Politika kontinuity činnosti a krízového manažmentu

# Politika kontinuity činnosti (BCM) a krízového manažmentu

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Stanovuje pravidlá pre udržanie kontinuity kritických procesov a obnovu služieb po incidente v zmysle NIS2 čl. 21(2)(c) a ENISA IR kap. 3.

## 2. Rozsah
Pokrýva kritické business procesy a ich technologickú oporu, vrátane závislostí na tretích stranách (cloud, colocation, SaaS).

## 3. Business Impact Analysis (BIA)
Pre každý kritický proces sa stanovuje:
- **RTO (Recovery Time Objective)** — maximálny prípustný čas obnovy: {{DEFAULT_RTO}}.
- **RPO (Recovery Point Objective)** — maximálna prípustná strata dát: {{DEFAULT_RPO}}.
- **MTPD (Maximum Tolerable Period of Disruption)** — absolútny horný limit.
- **Finančný a reputačný dopad** odhad per hodina výpadku.

BIA sa aktualizuje minimálne raz ročne.

## 4. Záložná (backup) stratégia
- **Pravidlo 3-2-1:** 3 kópie, 2 rôzne médiá, 1 offsite.
- **Frekvencia:** plné zálohy {{FULL_BACKUP_CADENCE}}, inkrementálne {{INCREMENTAL_CADENCE}}.
- **Retenčná doba:** {{RETENTION_PERIOD}} v zhode s regulačnými požiadavkami.
- **Šifrovanie:** backups šifrované AES-256 s kľúčmi v {{KMS_SYSTEM}}.
- **Test obnovy:** minimálne {{RESTORE_TEST_CADENCE}} (odporúčanie: quarterly pre kritické systémy).

## 5. Crisis Management Team (CMT)
- **Zloženie:** CEO, CISO, Legal/DPO, Communications, HR, IT Ops.
- **Aktivácia:** trigger = significant incident (viď incident handling policy).
- **Kontakty:** 24/7 on-call zoznam v {{OOB_CONTACT_LIST}}.
- **Alternatívne komunikačné kanály** pre prípad výpadku primárneho systému (signal, out-of-band telefón).

## 6. Plán obnovy (Disaster Recovery)
- Dokumentované **runbooky** pre každý kritický systém.
- Definované **failover scenáre** (aktívny-aktívny / aktívny-pasívny / manuálny).
- **Cold/warm/hot standby** podľa kritickosti procesu.
- **DR site:** {{DR_SITE_LOCATION}} — geograficky oddelená lokalita.

## 7. Závislosti na tretích stranách
Každý kritický vendor (cloud, SaaS, colocation) má:
- **SLA** s garanciou dostupnosti.
- **Exit strategy** — dokumentovaná migrácia.
- **Regulárny audit** — minimálne ročne.
- **Data export** — možnosť vyviezť všetky dáta v strojovo čitateľnom formáte.

Viď Supplier security policy pre detailný register.

## 8. Cvičenia a testy
- **Tabletop exercise:** minimálne quarterly so zapojením CMT.
- **Full BCM exercise:** ročne, s merateľnými KPIs (dodržané RTO/RPO).
- **Surprise drill:** ad-hoc podľa rozhodnutia CISO (nie viac než raz ročne, nahraný post-mortem).

## 9. Post-recovery review
Po každej aktivácii BCM plánu:
- Formálny after-action report do 10 pracovných dní.
- Aktualizácia BIA ak sa dopad líši od predpokladu.
- Lessons learned zapracované do runbookov.

## 10. Revízia
Ročne + po každom významnom incidentne, organizačnej zmene alebo zmene regulácie.

## 11. Súvisiace dokumenty
- Incident response policy
- Supplier security policy
- Politika šifrovania (pre backup encryption)
- Politika prístupových práv (pre recovery access)

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________