Business Continuity Planning - Business continuity planning

Ciągłość biznesowa może być zdefiniowana jako „zdolność organizacji do kontynuacji dostarczania produktów lub usług na wstępnie zdefiniowanych akceptowalnych poziomach po incydencie zakłócającym”, a planowanie ciągłości biznesowej (lub planowanie ciągłości działania i odporności ) to proces tworzenia systemów zapobiegania i odzyskiwania w celu radzenia sobie z potencjalnymi zagrożeniami dla firmy.Oprócz prewencji, celem jest umożliwienie bieżących operacji przed i w trakcie wykonywania odzyskiwania po awarii.Ciągłość działania jest zamierzonym wynikiem prawidłowego wykonania zarówno planowania ciągłości działania, jak i odtwarzania po awarii .

Kilka standardów ciągłości działania zostało opublikowanych przez różne organy normalizacyjne, aby pomóc w sporządzeniu listy kontrolnej bieżących zadań planowania.

Odporność organizacji na niepowodzenie to „zdolność… do wytrzymania zmian w jej otoczeniu i dalszego funkcjonowania”. Często nazywana odpornością, jest to zdolność, która umożliwia organizacjom albo przetrwanie zmian środowiskowych bez konieczności ciągłej adaptacji, albo organizacja jest zmuszona do dostosowania nowego sposobu pracy, który lepiej odpowiada nowym warunkom środowiskowym.

Przegląd

W planie należy uwzględnić wszelkie zdarzenia, które mogą negatywnie wpłynąć na operacje, takie jak przerwanie łańcucha dostaw , utrata lub uszkodzenie infrastruktury krytycznej (główne maszyny lub zasoby obliczeniowe/sieciowe). Jako takie, BCP jest podzbiorem z zarządzaniem ryzykiem . W USA podmioty rządowe nazywają ten proces planowaniem ciągłości operacji (COOP). Plan ciągłości działania przedstawia szereg scenariuszy katastrof oraz kroki, które firma podejmie w każdym konkretnym scenariuszu, aby powrócić do normalnego handlu. BCP są pisane z wyprzedzeniem i mogą również zawierać środki ostrożności, które należy wprowadzić. Zwykle tworzony przy udziale kluczowych pracowników, a także interesariuszy, BCP to zestaw nieprzewidzianych okoliczności, który ma na celu zminimalizowanie potencjalnych szkód dla firm podczas niekorzystnych scenariuszy.

Odporność

Analiza z 2005 r. dotycząca tego, jak zakłócenia mogą negatywnie wpłynąć na działalność korporacji i jak inwestycje w prężność mogą dać przewagę konkurencyjną nad podmiotami nieprzygotowanymi na różne nieprzewidziane okoliczności, rozszerzyła powszechnie stosowane wówczas praktyki planowania ciągłości działania. Organizacje biznesowe, takie jak Rada ds. Konkurencyjności, przyjęły ten cel odporności.

Adaptacja do zmian w pozornie wolniejszy, bardziej ewolucyjny sposób – czasami przez wiele lat lub dekad – została opisana jako bardziej odporna, a termin „odporność strategiczna” jest obecnie używany, aby wyjść poza stawianie oporu jednorazowemu kryzysowi, ale raczej w sposób ciągły przewidywanie i dostosowywanie się, „zanim sprawa zmiany stanie się desperacko oczywista”.

Podejście to jest czasami podsumowane jako: gotowość , ochrona, reagowanie i odzyskiwanie.

Teoria odporności może być powiązana z dziedziną Public Relations. Odporność to proces komunikacyjny, który jest konstruowany przez obywateli, rodziny, system medialny, organizacje i rządy poprzez codzienną rozmowę i rozmowę za pośrednictwem mediacji.

Teoria ta opiera się na pracy Patrice'a M. Buzzanella , profesora w Szkole Komunikacji Briana Lamba na Purdue University . W swoim artykule z 2010 roku „Resilience: Talking, Resisting and Imagining New Normalcies Into Being” Buzzanell omówiła zdolność organizacji do prosperowania po kryzysie poprzez budowanie oporu. Buzzanell zauważa, że ​​istnieje pięć różnych procesów, z których korzystają osoby, które próbują zachować normalność – kształtowanie odporności, potwierdzanie zakotwiczeń tożsamości, utrzymywanie i używanie sieci komunikacyjnych, stosowanie alternatywnych logik do pracy i bagatelizowanie negatywnych uczuć przy jednoczesnym wysuwaniu pozytywnych emocji na pierwszy plan.

