(Перенаправлен из " Обеспечение непрерывности бизнеса" )
Жизненный цикл планирования непрерывности бизнеса
Планирование непрерывности бизнеса (или планирование непрерывности бизнеса и отказоустойчивости) - это процесс создания систем предотвращения и восстановления для борьбы с потенциальными угрозами для компании. Помимо предотвращения, цель состоит в том, чтобы обеспечить выполнение текущих операций до и во время выполнения аварийного восстановления.
Сопротивление организации неудачам - это «способность... противостоять изменениям в своей среде и при этом продолжать функционировать». Часто называемая устойчивостью, это способность, которая позволяет организациям либо выдерживать изменения окружающей среды без постоянной адаптации, либо организация вынуждена адаптировать новый способ работы, который лучше соответствует новым условиям окружающей среды.
Содержание
- 1 Обзор
- 1.1 Устойчивость
- 1.2 Непрерывность бизнеса
- 2 Инвентарь
- 3 Анализ
- 3.1 Анализ влияния на бизнес (BIA)
- 3.1.1 Максимальный RTO
- 3.1.2 Последовательность
- 3.2 Анализ угроз и рисков (TRA)
- 3.3 Сценарии воздействия
- 4 уровня готовности
- 5 Дизайн решения
- 6 британских стандартов
- 6.1 Закон о гражданских непредвиденных обстоятельствах
- 7 Австралия и Новая Зеландия
- 8 Внедрение и тестирование
- 8.1 Тестирование и организационная приемка
- 9 Техническое обслуживание
- 9.1 Информация / цели
- 9.2 Технические
- 9.3 Тестирование и проверка процедур восстановления
- 10 стандартов
- 11 См. Также
- 12 Ссылки
- 13 Дальнейшее чтение
- 13,1 США
- 13.2 Библиография
- 13.3 Международная организация по стандартизации
- 13.4 Британский институт стандартов
- 13.5 Стандарты Австралии
- 13.6 Другое
- 14 Внешние ссылки
Обзор
Любое событие, которое может негативно повлиять на работу, должно быть включено в план, например, прерывание цепочки поставок, потеря или повреждение критически важной инфраструктуры (основного оборудования или вычислительных / сетевых ресурсов). Таким образом, BCP представляет собой подмножество управления рисками. В США государственные учреждения называют этот процесс непрерывным операционным планированием (COOP). План обеспечения непрерывности бизнеса описывает ряд сценариев бедствий и шаги, которые бизнес предпримет в каждом конкретном сценарии, чтобы вернуться к обычной торговле. BCP записываются заранее и могут также включать меры предосторожности, которые необходимо принять. BCP, обычно создаваемый при участии ключевого персонала и заинтересованных сторон, представляет собой набор непредвиденных обстоятельств для минимизации потенциального вреда для бизнеса во время неблагоприятных сценариев.
Устойчивость
Проведенный в 2005 году анализ того, как сбои могут отрицательно повлиять на деятельность корпораций и как инвестиции в устойчивость могут дать конкурентное преимущество перед организациями, не подготовленными к различным непредвиденным обстоятельствам, расширил распространенные тогда практики планирования непрерывности бизнеса. Деловые организации, такие как Совет по конкурентоспособности, поддержали эту цель устойчивости.
Адаптация к изменениям явно более медленным, более эволюционным образом - иногда в течение многих лет или десятилетий - была описана как более устойчивая, и термин «стратегическая устойчивость» теперь используется для того, чтобы выйти за рамки противодействия однократному кризису, а скорее постоянно. предвидеть и приспосабливаться, «прежде чем необходимость перемен станет отчаянно очевидной».
Этот подход иногда резюмируют как: готовность, защита, реагирование и восстановление.
Теория устойчивости может быть связана с областью связей с общественностью. Устойчивость - это коммуникативный процесс, который создается гражданами, семьями, средствами массовой информации, организациями и правительствами посредством повседневных разговоров и опосредованного разговора.
