycji, które zapewnia omawiany standard:

  1. Identyfikacja i klasyfikacja usług ICT (A.5.30.1) – wskazanie, które systemy są niezbędne dla biznesu.
  2. Definicja RTO/RPO (A.5.30.2) – ustalenie realnych celów przywrócenia usług oraz limitu utraty danych.
  3. Opracowanie strategii gotowości ICT (A.5.30.3) – wybór technologii, modeli redundancji, backup w chmurze czy lokalnie.
  4. Dokumentacja procedur przywracania (A.5.30.3) – stworzenie „recovery runbook” zawierającego kroki postępowania.
  5. Regularne testy i doskonalenie (A.5.30.4) – symulacje, ćwiczenia oraz aktualizacja planów.

A jak to zrobić w praktyce, można ująć w kilku punktach:

  • Przeprowadź analizę luk: oceń stan obecny procedur backupowych i redundancji.
  • Zmapuj usługi krytyczne i określ RTO/RPO.
  • Wybierz strategię IRBC (cloud vs. on-premise, klastrowanie, SLA z dostawcami).
  • Opracuj dokumentację („recovery runbook”, komunikacja kryzysowa, podział ról).
  • Testuj procedury: regularne ćwiczenia i aktualizacja planów.

Podsumowanie

Czy szkorzystamy z wytycznych komitetu ISO/TC 292, które opracowało kilka pozycji związanych z ciągłością działania, czy też z opisywanego standardu zależy od naszych preferencji i potrzeby głębokości poznania tego zagadnienia. Standard ISO/IEC 27031:2025 to niezbędne narzędzie dla organizacji, które w sposób usystematyzowany i zgodny z międzynarodowymi najlepszymi praktykami zapewnia gotowość technologii informacyjno-komunikacyjnych na wypadek incydentów lub poważnych zakłóceń. Wykorzystanie tego dokumentu pozwala:

  • jasno określić wymagania biznesowe (RTO, RPO, MBCO) względem usług ICT;
  • wdrożyć proces zarządzania ryzykiem skupiony na utrzymaniu dostępności systemów;
  • opracować kompleksowe strategie redundancji i odzyskiwania (hot/warm/cold standby, klastrowanie, usługi chmurowe);
  • wypracować procedury reakcji na incydenty, eskalacji i przywracania środowiska IT;
  • regularnie testować, doskonalić i audytować procesy IRBC, by zachować zgodność z dynamicznie zmieniającym się otoczeniem;
  • zademonstrować interesariuszom zdolność do kontynuowania działalności nawet przy poważnych awariach ICT.

W efekcie organizacja nie tylko ogranicza ryzyko strat finansowych i wizerunkowych, lecz także buduje kulturę bezpieczeństwa oraz elastyczność operacyjną, co na pewno przekłada się na przewagę konkurencyjną. Systematyczne wdrażanie i utrzymywanie IRBC zgodnie z ISO/IEC 27031:2025 to inwestycja w odporność organizacji na zagrożenia technologiczne i biznesowe. Certyfikacja SZBI, w którym IRBC stanowi jedną z kontrolek stanie się przysłowiową „bułką z masłem” , a implementacja SZCD i jego certyfikacja nie powinna tworzyć żadnego problemu poznawczego.

Zapraszamy do współpracy
Zespół Centre of Excellence i QSCert-Poland

Bibliografia:

Przewijanie do góry