MIPRO 2009 ISS BCM SVEUILITE U ZAGREBU FAKULTET

MIPRO 2009 ISS BCM SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE MODELIRANJE UPRAVLJANJA KONTINUITETOM POSLOVANJA (BCM) Prof. dr. sc. Zdravko Krakar

MIPRO 2009 ISS BCM Tematske cjeline: 1. UVOD U UPRAVLJANJE KONTINUITETOM POSLOVANJA (BUSINESS CONTINUITY MANAGEMENT – BCM) 2. MOGUĆI PRISTUPI RAZVOJU BCM-a 3. RAZVOJ i PRAKSA BCM SUSTAVA

1. UVOD u BCM MIPRO 2009 ISS BCM 1. 1. Čimbenici današnjeg poslovanja q Globalizacija i integracija ekonomija q Sve veća ovisnost o ICT q Međuovisnosti tvrtki kroz snažno povezivanje (E 2 E, npr. B 2 B poslovni lanci) q Ubrzavanje poslovnog takta q Sve veća kompleksnost poslovanja

1. 2. Prijetnje poslovanju MIPRO 2009 ISS BCM q PRIRODA § § § Poplave Potresi itd q ČOVJEK • § Namjera Nenamjerni utjecaj q TEHNOLOGIJA § § § Požar, eksplozija Prekid energije Pogreške u opremi § § § Gubitci u komunikacijama Gubitci podataka itd

MIPRO 2009 ISS BCM 1. 2. 1. ICT kao prijetnja poslovanju § § • • • Štete zbog IT opreme Prodori u IS Uništenje BP Prirodne katastrofe Kvar opreme Požar Poplava • • Krađa informacija Gubitak servisa Vandalizam Terorizam Kontaminacija Pogrešne procedure Gubitak servisa Loše procedure Neautorizirani pristupi Korisničke pogreške Nepoštivanje zakona …

MIPRO 2009 ISS BCM 1. 2. 2. Statistika bojazni u praksi

MIPRO 2009 ISS BCM 1. 3. Zašto i što je BCM?

1. 4. Motivi za BCM MIPRO 2009 ISS BCM • Regulativa § Hrvatski propisi • Primjena najbolje prakse ITIL Cob. IT § COSO § Ugovori • Norme / standardi § Sarbanes – Oxley Act § Basel II § Poslovni instikt Odgovornost za moguće situacije i posljedice na poslovanje koje iz toga proizlaze

MIPRO 2009 ISS BCM 2. PRISTUPI USPOSTAVI BCM - a Mogući su različiti pristupi: • Kroz informacijsku sigurnost (ISO/IEC 27000) • Kroz ITIL, Cob. IT (Najbolja praksa) • Kroz IT DR (Disaster Recovery) • Kroz norme za cjeloviti BCM

MIPRO 2009 ISS BCM 2. 1. BCM i informacijska sigurnost • • • Politika sigurnosti Organizacija informacijske sigurnosti Upravljanje imovinom Sigurnost ljudskog potencijala Fizička sigurnost i sigurnost okoline Upravljanje komunikacijama i operacijama Kontrola pristupa Nabava, razvoj i održavanje informacijskih sustava Upravljanje sigurnosnim incidentima Upravljanje kontinuitetom poslovanja Sukladnosti

MIPRO 2009 ISS BCM 2. 2. BCM i najbolja praksa 2. 2. 1. ITIL V 2

2. 2. BCM i najbolja praksa MIPRO 2009 ISS BCM 2. 2. 2. BCM i COBIT ME 1 ME 2 ME 3 ME 4 DS 1 DS 2 DS 3 C Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance. O B I T FRAMEWORK DS 9 DS 10 DS 11 DS 12 DS 13 Integrity Efficiency Effectiveness Compliance Availability Confidentiality Reliability PLAN AND ORGANISE MONITOR AND EVALUATE IT RESOURCES Define and manage service levels. Manage third-party services. Manage performance and capacity. DS 4 Ensure continuous service. DS 5 Ensure systems security. DS 6 DS 7 DS 8 PO 1 PO 2 INFORMATION Identify and allocate costs. Educate and train users. Manage service desk and incidents. Manage the configuration. Manage problems. Manage data. Manage the physical environment. Manage operations. Applications Information Infrastructure People DELIVER AND SUPPORT Define a strategic IT plan. Define the information architecture. PO 3 Determine technological direction. PO 4 Define the IT processes, organisation and relationships. PO 5 Manage the IT investment. PO 6 Communicate management aims and direction. PO 7 Manage IT human resources. PO 8 Manage quality. PO 9 Assess and manage IT risks. PO 10 Manage projects. AI 1 AI 2 ACQUIRE AND IMPLEMENT AI 3 AI 4 AI 5 AI 6 AI 7 Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes.

