310 likes | 465 Views
Üzletmenet-folytonosság tervezése. Business Continuity Plan BCP ( Krasznay Csaba és Maros Dóra). Mi az az üzletmenet-folytonosság?.
E N D
Üzletmenet-folytonosság tervezése Business ContinuityPlan BCP (Krasznay Csaba és Maros Dóra)
Mi az az üzletmenet-folytonosság? • Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetőleg a legkisebb kieséssel. • Tervezéssel, teszteléssel, oktatással és karbantartással lehet csak kezelni a kérdéskört. • A gyakorlatban ez elsősorban rengeteg dokumentum elkészítését jelenti, amitől sokan ódzkodnak. • De ha egyszer beüt a krach, hirtelen minden leírt oldalnak és teszteléssel eltöltött időnek értelme lesz. • Márpedig az üzletmenet folyamatosan fennakad… akár látja ezt a főnök, akár nem. • Tulajdonképpen a kockázatmenedzsment egyik eredménye, hiszen abból derül ki, hogy mire kell felkészülnünk.
ISO 22301 Business Continuity Management System
Hogyan érhető el a cél? • Kipróbált, jól definiált eljárásokvagy ott helyben kellene kitalálni • Tudatosan viselkedő személyzetvagy fejetlenség • Döntéshozó potenciálvagy egymásra mutogatás • Rendelkezésre álló erőforrásokvagy fennakadások, végeláthatatlan csúszások • Üzleti oldal elvárásai előfizető elvárásai
Tervek, dokumentumok I. Üzletmenet-folytonossági terv (Business ContinuityPlan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva. Helyreállítási Terv (Business ResumptionPlan – BRP): leírja, hogy egy üzleti folyamatot hogyan kell visszaállítani egy nem kívánt esemény után. Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része.
Tervek, dokumentumok II. Működés folytatásának terve (Continuity of OperationsPlan – COOP): Feladata annak a definiálása, hogy a szervezeti működést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-től függetlenül készül. Mivel elsősorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítésű. A támogatás folyamatossági terve (Continuity of SupportPlan): Az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. Krízis kommunikációs terv (CrisisCommunicationPlan): A katasztrófa esetén szükséges belső és külső kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság előtt.
Tervek, dokumentumok III. Informatikai incidenskezelési terv (CyberIncidentResponsePlan): Azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete. Katasztrófa helyreállítási terv (DRP): Akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogy hogyan lehet a pl. teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része (általában). Létesítményekre vonatkozó vészhelyzeti terv (OccupantEmergencyPlan – OEP): A létesítményeket fenyegető veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tűzeset vagy valamilyen bűncselekmény miatt életbelépő cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre.
Mikor beszélünk katasztrófáról? • A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz. • Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy előre meghatározott időn túl nem képes a kritikus üzleti funkciókat működtetni. • A katasztrófa kimondása ezen az előre meghatározott időn múlik, pl. ha egy szervezet egy hétig nem képes egy funkciót működni, akkor az már katasztrófa. • Minden kritikus funkcióra más időbeliség vonatkozhat.
A katasztrófa jellemzői • A katasztrófa jellemzői: • Nem tervezett szolgáltatásleállás, • Hosszan tartó szolgáltatásleállás (de milyen hosszan?), • Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani, • Komoly károkat vagy veszteségeket okoz. (mit nevezünk komolynak?) • Katasztrófát kimondani nagyon komoly döntés!!!
Az üzletmenet-folytonosság céljai I. • A kockázatmenedzsment során nem lehet mindenre felkészülni, vagy minden kockázatot eltűntetni, de az ilyen események során is fenn kell tartani a szervezet működőképességét. • Néhány cél, amit a BCP megold: • Azonnaliés vélhetően megfelelő elvileg kipróbált válasz a vészhelyzetekre. • Megkönnyíti az üzleti működés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy előre meghatározott időn belül újra lehet indítani. • Csökkenti a kár mértékét.
Az üzletmenet-folytonosság céljai II. • Eljárások és erőforrások listája, amit a visszaállítás során fel kell használni. • Világos leírás, amit a felelősök végre tudnak hajtani. • Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során. • Segíti a zűrzavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével. • Tartalmazza a visszaállításhoz szükséges információk listáját. • Leírja a tartalék helyen történő működés szabályait, ha az elsődleges hely nem elérhető. • Az elsődleges helyre való visszatérés eljárásait is meghatározza.
A BCP elkészítésének lépései • BCP-t készíteni és karbantartani sokáig tart és drága, ráadásul talán sosem lesz rá szükség (legalább is azt hisszük)! • Igazából csak akkor hiányzik, amikor már megtörtént a baj, és nincs. De akkor nagyon tud hiányozni! • Lépései: • Projektindítás és irányítás, • Üzleti hatások elemzése, • Visszaállítási stratégiák meghatározása, • Tervezés és megvalósítás, • Tesztelés, karbantartás, tudatosság és képzés.
Projektindítás és irányítás • Részei: • Győződjünk meg arról, hogy egyáltalán szükségünk van-e BCP-re! Erre kiváló megoldás egy fókuszált kockázatelemzés. • Szerezzük meg a menedzsment támogatását! • Határozzuk meg a belső és külső stratégiai erőforrásokat, akik meg tudják mondani, hogy a BCP megvalósítható-e! • Alakítsuk meg a BCP csoportot, amiben szervezeti és műszaki szempontból is kompetens emberek vannak! • Készüljön projektindítási dokumentáció! • Döntsük el, hogy kellenek-e adatgyűjtő eszközök! • Legyenek formális és tervezett megbeszélések (párbeszéd)! • Az egésznek legyen egy koordinátora (általában biztonsági igazgató)!
