Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Непрерывность бизнеса и анализ последствий



 

Необходимо, чтобы планирование непрерывности бизнеса начиналось с идентификации событий, которые могут быть причиной прерывания бизнес-процессов, например отказ оборудования, наводнение или пожар. Планирование должно сопровождаться оценкой рисков с целью определения последствий этих прерываний (как с точки зрения масштаба повреждения, так и периода восстановления). Оценку рисков необходимо осуществлять при непосредственном участии владельцев бизнес-ресурсов и участников бизнес-процессов. Оценка риска должна распространяться на все бизнес-процессы и не ограничиваться только средствами обработки информации.

 

В зависимости от результатов оценки рисков необходимо разработать стратегию для определения общего подхода к обеспечению непрерывности бизнеса. Разработанный план должен быть утвержден руководством организации.

 

11.1.3 Разработка и внедрение планов обеспечения непрерывности бизнеса

 

Следует разрабатывать планы по поддержке или восстановлению бизнес-операций в требуемые периоды времени после прерывания или отказа критических бизнес-процессов. Необходимо, чтобы план обеспечения непрерывности бизнеса предусматривал следующие мероприятия по обеспечению информационной безопасности:

 

- определение и согласование всех обязанностей должностных лиц и процедур на случай чрезвычайных ситуаций;

 

- внедрение в случае чрезвычайных ситуаций процедур, обеспечивающих возможность восстановления бизнес-процессов в течение требуемого времени. Особое внимание следует уделять оценке зависимости бизнеса от внешних факторов и существующих контрактов;

 

- документирование согласованных процедур и процессов;

 

- соответствующее обучение сотрудников действиям при возникновении чрезвычайных ситуаций, включая кризисное управление;

 

- тестирование и обновление планов обеспечения непрерывности бизнеса.

 

Необходимо, чтобы план обеспечения непрерывности бизнеса соответствовал требуемым целям бизнеса, например восстановлению определенных сервисов для клиентов за приемлемый промежуток времени. Следует учитывать потребности в необходимых для этого сервиса ресурсов, включая укомплектование персоналом, альтернативными ресурсами для средств обработки информации, а также меры по переходу на аварийный режим работы для этих средств.

 

11.1.4 Структура планов обеспечения непрерывности бизнеса

 

Следует поддерживать единую структуру планов обеспечения непрерывности бизнеса в целях обеспечения непротиворечивости всех планов и определения приоритетов для тестирования и обслуживания средств и систем обработки информации. Необходимо, чтобы каждый план обеспечения непрерывности бизнеса четко определял условия его реализации, а также должностных лиц, ответственных за выполнение каждого его пункта. При выявлении новых требований необходимо вносить соответствующие корректировки в процедуры на случай чрезвычайных ситуаций, например в планы эвакуации или в любые существующие планы по переходу на аварийный режим работы.

 

Необходимо, чтобы в структуре планов обеспечения непрерывности бизнеса предусматривалось следующее:

 

- условия реализации планов, которые определяют порядок действий должностных лиц, которому необходимо следовать (как оценивать ситуацию, кто должен принимать участие, и т.д.) перед введением в действие каждого пункта плана;

 

- процедуры на случай чрезвычайных ситуаций, которые должны быть предприняты после инцидента, подвергающего опасности бизнес-операции и/или человеческую жизнь. Необходимо, чтобы они включали также меры по управлению связями с общественностью и эффективное взаимодействие с соответствующими государственными органами, например с милицией, пожарной охраной и местными органами власти;

 

- процедуры перехода на аварийный режим работы, которые описывают необходимые действия по переносу важных бизнес-операций или сервисов-поддержки в альтернативное временное место размещения и по восстановлению бизнес-процессов в требуемые периоды времени;

 

- процедуры возобновления работы, которые описывают необходимые действия для возвращения к нормальному режиму ведения бизнеса;

 

- график поддержки плана, который определяет сроки и методы тестирования, а также описание процесса поддержки плана;

 

- мероприятия по обучению персонала, которые направлены на понимание процессов обеспечения непрерывности бизнеса сотрудниками, и поддержание постоянной эффективности этих процессов;

 

- обязанности должностных лиц, ответственных за выполнение каждого пункта плана. При необходимости должны быть указаны альтернативные ответственные.

