INFORMACYJNA CIĄGŁOŚĆ DZIAŁANIA – atrybut systemowy określający jeden z wymiarów ciągłości działania każdej organizacji jako jej zdolności do realizacji podstawowych zadań i celów na określonym poziomie jakości (określonym np. według norm ISO) z przerwami nie dłuższymi niż dopuszczalne. Stanowi jeden z czynników decydujących o sprawności funkcjonowania systemów bezpieczeństwa podmiotu, zwłaszcza w odniesieniu do podmiotów o dużym stopniu złożoności. Informacyjna ciągłość działania [inf.c.dz.] to dominująca determinanta ciągłości procesów zarządczych, obrazująca przede wszystkim pewność dostarczenia informacji (lub zbioru danych) do uprawnionego odbiorcy (określonej grupy odbiorców) w żądanym (wymaganym) czasie bez zniekształceń naruszających jej treść. Każda organizacja jest systemem działania, który powinien dążyć do realizacji ustalonych celów, a jednym z nich jest zapewnianie bezpieczeństwa wyznaczanego ryzykiem materializacji zagrożeń, w tym zagrożeń utraty inf.c.dz. Inf.c.dz. należy postrzegać jako zdolność do skutecznego obiegu użytecznej informacji o zdarzeniach, zagrożeniach i ich skutkach oraz możliwościach (siłach i środkach) działania dla zapewnienia c.dz. całej organizacji w różnych wymiarach. Inf.c.dz. w odniesieniu do → systemów zarządzania kryzysowego można zdefiniować jako efektywną i skuteczną wymianę informacji wewnątrz organizacji i w relacjach z jej otoczeniem we wszystkich fazach → zarządzania kryzysowego przy zapewnieniu minimalizacji skutków zakłóceń w obiegu informacji. Oznacza to dążenie do minimalizacji ryzyka utraty inf.c.dz. wszystkich ogniw tego systemu jako organizacji rozproszonej.
Duże znaczenie dla skutecznego zarządzania bezpieczeństwem i obniżania ryzyka utraty c.dz. ma wielkość organizacji oraz jej znaczenie (np. w systemie gospodarczym państwa). Problem ten można analizować w wielu aspektach, m.in. w aspekcie → podatności
na zagrożenia danej organizacji oraz łatwości dostępu do chronionych zasobów. Jedną z ważniejszych determinant bezpieczeństwa i c.dz. współczesnych organizacji jest powszechność wykorzystywania technologii teleinformatycznych zarówno wewnątrz organizacji, jak i w ich relacji z otoczeniem. Technologie te są newralgicznym elementem systemu zarządzania każdej organizacji, a w szczególności w warunkach kryzysowych. Ponadto → bezpieczeństwo informacyjne i inf.c.dz. są wpisane w model funkcjonowania współczesnej organizacji. Utrata inf.c.dz. może powodować utratę c.dz. całej organizacji.
Problem przeciwdziałania zagrożeniom dla inf.c.dz. powinien być rozwiązywany zgodnie z procedurami (np. wyznaczanymi przez normy ISO 9001) w wymiarze odpowiedzialności kierownictwa, skuteczności zarządzania zasobami, realizacji zadań statutowych oraz zapewniania procesu doskonalenia. Zgodnie z wymaganiami normy ISO 9001:2015 każda organizacja powinna sukcesywnie identyfikować procesy zarządzania ryzykiem i ich wzajemne oddziaływanie, zapewniać dostępność odpowiednich zasobów (infrastruktury) i informacji niezbędnych do realizacji tych procesów oraz monitorować zagrożenia i wdrażać działania niezbędne do osiągnięcia zaplanowanych wyników i ciągłego doskonalenia tych procesów. Oznacza to, że zapewnianie inf.c.dz. jest warunkowane wieloma innymi wymiarami (np. ciągłość kadrowa, logistyczna/zasobowa). W przypadku inf.c.dz. należy mieć na uwadze zagrożenia powodowane przez: działalność ludzką lub zaniechanie niektórych działań; oddziaływanie sił wyższych w aspekcie utraty zasobów (systemów teleinformatycznych, sieci, zasobów danych itp.); niesprawności procesu przetwarzania informacji, co może spowodować – w zależności od stopnia naruszenia ich tajności, integralności lub dostępności – straty proporcjonalne do wagi wspieranego procesu i wykorzystywanych w nim zasobów krytycznych dla organizacji.
