Business Continuity Management
Author
Albert FloresBusiness Continuity Management (též Řízení kontinuity činností organizace nebo BCM) je řídící proces podporovaný vedením společnosti, který identifikuje potenciální dopady ztrát a jehož cílem je vytvořit takové postupy a prostředí, které umožní zajistit kontinuitu a obnovu klíčových procesů a činností organizace, na předem stanovené minimální úrovni, v případě jejich narušení nebo ztráty. BCM ochraňuje zájmy klíčových podílníků, akcionářů a dalších zájmových skupin, dobrou pověst a značku společnosti.
Pozn.: Kontinuita činností organizace (Business Continuity) je chápána jako strategická a taktická způsobilost organizace být připraven a reagovat na incidenty a narušení činností organizace za účelem pokračování na předem stanovené přijatelné úrovni.
Úvod
Řízení kontinuity činností ustanovuje strategický a provozní rámec přiměřený potřebám a cílům organizace, který směřuje k aktivnímu zvyšování odolnosti organizace proti narušení výroby klíčových produktů anebo ztrátě služeb organizace. Organizace mohou být narušeny z mnoha důvodů. +more Narušení mohou být předvídatelná (jako například ztráta budovy v důsledku požáru či povodně, atd. ) nebo nepředvídatelná (například výpadek proudu, zemětřesení, teroristické aktivity, atd. ). Řízení kontinuity činností organizace není pouze o nápravě následků způsobených těmito incidenty či haváriemi. Je to také o prevenci jak předejít těmto krizovým a havarijním situacím a o ustanovení takové kultury v rámci organizace, která se snaží vybudovat větší odolnost za účelem zajištění kontinuity dodávky produktů a služeb klientům a zákazníkům.
Standardy BS 25999
V roce 2006 byla ve Velké Británii vydána britským normalizačním institutem (British Standards Institute, BSI), ve spolupráci s Business Continuity Institute (BCI) vůbec první norma pro oblast BCM BS 25999, s cílem stanovit jednotný standard správné praxe a uspokojit přitom potřeby zákazníků, klientů, vlády, regulátorů a všech ostatních zainteresovaných stran.
Pod označením BS 25999 se rozumí dvojice norem, která poskytuje doporučení a požadavky pro oblast řízení kontinuity činností organizace. První část standardu BS 25999-1:2006 „Code of practice for business continuity management“ stanovuje základní principy a poskytuje doporučení pro implementaci BCM v organizaci. +more Základem této části standardu se stala veřejně dostupná specifikace PAS 56 (Publicly Available Specification) „Guide to Business Continuity Management“, kterou vydal BSI již v roce 2003.
V roce 2007 byla publikována druhá část tohoto nového standardu, BS 25999-2:2007 „Specification for business continuity management“' ', která poskytuje požadavky pro certifikaci systémů řízení kontinuity činností (Business Continuity Management System, BCMS).
Životní cyklus BCM
Životní cyklus BCMBCM podle doporučení BS 25999-1:2006 může být implementován ve všech organizacích bez ohledu na jejich velikost nebo oblast podnikání. +more Základem životního cyklu BCM (viz obrázek) je řízení programu BCM, které je bráno jako kontinuální proces.
Efektivní ustanovení a řízení programu BCM je závislé na podpoře vrcholového vedení organizace, demonstrované stanovením rozsahu a cílů BCM a publikací politiky. Viditelný závazek vedení je demonstrován i vyčleněním odpovídajících zdrojů k ustanovení a řízení BCM a přidělení povinností a odpovědností v oblasti kontinuity činností. +more Organizace musí zabezpečit, aby pracovníci, kterým byly přiděleny nové odpovědnosti, byli způsobilí plnit požadované úkoly.
Konečnou odpovědnost za fungování organizace, tedy i za řízení kontinuity činností organizace má vrcholové vedení organizace. Měl by být určen člen vrcholového vedení, kterému bude přidělena celková odpovědnost za kompletní program řízení kontinuity činností. +more Důležitým prvkem řízení kontinuity činností je i vytvoření a upevňování kultury BCM v rámci organizace a ustanovení a posilování povědomí o důležitosti a významu řízení kontinuity činností. Jedním ze způsobů jak toho v praxi dosáhnout je vytvoření programu školení a zvyšování povědomí o BCM.
Dále popsané kroky životního cyklu se týkají samotné implementace BCM v organizaci.
