среда, 25 ноября 2009 г.

BS 25999 Business continuity - Управление Непрерывностью Бизнеса

Представляю вашему вниманию обзор стандарта 25999: Управление Непрерывностью Бизнеса.
Управление непрерывностью бизнеса (УНБ) - это процесс, связанный с бизнесом и развивающийся в зависимости от него, в ходе которого в соответствии с поставленными целями формируется стратегическая и оперативная система, направленная на:
  • активное совершенствование способности организации к восстановлению при нарушении возможностей по достижению ее основных целей;
  • обеспечение отработанного метода восстановления способности организации производить основные продукты и услуги на согласованном уровне в течение согласованного срока после нарушения нормального хода деятельности; а также
  • обеспечение проверенной способности к управлению нарушением нормального хода бизнеса и защите репутации и брэнда организации.
К УНБ следует подходить не просто как дорогостоящему процессу планирования, а как к виду деятельности, способствующей повышению ценности организации.


Элементы жизненного цикла управления непрерывностью бизнеса

  1. Управление программой УНБ 
  2. Анализ организации 
  3. Выбор стратегии обеспечения непрерывности бизнеса 
  4. Разработка и внедрение УНБ 
  5. Учения, поддержка и аудит мероприятий по УНБ 
  6. Внедрение УНБ в культуру организации

Политика обеспечения непрерывности бизнеса должна представлять собой документально зафиксированные принципы, к соблюдению которых организация будет стремиться и в сравнении с которыми будет оценивать свою способность к обеспечению непрерывности бизнеса. Осуществление политики УНБ должно контролироваться на высшем уровне, например, членом совета директоров или избранным представителем.


Управление программой УНБ 
Управление программой УНБ состоит из трех этапов:
  • распределение обязанностей; 
  • реализация процесса обеспечения непрерывности бизнеса в организации; 
  • постоянное управление непрерывностью бизнеса. 
Руководство организации должно назначить или предложить кандидатуру лица, занимающего должность соответствующего уровня и обладающего надлежащими полномочиями, которое будет отвечать за политику УНБ и ее реализацию; и назначить или предложить кандидатуру одного или нескольких лиц, которые будут заниматься реализацией и поддержкой программы УНБ. Деятельность по внедрению программы обеспечения непрерывности бизнеса должна включать разработку, формирование и реализацию программы. Организации следует:
  • доводить содержание программы до сведения заинтересованных сторон; 
  • организовывать или обеспечивать проведение надлежащего обучения для персонала; а также 
  • проводить учения по отработке способности к обеспечению непрерывности бизнеса. 
Лица, наделенные обязанностями по поддержанию непрерывности бизнеса, должны создавать и вести документацию по обеспечению непрерывности бизнеса. Она может включать в себя следующее:
  1. Политика УНБ: 
  • заявление по области действия УНБ, 
  • круг полномочий по УНБ; 
     2. Анализ воздействия на бизнес (АВБ);
     3. Оценка рисков и угроз;
     4. Стратегия/стратегии УНБ;
     5. Программа повышения осведомленности;
     6. Программа обучения;
     7. Планы по управлению инцидентами;
     8. Планы по обеспечению непрерывности бизнеса;
     9. Планы по восстановлению бизнеса;
     10.График учений и отчеты об их проведении;
     11.Соглашения об уровне сервиса и договоры.

