Krizová připravenost procesů obnovy je vhodné realizovat primárně na základě Plánu krizové připravenosti kritického subjektu (Zákon 240, 2000). V případě posilování procesů obnovy jsou v tomto plánu stěžejní zejména postupy řešení krizových situací identifikovaných v analýze ohrožení a plán opatření hospodářské mobilizace u dodavatelů mobilizační dodávky (MV-GŘ HZS ČR, 2011). Tento plán slouží k zabezpečení vlastního fungování kritické infrastruktury za krizových situací a k zabezpečení plnění úkolů vyplývajících z krizového plánu. Náležitosti tohoto plánu jsou uvedené v nařízení vlády č. 462/2000 Sb. Nicméně existuje i metodika pro zpracování plánů krizové připravenosti.

Zdroje:

• Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon).
• MV-GŘ HZS ČR. (2011). Metodika zpracování plánů krizové připravenosti podle § 17 až 18 nařízení zákonů (krizový zákon), ve znění pozdějších předpisů. Praha: MV-generální ředitelství Hasičského záchranného sboru ČR. https://www.hzscr.cz/soubor/metodika-zpracovani-pkp-2011-pdf.aspx
• Nařízení vlády č. 462/2000 Sb. k provedení § 27 odst. 8 a § 28 odst. 5 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon)

Významnými nástroji v oblasti krizové připravenosti procesů obnovy mohou být vybrané technické normy, např. Systémy managementu kontinuity podnikání (ČSN EN ISO 22301:2020), Krizový management (ČSN EN ISO 22361:2023) nebo Ochrana společnosti (ČSN EN ISO 22397:2019).

ČSN EN ISO 22301 – dokument specifikuje požadavky na implementaci, udržování a zlepšování systému managementu k ochraně před narušením (může se jednat o rozsáhlé blackouty, hackerské a teroristické útoky, ale i běžné výpadky energií, vody nebo kritických subdodávek), snižování pravděpodobnosti jeho výskytu, přípravu, reagování a obnovu, pokud se vyskytne. Účelem BCMS je připravit se a poskytnout a udržovat kontrolu a předpoklady pro řízení organizace během narušení a zachování jejího provozu. Doposud uvedeného lze dosáhnout prostřednictvím Business Continuity Plan (BCP).

ČSN EN ISO 22313 – dokument poskytuje návod a doporučení pro uplatňování BCMS uvedených v normě ISO 22301 a je použitelný pro organizace, které zavádějí, udržují a zlepšují BCMS; usilují o zajištění souladu s BCMS; potřebují být schopny pokračovat v dodávkách produktů a služeb v přijatelné předem definované kapacitě během narušení; usilují o zvýšení své odolnosti prostřednictvím účinného uplatňování BCMS. Pokyny a doporučení jsou použitelné pro všechny velikosti a typy organizací, včetně velkých, středních a malých organizací působících v průmyslovém, obchodním, veřejném a neziskovém sektoru. Přijatý přístup závisí na provozním prostředí a složitosti organizace.

ISO/TS 22317 – dokument obsahuje pokyny pro organizaci, jak zavést a udržovat formální a zdokumentovaný proces analýzy dopadů na podnikání (BIA) odpovídající jejím potřebám. Nepředepisuje však jednotný postup provádění BIA. Dokument je použitelný pro všechny organizace bez ohledu na typ, velikost a povahu, ať už v soukromém, veřejném nebo neziskovém sektoru. Pokyny lze přizpůsobit potřebám, cílům, zdrojům a omezením organizace.

ČSN EN ISO 22361 – dokument poskytuje pokyny pro vytváření partnerských ujednání mezi organizacemi za účelem řízení vícenásobných vztahů pro události s dopadem na bezpečnost společnosti. Zahrnuje zásady a popisuje proces plánování, vytváření, provádění a přezkoumávání partnerských ujednání.

ČSN EN ISO 22397 – dokument poskytuje pokyny pro vytváření partnerských ujednání mezi organizacemi za účelem řízení vícenásobných vztahů pro události s dopadem na bezpečnost společnosti. Zahrnuje zásady a popisuje proces plánování, vytváření, provádění a přezkoumávání partnerských ujednání.

Zdroje:

• ČSN EN ISO 22301. (2020). Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky. Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 22361. (2023). Bezpečnost a odolnost – Krizový management – Směrnice. Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 22397. (2019). Ochrana společnosti – Pokyny pro ustanovení partnerských dohod. Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 22313. (2020). Bezpečnost a odolnost, Systémy managementu kontinuity podnikání (Pokyny pro používání ISO 22301). Česká agentura pro standardizaci, Praha.
• ISO/TS 22317. (2021). Bezpečnost a odolnost, Systémy řízení kontinuity činností (Pokyny pro analýzu dopadů na činnost). Česká agentura pro standardizaci, Praha.
• ČSN EN ISO 22397.(2019). Ochrana společnosti, Pokyny pro ustanovení partnerských dohod. Česká agentura pro standardizaci, Praha.

Stěžejním nástrojem pro posilování procesů obnovy funkce infrastruktury je Plán obnovy (Miller et al., 2006). Tento dokument obsahuje pokyny, jak reagovat na dopady incidentů velkého rozsahu, jako jsou např. přírodní katastrofy, výpadky proudu, kybernetické útoky. Používá se k minimalizaci dopadů na infrastrukturní prvky a k obnově jejich funkce. Cílem tohoto plánu je pomoci kritickému subjektu vyřešit obnovu funkčnosti systému, aby byl po incidentu schopen opětovně poskytovat základní služby alespoň na minimální požadované úrovni. Tento plán je součástí Business Continuity Managementu a je určen pro nežádoucí události, ke kterým může v kritické infrastruktuře dojít. Jsou zde uvedeny takové činnosti, které přispívají ke znovuobnovení prvku v co nejkratším časovém intervalu, spolu s jasně definovanými strukturovanými klíčovými body, které je nutné dodržet.

Jedním ze stěžejních plánu je také Disaster Recovery Plan/Planning (Fallara, 2003) neboli plán obnovy po havárii je dokument vytvořený organizací, který obsahuje podrobné pokyny, jak reagovat na neplánované události, jako jsou přírodní katastrofy, výpadky proudu, kybernetické útoky a další rušivé události. Používá se v případě, kdy jsou některé části kritické infrastruktury závislé na fungující infrastruktuře informačních technologií. Cílem tohoto plánu je pomoci organizaci vyřešit ztrátu dat a obnovit funkčnost systému tak, aby byla schopna fungovat i po incidentu, a to i v případě, že funguje na minimální úrovni.

Zdroje:

• Miller, H.E., Engemann, K.J., Yage, R.R. (2006). Disaster Planning and Management. Communications of the IIMA, 6(2): 25-36. https://doi.org/10.58729/1941-6687.1308
• Fallara,. P. (2003). Disaster recovery planning. In: IEEE Potentials, 23 (5):42-44. https://doi.org/10.1109/MP.2004.1301248

Účinným nástrojem, který je vhodné použít při zpracovávání plánu obnovy, je Business Impact Analysis (Williams and Resto-Leon, 2023). Tento dokument slouží k predikci následků narušení stěžejních obchodních operací podniku v důsledku incidentů a je významnou součástí plánu kontinuity činností (ČSN EN ISO 22301:2020). Představuje nástroj k odhalení zranitelných míst a k tvorbě strategií pro minimalizaci rizik. Výsledkem je zpráva o analýze dopadů, která popisuje potenciální rizika specifická pro danou organizaci. Stěžejní normou je také ISO/TS 22317 (2021), která obsahuje pokyny pro organizaci, jak zavést a udržovat formální a zdokumentovaný proces analýzy dopadů na podnikání (BIA) odpovídající jejím potřebám. Nepředepisuje však jednotný postup provádění BIA. Dokument je použitelný pro všechny organizace bez ohledu na typ, velikost a povahu, ať už v soukromém, veřejném nebo neziskovém sektoru. Pokyny lze přizpůsobit potřebám, cílům, zdrojům a omezením organizace. Samotná Analýza dopadů slouží k predikci následků narušení stěžejních obchodních operací podniku v důsledku vzniku nežádoucí události. Jedná se o významnou součást plánu business kontinuity podniku. Představuje nástroj k odhalení zranitelných míst a k tvorbě strategií pro minimalizaci rizik. Výsledkem je zpráva o analýze dopadů, které popisuje potenciální rizika specifická pro danou organizaci. (DHS, 2015)

Zdroje:

