Skip to content 
Wprowadzenie do planu ochrony,
vs. wymagania ISO 22301
Norma ISO 22342:2023 – Security and resilience — Protective security — Guidelines for the development of a security plan for an organization, czyli w wolnym tłumaczeniu „Bezpieczeństwo i odporność – Zabezpieczenia ochronne – Wytyczne dotyczące opracowania planu ochrony dla organizacji” to norma wspierająca opracowanie jednego z dokumentów, jak przedstawiono w tytule. Chociaż jest ona produktem komitetu ISO/TC 292, to nie odnosi się do standardu ISO 22301, nie jest wymaganiem BCMS, lecz odnosi się do ISO 28000. Natomiast często we wdrożeniach BCMS, szczególnie w firmach z kręgów anglosaskich można spotkać „Security Plan” (Planu ochrony), jako dobrą praktykę, albowiem plan łączy w sobie wszystkie elementy dotyczące ochrony obiektu. Jest więc elementem odporności organizacji w odniesieniu do otoczenia, w którym się znajduje, i którego wpływom podlega.
Cel planu ochrony wg ISO 22342
W obecnych czasach wszystkie organizacje starają się zarządzać ryzykiem związanym z bezpieczeństwem w swoim środowisku, aby zapewnić odpowiedni poziom ochrony swoich aktywów, zachować interesy zainteresowanych stron i osiągnąć swoje cele, bo jest to ich „być albo nie być”. Organizacje czasami muszą ustanowić i utrzymywać ustrukturyzowane podejście do bezpieczeństwa, szczególnie tam gdzie bezpieczeństwo jest silnie związane z core business’em .
Celem planu ochrony, czasami zwanym planem bezpieczeństwa jest zapewnienie, że wszystkie odpowiednie działania i zabezpieczenia są wdrożone w celu ochrony organizacji przed zagrożeniami dla jej bezpieczeństwa. ISO 22342 zawiera wytyczne dotyczące wdrażania planu bezpieczeństwa, którego struktura obejmuje wytyczne dotyczące architektury bezpieczeństwa. Dzięki temu plan bezpieczeństwa można skutecznie zintegrować z istniejącym systemem zarządzania.
Integracja procesów zarządzania ryzykiem w organizacji z modelem planu bezpieczeństwa wspiera właściwe zarządzanie bezpieczeństwem. Plan bezpieczeństwa ma na celu przypisanie odpowiedzialności i obowiązków oraz kierowanie stosowaniem środków kontroli w celu ochrony organizacji przed zagrożeniami bezpieczeństwa. Zaplanowane podejście, które jest adaptacyjne i zwinne, umożliwia zapewnienie rozwiązań w nieplanowanych sytuacjach. Zagrożenia bezpieczeństwa są dynamiczne i często nieprzewidziane, dlatego niniejszy dokument wprowadza zarówno techniczne, jak i ludzkie elementy adaptacyjnego i zwinnego podejścia planowego.
ISO 22342 uwzględnia techniczne i ludzkie aspekty takiego elastycznego podejścia. Nawet w takich organizacjach, które zajmują tylko część obiektu, jak np. Data Centre, plany ochrony stały się obowiązkowym dokumentem w portfolio BCMS budowanym na bazie ISO 22301. Należy także wspomnieć, że norma nie zawiera szczegółowych kryteriów identyfikacji potrzeby wdrożenia lub wzmocnienia środków zapobiegania i ochrony przed złośliwymi działaniami. Nie ma ona także zastosowania do usług i operacji świadczonych przez prywatne firmy ochroniarskie. Plany ochrony nie są także wymagane przy certyfikacji systemu zarządzania w oparciu o ISO 22301.
Składniki planu ochrony
We wstępie do tego zagadnienia w normie ISO 28000:2022 – “Security and resilience — Security management systems — Requirements”, napisano, że “… Organizacja powinna ustanowić i udokumentować plany i procedury bezpieczeństwa oparte na wybranych strategiach i sposobach postępowania. Organizacja powinna wdrożyć i utrzymywać strukturę reagowania, która umożliwi terminowe i skuteczne ostrzeganie i komunikowanie słabych punktów związanych z bezpieczeństwem i bezpośrednimi zagrożeniami bezpieczeństwa lub trwającymi naruszeniami bezpieczeństwa odpowiednim zainteresowanym stronom. Struktura reagowania powinna zapewniać plany i procedury zarządzania organizacją podczas bezpośredniego zagrożenia bezpieczeństwa lub trwającego naruszenia bezpieczeństwa…”. Mamy więc 4 zagadnienia do rozpracowania:
- Struktura reagowania,
- Ostrzeżenia i komunikacja,
- Zawartość planu ochrony,
- Przywracanie stanu ochrony po naruszeniu.
A sam plan ochrony zwykle zawiera 4 klauzule, które powinny stanowić jego zawartość, i tak jest to też definiowane w normie ISO 22342:
- Zarządzanie ochroną, w tym:
- Postanowienia ogólne (sposób zarządzania planem),
- Cele ochrony,
- Zakres planu ochrony,
- Przywództwo,
- Przepisy prawne i regulacyjne,
- Role, obowiązki i odpowiedzialność,
- Komunikacja,
- Udokumentowane informacje,
- Raportowanie,
- Ocena,
- Ciągłe doskonalenie,
- Zarządzanie ryzykiem,
- Postanowienia ogólne (sposób zarządzania ryzykiem),
- Zakres, kontekst i kryteria ryzyka związanego z bezpieczeństwem,
- Ocena ryzyka,
- Postępowanie z ryzykiem,
- Poziom akceptacji dla pozostałego ryzyka związanego z ochroną,
- Komunikacja i konsultacje,
- Monitorowanie i przegląd,
- Zarządzanie dokumentacją i rejestrowanie,
- Kontrola ochrony,
- Postanowienia ogólne (sposób organizacji kontroli),
- Poziom ochrony,
- Procedury kontroli ochrony,
- Kontrole i zabiegi na poziomie operacyjnym,
- Planowanie awaryjne na wypadek mało prawdopodobnych i nieprzewidzianych sytuacji,
- Harmonogram działań związanych z ochroną,
- Proces kontroli,
- Postanowienia ogólne (opis procesu kontroli)
- Dobór środków kontroli,
- Wdrażanie, testowanie i ocena,
- Działania monitorujące,
- Określanie skuteczności,
Po szczegółowy opis poszczególnych elementów planów kontroli należy już sięgnąć do wspomnianej normy, aby nie naruszać zasad licencji. Warto jednak rozważyć utworzenie takiego dokumentu integrującego zagadnienia ochrony i bezpieczeństwa w ramach BCMS tworzonego w oparciu o normę ISO 22301, gdyż coraz częściej tworzone struktury ochrony i bezpieczeństwa w organizacjach potrzebują precyzyjnej informacji związanej z zarządzaniem tym zakresem zadań.
Zapraszamy do współpracy,
Zespół Centre of Excellence – QSCert
Literatura:
- ISO 22342:2023 – Security and resilience — Protective security — Guidelines for the development of a security plan for an organization (https://www.iso.org/standard/50079.html).
- ISO 28000:2022 – Security and resilience — Security management systems — Requirements.
- ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements.