Računsko sodišče je izvedlo revizijo učinkovitosti JAVNEGA PODJETJA VODOVOD KANALIZACIJA SNAGA d.o.o. (v nadaljevanju: JP VOKA SNAGA d.o.o.) pri upravljanju neprekinjenega poslovanja na področju preskrbe s pitno vodo v obdobju od 1. 1. 2019 do 31. 12. 2020. Po mnenju računskega sodišča je bilo JP VOKA SNAGA d.o.o. v obdobju, na katero se nanaša revizija, pri upravljanju neprekinjenega poslovanja na področju preskrbe s pitno vodo delno učinkovito.
JP VOKA SNAGA d.o.o. kot izvajalec bistvene storitve preskrbuje s pitno vodo več kot 330 tisoč prebivalcev Mestne občine Ljubljana z nekaj sosednjimi občinami. V svojih dokumentih ni imelo eksplicitno poudarjenega pojma neprekinjeno poslovanje, vendar je kljub temu upravljalo varno in zanesljivo oskrbo s pitno vodo v skladu z zahtevami standarda ISO 22301:2019 glede povezave politike neprekinjenega poslovanja s cilji in drugimi politikami organizacije, vključno s skupno strategijo za upravljanje tveganj. Vodstvo JP VOKA SNAGA d.o.o. je bilo zavezano k varni in zanesljivi oskrbi s pitno vodo in je skupaj z zaposlenimi ustrezno obvladovalo tveganja in izvajalo nenehno izboljševanje na področju preskrbe s pitno vodo. JP VOKA SNAGA d.o.o. je imelo vpeljan proces odkrivanja in spremljanja incidentov, zelo dobro izdelan sistem obveščanja o sporočilih, pomembnih za sistem upravljanja neprekinjenega poslovanja, kakor tudi dobro urejeno dokumentacijo in sistem upravljanja z njo. JP VOKA SNAGA d.o.o. ni imelo eksplicitno pripravljene in sprejete strategije, politike in načrta neprekinjenega poslovanja, a so njihov sistem obvladovanja tveganj ter procesi in z njimi povezane aktivnosti za upravljanje varne in zanesljive oskrbe s pitno vodo omogočali nemoteno preskrbo s pitno vodo. JP VOKA SNAGA d.o.o. preverjanj postopkov neprekinjenega poslovanja ni imelo vključenih v celotni del načrta neprekinjenega poslovanja, ker tak načrt ni obstajal, vendar je kljub temu testiralo, spremljalo in izvajalo aktivnosti za preverjanje vseh vitalnih elementov postopkov pridobivanja in preskrbe s pitno vodo. V skladu s poslovnikom kakovosti družbe je JP VOKA SNAGA d.o.o. s pomočjo notranjih presoj zagotavljalo delovanje integriranega sistema vodenja in posledično s posameznimi sistemi, kjer so se preverjale tudi zahteve organizacije glede postopkov pridobivanja in oskrbe s pitno vodo.
JP VOKA SNAGA d.o.o. je pripravilo dokument Informacijska varnostna politika in politika neprekinjene informacijske podpore izvajanju bistvene storitve oskrbe s pitno vodo v JP VOKA SNAGA. Omenjena politika informacijske varnosti je bila pripravljena v skladu z zahtevami Zakona o informacijski varnosti, a ni bila ustrezno integrirana v sistem upravljanja in politiko kakovosti podjetja. Načrt obnovitve delovanja informacijskih sistemov, ki podpirajo izvajanje bistvene storitve oskrbe s pitno vodo v JP VOKA SNAGA, je bil splošen in ni bil dovolj podroben, da bi ga bilo mogoče uporabiti v primeru krize ali katastrofe, saj so manjkali podrobni načrti za odzivanje. Načrt odzivanja na incidente pri izvajanju bistvene storitve oskrbe s pitno vodo v JP VOKA SNAGA je bil, podobno kot politika informacijske varnosti, splošno pripravljen, a ni bil integriran z ostalimi procesi. Prav tako JP VOKA SNAGA d.o.o. še ni imelo celovitih načrtov za neprekinjeno delovanje informacijskega sistema, ki bi jih lahko preverilo v praksi in ki bi mu omogočali nemoteno okrevanje posameznih komponent in sistemov po krizi ali katastrofi. Izvajalec upravljanja informacijskega sistema za JP VOKA SNAGA d.o.o. ni imel podrobno izdelanih internih navodil, kako obnoviti podatke, vendar pa so se izvajale delne povrnitve podatkov in postavitve virtualnih strežnikov iz varnostnih kopij. Prav tako JP VOKA SNAGA d.o.o. ni imelo pripravljenih navodil za pregled in analizo delovanja informacijskega sistema po ponovnem začetku izvajanja obnovljenih storitev informacijskega sistema za preskrbo s pitno vodo.
Računsko sodišče od JP VOKA SNAGA d.o.o. ni zahtevalo predložitve odzivnega poročila, je pa podalo vrsto priporočil za nadaljnje izboljšanje stanja. JP VOKA SNAGA d.o.o. je že med revizijo pristopilo k implementaciji priporočil in nekatere med njimi izvedlo že pred izdajo revizijskega poročila.