• Williams, T., Resto-Leon, M. (2023). Cracking the Code: The Keys to a Successful Business Impact Analysis. Journal of Business Continuity & Emergency Planning, 16(4): 313-319.
• ČSN EN ISO 22301. (2020). Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky. Česká agentura pro standardizaci, Praha.
• ISO/TS 22317. (2021). Bezpečnost a odolnost – Systémy řízení kontinuity činností (Pokyny pro analýzu dopadů na činnost). Česká agentura pro standardizaci, Praha.
• DHS. (2015). Business Impact Analysis. Department of Homeland Security. https://www.ready.gov/business-impact-analysis

Pro samotný projekt obnovy funkce infrastruktury je možné využít např. Work Breakdown Structure (Burghate, 2018). Tento nástroj představuje jednoduchou analytickou techniku, jejímž cílem je rozložit projekt, tzn. obnovu funkce prvku, na jednotlivé činnosti až do takové úrovně podrobnosti, aby k nim bylo možné přiřadit odpovědnosti, náročnost a časový horizont. Jedná se o metodu, která rozděluje rozsáhlé projekty či úkoly do menších, snadno spravovatelných částí, což usnadňuje jejich řízení a realizaci. Strukturuje projekt či práci do hierarchického seznamu jednotlivých úkolů nebo činností, které jsou postupně rozkládány na dílčí kroky. Tyto kroky jsou jednoznačně definované, měřitelné a přiřaditelné konkrétním pracovníkům nebo týmům. Tato metody zajišťuje rozdělení odpovědností, odhad potřebných zdrojů, časový průběh a sledování průběhu prací. Prostřednictvím této metody je možné efektivněji koordinovat zaměstnance a rychleji obnovit plnou funkci organizace.

Zdroje:

• Burghate, N. (2018). Work Breakdown Structure: Simplifying Project Management. International Journal of Commerce and Management Studies, 3(2): Article 2.
• Siami-Irdemoosa, E., Dindarloo, S.R., Sharifzadeh, M. (2015). Work breakdown structure (WBS) development for underground construction. Automation in Construction, 58:85-94. https://doi.org/10.1016/j.autcon.2015.07.016
• Colenco, K. (2000). Creating The Work Breakdown Structure. Artemis Management Systems. https://exclusive-pm.ru/files/625/wbs.pdf
• Burghate, M. (2018). Work Breakdown Structure: Simplifying Project Management. International Journal of commerce and Management Studies, 3(2):7-11.

Přínosnými nástroji pro posílení procesů obnovy jsou metody síťové analýzy (Dzwigol, 2023). Jedná se o skupinu speciálních analytických technik, které lze využít k analyzování či optimalizaci vzájemně propojených a souvisejících procesů, činností, sítí nebo prvků. Za nejvýznamnější metody v daném kontextu lze považovat Critical Path Method (CPM), Critical Chain Method (CCM) a Program Evaluation and Review Technique (PERT).

• Critical Path Method (CPM) – slouží ke stanovení doby trvání především projektů, a to na základě tzv. kritické cesty, tedy kombinace vzájemně závislých činností s nejmenší časovou rozervou.
• Critical Chain Method (CCM) – tato síťová technika navazuje na CPM, ale navíc zahrnuje i dostupnost a disponibilitu zdrojů. Stanovení doby trvání projektu je zde odvozeno na základě délky tzv. kritického řetězce, což je stejně jako u CPM kombinace vzájemně závislých činností s nejmenší časovou rezervou, s tím rozdílem, že jsou reflektována omezení zdrojů.
• Program Evaluation and Review Technique (PERT) – jedná se o zobecnění CPM. Tato technika je využívána k řízení složitých akcí majících stochastickou povahu. Doba trvání je zde chápána jako náhodná proměnná mající určité rozložení pravděpodobnosti. Cílem je tedy takové uspořádání činností, které s největší pravděpodobností zajistí dodržení předem stanoveného termínu. Přičemž doba trvání činností oproti CPM zde není přesně známa, je pouze dána s určitou pravděpodobností, tzn. nejedná se o konstantu, ale o náhodnou veličinu.

Zdroje:

• Dzwigol, H. (2023). Network Analysis as a Research Method. In: 3rd International Interdisciplinary Scientific Conference “Digitalization and Sustainability for Development Management: Economic, Social, and Environmental Aspects”, London, United Kingdom, Vol. 456, pp. 03001. https://doi.org/10.1051/e3sconf/202345603001