2. 2. 2. BCM i COBIT MIPRO 2009 ISS BCM Kontrole u DS 4. 1 Pristup kontinuitetu IT-a DS 4. 2 Plan kontinuiteta IT-a DS 4. 3 Kritični IT resursi DS 4. 4 Održavanje plana kontinuiteta IT-a DS 4. 5 Testiranje plana kontinuiteta IT-a DS 4. 6 Treninzi za postupanje po planu DS 4. 7 Prenošenje plana na sudionike DS 4. 8 Oporavak i obnova IT usluga DS 4. 9 Rezervna udaljena pohrana podataka DS 4. 10 Provjere nakon oporavka

MIPRO 2009 ISS BCM 2. 3. BCM kroz DR

MIPRO 2009 ISS BCM 2. 4. Norme za cjeloviti BCM § BS 25999: 2006 Business continuity management. Part 1: Code of practice /2006 Part 2: Specifications /2007 § BCI Business Continuity Institute § DRI Disaster Recovery Institute § Itd.

MIPRO 2009 ISS BCM 2. 5. Životni ciklus BCM-a

MIPRO 2009 ISS BCM 3. RAZVOJ BCM SUSTAVA • • 3. 0. Inicijalizacija i upravljanje BCM-om: Politika i ciljevi BCM-a Područje primjene Osiguranje resursa za BCM Plan BCM projekta BCM dokumentacija Način upravljanja projektom i odgovornosti Smjernice za daljnji rad

MIPRO 2009 ISS BCM 3. 1. Razumijevanje vlastitog poslovanja • • BIA (Business Impact Analysis) Određivanje kritičnih zahtjeva Procjene rizika (RA) Odlučivanje o postupanju s rizicima (Varijante odgovora)

MIPRO 2009 ISS BCM 3. 2. Određivanje BCM strategije 3 razine BCM strategija: • Strategija organizacije – korporativna strategija • Strategija procesa • Strategija oporavka resursa

3. 2. Određivanje BCM strategije Razina 7 Razina 6 Izdaci MIPRO 2009 ISS BCM Razine zahtjeva prema organizaciji Share Razina 5 Razina 4 Razina 3 Razina 2 15 Min. 1 -4 H. . 4 -8 H. . 8 -12 Hr. . 12 -16 Hr. . 24 Hr. . Vrijeme za nastavak rada (RTO) Dani Razina 1

3. 2. Određivanje BCM strategije MIPRO 2009 ISS BCM Odabir BCM rješenja

MIPRO 2009 ISS BCM 3. 3. Razvoj odgovora / planova BCMa Eskalacija intervencije

MIPRO 2009 ISS BCM 3. 4. Testiranje, održavanje i procjena BCM-a • Definirati opseg, ciljeve i resurse potrebne za izvođenje testa • Pripremiti BC scenarij/e za provedbu testiranja • Provesti testiranje plana kontinuiteta poslovanja u skladu sa prihvaćenim scenarijem • Analizirati rezultate testiranja plana kontinuiteta poslovanja

MIPRO 2009 ISS BCM 3. 5. Razvoj BCM kulture • Promicanje svijesti o BCM - u • Potrebno je osigurati razvoj vještina potrebnih za učinkovito razvijanje, implementaciju, izvršavanje, testiranje i održavanje plana kontinuiteta poslovanja • “Awareness” radionice

MIPRO 2009 ISS BCM 3. 6. Iskustva u BCM-u • • • NASDAQ Bank of England Mađarska narodna banka Banke HNB Telekom tvrtke FINA HZMO HEP, CURH, CO, Zračna luka, …. Itd.

MIPRO 2009 ISS BCM HVALA NA POZORNOSTI Kontakti: zkrakar@zih. hr zkrakar@foi. hr