Patrząc na teorię odporności, teoria komunikacji kryzysowej jest podobna, ale nie taka sama. Teoria komunikacji kryzysowej opiera się na reputacji firmy, natomiast teoria odporności opiera się na procesie odbudowy firmy. Istnieje pięć głównych elementów odporności: kształtowanie normalności, potwierdzanie zakotwiczeń tożsamości, utrzymywanie i używanie sieci komunikacyjnych, wprowadzanie w życie alternatywnej logiki oraz bagatelizowanie negatywnych uczuć przy jednoczesnym wysuwaniu na pierwszy plan negatywnych emocji. Każdy z tych procesów może mieć zastosowanie w firmach w czasach kryzysu, co sprawia, że ​​odporność jest ważnym czynnikiem, na którym firmy powinny się skupić podczas szkolenia.

Istnieją trzy główne grupy dotknięte kryzysem. Są to mikro (indywidualne), mezo (grupa lub organizacja) i makro (narodowe lub międzyorganizacyjne). Istnieją również dwa główne typy odporności, które są proaktywne i post-resilience. Proaktywna odporność to przygotowanie na kryzys i stworzenie solidnego fundamentu dla firmy. Odporność na stanowiska obejmuje kontynuację utrzymywania komunikacji i kontaktowania się z pracownikami. Prężność proaktywna to radzenie sobie z bieżącymi problemami, zanim spowodują one możliwą zmianę w środowisku pracy i post odporności, utrzymywanie komunikacji i akceptowanie szans po wystąpieniu incydentu. Odporność można zastosować do dowolnej organizacji.

Ciągłość

Plany i procedury są wykorzystywane w planowaniu ciągłości działania, aby zapewnić, że krytyczne operacje organizacyjne wymagane do utrzymania działania organizacji będą nadal działać podczas zdarzeń, gdy kluczowe zależności operacyjne zostaną zakłócone. Ciągłość nie musi dotyczyć wszystkich działań podejmowanych przez organizację. Na przykład, zgodnie z ISO 22301:2019 , organizacje są zobowiązane do określenia swoich celów w zakresie ciągłości biznesowej, minimalnych poziomów operacji związanych z produktami i usługami, które będą uważane za dopuszczalne, oraz maksymalnego dopuszczalnego okresu zakłóceń (MTPD), który może być dozwolony.

Głównym kosztem planowania tego jest przygotowanie dokumentów dotyczących zarządzania zgodnością audytu; dostępne są narzędzia do automatyzacji, które pozwalają skrócić czas i zmniejszyć koszty związane z ręcznym tworzeniem tych informacji.

Spis

Planiści muszą mieć informacje o:

• Ekwipunek
• Dostawy i dostawcy
• Lokalizacje, w tym inne biura i miejsca tworzenia kopii zapasowych /odzyskiwania obszarów roboczych (WAR)
• Dokumenty i dokumentacja, w tym posiadające kopie zapasowe poza siedzibą firmy:
  • Dokumenty biznesowe
  • Dokumentacja procedury

Analiza

Faza analizy składa się z

• analiza wpływu
• analiza zagrożeń i
• scenariusze wpływu.

Ilościowe określenie wskaźników szkodowości musi również uwzględniać „dolary na obronę pozwu”. Szacuje się, że dolar wydany na zapobieganie stratom może zapobiec „siedmiu dolarów strat ekonomicznych związanych z katastrofami”.

Analiza wpływu na biznes (BIA)

Analiza wpływu biznesowego (BIA) rozróżnia krytyczne (pilne) i niekrytyczne (niepilne) funkcje/działania organizacji. Funkcja może zostać uznana za krytyczną, jeśli jest podyktowana prawem.