Теория основана на работе Патриса М. Баззанелла, профессора Школы коммуникации Брайана Лэмба при Университете Пердью. В своей статье 2010 года «Устойчивость: говорить, сопротивляться и воображать новые нормальные явления в жизни» Баззанелл обсуждала способность организаций к процветанию после кризиса путем создания сопротивления. Баззанелл отмечает, что существует пять различных процессов, которые люди используют, пытаясь поддерживать устойчивость: формирование нормального состояния, подтверждение якорей идентичности, поддержание и использование сетей коммуникации, использование альтернативной логики и преуменьшение негативных чувств при одновременном выдвижении на первый план положительных эмоций.
Если посмотреть на теорию устойчивости, то теория кризисной коммуникации похожа, но не то же самое. Теория кризисной коммуникации основана на репутации компании, а теория устойчивости основана на процессе восстановления компании. Есть пять основных компонентов устойчивости. Они заключаются в следующем: создание нормальности, подтверждение якорей идентичности, поддержание и использование коммуникационных сетей, использование альтернативных логик и преуменьшение негативных чувств при одновременном выдвижении негативных эмоций на первый план. Каждый из этих процессов может быть применим к бизнесу в кризисные времена, что делает устойчивость важного фактора, на котором компании должны сосредоточиться во время обучения.
Кризис затронул три основные группы. Они бывают микро (индивидуальные), мезо (группа или организация) и макро (национальные или межорганизационные). Также существует два основных типа устойчивости: упреждающая и пост-устойчивость. Проактивная устойчивость - это подготовка к кризису и создание прочной основы для компании. Пост-устойчивость включает в себя поддержание связи и общение с сотрудниками. Проактивная устойчивость имеет дело с проблемами до того, как они вызовут возможный сдвиг в рабочей среде и пост-устойчивости, поддерживая общение и принимая шансы после того, как инцидент произошел. Устойчивость можно применить к любой организации.
Непрерывность бизнеса
Непрерывность бизнеса - это предполагаемый результат надлежащего выполнения планирования непрерывности бизнеса и аварийного восстановления. Это расплата за рентабельную покупку запасных машин и серверов, выполнение резервных копий и их перенос за пределы объекта, распределение ответственности, выполнение учений, обучение сотрудников и проявление бдительности.
Основные затраты при планировании этого - подготовка документов по управлению соблюдением требований аудита; Инструменты автоматизации доступны для сокращения времени и затрат, связанных с ручным созданием этой информации.
Различные органы по стандартизации опубликовали несколько стандартов непрерывности бизнеса, чтобы помочь в составлении контрольных списков этих текущих задач.
Инвентарь
У проектировщиков должна быть информация о:
- Оборудование
- Поставки и поставщики
- Расположение, включая другие офисы и сайты резервного копирования / восстановления рабочей области (WAR)
- Документы и документация, в том числе с удаленными резервными копиями:
- Деловые документы
- Документация по процедуре
Анализ
Этап анализа состоит из
- анализ воздействия
- анализ угроз и
- сценарии воздействия.
Количественная оценка коэффициентов убытков также должна включать «доллары на защиту судебного процесса». Было подсчитано, что доллар, потраченный на предотвращение убытков, может предотвратить «семь долларов экономических потерь, связанных с бедствием».
Анализ влияния на бизнес (BIA)
Основная статья:
Аварийное восстановление § Непрерывность ИТ-услуг Анализ воздействия на бизнес (BIA) различает критические (срочные) и некритические (несрочные) функции / виды деятельности организации. Функция может считаться критической, если это предписано законом.
Каждая функция / действие обычно основывается на комбинации составляющих компонентов для работы:
- Человеческие ресурсы (штатные сотрудники, сотрудники с частичной занятостью или подрядчики)
- IT системы
- Физические активы (мобильные телефоны, ноутбуки / рабочие станции и т. Д.)
- Документы (электронные или физические)
Каждой функции присваиваются два значения:
- Цель точки восстановления (RPO) - допустимая задержка данных, которые не будут восстановлены. Например, допустима ли потеря данных за 2 дня для компании? Цель точки восстановления должна гарантировать, что максимально допустимая потеря данных для каждого действия не будет превышена.
