четверг, 14 февраля 2013 г.

5 вопросов для улучшения планов непрерывности бизнеса


Сегодня хотел поделиться свободным переводом показавшейся мне интересной статьи на сайте ISACA «5 вопросов для улучшения планов непрерывности бизнеса» (5 Questions to Improve Business Resiliency Plans). В рамках этой статьи говорится о том, какие основные моменты необходимо рассматривать при периодическом пересмотре планов непрерывности бизнеса.

Итак, предлагается 5 основных вопроса, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса: 

1. Охватывают ли планы непрерывности бизнеса все текущие критичные бизнес процессы и виды деятельности компании?
Скорость развития и изменения бизнес процессов во многих компаниях очень велика, что не может не сказываться на актуальности разработанных ранее планов непрерывности. Поэтому, при очередном пересмотре планов просто обязательно необходимо учитывать произошедшие изменения в деятельности компании и всегда иметь актуальный перечень наиболее критичных процессов, в отношении которых следует дорабатывать текущие планы непрерывности. 
Как мы знаем, критичные бизнес процессы мы определяем в ходе проведения анализа влияния на бизнес (BIA – Business Impact Analysis). При этом, чтобы упростить задачу в части актуализации бизнес процесс, может помочь некий журнал всех значительных изменений, произошедших в компании с момента предыдущего пересмотра планов непрерывности.

2. Актуальна ли приложенная в планах контактная информация лиц, задействованных в их реализации (в том числе и третьих сторон)?
Тут говорится о важности того, чтобы в плане непрерывности присутствовала актуальная контактная информация лиц, которые задействованы в ликвидации чрезвычайных ситуаций и восстановлении деятельности, что обеспечит успешную реализацию планов в случае возникновения реальных нештатных ситуаций. 
Кроме того, важно обеспечивать актуальность контактной информации и в различных справочниках и адресных книгах, которые присутствуют в компании, так как зачастую люди, ответственные за их актуализацию, просто отсутствуют в компании, что в конечном итоге ведет к полной или почти полной бесполезности таких справочников.  
Аналогично и с контактной информацией по представителям третьих стороны (особенно провайдеров, предоставляющих услуги и сервисы компании). С актуализацией этих данные порой обстоит все еще хуже, так как тут еще накладывается граница между организациями. 
В связи со всем этим, проверка корректности указанной в планах непрерывности контактной информации должна являться неотъемлемой частью каждого пересмотра или тестирования плана непрерывности. 
Кроме того, хорошей практикой является проверка доступности основных ответственных за реализацию плана непрерывности лиц в нерабочее время и выходные дни, так как в реальности чрезвычайная ситуация может произойти в любое время, как рабочее так и не рабочее. 

3. Готовы и хотят ли основные ответственные лица участвовать в реализации планов непрерывности?
Часто недооцениваемым, но весьма важным фактором реализации любого плана непрерывности является доступности и готовность/желание участвовать в мероприятиях по восстановлению основных ответственных лиц. После разработки и внедрения плана, лица, которые ранее согласились участвовать в реализации мероприятий плана в случае возникновения непредвиденных обстоятельств, со временем, ввиду происходящих изменений, могут потерять интерес к участию в реализации мероприятий плана непрерывности. 
Поэтому важно при очередном пересмотре плана непрерывности подтверждать готовность и способность участников плана, участвовать в его реализации. Кроме того, необходимо напоминать им об их обязанностях и ответственности по реализации мероприятий плана, чтобы гарантироваться, что в случае необходимости они будут должным образом подготовлены (некое постоянное обучение и повышение осведомленности участников плана непрерывности). 
Кроме того, у участников плана всегда должна быть возможность отказаться от своего привлечения к реализации мероприятий плана непрерывности (т.е. не должно оказываться давления со стороны на участие в плане), если они считают, что такое привлечение не является необходимым. 
Этот пункт мне, конечно, показался не совсем соответствующим российским реалиям, так как у нас все-таки распределение обязанностей больше осуществляется в добровольно-принудительном порядке. 

4. Проводится ли обучение и инструктажи участников планов непрерывности?
Все лица, участвующие в реализации плана непрерывности, должны проходить периодическое обучения и повышение осведомленности по тематике реализации планов непрерывности, что позволит обеспечить их способность действовать правильным образом в случае возникновения реальной нештатной ситуации. При этом необходимо применять не только базовое обучение, но и тестирование планов непрерывности, когда отрабатываются действия участников плана в условиях, приближенных к реальным нештатным ситуациям.

5. Актуальны ли определенные ранее значения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для процессов и ресурсов, их обеспечивающих? 
RTO и RPO определяются на этапе разработке планов непрерывности в ходе реализации BIA, при этом для каждого процесса, а также ресурса, который обеспечивает реализацию бизнес-процесса, определяются свои значения RTO и RPO, исходя из потребностей бизнеса и реальных возможностей по восстановлению. 
Но, ввиду постоянных изменений в организации, а также ее приоритетах, со временем меняются и значения RTO и RPO, которые необходимо обеспечивать в рамках плана непрерывности. При этом, надо понимать, что чем меньше значения RTO и RPO, тем выше затраты компании на фактическое достижение этих значений. 
В связи с этим, при пересмотре планов непрерывности необходимо актуализировать значения определенных ранее RTO и RPO, чтобы с одной стороны не тратить излишние средства на достижение не актуальных требований, а с другой реализовывать дополнительные мероприятия в случае повышения требований к RTO и RPO. 

Комментариев нет:

Отправить комментарий