zletmenetfolytonossg tervezse Business Continuity Plan BCP Krasznay Csaba
Üzletmenet-folytonosság tervezése Business Continuity Plan BCP (Krasznay Csaba és Maros Dóra)
Mi az az üzletmenet-folytonosság? • Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetőleg a legkisebb kieséssel. • Tervezéssel, teszteléssel, oktatással és karbantartással lehet csak kezelni a kérdéskört. • A gyakorlatban ez elsősorban rengeteg dokumentum elkészítését jelenti, amitől sokan ódzkodnak. • De ha egyszer beüt a krach, hirtelen minden leírt oldalnak és teszteléssel eltöltött időnek értelme lesz. • Márpedig az üzletmenet folyamatosan fennakad… akár látja ezt a főnök, akár nem. • Tulajdonképpen a kockázatmenedzsment egyik eredménye, hiszen abból derül ki, hogy mire kell felkészülnünk.
ISO 22301 Business Continuity Management System
Hogyan érhető el a cél? • Kipróbált, jól definiált eljárások vagy ott helyben kellene kitalálni • Tudatosan viselkedő személyzet vagy fejetlenség • Döntéshozó potenciál vagy egymásra mutogatás • Rendelkezésre álló erőforrások vagy fennakadások, végeláthatatlan csúszások • Üzleti oldal elvárásai előfizető elvárásai
Tervek, dokumentumok I. Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva. Helyreállítási Terv (Business Resumption Plan – BRP): leírja, hogy egy üzleti folyamatot hogyan kell visszaállítani egy nem kívánt esemény után. Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része.
Tervek, dokumentumok II. Működés folytatásának terve (Continuity of Operations Plan – COOP): Feladata annak a definiálása, hogy a szervezeti működést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-től függetlenül készül. Mivel elsősorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítésű. A támogatás folyamatossági terve (Continuity of Support Plan): Az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. Krízis kommunikációs terv (Crisis Communication Plan): A katasztrófa esetén szükséges belső és külső kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság előtt.
Tervek, dokumentumok III. Informatikai incidenskezelési terv (Cyber Incident Response Plan): Azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete. Katasztrófa helyreállítási terv (DRP): Akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogyan lehet a pl. teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része (általában). Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan – OEP): A létesítményeket fenyegető veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tűzeset vagy valamilyen bűncselekmény miatt életbelépő cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre.
Tervek, dokumentumok IV.
Mikor beszélünk katasztrófáról? • A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz. • Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy előre meghatározott időn túl nem képes a kritikus üzleti funkciókat működtetni. • A katasztrófa kimondása ezen az előre meghatározott időn múlik, pl. ha egy szervezet egy hétig nem képes egy funkciót működni, akkor az már katasztrófa. • Minden kritikus funkcióra más időbeliség vonatkozhat.
A katasztrófa jellemzői • A katasztrófa jellemzői: – Nem tervezett szolgáltatásleállás, – Hosszan tartó szolgáltatásleállás (de milyen hosszan? ), – Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani, – Komoly károkat vagy veszteségeket okoz. (mit nevezünk komolynak? ) • Katasztrófát kimondani nagyon komoly döntés!!!
Az üzletmenet-folytonosság céljai I. • A kockázatmenedzsment során nem lehet mindenre felkészülni, vagy minden kockázatot eltűntetni, de az ilyen események során is fenn kell tartani a szervezet működőképességét. • Néhány cél, amit a BCP megold: – Azonnali és vélhetően megfelelő elvileg kipróbált válasz a vészhelyzetekre. – Megkönnyíti az üzleti működés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy előre meghatározott időn belül újra lehet indítani. – Csökkenti a kár mértékét.
Az üzletmenet-folytonosság céljai II. – Eljárások és erőforrások listája, amit a visszaállítás során fel kell használni. – Világos leírás, amit a felelősök végre tudnak hajtani. – Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során. – Segíti a zűrzavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével. – Tartalmazza a visszaállításhoz szükséges információk listáját. – Leírja a tartalék helyen történő működés szabályait, ha az elsődleges hely nem elérhető. – Az elsődleges helyre való visszatérés eljárásait is meghatározza.
A BCP elkészítésének lépései • BCP-t készíteni és karbantartani sokáig tart és drága, ráadásul talán sosem lesz rá szükség (legalább is azt hisszük)! • Igazából csak akkor hiányzik, amikor már megtörtént a baj, és nincs. De akkor nagyon tud hiányozni! • Lépései: – – – Projektindítás és irányítás, Üzleti hatások elemzése, Visszaállítási stratégiák meghatározása, Tervezés és megvalósítás, Tesztelés, karbantartás, tudatosság és képzés.
Az üzletmenetfolytonosság tervezés folyamata
Üzletfolytonossági rendszer kialakítása az MVM csoportnál
Projektindítás és irányítás • Részei: – Győződjünk meg arról, hogy egyáltalán szükségünk van-e BCP-re! Erre kiváló megoldás egy fókuszált kockázatelemzés. – Szerezzük meg a menedzsment támogatását! – Határozzuk meg a belső és külső stratégiai erőforrásokat, akik meg tudják mondani, hogy a BCP megvalósítható-e! – Alakítsuk meg a BCP csoportot, amiben szervezeti és műszaki szempontból is kompetens emberek vannak! – Készüljön projektindítási dokumentáció! – Döntsük el, hogy kellenek-e adatgyűjtő eszközök! – Legyenek formális és tervezett megbeszélések (párbeszéd)! • Az egésznek legyen egy koordinátora (általában biztonsági
Üzleti hatások elemzése (Business Impact Analyzis-BIA) I. • Üzleti és nem műszaki döntések meghozatalát igényli! • Célja a nem kívánt esemény hatásának elemzése az üzleti folyamatra. • A hatás azzal a maximálisan megengedhető idővel mérhető, ami még nem okoz visszafordíthatatlan kárt az üzleti folyamatokban, és azzal, hogy a szervezet milyen működési és gazdasági károkkal tud visszaállni a megfelelő működésre. • A BIA célja az, hogy a menedzsment elfogadja a maximálisan elfogadható kiesést (Maximum Tolerable Downtime – MTD) minden kritikus üzleti folyamatra. • Ezen kívül meg kell határozni, hogy az MTD-n túli leállás mekkora anyagi és presztízs kárt okoz (pl. kár/nap). • A BIA a kiváltó okot nem elemzi, csak az okozott hatást!!!