Każda funkcja/działanie zazwyczaj opiera się na kombinacji elementów składowych w celu działania:

• Zasoby ludzkie (pracownicy pełnoetatowi, pracownicy zatrudnieni w niepełnym wymiarze godzin lub kontrahenci)
• systemy informatyczne
• Aktywa fizyczne (telefony komórkowe, laptopy/stacje robocze itp.)
• Dokumenty (elektroniczne lub fizyczne)

Do każdej funkcji przypisane są dwie wartości:

• Recovery Point Objective (RPO) – dopuszczalne opóźnienie danych, które nie zostaną odzyskane. Na przykład, czy firma może stracić 2 dni danych? Cel punktu odzyskiwania musi zapewniać, że maksymalna tolerowana utrata danych dla każdego działania nie zostanie przekroczona.
• Recovery Time Objective (RTO) – akceptowalna ilość czasu do przywrócenia funkcji

Maksymalny RTO

Maksymalne ograniczenia czasowe dotyczące tego, jak długo kluczowe produkty lub usługi przedsiębiorstwa mogą być niedostępne lub niemożliwe do dostarczenia, zanim interesariusze dostrzegą niedopuszczalne konsekwencje, zostały nazwane:

• Maksymalny Tolerowany Okres Zakłóceń (MTPoD)
• Maksymalny tolerowany czas przestoju ( MTD )
• Maksymalny tolerowany przestój ( MTO )
• Maksymalny dopuszczalny przestój ( MAO )

Zgodnie z ISO 22301 terminy maksymalna dopuszczalna przestój i maksymalny tolerowany okres zakłóceń oznaczają to samo i są definiowane za pomocą dokładnie tych samych słów.

Spójność

W przypadku awarii więcej niż jednego systemu plany odzyskiwania muszą zrównoważyć potrzebę spójności danych z innymi celami, takimi jak RTO i RPO. Cel spójności odzyskiwania (RCO) to nazwa tego celu. Stosuje cele spójności danych , aby zdefiniować pomiar spójności rozproszonych danych biznesowych w połączonych systemach po incydencie katastrofy. Podobne terminy używane w tym kontekście to „Charakterystyka spójności odzyskiwania” (RCC) i „Granularność obiektu odzyskiwania” (ROG).

Podczas gdy RTO i RPO są wartościami bezwzględnymi na system, RCO jest wyrażone jako wartość procentowa, która mierzy odchylenie między rzeczywistym a docelowym stanem danych biznesowych w różnych systemach dla grup procesów lub poszczególnych procesów biznesowych.

Poniższa formuła oblicza RCO, gdzie „n” reprezentuje liczbę procesów biznesowych, a „podmioty” reprezentują abstrakcyjną wartość danych biznesowych: ${\ Displaystyle {\ tekst {RCO}} = 1 - {\ Frac {({\ tekst {liczba niespójnych podmiotów}}) _ {n}} {({\ tekst {liczba podmiotów}}) _ {n} }}}$

100% RCO oznacza, że ​​po odzyskaniu nie występują żadne odchylenia danych biznesowych.

Analiza zagrożeń i ryzyka (TRA)

Po zdefiniowaniu wymagań dotyczących odzyskiwania każde potencjalne zagrożenie może wymagać unikalnych kroków odzyskiwania. Typowe zagrożenia to:

Powyższe obszary mogą się kaskadować: Respondenci mogą się potykać. Zapasy mogą się wyczerpywać. Podczas wybuchu SARS w latach 2002-2003 , niektóre organizacje dzieliły i zmieniały zespoły, aby dopasować je do okresu inkubacji choroby. Zakazali również kontaktu osobistego zarówno w godzinach pracy, jak i poza nimi. Zwiększyło to odporność na zagrożenie.

Scenariusze wpływu

Scenariusze wpływu są identyfikowane i dokumentowane:

• potrzeba zaopatrzenia medycznego
• potrzeba opcji transportu
• cywilny wpływ katastrof nuklearnych
• potrzeba dostaw dla biznesu i przetwarzania danych

Powinny one odzwierciedlać jak najszersze szkody.

Poziomy gotowości

Siedem poziomów odzyskiwania po awarii SHARE wydanych w 1992 r., zostało zaktualizowanych w 2012 r. przez IBM jako model ośmiopoziomowy:

• Poziom 0 — brak danych zewnętrznych • Firmy korzystające z rozwiązania odzyskiwania po awarii na poziomie 0 nie mają planu odzyskiwania po awarii. Nie ma zapisanych informacji, dokumentacji, sprzętu do tworzenia kopii zapasowych ani planu awaryjnego. Typowy czas odzyskiwania: czas odzyskiwania w tej instancji jest nieprzewidywalny . W rzeczywistości odzyskanie może nie być w ogóle możliwe.
• Warstwa 1 — kopia zapasowa danych bez lokalizacji aktywnej • Firmy korzystające z rozwiązań odzyskiwania po awarii w warstwie 1 tworzą kopię zapasową danych w placówce poza siedzibą. W zależności od tego, jak często wykonywane są kopie zapasowe, są oni przygotowani na utratę danych od kilku dni do tygodni , ale ich kopie zapasowe są bezpieczne poza siedzibą firmy. Jednak na tym poziomie brakuje systemów, w których można przywrócić dane. Metoda dostępu do ciężarówki (PTAM).
• Warstwa 2 — tworzenie kopii zapasowych danych za pomocą Hot Site • Rozwiązania Tier 2 Disaster Recovery tworzą regularne kopie zapasowe na taśmach. Jest to połączone z obiektem i infrastrukturą poza siedzibą (tzw. hot site), w której można przywrócić systemy z tych taśm w przypadku awarii. Rozwiązanie tej warstwy nadal będzie skutkować koniecznością odtwarzania danych z kilku godzin do kilku dni, ale jest mniej nieprzewidywalne pod względem czasu odzyskiwania . Przykłady obejmują: PTAM z dostępnym Hot Site, IBM Tivoli Storage Manager.
• Tier 3 – Elektroniczne przechowywanie • Rozwiązania Tier 3 wykorzystują komponenty Tier 2. Dodatkowo niektóre dane o znaczeniu krytycznym są przechowywane w elektronicznym skarbcu. Te przechowywane elektronicznie dane są zazwyczaj bardziej aktualne niż te, które są przesyłane za pośrednictwem PTAM. W rezultacie po wystąpieniu katastrofy następuje mniej odtwarzania lub utraty danych .
• Warstwa 4 — kopie w określonym czasie • Rozwiązania warstwy 4 są używane przez firmy, które wymagają zarówno większej wartości waluty danych, jak i szybszego odzyskiwania niż użytkownicy niższych warstw. Zamiast polegać w dużej mierze na dostarczaniu taśm, jak to często bywa w niższych warstwach, rozwiązania warstwy 4 zaczynają obejmować więcej rozwiązań opartych na dyskach. Kilkugodzinna utrata danych jest nadal możliwa , ale łatwiej jest wykonać takie kopie w określonym punkcie czasu (PIT) z większą częstotliwością niż dane, które można replikować za pomocą rozwiązań taśmowych.
• Poziom 5 — Integralność transakcji • Rozwiązania poziomu 5 są używane przez firmy, w których wymagana jest spójność danych między centrami produkcyjnymi i odzyskiwania danych. W takich rozwiązaniach utrata danych jest niewielka lub żadna ; jednak obecność tej funkcji jest całkowicie zależna od używanej aplikacji.
• Poziom 6 — zerowa lub niewielka utrata danych • Rozwiązania do odtwarzania po awarii poziomu 6 zapewniają najwyższy poziom waluty danych . Są używane przez firmy z niewielką lub żadną tolerancją na utratę danych i które muszą szybko przywracać dane do aplikacji. Rozwiązania te nie są zależne od aplikacji w celu zapewnienia spójności danych.
• Tier 7 — wysoce zautomatyzowane, zintegrowane rozwiązanie biznesowe • Rozwiązania Tier 7 obejmują wszystkie główne komponenty używane w rozwiązaniu Tier 6 z dodatkową integracją automatyzacji. Pozwala to rozwiązaniu Tier 7 zapewnić spójność danych powyżej tej, którą zapewniają rozwiązania Tier 6. Dodatkowo odzyskiwanie aplikacji jest zautomatyzowane, co pozwala na znacznie szybsze i bardziej niezawodne przywracanie systemów i aplikacji, niż byłoby to możliwe dzięki ręcznym procedurom Disaster Recovery.

Projekt rozwiązania

Dwa główne wymagania z etapu analizy wpływu to:

• W przypadku IT: minimalne wymagania dotyczące aplikacji i danych oraz czas, w którym muszą być one dostępne.
• Poza IT: zachowanie kopii papierowych (takich jak umowy). Plan procesu musi uwzględniać wykwalifikowany personel i wbudowaną technologię.

Ta faza pokrywa się z planowaniem odzyskiwania po awarii .

