Embed Size (px)
DESCRIPTION
Üzletmenet-folytonosság tervezése. Business Continuity Plan BCP ( Krasznay Csaba és Maros Dóra). Mi az az üzletmenet-folytonosság?. - PowerPoint PPT Presentation
Citation preview
Üzletmenet-folytonosság tervezése
Business Continuity Plan BCP
(Krasznay Csaba és Maros Dóra)
Mi az az üzletmenet-folytonosság?• Az üzletmenet-folytonosság menedzsment az a folyamat,
melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetőleg a legkisebb kieséssel.
• Tervezéssel, teszteléssel, oktatással és karbantartással lehet csak kezelni a kérdéskört.
• A gyakorlatban ez elsősorban rengeteg dokumentum elkészítését jelenti, amitől sokan ódzkodnak.
• De ha egyszer beüt a krach, hirtelen minden leírt oldalnak és teszteléssel eltöltött időnek értelme lesz.
• Márpedig az üzletmenet folyamatosan fennakad… akár látja ezt a főnök, akár nem.
• Tulajdonképpen a kockázatmenedzsment egyik eredménye, hiszen abból derül ki, hogy mire kell felkészülnünk.
ISO 22301Business Continuity Management System
Hogyan érhető el a cél?
• Kipróbált, jól definiált eljárásokvagy ott helyben kellene kitalálni
• Tudatosan viselkedő személyzetvagy fejetlenség
• Döntéshozó potenciálvagy egymásra mutogatás
• Rendelkezésre álló erőforrásokvagy fennakadások, végeláthatatlan csúszások
• Üzleti oldal elvárásai előfizető elvárásai
Tervek, dokumentumok I.Üzletmenet-folytonossági terv (Business Continuity Plan – BCP):
annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva.
Helyreállítási Terv (Business Resumption Plan – BRP): leírja, hogy egy üzleti folyamatot hogyan kell visszaállítani egy
nem kívánt esemény után. Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része.
Tervek, dokumentumok II.Működés folytatásának terve (Continuity of Operations Plan – COOP):
Feladata annak a definiálása, hogy a szervezeti működést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-től függetlenül készül. Mivel elsősorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítésű.
A támogatás folyamatossági terve (Continuity of Support Plan): Az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére
vonatkozó terv.Krízis kommunikációs terv (Crisis Communication Plan): A katasztrófa esetén szükséges belső és külső kommunikációs
stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki
ilyenkor megszólalhat a nyilvánosság előtt.
Tervek, dokumentumok III.Informatikai incidenskezelési terv (Cyber Incident Response Plan):
Azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete.
Katasztrófa helyreállítási terv (DRP): Akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény
éri. Lényegében leírja, hogy hogyan lehet a pl. teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része (általában).
Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan – OEP):
A létesítményeket fenyegető veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tűzeset vagy valamilyen bűncselekmény miatt életbelépő cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre.
Tervek, dokumentumok IV.
Mikor beszélünk katasztrófáról?
• A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz.
• Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy előre meghatározott időn túl nem képes a kritikus üzleti funkciókat működtetni.
• A katasztrófa kimondása ezen az előre meghatározott időn múlik, pl. ha egy szervezet egy hétig nem képes egy funkciót működni, akkor az már katasztrófa.
• Minden kritikus funkcióra más időbeliség vonatkozhat.
A katasztrófa jellemzői
• A katasztrófa jellemzői:– Nem tervezett szolgáltatásleállás,– Hosszan tartó szolgáltatásleállás (de milyen hosszan?),– Olyan leállás, amit a normális problémamenedzsment
eljárásokon belül nem lehet megoldani,– Komoly károkat vagy veszteségeket okoz. (mit
nevezünk komolynak?)• Katasztrófát kimondani nagyon komoly döntés!!!
Az üzletmenet-folytonosság céljai I.• A kockázatmenedzsment során nem lehet mindenre
felkészülni, vagy minden kockázatot eltűntetni, de az ilyen események során is fenn kell tartani a szervezet működőképességét.