- Целевое время восстановления (RTO) - приемлемое время для восстановления функции
Максимальный RTO
Максимальные временные ограничения, в течение которых ключевые продукты или услуги предприятия могут быть недоступны или не могут быть доставлены, прежде чем заинтересованные стороны осознают неприемлемые последствия, были названы следующим образом:
- Максимально допустимый период нарушения работы ( MTPoD)
- Максимально допустимое время простоя ( MTD)
- Максимально допустимое отключение ( MTO)
- Максимально допустимое отключение ( MAO)
Согласно ISO 22301 термины « максимально допустимое отключение» и « максимально допустимый период сбоя» означают одно и то же и определяются с использованием одних и тех же слов.
Последовательность
Когда происходит сбой более чем одной системы, планы восстановления должны уравновешивать потребность в согласованности данных с другими целями, такими как RTO и RPO. Цель согласованности восстановления (RCO) - это название этой цели. Он применяет цели согласованности данных, чтобы определить измерение согласованности распределенных бизнес-данных в связанных системах после аварийного происшествия. В этом контексте используются аналогичные термины: «Характеристики согласованности восстановления» (RCC) и «Степень детализации объекта восстановления» (ROG).
В то время как RTO и RPO являются абсолютными значениями для каждой системы, RCO выражается в процентах, которые измеряют отклонение между фактическим и целевым состоянием бизнес-данных в системах для групп процессов или отдельных бизнес-процессов.
Следующая формула вычисляет RCO, где «n» представляет количество бизнес-процессов, а «сущности» представляют абстрактное значение для бизнес-данных:
100% RCO означает, что после восстановления не произойдет никаких отклонений в бизнес-данных.
Анализ угроз и рисков (TRA)
После определения требований к восстановлению для каждой потенциальной угрозы могут потребоваться уникальные шаги восстановления. Общие угрозы включают:
- Эпидемия / пандемия
- Землетрясение
- Пожар
- Наводнение
- Кибератака
- Саботаж (инсайдерская или внешняя угроза)
- Ураган или другой сильный шторм
- Отключение электричества
- Отключение воды (перерыв в подаче, загрязнение)
- Отключение связи
- Отключение ИТ
- Терроризм / пиратство
- Война / гражданские беспорядки
- Кража (внутренняя или внешняя угроза, важная информация или материал)
- Случайный отказ критически важных систем
- Зависимость от одной точки
- Сбой поставщика
- Повреждение данных
- Неправильная конфигурация
Вышеуказанные области могут образовывать каскад: Респонденты могут споткнуться. Расходные материалы могут закончиться. Во время вспышки атипичной пневмонии в 2002–2003 годах некоторые организации разделили и сменили группы в соответствии с инкубационным периодом заболевания. Они также запретили личные контакты в рабочее и нерабочее время. Это повысило устойчивость к угрозе.
Сценарии воздействия
Выявлены и задокументированы сценарии воздействия:
- потребность в медикаментах
- потребность в вариантах транспортировки
- гражданское воздействие ядерных катастроф
- потребность в расходных материалах для бизнеса и обработки данных
Они должны отражать максимально возможные повреждения.
Уровни готовности
Семь уровней аварийного восстановления SHARE, выпущенные в 1992 году, были обновлены в 2012 году IBM как восьмиуровневая модель:
- Уровень 0 - Нет данных за пределами площадки • Компании, использующие решение для аварийного восстановления уровня 0, не имеют плана аварийного восстановления. Нет сохраненной информации, документации, оборудования для резервного копирования и плана действий в чрезвычайных ситуациях. Типичное время восстановления: продолжительность восстановления в этом случае непредсказуема. На самом деле, возможно, вообще не удастся вылечиться.
- Уровень 1 - Резервное копирование данных без горячей площадки • Компании, использующие решения аварийного восстановления уровня 1, создают резервные копии своих данных на удаленном объекте. В зависимости от того, как часто выполняется резервное копирование, они готовы принять потерю данных от нескольких дней до недель, но их резервные копии находятся в безопасности за пределами площадки. Однако на этом уровне отсутствуют системы для восстановления данных. Метод доступа к пикапу (PTAM).