Faza rozwiązania określa:

• struktura dowodzenia zarządzania kryzysowego
• architektura telekomunikacyjna pomiędzy głównym i dodatkowym miejscem pracy
• metodologia replikacji danych między głównym i dodatkowym miejscem pracy
• Miejsce tworzenia kopii zapasowych - aplikacje, dane i przestrzeń robocza wymagane w dodatkowym miejscu pracy

Brytyjskie standardy

British Standards Institution (BSI) wydała serię norm:

• 1995: BS 7799 , procedury bezpieczeństwa informacji skierowane peryferyjnie. (wycofane)
• 2006: BCP — BS 25999 -1 Zarządzanie ciągłością działania. Kodeks postępowania (wycofany)
• 2007: BS 25999-2 Specyfikacja Zarządzania Ciągłością Działania, która określa wymagania dotyczące wdrażania, obsługi i doskonalenia udokumentowanego systemu zarządzania ciągłością działania (BCMS). (wycofane)
• 2008: BS 25777, specjalnie w celu dostosowania ciągłości działania komputera do ciągłości biznesowej. (wycofany w marcu 2011)
• 2011: ISO/IEC 27031 — Techniki bezpieczeństwa — Wytyczne dotyczące gotowości technologii informacyjnych i komunikacyjnych do zapewnienia ciągłości działania.
• BS EN ISO 22301 :2019 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania, aktualny standard planowania ciągłości działania.
• BS EN ISO 22313 :2020 Bezpieczeństwo i odporność - Systemy zarządzania ciągłością działania - Wytyczne dotyczące stosowania ISO 22301

ITIL zdefiniował niektóre z tych terminów.

W Wielkiej Brytanii normy BS 25999-2:2007 i BS 25999-1:2006 były wykorzystywane do zarządzania ciągłością działania we wszystkich organizacjach, branżach i sektorach. Dokumenty te dają praktyczny plan radzenia sobie z większością ewentualności — od ekstremalnych warunków pogodowych po terroryzm, awarie systemu informatycznego i choroby personelu.

Ustawa o wypadkach cywilnych

W 2004 r., po kryzysach z poprzednich lat, rząd Wielkiej Brytanii uchwalił ustawę o nieprzewidzianych sytuacjach cywilnych z 2004 r .: Przedsiębiorstwa muszą posiadać środki planowania ciągłości, aby przetrwać i dalej się rozwijać, jednocześnie pracując nad zminimalizowaniem incydentu.

Ustawa została podzielona na dwie części:

• Część 1: ochrona ludności, obejmująca role i obowiązki lokalnych służb ratowniczych
• Część 2: uprawnienia awaryjne

Australia i Nowa Zelandia

Wielka Brytania i Australia włączyły odporność do swojego planowania ciągłości. W Wielkiej Brytanii odporność jest wdrażana lokalnie przez Local Resilience Forum .

W Nowej Zelandii w ramach programu Resilient Organizations Uniwersytetu Canterbury opracowano narzędzie oceny do analizy porównawczej odporności organizacji. Obejmuje 11 kategorii, z których każda zawiera od 5 do 7 pytań. Odporności Stosunek podsumowuje tę ocenę.

Wdrażanie i testowanie

Faza wdrożenia obejmuje zmiany polityki, zakup materiałów, obsadę personelu i testy.

Testowanie i odbiór organizacyjny

Książka Exercising for Excellence z 2008 r. , opublikowana przez The British Standards Institution, określiła trzy rodzaje ćwiczeń, które można zastosować podczas testowania planów ciągłości działania.

• Ćwiczenia na stole – niewielka liczba osób koncentruje się na konkretnym aspekcie BCP. Inna forma obejmuje jednego przedstawiciela z każdego z kilku zespołów.
• Ćwiczenia średnie — kilka działów, zespołów lub dyscyplin koncentruje się na wielu aspektach BCP; zakres może wahać się od kilku zespołów od jednego budynku do wielu zespołów działających w rozproszonych lokalizacjach. Dodano wstępnie oskryptowane „niespodzianki”.
• Złożone ćwiczenia — wszystkie aspekty średniego ćwiczenia pozostają, ale dla maksymalnego realizmu dodana jest aktywacja bez powiadomienia, rzeczywista ewakuacja i faktyczne wywołanie miejsca odzyskiwania po awarii.

Chociaż czasy rozpoczęcia i zakończenia są wstępnie uzgodnione, rzeczywisty czas trwania może być nieznany, jeśli wydarzenia mogą przebiegać zgodnie z ich przebiegiem.