• Néhány cél, amit a BCP megold:– Azonnali és vélhetően megfelelő elvileg kipróbált válasz a
vészhelyzetekre.– Megkönnyíti az üzleti működés visszaállítását az esemény
hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy előre meghatározott időn belül újra lehet indítani.
– Csökkenti a kár mértékét.
Az üzletmenet-folytonosság céljai II.
– Eljárások és erőforrások listája, amit a visszaállítás során fel kell használni.
– Világos leírás, amit a felelősök végre tudnak hajtani.– Azon partnerek azonosítása, akik bevonása indokolt lehet a
visszaállítás során.– Segíti a zűrzavar elkerülését vészhelyzet során a világos útmutatók
és a tesztelés segítségével.– Tartalmazza a visszaállításhoz szükséges információk listáját.– Leírja a tartalék helyen történő működés szabályait, ha az
elsődleges hely nem elérhető.– Az elsődleges helyre való visszatérés eljárásait is meghatározza.
A BCP elkészítésének lépései• BCP-t készíteni és karbantartani sokáig tart és drága,
ráadásul talán sosem lesz rá szükség (legalább is azt hisszük)!
• Igazából csak akkor hiányzik, amikor már megtörtént a baj, és nincs. De akkor nagyon tud hiányozni!
• Lépései:– Projektindítás és irányítás,– Üzleti hatások elemzése,– Visszaállítási stratégiák meghatározása,– Tervezés és megvalósítás,– Tesztelés, karbantartás, tudatosság és képzés.
Az üzletmenet-folytonosság tervezés
folyamata
Üzletfolytonossági rendszer kialakítása az MVM csoportnál
Projektindítás és irányítás• Részei:– Győződjünk meg arról, hogy egyáltalán szükségünk van-e
BCP-re! Erre kiváló megoldás egy fókuszált kockázatelemzés.
– Szerezzük meg a menedzsment támogatását!– Határozzuk meg a belső és külső stratégiai erőforrásokat,
akik meg tudják mondani, hogy a BCP megvalósítható-e!– Alakítsuk meg a BCP csoportot, amiben szervezeti és
műszaki szempontból is kompetens emberek vannak!– Készüljön projektindítási dokumentáció!– Döntsük el, hogy kellenek-e adatgyűjtő eszközök!– Legyenek formális és tervezett megbeszélések (párbeszéd)!
• Az egésznek legyen egy koordinátora (általában biztonsági igazgató)!
Üzleti hatások elemzése (Business Impact Analyzis-BIA) I.
• Üzleti és nem műszaki döntések meghozatalát igényli!• Célja a nem kívánt esemény hatásának elemzése az üzleti
folyamatra.• A hatás azzal a maximálisan megengedhető idővel mérhető,
ami még nem okoz visszafordíthatatlan kárt az üzleti folyamatokban, és azzal, hogy a szervezet milyen működési és gazdasági károkkal tud visszaállni a megfelelő működésre.
• A BIA célja az, hogy a menedzsment elfogadja a maximálisan elfogadható kiesést (Maximum Tolerable Downtime – MTD) minden kritikus üzleti folyamatra.
• Ezen kívül meg kell határozni, hogy az MTD-n túli leállás mekkora anyagi és presztízs kárt okoz (pl. kár/nap).
• A BIA a kiváltó okot nem elemzi, csak az okozott hatást!!!
A BIA céljai
• A BIA céljai:– Leírás a menedzsment részére a lehetséges nem
kívánt események hatásairól.– Az üzleti folyamatok kritikusságának
meghatározása. (Ebben segíthet az ISO 9001)– Prioritást állapít meg a kritikus rendszerek között.– Megvizsgálja egy leállás anyagi hatásait.– Megállapítja a kritikus funkciók visszaállítási
ablakait.
Üzleti hatások elemzésének lépései I.• 1. lépés: Határozzuk meg az információgyűjtés
technikáját! Ez lehet elektronikus vagy papíralapú, személyes vagy csoportos interjú, stb.
• 2. lépés: Válasszuk ki az interjúalanyokat! Lehetőleg minden üzleti egységből egy vezetőt és egy dolgozót illik kiválasztani.
