Управление непрерывностью бизнеса
Анализ воздействия на бизнес
Анализ воздействия на бизнес — основа системы управления непрерывностью бизнеса. Основная задача анализа – определить ключевые бизнес-процессы организации, оценить последствия их возможного прерывания и, основываясь на возможных потерях, определить приоритеты и целевые показатели восстановления (RTO, RPO, MTPD, MBCO).
Для бизнес-процессов на этом этапе исследуются зависимости от поддерживающих ресурсов (персонала, помещений, ИТ-сервисов и т.п.), что определяет требования к необходимым ресурсам и процедуры восстановления.
Для компаний численностью свыше 500 человек рекомендуется проведение анализа с использованием систем автоматизации процессов управления непрерывностью бизнеса.
В итоге: что действительно важно для организации, каковы возможные потери, структура зависимости от ресурсов, требования к восстановлению.
Оценка рисков непрерывности бизнеса
Оценка рисков необходима для разработки эффективных защитных мер для критичных активов организации. Рассматриваются как общие риски, присущие для организации в целом, так и специфические риски, характерные для конкретных бизнес-процессов и поддерживающей их инфраструктуры. Риски ранжируются в соответствии с их критичностью, определяются действия, направленные на их снижение. Рекомендуется интеграция процесса управления рисками непрерывности бизнеса с уже существующими корпоративными механизмами управления рисками, либо построение выделенного процесса.
В итоге: основные угрозы, механизмы защиты.
Аудит инфраструктуры и поддерживающих процессов
Аудит организации с точки зрения непрерывности бизнеса определяет фактические показатели восстановления, обеспечиваемые существующими инфраструктурой и процессами, и выявляет проблемные зоны. В зависимости от согласованных рамок, в процессе аудита проводится анализ ИТ инфраструктуры и обеспечивающих процессов, производственной инфраструктуры, систем жизнеобеспечения офиса и т.п. Для выявленных узких мест и точек отказа разрабатываются пошаговые рекомендации по их устранению.
В итоге: проблемные зоны в инфраструктуре и процессах, рекомендации по их устранению.
Разработка стратегии непрерывности бизнеса
Стратегия определяет целевое состояние организации в контексте обеспечения непрерывности бизнеса и программу его достижения. В соответствии с рекомендациями стандарта ISO 22301, стратегия строится, основываясь на результатах анализа воздействия на бизнес и оценки рисков. С целью оптимизации инвестиций программа перехода к целевому состоянию разбивается на этапы, каждый из которых приводит к ощутимому снижению риска и допускает корректировку дальнейших шагов. Отдельный раздел стратегии посвящается вопросам управления – как в режиме нормального функционирования организации, так и в режиме чрезвычайной ситуации.
Как правило, этап завершается презентацией стратегии для высшего руководства компании.
В итоге: целевое состояние, дорожная карта, механизмы управления.
Разработка плана реагирования на инцидент
План реагирования на инцидент (IRP, Incident Response Plan) предназначен для использования в первые минуты/часы после возникновения чрезвычайной ситуации. Основные задачи плана – обеспечение безопасности людей, оценка происшедшего события, минимизация потерь организации, активация необходимых планов непрерывности бизнеса. План разрабатывается для создаваемой оперативной структуры, управляющей процессом реагирования на ЧС.
В итоге: принципы реагирования и противодействия чрезвычайной ситуации.
Разработка планов обеспечения непрерывности бизнеса
План обеспечения непрерывности бизнеса (BCP, Business Continuity Plan) предназначен для восстановления бизнес-процессов организации. Как правило, разрабатывается для блока бизнес-процессов, выполняемых внутри одного бизнес-подразделения. Планы разрабатываются в соответствии с рекомендациями стандартов ISO 22301/22313.
Для компаний численностью свыше 500 человек рекомендуется разработка планов обеспечения непрерывности бизнеса с использованием систем автоматизации процессов управления непрерывностью бизнеса.
В итоге: заблаговременно спланированные действия по восстановлению бизнес-процессов после чрезвычайной ситуации.
Разработка планов аварийного восстановления
План аварийного восстановления (DRP, Disaster Recovery Plan) предназначен для восстановления технологической, в т.ч. ИТ инфраструктуры. Планы разрабатываются в соответствии с рекомендациями стандартов ISO 22301/22313, ISO 27031.
Для компаний численностью свыше 500 человек рекомендуется разработка планов аварийного восстановления с использованием систем автоматизации процессов управления непрерывностью бизнеса.
В итоге: заблаговременно спланированные действия по восстановлению инфраструктуры после чрезвычайной ситуации.
Проведение тестирования и учений
Тестирование и учения проводятся для отработки действий и выявления проблемных зон в разработанных на предыдущих этапах планах (IRP, BCP и DRP) и обеспечивающей их инфраструктуре. Первоначальное тестирование рекомендуется проводить в формате штабной игры (Tabletop Exercise), по мере повышения уровня зрелости — осуществлять переход к функциональному тестированию (отдельных элементов или функций) и полномасштабному тестированию.
В итоге: протестированные планы и инфраструктура, необходимые корректировки.
Экспресс-аудит системы непрерывности бизнеса
Услуга оказывается на территории заказчика с последующей подготовкой письменного отчета.
Продолжительность работы на территории заказчика составляет один день, в течение которого проводятся:
1. Анализ системы менеджмента непрерывности бизнеса:
— Аудит документации.
— Интервью с сотрудниками заказчика.
— Визуальная оценка офисных и технологических помещений.
2. По желанию заказчика: мини-тренинг для сотрудников заказчика (продолжительностью до 2 часов, программа согласуется предварительно).
3. Выдача устных рекомендаций по развитию системы менеджмента непрерывности бизнеса.
В итоге: отчет о результатах аудита с рекомендациями по развитию.