Utrzymanie

Dwuletni lub roczny cykl konserwacji podręcznika BCP jest podzielony na trzy okresowe czynności.

• Potwierdzenie informacji zawartych w podręczniku, przekazanie pracownikom świadomości i specjalne szkolenie dla osób o krytycznym znaczeniu.
• Testowanie i weryfikacja rozwiązań technicznych ustalonych dla działań odzysku.
• Testowanie i weryfikacja procedur odzyskiwania organizacji.

Problemy znalezione w fazie testowania często muszą być ponownie wprowadzane do fazy analizy.

Informacje/cele

Podręcznik BCP musi ewoluować wraz z organizacją i zawierać informacje o tym, kto musi wiedzieć co

• seria list kontrolnych
  • opisy stanowisk, potrzebne umiejętności, wymagania szkoleniowe
  • dokumentacja i zarządzanie dokumentami
• definicje terminologiczne ułatwiające terminową komunikację podczas odtwarzania po awarii ,
• listy dystrybucyjne (personel, ważni klienci, sprzedawcy/dostawcy)
• informacje o infrastrukturze komunikacyjnej i transportowej (drogi, mosty)

Techniczny

Należy utrzymywać wyspecjalizowane zasoby techniczne. Kontrole obejmują:

• Dystrybucja definicji wirusów
• Bezpieczeństwo aplikacji i dystrybucja poprawek serwisowych
• Funkcjonalność sprzętu
• Funkcjonalność aplikacji
• Weryfikacja danych
• Aplikacja danych

Testowanie i weryfikacja procedur odzyskiwania

Zmiany w oprogramowaniu i procesie pracy muszą być udokumentowane i zweryfikowane, w tym weryfikację, czy udokumentowane zadania odzyskiwania procesów pracy i wspierająca infrastruktura odzyskiwania po awarii umożliwiają personelowi odzyskanie sprawności w ustalonym z góry docelowym czasie odzyskiwania.

Normy

Dostępnych jest wiele standardów wspierających planowanie i zarządzanie ciągłością działania. ISO opracowała na przykład całą serię norm dotyczących systemów zarządzania ciągłością działania, za które odpowiada komitet techniczny ISO/TC 292 :

• ISO 22300 :2018 Bezpieczeństwo i odporność – słownictwo
• ISO 22301 :2019 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania
• ISO 22313 :2020 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wytyczne dotyczące stosowania ISO 22301
• ISO / TS 22317 : 2015 Bezpieczeństwo społeczne - Systemy zarządzania ciągłością działania - Wytyczne dotyczące analizy wpływu na działalność
• ISO / TS 22318 : 2015 Bezpieczeństwo społeczne - Systemy zarządzania ciągłością działania - Wytyczne dotyczące ciągłości łańcucha dostaw
• ISO/TS 22330 :2018 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wytyczne dotyczące aspektów ludzkich dotyczących ciągłości działania
• ISO/TS 22331 :2018 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wytyczne dla strategii ciągłości działania
• ISO / IEC / TS 17021-6 : 2015 Ocena zgodności - Wymagania dla jednostek zapewniających audyt i certyfikację systemów zarządzania - Część 6: Wymagania kompetencyjne dotyczące audytu i certyfikacji systemów zarządzania ciągłością działania

Zobacz też

Bibliografia

Dalsza lektura

Stany Zjednoczone

Bibliografia

• Planowanie ciągłości biznesowej, FEMA , Źródło: 16 czerwca 2012 r.
• Ciągłość planowania operacyjnego (brak daty). Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych . Źródło 26 lipca 2006.
• Cel standardowych kryteriów listy kontrolnej dla odzyskiwania firmy (brak daty). Federalna Agencja Zarządzania Kryzysowego . Źródło 26 lipca 2006.
• Standard NFPA 1600 dotyczący zarządzania kryzysowego/zarządzania kryzysowego i programów ciągłości działania (2010). Krajowe Stowarzyszenie Ochrony Przeciwpożarowej .
• Przewodnik Generalnego Biura Rachunkowego Stanów Zjednoczonych Y2k BCP (sierpień 1998). Biuro Odpowiedzialności Rządu Stanów Zjednoczonych .
• SPC.1-2009, „Odporność organizacji: systemy zarządzania bezpieczeństwem, gotowością i ciągłością — wymagania z wytycznymi dotyczącymi użytkowania”, zatwierdzone przez American National Standards Institute