- Уровень 2 - Резервное копирование данных с помощью Hot Site • Решения для аварийного восстановления уровня 2 создают регулярные резервные копии на ленте. Это сочетается с удаленным оборудованием и инфраструктурой (известной как «горячая» площадка) для восстановления систем с этих лент в случае аварии. Это многоуровневое решение по-прежнему приведет к необходимости воссоздавать данные на несколько часов или дней, но это менее непредсказуемо по времени восстановления. Примеры включают: PTAM с доступным Hot Site, IBM Tivoli Storage Manager.
- Уровень 3 - Электронное хранилище • В решениях уровня 3 используются компоненты уровня 2. Кроме того, некоторые критически важные данные хранятся в электронном хранилище. Эти данные, хранящиеся в электронном хранилище, обычно более актуальны, чем те, которые отправляются через PTAM. В результате происходит меньше восстановления или потери данных после аварии.
- Уровень 4 - копии на определенный момент времени • Решения уровня 4 используются предприятиями, которым требуется как большая валюта данных, так и более быстрое восстановление, чем пользователям более низких уровней. Вместо того, чтобы в значительной степени полагаться на транспортировочную ленту, как это принято на нижних уровнях, решения уровня 4 начинают включать больше дисковых решений. Потеря данных в течение нескольких часов все еще возможна, но легче делать такие копии на определенный момент времени (PIT) с большей частотой, чем данные, которые можно реплицировать с помощью решений на основе лент.
- Уровень 5 - Целостность транзакций • Решения уровня 5 используются предприятиями, которым требуется согласованность данных между производственными центрами обработки данных и центрами обработки данных для восстановления. В таких решениях практически отсутствует потеря данных; однако наличие этой функции полностью зависит от используемого приложения.
- Уровень 6 - нулевая или небольшая потеря данных • Решения для аварийного восстановления уровня 6 поддерживают самый высокий уровень актуальности данных. Они используются предприятиями, которые практически не терпят потери данных и которым необходимо быстро восстанавливать данные в приложениях. Эти решения не зависят от приложений для обеспечения согласованности данных.
- Уровень 7 - Высокоавтоматизированное интегрированное решение для бизнеса • Решения уровня 7 включают в себя все основные компоненты, используемые для решения уровня 6, с дополнительной интеграцией автоматизации. Это позволяет решению уровня 7 обеспечивать согласованность данных выше той, которая предоставляется решениями уровня 6. Кроме того, восстановление приложений автоматизировано, что позволяет восстанавливать системы и приложения намного быстрее и надежнее, чем это было бы возможно с помощью ручных процедур аварийного восстановления.
Дизайн решения
Два основных требования от этапа анализа воздействия:
- Для ИТ: минимальные требования к приложениям и данным, а также время, в течение которого они должны быть доступны.
- Вне ИТ: сохранение бумажных копий (например, контрактов). План процесса должен учитывать квалифицированный персонал и встроенные технологии.
Этот этап совпадает с планированием аварийного восстановления.
Фаза решения определяет:
- командная структура кризисного управления
- телекоммуникационная архитектура между первичными и вторичными рабочими площадками
- методика репликации данных между первичным и вторичным рабочими сайтами
- Сайт резервного копирования - приложения, данные и рабочее пространство, необходимые на дополнительном рабочем месте
Британские стандарты
Британский институт стандартов (BSI) выпустил серию стандартов:
- 1995: BS 7799, периферийные процедуры защиты информации. (снято)
- 2006: BCP - BS 25999-1 Управление непрерывностью бизнеса. Свод правил (отозван)
- 2007: BS 25999-2 «Спецификация для управления непрерывностью бизнеса», которая определяет требования для внедрения, эксплуатации и улучшения документированной системы управления непрерывностью бизнеса (BCMS). (снято)
- 2008: BS 25777, специально для согласования непрерывности работы компьютеров с непрерывностью бизнеса. (отозван в марте 2011 г.)
- 2011: ISO / IEC 27031 - Методы безопасности - Рекомендации по готовности информационных и коммуникационных технологий для обеспечения непрерывности бизнеса.
- BS EN ISO 22301 : 2019 Безопасность и отказоустойчивость - Системы управления непрерывностью бизнеса - Требования, текущий стандарт для планирования непрерывности бизнеса.