Анализ организации 
В контексте обеспечения непрерывности бизнеса анализ организации заключается в:
  • определении целей организации, обязательств перед заинтересованными сторонами, законодательных обязанностей и условий, в которых работает организация; 
  • определении видов деятельности, активов и ресурсов, в том числе за пределами организации, которые обеспечивают производство таких продуктов и услуг; 
  • оценке воздействия и долговременных последствий неосуществления таких видов деятельности, отсутствия таких активов и ресурсов; 
  • определении и оценке осознаваемых угроз, которые могут нарушить нормальный ход деятельности по производству основных продуктов и услуг организации, а также критически важных видов деятельности, активов и ресурсов, обеспечивающих их производство и предоставление. 
Организации следует определить и документально зафиксировать воздействие, которое способно оказать нарушение нормального хода различных видов деятельности, обеспечивающих производство основных продуктов и услуг. Данный процесс часто называют Анализом воздействия на бизнес (АВБ). Для каждого вида деятельности, обеспечивающего производство основных продуктов и услуг, в рамках программы УНБ организация должна: Оценить во времени воздействие, которое может оказать нарушение нормального хода деятельности; Установить максимально допустимую продолжительность нарушения нормального хода деятельности для каждого вида деятельности, определив:
  • максимальный срок с начала нарушения нормального хода деятельности, в течение которого такую деятельность необходимо возобновить; 
  • минимальный уровень, на котором необходимо осуществлять такую деятельность после ее возобновления; 
  • продолжительность срока, в течение которого необходимо возобновить деятельность на нормальном уровне; 
Определить любые взаимозависимые виды деятельности, активы, элементы вспомогательной инфраструктуры или ресурсы, которые также необходимо непрерывно поддерживать на определенном уровне или восстановить через какое-то время. Те виды деятельности, прекращение которых в соответствии с результатами АВБ может в кратчайшие сроки оказать максимальное воздействие и которые нужно восстановить быстрее всего, можно назвать «критически важными видами деятельности». Организации следует оценить ресурсы, которые потребуются для возобновления каждого вида деятельности. К ним могут относиться:
  • персонал, включая численность, квалификацию и знания (кадры); 
  • необходимые площади и объекты (помещения); 
  • вспомогательные технологии, основные производственные средства и оборудование (технологии); 
  • информация (в электронном или печатном виде) о предшествующих работах или текущем незавершенном производстве с достаточной степенью актуальности и точности, позволяющей эффективно продолжать осуществление деятельности на согласованном уровне (информация); а также 
  • услуги сторонних организаций и поставщики (запасы). 
По результатам АВБ и оценки рисков организация должна определить меры, которые позволят:
  • снизить вероятность нарушения нормального хода деятельности; 
  • уменьшить продолжительность нарушения нормального хода деятельности; и 
  • ограничить воздействие нарушения нормального хода деятельности на основные продукты и услуги организации. 
Эти меры известны как уменьшение потерь и обработка рисков. Для каждого критически важного вида деятельности организация может сформировать одну, несколько или все стратегии, такие как:
  • непрерывность бизнеса; 
  • принятие риска; 
  • передача риска; 
  • изменение, приостановление или прекращение деятельности. 
Стратегии могут потребоваться для каждого из видов ресурсов организации. В каждом случае организации следует минимизировать вероятность реализации решения по обеспечению непрерывности бизнеса, на которое может оказать воздействие тот же самый инцидент, который вызвал нарушение нормального хода деятельности.
Разработка и внедрение УНБ 
На случай любого инцидента должна существовать простая и быстро формируемая структура, которая позволит организации:
  • определить характер и размах инцидента, 
  • взять ситуацию под контроль, 
  • принять меры по сдерживанию инцидента; и 
  • связаться с заинтересованными сторонами. 
Каждый план управления инцидентами, обеспечения непрерывности бизнеса и восстановления бизнеса должен устанавливать приоритетные цели в отношении:
  • критически важных видов деятельности, подлежащих восстановлению; 
  • сроков, в течение которых они должны быть восстановлены; 
  • уровня восстановления, необходимого для каждого критически важного вида деятельности; и 
  • ситуации, в которой план может быть применен. 
Организации следует сформировать и документировать четкое руководство к действию и ряд критериев, для определения того, какое лицо (лица) и при каких обстоятельствах, обладает(ют) полномочиями для активизации плана(ов). План управления инцидентами (ПУИ)  Цель ПУИ - предоставить организации возможность управлять инцидентом на первоначальной (острой) стадии. ПУИ должен включать такую информацию:
  1. Перечни задач и действий 
  2. Деятельность людей 
  3. Реагирование через средства массовой информации 
  4. Управление взаимоотношениями с заинтересованными сторонами 
  5. Место управления инцидентами 
  6. Приложений 
Планы обеспечения непрерывности бизнеса (ПОНБ)  Цель плана обеспечения непрерывности бизнеса (ПОНБ) - предоставить организации возможность восстановить или продолжить свою деятельность в случае нарушения нормального хода ее деловых операций. ПОНБ должен включать такие элементы:
  1. Планы действий / перечни задач 
  2. Требования к ресурсам 
  3. Ответственное лицо (лица) 
  4. Формы и приложения 
Учения, поддержка и аудит мероприятий по УНБ 
Данный элемент жизненного цикла УНБ обеспечивает проверку действенности мероприятий организации по УНБ посредством учений и аудита, а также поддержание их актуальности. Программу учений следует разрабатывать таким образом, чтобы со временем можно было обрести объективную уверенность в том, что при необходимости ПОНБ будет работать в соответствии с ожиданиями. В рамках программы следует:
  • отрабатывать технические, логистические, административные, процедурные и прочие операционные системы ПОНБ; 
  • отрабатывать мероприятия и инфраструктуру УНБ (включая роли, ответственность и любые центры управления инцидентом, зоны проведения работ и т.п.); 
  • проверять надежность мероприятий по восстановлению технологии и телекоммуникаций, включая доступность и перемещение персонала. 
Планы по обеспечению непрерывности бизнеса и управлению инцидентами необходимо отрабатывать, чтобы убедиться в том, что они могут быть реализованы правильно и содержат необходимую информацию и инструкции. Необходимо иметь четко определенную и документированную программу поддержки мероприятий УНБ. Данная программа должна обеспечивать анализ любых изменений (внутренних или внешних), которые оказывают влияние на организацию с точки зрения УНБ. Кроме того, следует определять любые новые продукты и услуги, а также виды деятельности, от которых зависит их производство и предоставление, которые необходимо включить в программу поддержки УНБ. Высшее руководство должно проверять способность организации к УНБ с регулярностью, которую оно посчитает надлежащей, для обеспечения ее постоянной устойчивости, адекватности и эффективности. Результаты таких проверок следует оформлять документально. В ходе аудиторской проверки или самооценки программы УНБ организации необходимо убедиться в том, что:
  • все основные продукты и услуги, а также обеспечивающие их производство критически важные виды деятельности и ресурсы определены и включены в стратегию УНБ организации; 
  • политика, стратегии, система и планы УНБ организации точно отражают ее приоритеты и требования (цели организации); 
  • компетентность и способность организации к УНБ эффективны и соответствуют поставленным целям, а также позволяют управлять, регулировать, контролировать и координировать действия в ходе инцидента; 
  • решения организации по УНБ эффективны, актуальны и соответствуют поставленным целям, а также уровню риска, которому подвержена организация; 
  • программы поддержки и учений по УНБ эффективно реализуются; 
  • стратегии и планы по УНБ учитывают усовершенствования, необходимость которых выявлена во время инцидентов и учений, а также в ходе реализации программы поддержки; 
  • в организации действует постоянная программа обучения и обеспечения осведомленности в области УНБ; 
  • информация о процедурах УНБ эффективно доводится до сведения соответствующих сотрудников, и что такие сотрудники понимают свои функции и обязанности; а также 
  • процессы по контролю изменений существуют и действуют эффективно.
Внедрение УНБ в культуру организации
Чтобы быть успешным, обеспечение непрерывности бизнеса должно стать составной частью процесса управления организацией, независимо от ее размеров или сферы деятельности. На каждой стадии процесса УНБ существуют возможности по созданию и совершенствованию культуры организации в области УНБ. В организации должен существовать процесс определения и удовлетворения требований организации по повышению осведомленности в области УНБ, а также оценки эффективности их соблюдения. Преимущества эффективной программы УНБ заключаются в том, что организация:
  • может заблаговременно определять воздействие, оказываемое в результате нарушения нормального хода деятельности;
  • имеет систему эффективного реагирования на нарушения нормального хода деятельности, которая позволяет минимизировать их воздействие;
  • поддерживает способность к управлению рисками, от которых она не застрахована;
  • развивает способность к совместной работе специалистов разных служб;
  • способна принять надежные меры реагирования благодаря проведению учений;
  • может улучшить свою репутацию; а также
  • может получить конкурентное преимущество благодаря проверенной способности обеспечивать непрерывные поставки.

Комментариев нет:

Отправить комментарий

Related Posts with Thumbnails