Inf.c.dz. jest atrybutem ważnym dla każdej organizacji, ale nabiera szczególnego znaczenia w → sytuacjach kryzysowych. Stąd system zarządzania kryzysowego (zarówno państwa, jak i każdej organizacji) musi być układem spójnych środków i skoordynowanych przedsięwzięć zastosowanych w celu zapewnienia jego niezakłóconego funkcjonowania. Oznacza to potrzebę skrupulatnego powiązania w ramach systemu bezpieczeństwa danej organizacji m.in.: 1. procedur monitorowania i identyfikacji zagrożeń oraz przeciwdziałania tym zagrożeniom (np. pożar, włamanie do systemu komputerowego); 2. systemów powiadamiania o zagrożeniach, a także zasad, form i sposobów reagowania adekwatnych do charakteru danego zagrożenia; 3. procedur oraz zasad likwidowania negatywnych skutków i warunków współpracy z podmiotami zewnętrznymi; 4. zasad kontroli adekwatności wdrażanych procedur do prognozowanych, a potem rzeczywistych zagrożeń i ich skali. Każda procedura zapewniania inf.c.dz. wymaga akceptacji przez uprawnioną osobę, przy czym procedury te powinny być sukcesywnie doskonalone ze względu na zmienność zagrożeń oraz technologii, z uwzględnieniem wpływu otoczenia organizacji, a także zmiany struktur organizacyjnych i relacji z otoczeniem organizacji (systemu działania).
Zapewnianie bezpieczeństwa i inf.c.dz. wymaga rozpoznawania i wykrywania zagrożeń oraz stałej oceny → ryzyka, a także uruchamiania przedsięwzięć związanych z zapobieganiem materializacji ryzyka. Szczególnie dotkliwe mogą być zagrożenia wywoływane → awariami technicznymi, co wymaga działań prewencyjnych. Specjalną klasą procedur organizacyjnych są procedury prewencyjne ukierunkowane na niwelowanie lub ograniczanie potencjalnych zakłóceń, a także kompensowanie ich negatywnych skutków.
Procedura zapewniania inf.c.dz. jest integralnym komponentem polityki bezpieczeństwa organizacji i wymaga wskazania osób odpowiedzialnych za realizację czynności przewidzianych procedurą, sposobów realizacji procedury (według harmonogramu) oraz zapisów informacji będących wynikiem stosowania konkretnej procedury. Zapewnienie inf.c.dz. i bezpieczeństwa informacyjnego organizacji generuje potrzebę opracowywania i weryfikacji planów zapewniania bezpieczeństwa organizacji ze szczególnym uwzględnieniem: 1. dostępności i aktualności danych o całym spektrum zagrożeń, a nie tylko o pojedynczych zdarzeniach; 2. adekwatności działań w stosunku do potrzeb i możliwości; 3. testowania i potwierdzania realizowalności planów (w tym wskazywania alternatywnych rozwiązań, np. miejsc dyslokacji zasobów informacyjnych, procedur tworzenia kopii zapasowych dla uniknięcia utraty ważnych dokumentów oraz danych).
Zagrożenia mogą dotyczyć każdego zasobu, który może ulec uszkodzeniu lub zniszczeniu, co może skutkować przerwą w realizacji podstawowych procesów w organizacji. Wymagane jest wówczas spełnienie kryteriów czasowych dotyczących dopuszczalnego czasu przerwania tych procesów – RTO (recovery-time-objective), tj. czasu potrzebnego na reakcję na awarię i jej usunięcie poprzez przywrócenie do poprawnego stanu realizacji procesów. Czas ten jest zależny od warunków działania (np. sytuacja kryzysowa) i założonych metod zapewniania c.dz. systemów informatycznych (kopie bezpieczeństwa, replikacje w ośrodku zapasowym itp.). Zapewnienie inf.c.dz. wymaga działań odtworzeniowych w zakresie infrastruktury IT oraz zasobów danych. Współczesne platformy techniczno-technologiczne informatyki stwarzają dodatkowe możliwości wzmacniania inf.c.dz. poprzez wykorzystanie → cyberprzestrzeni. Zaliczyć do tego można platformę usług w chmurze obliczeniowej. [Piotr Zaskórski, Jacek Woźniak]
Literatura: P. Zaskórski, W. Zaskórski, J. Woźniak, Świadomość sytuacyjna a bezpieczeństwo i informacyjna ciągłość działania w organizacjach rozproszonych, Warszawa 2021 • Zarządzanie organizacją w warunkach ryzyka utraty informacyjnej ciągłości działania, red. P. Zaskórski, Warszawa 2011.