Plan ciągłości działania

Ustanowienie Planu

1. Plan ciągłości działania (dalej "Plan") została zaakceptowany przez CyberTech Sp. z o.o. w dniu 2023-10-26 i wdrożony do realizacji.

2. Wszystkie osoby zaangażowane w jego realizację muszą być zaznajomione z planem i brać udział przynajmniej raz do roku w jego testowaniu.

3. Niniejszy Plan obowiązuje aż do jego pisemnego odwołania lub ustanowienia nowszej wersji planu.

4. Niniejszy Plan stanowi załącznik do obowiązującej w organizacji Polityki Bezpieczeństwa.

Wdrożenie Planu

1. Określenie celów biznesowych Planu:

a. Jakie zasoby ludzkie, techniczne muszą mieć zapewnioną ciągłość działania

b. Jakie zasoby finansowe muszą zostać zaalokowane w budżecie rocznym, aby wykonanie Planu było możliwe zgodnie z założonymi celami

2. Identyfikacja krytycznych procesów biznesowych, których niedostępność lub obniżenie jakości będzie miało wpływ na cele biznesowe, zidentyfikowane w pkt. 1

3. Identyfikacja właścicieli biznesowych procesów krytycznych o których mowa w pkt 2.

4. Identyfikacja poziomów Service Level Agreement (SLA) dla krytycznych procesów biznesowych i wspierających je systemów IT wraz z infrastrukturą oraz innymi zasobami potrzebnymi do ich funkcjonowania w sposób prawidłowy.

a. Identyfikacja poziomów SLA na podstawie zawartych umów oraz innych zobowiązań wobec klientów

b. Identyfikacja poziomów SLA na podstawie zawartych umów z zewnętrznymi dostawcami

c. Weryfikacja czy zdefiniowane poziomy SLA pozwalają na spełnienie wymogu zawiadomienia Organu Nadzorczego w ciągu 72 godzin od stwierdzenie incydentu związanego z naruszeniem bezpieczeństwa danych osobowych zgodnie z Art. 33 RODO.

5. Sporządzenie analizy ryzyka dla krytycznych procesów biznesowych

6. Akceptacja analizy ryzyka i planu przez CyberTech Sp. z o.o.

7. Komunikacja Planu wszystkim pracownikom oraz pozostałym podmiotom zaangażowanym w realizację planu.

8. Prowadzenie testów i utrzymywanie Planu zgodnie z rozdziałami: "Testowanie Planu" i "Utrzymanie Planu"

Testowanie Planu

1. CyberTech Sp. z o.o. prowadzi okresowe testy Planu zgodnie z harmonogramem z załącznika nr 4 na podstawie scenariuszy stanowiących załącznik nr 5.

2. Podczas testowania Planu sprawdza się wszystkie Jan Kowalski odpowiadające za realizację scenariusza oraz aktualizuje ich 123-456-789. Aktualizuje się także listę zasobów.

Utrzymanie Planu

1. Plan jest przeglądy co najmniej raz na 12 miesięcy i aktualizowany.

2. Plan jest aktualizowany po każdym nieudanym teście Planu.

3. Plan jest aktualizowany po każdym incydencie który zaburzył ciągłość działania, niezależnie od źródła incydentu.

4. Plan jest aktualizowany w przypadku zmiany lub wdrożenia nowego krytycznego procesu biznesowego.

5. Raz na 12 miesięcy procesy biznesowe podlegają przeglądowi aby ustalić ich krytyczność.

6. Raz na 12 miesięcy poziomy SLA ulegają przeglądowy aby dokonać ich weryfikacji i zgodności z Planem.

7. Wszystkie osoby zaangażowane w wykonanie Planu przechodzą szkolenie z realizacji Planu co najmniej raz na 12 miesięcy.

Wykonanie Planu

1. Wykonanie planu rozpoczyna się na skutek zdarzenia (niezależnie od jego źródła i typu), które zaburzyło ciągłość działania lub obniżenie jakości świadczonych usług biznesowych lub IT poniżej założonych poziomów SLA. Źródłem informacji o problemie może być zgłoszenie.

2. Plan jest realizowany zgodnie z przyjętymi scenariuszami w załączniku 6.

3. Podstawą Planu jest zapewnienie bezpieczeństwa w pierwszej kolejności ludziom, jeśli ich życie lub zdrowie są zagrożone na skutek zdarzenia.

4. Lokalizacje w których wybuch pożar uznaje się za "stracone" i nie zakłada się odtworzenia działań biznesowych w czasie krótszym niż 72 godziny.

Załącznik 1 Właściciele krytycznych procesów biznesowych

LP IMIĘ NAZWISKO STANOWISKO TELEFON ADRES PROCES IMIĘ NAZWISKO

1 Anna Nowak Kierownik Działu IT 555-123-456 ul. Kwiatowa 12, Warszawa Obsługa systemu CRM Jan Kowalski

2 Piotr Wiśniewski Specjalista ds. Bezpieczeństwa 777-888-999 ul. Polna 3, Kraków Zarządzanie incydentami Maria Zielińska

3 Katarzyna Kowalska Dyrektor Finansowy 111-222-333 ul. Leśna 5, Wrocław Przetwarzanie płatności Tomasz Nowak

4 Marcin Malinowski Administrator Systemów 444-555-666 ul. Słoneczna 7, Gdańsk Kopie zapasowe Anna Wiśniewska

5 Agnieszka Wójcik Kierownik Sprzedaży 888-777-666 ul. Miedziana 9, Poznań Obsługa klienta Piotr Zieliński

6 Mateusz Dąbrowski Analityk Biznesowy 222-333-444 ul. Żelazna 11, Szczecin Raportowanie Katarzyna Kowalska

7 Joanna Kamińska Specjalista ds. HR 999-111-222 ul. Srebrna 13, Łódź Rekrutacja Marcin Malinowski

8 Krzysztof Lewański Programista 333-444-555 ul. Złota 15, Bydgoszcz Rozwój oprogramowania Agnieszka Wójcik

9 Magdalena Mazur Tester Oprogramowania 666-777-888 ul. Platynowa 17, Lublin Testowanie oprogramowania Mateusz Dąbrowski

10 Grzegorz Brzozowski Architekt IT 555-666-777 ul. Diamentowa 19, Katowice Projektowanie systemów Joanna Kamińska

Załącznik 2 Osoby krytyczne dla realizacji Planu

LP IMIĘ NAZWISKO STANOWISKO TELEFON ADRES PROCES IMIĘ NAZWISKO

1 Jan Kowalski Administrator Systemów 123-456-789 ul. Kwiatowa 1, Warszawa Przywracanie systemów Adam Nowak

2 Maria Zielińska Koordynator ds. Bezpieczeństwa 987-654-321 ul. Polna 2, Kraków Zarządzanie kryzysowe Ewa Wiśniewska

3 Tomasz Nowak Dyrektor IT 111-222-333 ul. Leśna 3, Wrocław Komunikacja CyberTech Sp. z o.o.

Załącznik 3 Lista zasobów krytycznych dla realizacji Planu

LP SYGNATURA RODZAJ LOKALIZACJA IMIĘ NAZWISKO PROCES PROCES

1 SERWER01 Serwer Serwerownia Administrator Systemów Przywracanie systemów Utrzymanie systemów

2 LAPTOP01 Laptop Biuro Kierownik Działu IT Zarządzanie incydentami Raportowanie

3 BAZA01 Baza danych Centrum danych Dyrektor IT Przetwarzanie płatności Analiza danych

Załącznik 4 Harmonogram testów Planu

1. Cykl testów obejmuje 12 miesięcy od momentu wdrożenia Planu.

2. Testy muszą odbywać się co najmniej raz na 6 miesięcy.

3. Pełny test planu musi odbywać się co najmniej raz na 12 miesięcy.

LP PROCES PROCES OKRES PROCES

1 Przywracanie systemów Zarządzanie incydentami 2024-04-01 Przetwarzanie płatności

2 Kopie zapasowe Obsługa klienta 2024-10-01 Raportowanie

3 Rekrutacja Rozwój oprogramowania 2025-04-01 Testowanie oprogramowania

4 Projektowanie systemów Analiza danych 2025-10-01 Utrzymanie systemów

5 Obsługa systemu CRM Zarządzanie kryzysowe 2026-04-01 Komunikacja Wsparcie techniczne Logistyka

6 Przywracanie danych Szkolenia 2026-10-01 Audyt

Załącznik 5 Scenariusze testów Planu

LP PROCES PROCES STANOWISKO STANOWISKO STANOWISKO IMIĘ NAZWISKO IMIĘ NAZWISKO SYGNATURA

1 Przywracanie systemów 1. Awaria serwera Administrator Systemów Technik IT SERWER01 Zarządzanie incydentami Utrata danych Kierownik Działu IT

2. Atak hackerski Specjalista ds. Bezpieczeństwa

3. Brak zasilania

2 Kopie zapasowe 1. Utrata danych Administrator Systemów Technik IT SERWER02 Obsługa klienta Awario serwera Kierownik Działu IT Specjalista ds. obsługi klienta Rekrutacja Brak dostępu do sieci Specjalista ds. HR Menedżer HR

2. Błąd oprogramowania

3. Awaria sprzętu

4. Błąd ludzki

5. Klęska żywiołowa

6. Pandemia

7. Atak terrorystyczny

8. Sabotaż

9. Kradzież

3 Projektowanie systemów 1. Zmiana wymagań Architekt IT Analityk systemowy SYSTEM01 Analiza danych Utrata dokumentacji Kierownik projektu

2. Błąd projektowy Programista

3. Opóźnienie w projekcie

Wsparcie techniczne 1. Zgłoszenie awarii Technik IT Helpdesk LAPTOP01 Konserwcjaprzedsystemowa Specjalista ds. wsparcia technicznego Instalacja oprogramowania Administrator Systemów 2. Problem z łącznością Konsultant IT 3. Błąd w oprogramowaniu

Załącznik 6 - scenariusze Planu ciągłości działania uzupełnia organizacja na podstawie zidentyfikowanych krytycznych procesów biznesowych

PROCES 1: Przywracanie systemów

1. Cel procedury: Przywrócenie systemów IT po awarii. Zakres procedury. 2. Procedura postępowania, w przypadku awarii systemów IT: 2.1. Identyfikacja awarii 2.2. Powiadomienie odpowiednich osób Eskalia problemu 2.3. Diagnoza problemu 2.4. Wdrożenie rozwiązania 2.5. Testowanie przywróconego systemu 2.6. Dokumentacja incydentu Zamknięcie incydentu.