ISO 22301: testarea și exercițiile planului BCP
Clauza 8.5 ISO 22301 cere minim un exercițiu de testare a planului de continuitate pe an. Tipuri de exerciții, dovezile cerute la audit și greșeli frecvente.
Un plan de continuitate scris frumos și nepus niciodată la încercare nu trece auditul de certificare. Clauza 8.5 din ISO 22301 cere un program de exerciții care testează planul la intervale planificate, iar auditorul cere dovada a cel puțin un exercițiu făcut în ultimele 12 luni. Diferența dintre un plan care arată bine pe hârtie și unul care funcționează la 3 dimineața se vede abia la primul exercițiu serios.
Tipurile de exerciții pe care le poți folosi
Standardul nu te obligă să faci de fiecare dată o simulare completă. Poți alege tipul de exercițiu în funcție de cât de mult vrei să testezi și cât poți deranja activitatea reală.
| Tip exercițiu | Ce presupune | Când îl folosești |
|---|---|---|
| Tabletop (la masă) | Echipa discută un scenariu ipotetic și spune ce ar face, pas cu pas | Prima testare, echipă nouă, scenariu pe care nu l-ai mai analizat |
| Parcurgere (walkthrough) | Treci prin plan rând cu rând și verifici dacă datele și contactele sunt corecte | După ce ai modificat planul sau au plecat oameni din echipă |
| Simulare | Joci rolurile în timp real, cu cronometru, fără să oprești producția | Vrei să verifici dacă timpii din plan sunt realiști |
| Test complet (failover) | Activezi efectiv soluția de rezervă: comuți pe serverul de backup, muți echipa | Înainte de auditul de certificare sau anual, pentru sistemele critice |
Un exercițiu tabletop costă două ore și o sală de ședință. Un test complet de failover poate dura o zi și are nevoie de pregătire. Majoritatea firmelor combină: tabletop de două ori pe an, un test complet o dată pe an pentru procesul cel mai critic.
Cum construiești programul anual de exerciții
Standardul cere un program, nu un exercițiu izolat. Asta înseamnă un calendar care acoperă în timp toate activitățile critice din planul de continuitate.
- Pornește de la analiza de impact (BIA). Activitățile cu timpul de recuperare cel mai scurt se testează primele și cel mai des.
- Alege scenarii concrete: pică serverul principal, arde sediul, pleacă furnizorul unic, atac ransomware. Fiecare scenariu testează altă parte a planului.
- Fixează obiective măsurabile pentru fiecare exercițiu. „Echipa restabilește accesul la softul de facturare în RTO-ul stabilit de 4 ore” este un obiectiv. „Testăm planul” nu este.
- Stabilește cine participă și cine observă. Observatorul notează ce nu merge, fără să intervină.
- Programează exercițiile pe tot anul, nu toate într-o săptămână înainte de audit. Un program înghesuit se vede imediat la auditor.
Ce dovezi îți cere auditorul la clauza 8.5
Auditorul de certificare verifică implementarea reală în etapa 2 a auditului. Pentru testarea planului, îți cere documente concrete, nu declarații. Pregătește:
- Programul de exerciții pe anul în curs, cu date și scenarii
- Raportul post-exercițiu pentru fiecare test făcut, cu ce a mers și ce nu
- Lista participanților și evidența prezenței
- Planul de acțiuni rezultat din exercițiu, cu termene și responsabili
- Dovada că acțiunile au fost închise sau sunt în lucru
Raportul post-exercițiu este documentul pe care auditorii îl cer cel mai des. Fără el, exercițiul nu există, oricât de bine ar fi mers în realitate.
Greșeli frecvente la testarea planului
Cea mai comună problemă este exercițiul care confirmă tot. Dacă fiecare test iese perfect, înseamnă că ai ales scenarii prea ușoare. Un exercițiu bun găsește cel puțin o problemă. Auditorul se uită cu suspiciune la rapoarte care spun „totul a funcționat conform planului” de trei ani la rând.
A doua greșeală este să testezi doar pe hârtie. Faci un tabletop frumos, toată lumea spune ce ar face, dar nimeni nu apasă niciodată butonul de comutare pe serverul de rezervă. La primul incident real descoperi că backup-ul nu a mai fost verificat de șase luni. Pentru sistemele critice ai nevoie de minim un test complet pe an.
A treia greșeală este raportul lipsă. Echipa face exercițiul, discută la cafea ce a mers prost, și gata. Fără raport scris și fără plan de acțiuni, auditorul dă neconformitate chiar dacă exercițiul chiar a avut loc.
Un exemplu concret de exercițiu
Ai un SRL cu 18 angajați care procesează plăți online pentru magazine. Planul de continuitate spune că, dacă pică platforma principală, echipa IT comută pe sistemul de rezervă în 2 ore (RTO de 2 ore).
Faci un exercițiu tabletop cu echipa IT și cea de suport. La discuție iese că sistemul de rezervă rulează o versiune mai veche a aplicației, iar migrarea configurației durează în realitate aproape 9 ore, nu 2. RTO-ul din plan era o presupunere, nu un timp testat.
Ce faci după: notezi neconformitatea în raport, actualizezi versiunea de pe serverul de rezervă, programezi un test complet de failover peste o lună ca să confirmi noul timp. Exercițiul tabletop, care a costat două ore, ți-a arătat o gaură pe care un incident real ar fi transformat-o într-o zi de magazine blocate.
Ce cere exact clauza 8.5 din ISO 22301
Clauza 8.5 din ISO 22301:2019 (adoptat în România ca SR EN ISO 22301:2020) cere ca exercițiile și testele să respecte câteva condiții. Exercițiile trebuie să fie consecvente cu domeniul și obiectivele sistemului de continuitate. Trebuie să se bazeze pe scenarii bine planificate, cu obiective clare. Împreună, în timp, trebuie să valideze tot setul de măsuri de continuitate, cu participarea părților implicate.
Standardul mai cere ca exercițiile să nu pună în pericol activitatea reală, să producă rapoarte post-exercițiu cu rezultate, recomandări și acțiuni, să fie analizate pentru îmbunătățire continuă și să se desfășoare la intervale planificate și ori de câte ori apar schimbări mari în firmă. Practic, dacă schimbi sediul, furnizorul critic sau aplicația principală, refaci exercițiul, nu aștepți anul următor.
Întrebări frecvente
Cât de des trebuie testat planul de continuitate?
Standardul cere „intervale planificate”, fără o cifră fixă. În practica de audit, se așteaptă minim un exercițiu pe an pentru fiecare activitate critică și o testare suplimentară după orice schimbare mare (sediu, furnizor, aplicație).
Ce tip de exercițiu cere auditorul de certificare?
Auditorul nu impune un anumit tip. Cere dovada că ai testat planul și că exercițiul a produs un raport și un plan de acțiuni. Pentru sistemele cu timp de recuperare scurt, un test complet de failover este mai convingător decât un simplu tabletop.
Un exercițiu tabletop este suficient pentru ISO 22301?
Pentru o primă testare sau pentru procese mai puțin critice, da. Pentru procesele cu RTO scurt, doar discuția la masă nu validează timpii reali. Acolo ai nevoie cel puțin de o simulare sau de un test complet.
Ce se întâmplă dacă un exercițiu eșuează?
Un exercițiu care găsește probleme nu este un eșec, este scopul lui. Notezi ce nu a mers, deschizi acțiuni corective cu termene și le închizi. Auditorul vede asta ca dovadă că sistemul funcționează. Un plan netestat sau un exercițiu fără raport aduce neconformitate, nu unul care a scos la iveală o problemă.