- BS EN ISO 22313 : 2020 Безопасность и отказоустойчивость - Системы менеджмента непрерывности бизнеса - Руководство по использованию ISO 22301
ITIL дал определение некоторым из этих терминов.
В Великобритании BS 25999-2: 2007 и BS 25999-1: 2006 использовались для управления непрерывностью бизнеса во всех организациях, отраслях и секторах. Эти документы содержат практический план действий в большинстве случаев - от экстремальных погодных условий до терроризма, сбоя ИТ-системы и болезней персонала.
Закон о гражданских непредвиденных обстоятельствах
В 2004 году, после кризисов в предыдущие годы, правительство Великобритании приняло Закон о гражданских непредвиденных обстоятельствах 2004 года : компании должны иметь меры по планированию непрерывности, чтобы выжить и продолжать процветать, при этом работая над минимизацией инцидентов.
Закон был разделен на две части:
- Часть 1: гражданская защита, охватывающая роли и обязанности местных спасателей
- Часть 2: аварийные мощности
Австралия и Новая Зеландия
Соединенное Королевство и Австралия включили устойчивость в свои планы обеспечения непрерывности. В Соединенном Королевстве обеспечение устойчивости реализуется на местном уровне Форумом местной устойчивости.
В Новой Зеландии в рамках программы «Устойчивые организации» Кентерберийского университета был разработан инструмент оценки устойчивости организаций. Он охватывает 11 категорий, каждая из которых содержит от 5 до 7 вопросов. Упругость Коэффициент обобщает эту оценку.
Внедрение и тестирование
Этап внедрения включает в себя изменение политики, приобретение материалов, укомплектование персоналом и тестирование.
Тестирование и организационная приемка
В книге « Exercising for Excellence», опубликованной Британским институтом стандартов в 2008 году, определены три типа упражнений, которые можно использовать при тестировании планов обеспечения непрерывности бизнеса.
- Настольные упражнения - небольшое количество людей концентрируется на определенном аспекте BCP. Другая форма включает по одному представителю от каждой из нескольких команд.
- Средние упражнения - несколько отделов, команд или дисциплин концентрируются на нескольких аспектах BCP; сфера охвата может варьироваться от нескольких команд в одном здании до нескольких команд, работающих в разрозненных местах. Добавлены заранее подготовленные «сюрпризы».
- Сложные упражнения - все аспекты среднего упражнения сохраняются, но для максимальной реалистичности добавляется активация без уведомления, фактическая эвакуация и фактический вызов сайта аварийного восстановления.
Хотя время начала и окончания заранее согласовано, фактическая продолжительность может быть неизвестна, если событиям разрешено идти своим чередом.
Обслуживание
Двухгодичный или годовой цикл обслуживания Руководство по BCP разбито на три периодических действия.
- Подтверждение информации в руководстве, распространение среди сотрудников для ознакомления и специального обучения критически важных людей.
- Тестирование и проверка технических решений, установленных для восстановительных работ.
- Тестирование и проверка процедур восстановления организации.
Проблемы, обнаруженные на этапе тестирования, часто необходимо возвращать на этап анализа.
Информация / цели
Руководство BCP должно развиваться вместе с организацией и содержать информацию о том, кто и что должен знать.
- серия контрольных списков
- должностные инструкции, необходимые навыки, требования к обучению
- документация и управление документами
- определения терминологии для облегчения своевременного взаимодействия во время аварийного восстановления,
- списки рассылки (сотрудники, важные клиенты, продавцы / поставщики)
- информация о коммуникационной и транспортной инфраструктуре (дороги, мосты)
Технический
Необходимо поддерживать специализированные технические ресурсы. Проверки включают:
- Распространение определений вирусов
- Безопасность приложений и распространение исправлений служб
- Работоспособность оборудования
- Работоспособность приложения
- Проверка данных
- Приложение данных
Тестирование и проверка процедур восстановления
Изменения программного обеспечения и рабочих процессов должны быть задокументированы и подтверждены, включая проверку того, что задокументированные задачи восстановления рабочего процесса и поддерживающая инфраструктура аварийного восстановления позволяют персоналу восстанавливаться в пределах заранее определенного целевого времени восстановления.