 

Необходимо, чтобы за каждый план отвечал конкретный руководитель (сотрудник). Чрезвычайные меры, планы по переходу на аварийный режим ручной обработки, планы по возобновлению работы следует включать в сферу ответственности владельцев соответствующих бизнес-ресурсов или участников затрагиваемых процессов. За меры по переходу на аварийный режим работы с использованием альтернативных технических средств, таких как средства обработки информации и связи, ответственность несут поставщики услуг.

 

11.1.5 Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса

 

11.1.5.1 Тестирование планов

 

Планы по обеспечению непрерывности бизнеса могут оказаться несостоятельными при тестировании из-за неправильных предпосылок разработки, недосмотру или вследствие изменений, связанных с заменой оборудования или персонала. Поэтому планы необходимо регулярно тестировать для обеспечения уверенности в их актуальности и эффективности. Такие тесты необходимы также для обеспечения знания своих обязанностей всеми членами команды восстановления и другим персоналом, имеющим к этому отношение.

 

Необходимо, чтобы в графике тестирования плана по обеспечению непрерывности бизнеса указывалось, как и когда следует проверять каждый пункт плана. Периодичность и методы тестирования отдельных пунктов плана могут быть различными. При этом могут использоваться следующие методы:

 

- тестирование (" имитация прогона" ) различных сценариев (обсуждение мер по восстановлению бизнеса на различных примерах прерываний);

 

- моделирование (особенно для тренировки персонала по выполнению своих функций после инцидента и перехода к кризисному управлению);

 

- тестирование технического восстановления (обеспечение уверенности в эффективном восстановлении информационных систем);

 

- проверка восстановления в альтернативном месте (бизнес-процессы осуществляются параллельно с операциями по восстановлению в удаленном альтернативном месте);

 

- тестирование средств и сервисов-поставщиков (обеспечение уверенности в том, что предоставленные сторонними организациями сервисы и программные продукты удовлетворяют контрактным обязательствам);

 

- " генеральные репетиции" (тестирование того, что организация, персонал, оборудование, средства и процессы могут справляться с прерываниями).

 

Методы тестирования могут использоваться любой организацией и необходимо, чтобы они отражали специфику конкретного плана по восстановлению.

 

11.1.5.2 Поддержка и пересмотр планов

 

Планы по обеспечению непрерывности бизнеса необходимо поддерживать в актуальном состоянии путем проведения регулярных пересмотров и обновлений с целью обеспечения уверенности в их постоянной эффективности (11.1.5.1). В рамках программы развития организации необходимо предусматривать соответствующие процедуры, обеспечивающие непрерывность бизнеса.

 

Необходимо назначать ответственных за проведение регулярных пересмотров плана по обеспечению непрерывности бизнеса; идентифицированные изменения в бизнес-процессах, еще не отраженные в планах по обеспечению непрерывности бизнеса, должны быть учтены путем соответствующих обновлений планов. Формализованный процесс управления изменениями должен обеспечивать рассылку и ввод в действие обновленных планов в рамках их регулярных пересмотров.

 

Примеры ситуаций, которые могли бы потребовать обновления планов, включают приобретение нового оборудования или обновление операционных систем, а также изменения, связанные с:

 

- персоналом;

 

- адресами или номерами телефонов;

 

- стратегией бизнеса;

 

- местоположением, средствами и ресурсами;

 

- законодательством;

 

- подрядчиками, поставщиками и основными клиентами;

 

- процессами (как новыми, так и изъятыми);

 

- рисками (операционными и финансовыми).

 

 

12 Соответствие требованиям

12.1 Соответствие требованиям законодательства

Цель: предотвращение любых нарушений норм уголовного и гражданского права, обязательных предписаний и регулирующих требований или договорных обязательств, а также требований безопасности.

 

Проектирование и функционирование информационных систем, их использование и управление ими могут быть предметом обязательных предписаний, регулирующих требований, а также требований безопасности в договорных обязательствах.

 

Следует консультироваться с юристами организации или с практикующими юристами, имеющими соответствующую квалификацию, в отношении конкретных юридических вопросов. Следует иметь в виду, что законодательные требования в отношении информации, созданной в одной стране и переданной в другую страну (например, информационный поток, передаваемый за границу государства), различаются в разных странах.

 


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-04-09; Просмотров: 1036; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.029 с.)
Главная | Случайная страница | Обратная связь