• 3. lépés: Készítsünk szervezetre szabott kérdőívet! A kérdések kvalitatív (pl. imidzs) és kvantitatív (pl. anyagi) veszteségekre vonatkoznak.
• 4. lépés: Elemezzük az információkat! A harmadik lépésből származó információkat szerkeszteni, analizálni és összesíteni kell!
Üzleti hatások elemzésének lépései II.• 5. lépés: Határozzuk meg az időkritikus üzleti
funkciókat! Az analízis eredményeképp meg lehet ezeket határozni. Ezen funkciókat kell a kritikus időn belül visszaállítani. Figyeljünk a függőségekre is!
• 6. lépés: Határozzuk meg a maximálisan elfogadható kiesés (MTD) mértékét!
• 7. lépés: A maximálisan elfogadható kiesés alapján állapítsunk meg prioritást a kritikus üzleti funkciók alapján! Minél kisebb a maximálisan elfogadható kiesés, annál fontosabb a funkció, és annál drágább visszaállítani!
• 8. lépés: Írjuk le a visszaállítási ajánlásokat! Ennek jóváhagyása még a következő lépés előtt történjen!
Visszaállítási stratégiák meghatározása
• Célja olyan stratégiák meghatározása, amik segítségével az előző lépésben definiált időkeretek betarthatók.
• Lépései:– A költségek meghatározása minden lehetséges megoldáshoz,– Árajánlat kérése külső szállítóktól,– Szerződések megkötése,– A kockázatok csökkenésének értékelése,– Az értékelés alapján az időkeretek és prioritások esetleges
újragondolása
Üzleti visszaállítási stratégia• Elsősorban a kritikus erőforrásokra és az üzleti
funkciók MTD-jére koncentrál.• Prioritásai egyenesen a BIA-ból származnak.• Kidolgozásához azonosítani kell a következőket:– Kritikus üzleti folyamatok és a hozzájuk tartozó üzleti
funkciók.– Az ezekhez tartozó kritikus infrastruktúra elemek.– A kritikus funkciók ellátásához szükséges eszközök (pl. IT).– A szükséges irodai/üzemeltetési területek.– Kulcsemberek az adott területen.
Létesítmény visszaállítási stratégia• Annak meghatározása, hogy egy helyettesítő létesítményben
hogyan lehet a munkát folytatni.• Leírásra kerül:– A minimálisan szükséges hely (munkaterületek, tárgyalók,
stb.), ami a kritikus funkcióhoz kell.– A kevésbé kritikus erőforrások által igényel hely.– A helyettesítő létesítménnyel kapcsolatos biztonsági
követelmények.– Tűzvédelmi elvárások.– A szükséges berendezési tárgyak listája.– A kábelezési elvárások.– Épületgépészeti igények.– Irodaszerek listája.
Emberi erőforrással történőújraindítása stratégia
• Feladata azon eljárások azonosítása, amit manuálisan is el lehet végezni.
• Ezeket a műveleteket megfelelően kell dokumentálni, bizonylatolni, hogy a későbbi elektronikus feldolgozás egyszerű legyen.
• A következő dolgokat kell megfontolni:– A kritikus folyamat elvégezhető-e manuálisan?– Milyen dokumentálási eljárással lehet biztosítani, hogy
semmilyen adat vagy tranzakció nem fog elveszni?– Mik az alapvető fizikai rekord tárolási követelmények?– Hogyan lehet a munkaerőt biztosítani ezekhez a
folyamatokhoz?– Hogyan lehet a kapcsolattartást biztosítani?
Kockázatmenedzsment folyamata
Minimális Csekély Mérsékelt Jelentős Kritikus
Kárérték táblázat
Bekövetkezési valószínüség
Kockázati besorolás számítása
Kockázati elemzés
• Az elemzést minden kulcsfolyamat tekintetében el kell végezni!• Meg kell nézni a kapcsolódó folyamatokat is (pl. támogató-HR)• A legnagyobb „törődést” a kritikus kulcsfolyamatok kívánják (BCP és DRP)• Akciótervek készítése (BCP része)
BUMM!!!