Стандарты
Существует множество стандартов для поддержки планирования и управления непрерывностью бизнеса. Например, ISO разработала целую серию стандартов по системам управления непрерывностью бизнеса под ответственностью технического комитета ISO / TC 292 :
- ISO 22300 : 2018 Безопасность и отказоустойчивость - Словарь
- ISO 22301 : 2019 Безопасность и отказоустойчивость - Системы менеджмента непрерывности бизнеса - Требования
- ISO 22313 : 2020 Безопасность и отказоустойчивость - Системы менеджмента непрерывности бизнеса - Руководство по использованию ISO 22301
- ISO / TS 22317 : 2015 Социальная безопасность. Системы управления непрерывностью бизнеса. Руководящие принципы анализа воздействия на бизнес.
- ISO / TS 22318 : 2015 Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководящие указания по непрерывности цепочки поставок.
- ISO / TS 22330 : 2018 Безопасность и отказоустойчивость - Системы управления непрерывностью бизнеса - Руководящие указания по человеческим аспектам непрерывности бизнеса
- ISO / TS 22331 : 2018 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы стратегии обеспечения непрерывности бизнеса.
- ISO / IEC / TS 17021-6 : 2015 Оценка соответствия - Требования к органам, проводящим аудит и сертификацию систем менеджмента - Часть 6: Требования к компетентности для аудита и сертификации систем менеджмента непрерывности бизнеса
Смотрите также
Ссылки
дальнейшее чтение
Соединенные Штаты Америки
Библиография
Международная организация по стандартизации
- ISO 22300 : 2018 Безопасность и отказоустойчивость - Словарь
- ISO 22301 : 2019 Безопасность и отказоустойчивость - Системы менеджмента непрерывности бизнеса - Требования
- ISO 22313 : 2013 Безопасность и отказоустойчивость. Системы менеджмента непрерывности бизнеса. Руководство по использованию ISO 22301.
- ISO / TS 22315: 2015 Социальная безопасность. Системы управления непрерывностью бизнеса. Руководство по анализу воздействия на бизнес (BIA)
- ISO / PAS 22399: 2007 Руководство по обеспечению готовности к инцидентам и управлению непрерывностью работы (отозвано)
- ISO / IEC 24762: 2008 Руководство по услугам аварийного восстановления информационных и коммуникационных технологий.
- ISO / IEC 27001: 2013 (ранее BS 7799-2: 2002) Информационные технологии. Методы безопасности. Системы менеджмента информационной безопасности. Требования.
- ISO / IEC 27002: 2013 Информационные технологии. Методы безопасности. Свод правил для контроля информационной безопасности.
- ISO / IEC 27031: 2011 Информационные технологии. Методы безопасности. Руководящие указания по готовности информационных и коммуникационных технологий для обеспечения непрерывности бизнеса.
- IWA 5: 2006 Emergency Preparedness (отозван)
Британский институт стандартов
- BS 25999-1 : 2006 Управление непрерывностью бизнеса, часть 1: Свод правил (заменен, отозван)
- BS 25999-2: 2007 Управление непрерывностью бизнеса, часть 2: Спецификация (заменена, отозвана)
Стандарты Австралии
- HB 292-2006, «Практическое руководство по управлению непрерывностью бизнеса»
- HB 293-2006, «Исполнительное руководство по управлению непрерывностью бизнеса»
Другие
- Джеймс С. Барнс (2001-06-08). Руководство по планированию непрерывности бизнеса. ISBN 978-0471530152.
- Кеннет Л. Фулмер (2004-10-04). Планирование непрерывности бизнеса, пошаговое руководство. ISBN 978-1931332217.
- Ричард Кепенах. Разработка плана обеспечения непрерывности бизнеса, 8 шагов для начала разработки плана.
- Джуди Белл. Планирование выживания при стихийных бедствиях: Практическое руководство для бизнеса. ISBN 978-0963058003.
- Диматтия, С. (15 ноября 2001 г.). «Планирование преемственности». Библиотечный журнал. 126 (19): 32–34.
- Андрей Золли; Энн Мари Хили (2013). Устойчивость: почему все приходит в норму. Саймон и Шустер. ISBN 978-1451683813.
- Международный глоссарий устойчивости, DRI International.
внешние ссылки