A BIA céljai • A BIA céljai: – Leírás a menedzsment részére a lehetséges nem kívánt események hatásairól. – Az üzleti folyamatok kritikusságának meghatározása. (Ebben segíthet az ISO 9001) – Prioritást állapít meg a kritikus rendszerek között. – Megvizsgálja egy leállás anyagi hatásait. – Megállapítja a kritikus funkciók visszaállítási ablakait.
Üzleti hatások elemzésének lépései I. • 1. lépés: Határozzuk meg az információgyűjtés technikáját! Ez lehet elektronikus vagy papíralapú, személyes vagy csoportos interjú, stb. • 2. lépés: Válasszuk ki az interjúalanyokat! Lehetőleg minden üzleti egységből egy vezetőt és egy dolgozót illik kiválasztani. • 3. lépés: Készítsünk szervezetre szabott kérdőívet! A kérdések kvalitatív (pl. imidzs) és kvantitatív (pl. anyagi) veszteségekre vonatkoznak. • 4. lépés: Elemezzük az információkat! A harmadik lépésből származó információkat szerkeszteni, analizálni és összesíteni kell!
Üzleti hatások elemzésének lépései II. • 5. lépés: Határozzuk meg az időkritikus üzleti funkciókat! Az analízis eredményeképp meg lehet ezeket határozni. Ezen funkciókat kell a kritikus időn belül visszaállítani. Figyeljünk a függőségekre is! • 6. lépés: Határozzuk meg a maximálisan elfogadható kiesés (MTD) mértékét! • 7. lépés: A maximálisan elfogadható kiesés alapján állapítsunk meg prioritást a kritikus üzleti funkciók alapján! Minél kisebb a maximálisan elfogadható kiesés, annál fontosabb a funkció, és annál drágább visszaállítani! • 8. lépés: Írjuk le a visszaállítási ajánlásokat! Ennek jóváhagyása még a következő lépés előtt történjen!
Visszaállítási stratégiák meghatározása • Célja olyan stratégiák meghatározása, amik segítségével az előző lépésben definiált időkeretek betarthatók. • Lépései: – A költségek meghatározása minden lehetséges megoldáshoz, – Árajánlat kérése külső szállítóktól, – Szerződések megkötése, – A kockázatok csökkenésének értékelése, – Az értékelés alapján az időkeretek és prioritások esetleges újragondolása
Üzleti visszaállítási stratégia • Elsősorban a kritikus erőforrásokra és az üzleti funkciók MTD-jére koncentrál. • Prioritásai egyenesen a BIA-ból származnak. • Kidolgozásához azonosítani kell a következőket: – Kritikus üzleti folyamatok és a hozzájuk tartozó üzleti funkciók. – Az ezekhez tartozó kritikus infrastruktúra elemek. – A kritikus funkciók ellátásához szükséges eszközök (pl. IT). – A szükséges irodai/üzemeltetési területek. – Kulcsemberek az adott területen.
Létesítmény visszaállítási stratégia • Annak meghatározása, hogy egy helyettesítő létesítményben hogyan lehet a munkát folytatni. • Leírásra kerül: – A minimálisan szükséges hely (munkaterületek, tárgyalók, stb. ), ami a kritikus funkcióhoz kell. – A kevésbé kritikus erőforrások által igényel hely. – A helyettesítő létesítménnyel kapcsolatos biztonsági követelmények. – Tűzvédelmi elvárások. – A szükséges berendezési tárgyak listája. – A kábelezési elvárások. – Épületgépészeti igények. – Irodaszerek listája.
Emberi erőforrással történő újraindítása stratégia • Feladata azon eljárások azonosítása, amit manuálisan is el lehet végezni. • Ezeket a műveleteket megfelelően kell dokumentálni, bizonylatolni, hogy a későbbi elektronikus feldolgozás egyszerű legyen. • A következő dolgokat kell megfontolni: – A kritikus folyamat elvégezhető-e manuálisan? – Milyen dokumentálási eljárással lehet biztosítani, hogy semmilyen adat vagy tranzakció nem fog elveszni? – Mik az alapvető fizikai rekord tárolási követelmények? – Hogyan lehet a munkaerőt biztosítani ezekhez a folyamatokhoz? – Hogyan lehet a kapcsolattartást biztosítani?
Kockázatmenedzsment folyamata
Kárérték táblázat Minimális Csekély Mérsékelt Jelentős Kritikus
Bekövetkezési valószínüség
Kockázati besorolás számítása
Kockázati elemzés • Az elemzést minden kulcsfolyamat tekintetében el kell végezni! • Meg kell nézni a kapcsolódó folyamatokat is (pl. támogató-HR) • A legnagyobb „törődést” a kritikus kulcsfolyamatok kívánják (BCP és DRP) • Akciótervek készítése (BCP része)
BUMM!!!
- Slides: 30