Systemy zarządzania ciągłością działania (ang. Business Continuity Management – BCM) oraz zarządzania bezpieczeństwem informacji (ang. Information Security Management – ISM) są częścią całego systemu zarządzania w instytucji. Ich celem jest ustanowienie, wdrożenie a następnie wykorzystanie, monitorowanie, utrzymanie i doskonalenie ciągłego funkcjonowania najważniejszych procesów instytucji (w przypadku BCM) oraz bezpieczeństwa informacji (w przypadku ISM).

Działania w ramach tych systemów wpisują się w cykl Deminga, czyli tzw. schemat PDCA (ang. Plan-Do-Check-Act):

  • Planowanie (ang. Plan) – etap planowania systemu zarządzania obejmuje zgromadzenie podstawowych informacji opisujących organizację oraz procesy biznesowe w niej funkcjonujące, inwentaryzację posiadanych zasobów oraz stosowanych technologii zabezpieczeń, przeprowadzenie dwuetapowej analizy ryzyka obejmującej analizę wpływu incydentów na działanie procesu BIA (ang. Business Impact Analysis) oraz szczegółową analizę zagrożeń i podatności dotyczących ciągłości działania krytycznych procesów oraz bezpieczeństwa informacji, opracowanie wymaganych dokumentów systemowych (np. polityka ciągłości działania, strategia ciągłości działania oraz deklaracja stosowania zabezpieczeń, plany i procedury systemowe),
  • Wykonanie (ang. Do) – etap implementacji systemu zarządzania obejmujący wdrożenie mechanizmów zarządzania incydentami, wdrożenie zabezpieczeń, w tym szczegółowe opracowanie i wdrożenie do stosowania planów utrzymania ciągłości działania – BCP (ang. Business Continuity Plan), przeprowadzenie procesu uświadamiania personelu w zakresie zasad zachowania ciągłości działania, wdrożenie metod obniżenia ryzyka wybranych w strategii zarządzania ciągłością działania, ustanowienie procesów zarządzania operacyjnego systemem, realizacje wewnętrznych i zewnętrznych kanałów komunikacyjnych,
  • Sprawdzenie (ang. Check) – etap dotyczący monitorowania i przeglądu systemu zarządzania obejmujący analizę danych gromadzonych w systemie, realizację audytów wewnętrznych, przeprowadzenie przeglądów działania systemu przez najwyższe kierownictwo, zaplanowanie udoskonaleń systemu,
  • Działanie (ang. Act) – etap utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem/ciągłością działania obejmujący realizację działań korygujących i zapobiegawczych oraz doskonalenie systemu obejmujące aktualizacje obowiązujących procedur, planów BCP oraz analiz ryzyka stosownie do zmieniających się procesów biznesowych opisujących organizację, jak też zmian zachodzących w otoczeniu prawnym i biznesowym.

Proces zarządzania ciągłością działania wymaga więc wdrożenia działań (analiz ryzyka) obejmujących identyfikację potencjalnych zdarzeń stanowiących zagrożenie dla funkcjonowania procesów biznesowych instytucji i określenie ich wpływu na te procesy. Konieczne jest utworzenie struktury zarządzania, która umożliwi zapewnienie odpowiedniej reakcji na te zdarzenia (zarządzania incydentami) i pozwoli utrzymać ciągłość działania procesów, a następnie uruchomienie mechanizmów umożliwiających minimalizację skutków wystąpienia sytuacji kryzysowej (opracowanie i stosowanie planów utrzymania ciągłości działania). W szczególności odtwarzanie przerwanych procesów lub ich kontynuację w lokalizacji zapasowej.

Zarządzanie ciągłością działania jest procesem ciągłego doskonalenia mającego na celu opracowanie, a następnie utrzymanie na właściwym poziomie planów działania w sytuacji potencjalnie kryzysowej, która może spowodować przerwanie realizacji najważniejszych procesów instytucji. W rozbudowanej organizacyjnie instytucji zarządzanie ciągłością działania obejmuje pracowników, miejsca pracy, systemy teleinformatyczne, informacje, systemy techniczne, dostawców mediów, udziałowców. Nagłe zakłócenie działania systemu teleinformatycznego przełoży się na przerwanie ciągłości działania całego organizmu instytucji.