Üzleti hatások elemzése (Business ImpactAnalyzis-BIA) I. • Üzleti és nem műszaki döntések meghozatalát igényli! • Célja a nem kívánt esemény hatásának elemzése az üzleti folyamatra. • A hatás azzal a maximálisan megengedhető idővel mérhető, ami még nem okoz visszafordíthatatlan kárt az üzleti folyamatokban, és azzal, hogy a szervezet milyen működési és gazdasági károkkal tud visszaállni a megfelelő működésre. • A BIA célja az, hogy a menedzsment elfogadja a maximálisan elfogadható kiesést (Maximum TolerableDowntime – MTD) minden kritikus üzleti folyamatra. • Ezen kívül meg kell határozni, hogy az MTD-n túli leállás mekkora anyagi és presztízs kárt okoz (pl. kár/nap). • A BIA a kiváltó okot nem elemzi, csak az okozott hatást!!!
A BIA céljai • A BIA céljai: • Leírás a menedzsment részére a lehetséges nem kívánt események hatásairól. • Az üzleti folyamatok kritikusságának meghatározása. (Ebben segíthet az ISO 9001) • Prioritást állapít meg a kritikus rendszerek között. • Megvizsgálja egy leállás anyagi hatásait. • Megállapítja a kritikus funkciók visszaállítási ablakait.
Üzleti hatások elemzésének lépései I. • 1. lépés: Határozzuk meg az információgyűjtés technikáját! Ez lehet elektronikus vagy papíralapú, személyes vagy csoportos interjú, stb. • 2. lépés: Válasszuk ki az interjúalanyokat! Lehetőleg minden üzleti egységből egy vezetőt és egy dolgozót illik kiválasztani. • 3. lépés: Készítsünk szervezetre szabott kérdőívet! A kérdések kvalitatív (pl. imidzs) és kvantitatív (pl. anyagi) veszteségekre vonatkoznak. • 4. lépés: Elemezzük az információkat! A harmadik lépésből származó információkat szerkeszteni, analizálni és összesíteni kell!
Üzleti hatások elemzésének lépései II. • 5. lépés: Határozzuk meg az időkritikus üzleti funkciókat! Az analízis eredményeképp meg lehet ezeket határozni. Ezen funkciókat kell a kritikus időn belül visszaállítani. Figyeljünk a függőségekre is! • 6. lépés: Határozzuk meg a maximálisan elfogadható kiesés (MTD) mértékét! • 7. lépés: A maximálisan elfogadható kiesés alapján állapítsunk meg prioritást a kritikus üzleti funkciók alapján! Minél kisebb a maximálisan elfogadható kiesés, annál fontosabb a funkció, és annál drágább visszaállítani! • 8. lépés: Írjuk le a visszaállítási ajánlásokat! Ennek jóváhagyása még a következő lépés előtt történjen!
Visszaállítási stratégiák meghatározása • Célja olyan stratégiák meghatározása, amik segítségével az előző lépésben definiált időkeretek betarthatók. • Lépései: • A költségek meghatározása minden lehetséges megoldáshoz, • Árajánlat kérése külső szállítóktól, • Szerződések megkötése, • A kockázatok csökkenésének értékelése, • Az értékelés alapján az időkeretek és prioritások esetleges újragondolása
Üzleti visszaállítási stratégia • Elsősorban a kritikus erőforrásokra és az üzleti funkciók MTD-jére koncentrál. • Prioritásai egyenesen a BIA-ból származnak. • Kidolgozásához azonosítani kell a következőket: • Kritikus üzleti folyamatok és a hozzájuk tartozó üzleti funkciók. • Az ezekhez tartozó kritikus infrastruktúra elemek. • A kritikus funkciók ellátásához szükséges eszközök (pl. IT). • A szükséges irodai/üzemeltetési területek. • Kulcsemberek az adott területen.
Létesítmény visszaállítási stratégia • Annak meghatározása, hogy egy helyettesítő létesítményben hogyan lehet a munkát folytatni. • Leírásra kerül: • A minimálisan szükséges hely (munkaterületek, tárgyalók, stb.), ami a kritikus funkcióhoz kell. • A kevésbé kritikus erőforrások által igényel hely. • A helyettesítő létesítménnyel kapcsolatos biztonsági követelmények. • Tűzvédelmi elvárások. • A szükséges berendezési tárgyak listája. • A kábelezési elvárások. • Épületgépészeti igények. • Irodaszerek listája.
Emberi erőforrással történőújraindítása stratégia • Feladata azon eljárások azonosítása, amit manuálisan is el lehet végezni. • Ezeket a műveleteket megfelelően kell dokumentálni, bizonylatolni, hogy a későbbi elektronikus feldolgozás egyszerű legyen. • A következő dolgokat kell megfontolni: • A kritikus folyamat elvégezhető-e manuálisan? • Milyen dokumentálási eljárással lehet biztosítani, hogy semmilyen adat vagy tranzakció nem fog elveszni? • Mik az alapvető fizikai rekord tárolási követelmények? • Hogyan lehet a munkaerőt biztosítani ezekhez a folyamatokhoz? • Hogyan lehet a kapcsolattartást biztosítani?
Kárérték táblázat Minimális Csekély Mérsékelt Jelentős Kritikus
Kockázati elemzés • Az elemzést minden kulcsfolyamat tekintetében el kell végezni! • Meg kell nézni a kapcsolódó folyamatokat is (pl. támogató-HR) • A legnagyobb „törődést” a kritikus kulcsfolyamatok kívánják (BCP és DRP) • Akciótervek készítése (BCP része)