Międzynarodowa Organizacja Normalizacyjna

• ISO 22300 :2018 Bezpieczeństwo i odporność - Słownictwo
• ISO 22301 :2019 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania
• ISO 22313 :2013 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wytyczne dotyczące stosowania ISO 22301
• ISO / TS 22315: 2015 Bezpieczeństwo społeczne - Systemy zarządzania ciągłością działania - Wytyczne dotyczące analizy wpływu na biznes (BIA)
• ISO / PAS 22399: 2007 Wytyczne dotyczące gotowości na wypadek incydentów i zarządzania ciągłością działania (wycofane)
• ISO / IEC 24762: 2008 Wytyczne dotyczące usług odzyskiwania po awarii technologii informacyjnych i komunikacyjnych
• ISO / IEC 27001: 2013 (dawniej BS 7799-2: 2002) Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania
• ISO / IEC 27002: 2013 Technika informatyczna - Techniki bezpieczeństwa - Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji
• ISO / IEC 27031: 2011 Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące gotowości technologii informacyjnej i komunikacyjnej dla ciągłości działania
• IWA 5:2006 Gotowość na wypadek awarii (wycofana)

Brytyjska Instytucja Normalizacyjna

• BS 25999 -1:2006 Zarządzanie ciągłością działania Część 1: Kodeks postępowania (zastąpiony, wycofany)
• BS 25999-2:2007 Zarządzanie ciągłością działania Część 2: Specyfikacja (zastąpiona, wycofana)

Standardy australijskie

• HB 292-2006, „Praktyczny przewodnik dotyczący zarządzania ciągłością działania”
• HB 293-2006, „Wykonawczy przewodnik po zarządzaniu ciągłością działania”

Inni

• James C. Barnes (2001-06-08). Przewodnik po planowaniu ciągłości biznesowej . Numer ISBN 978-0471530152.
• Kennetha L. Fulmera (2004-10-04). Planowanie ciągłości biznesowej, przewodnik krok po kroku . Numer ISBN 978-1931332217.
• Ryszarda Kepenacha. Projektowanie planu ciągłości działania, 8 kroków do rozpoczęcia projektowania planu .
• Judy Bell. Planowanie przetrwania po katastrofie: praktyczny przewodnik dla firm . Numer ISBN 978-0963058003.
• Dimattia, S. (15 listopada 2001). „Planowanie dla ciągłości” . Dziennik Biblioteczny . 126 (19): 32-34.
• Andrzeja Zolliego; Ann Marie Healy (2013). Odporność: Dlaczego rzeczy się odbijają . Szymona i Schustera. Numer ISBN 978-1451683813.
• Międzynarodowy słownik odporności , DRI International.

Zewnętrzne linki

• Poziomy Disaster Recovery i TSM. Charlotte Brooks, Matthew Bedernjak, Igor Juran i John Merryman. In, Strategie odzyskiwania po awarii z Tivoli Storage Management. Rozdział 2. Strony 21–36. Seria czerwonych książek. IBM. Oprogramowanie Tivoli. 2002.
• SteelStore Cloud Storage Gateway: Przewodnik po najlepszych praktykach odzyskiwania po awarii. Riverbed Technology, Inc. Październik 2011.
• Poziomy odzyskiwania po awarii. Robert Kern i Victor Peltz. Magazyn IBM Systems. Listopad 2003 r.
• Ciągłość biznesowa: 7 poziomów odzyskiwania po awarii. Zarchiwizowane 2018-09-26 w Wayback Machine Recovery Specialties. 2007.
• Działania ciągłe: siedem poziomów odzyskiwania po awarii. Mary Hall. Społeczność pamięci masowej (IBM). 18 lipca 2011. Pobrane 26 marca 2013.</ref>
• Maksymalny Tolerowany Okres Zakłóceń (MTPOD)
• Maksymalny Tolerowany Okres Zakłócenia (MTPOD): odpowiedź komisji BSI
• Maszyna powrotna
• Współpracownicy Janco

• Wytyczne Departamentu Bezpieczeństwa Wewnętrznego dotyczące planu awaryjnego
• CIDRAP/SHRM Pandemic HR Guide Toolkit
• Dostosuj i reaguj na ryzyko dzięki planowi ciągłości działania (BCP)