Porozumění činnosti organizace
Cílem tohoto kroku je: * identifikace kritických činností, procesů a zdrojů, které podporují klíčové produkty nebo služby organizace; * provedení tzv. analýzy dopadů (Business Impact Analysis, BIA), pomocí které se hodnotí, jaké dopady v čase by na organizaci a další zainteresované strany mělo narušení dodávek klíčových produktů nebo služeb. +more Klíčovými výstupy analýzy pro další kroky implementace BCM jsou stanovené maximální tolerované doby narušení procesu / činnosti (Maximum Tolerable Period of Disruption, MTPD nebo také Maximum Tolerable Outage, MTO), cílové doby obnovy (Recovery Time Objectives, RTO) spolu s minimální požadovanou úrovní funkčnosti služeb (Level of Business Continuity, LBC); * provedení hodnocení rizik (Risk Assessment) ve vztahu ke zdrojům využívaných v identifikovaných kritických činnostech. Organizace by si měla zvolit vhodnou metodiku hodnocení rizik vyhovující jejím požadavkům, která umožní organizaci porozumět hrozbám působící na tyto zdroje, zranitelnostem těchto zdrojů a dopadu na organizaci, pokud hrozby využijí tyto zranitelnosti a způsobí incident s následkem narušení / přerušení činností; * vybrání vhodných opatření pro zvládání rizik, která jsou navržena ke snížení pravděpodobnosti narušení, zkrácení doby narušení činností a k omezení dopadu narušení na klíčové produkty a služby organizace.
Určení strategií BCM
Časový přehled reakce na incidentS ohledem na výsledky předchozího kroku „Porozumění činnosti organizace“ jsou navrženy vhodné strategie kontinuity, které umožňují identifikovat různé varianty a způsoby obnovy kritických činností organizace v jejich požadovaných časech v případě jejich narušení. +more Tyto strategie by měly být schváleny vrcholovým vedením organizace. Cílem tohoto kroku je: * vytvořit strategii reakcí na incidenty. Každá organizace by měla mít zavedeny postupy na zvládání incidentů, aby byla schopna udržet kontrolu nad vzniklou situací a případně zajistila dosažení požadovaných úrovní kontinuity činností aktivací plánů obnovy, pokud by došlo k narušení kritických činností. Časový přehled pro reakci (viz obrázek níže) popisuje postupnou aktivaci plánu na zvládání incidentu, plánu kontinuity a plánu obnovy. * určit, jak bude obnovena každá kritická činnost v rámci cílové doby obnovy (RTO), a definovat k tomu potřebné zdroje. Při tom je nutné vzít v úvahu maximální přijatelnou dobu narušení (MTPD, MTO) pro každou činnost, náklady na implementaci strategie a důsledky nečinnosti. Při stanovení strategií je nutné zvážit, jak budou zapojeny klíčové zdroje, např. lidé, finance, provozovny, technologie, informace a služby. Při přípravě strategií se doporučuje zvážit dále uvedené čtyři základní scénáře: ** zamezení přístupu do prostor (např. v případě hrozby bombového útoku); ** nedostatek pracovníků (např. virové pandemie); ** selhání technologií a podpůrných zařízení; ** selhání klíčového poskytovatele služeb. Pro realizaci jednotlivých strategií je vždy nezbytné identifikovat typ a množství zdrojů potřebných k jejich dosažení. Určit, jak budou v době narušení zvládány vztahy se všemi zúčastněnými stranami. Zvláštní důraz by měl být kladen na komunikaci s vlastními pracovníky a médii.
Vývoj a implementace BCM
Tato část životního cyklu BCM souvisí s vytvořením a implementací vhodných a přiměřených plánů (postupů), jejichž cílem je umožnit organizaci, aby v případě narušení kritických činností udržela nebo v co nejkratším čase obnovila své procesy na požadovanou provozní úroveň (LBC).
Menší organizace mohou využívat pouze jeden plán kontinuity, zatímco ve větších organizacích může existovat celá řada vzájemně propojených plánů, které pokrývají řízení incidentu, kontinuitu činností a řízení obnovy (viz obrázek Časový přehled reakce na incident).
Při sestavování plánů je důležité, aby byly do tohoto procesu zapojeny všechny dotčené složky organizace. Jednotlivé plány kontinuity by měly identifikovat činnosti a zdroje potřebné pro hladké zvládání nastalých krizových situací. +more Každý plán by měl jasně specifikovat podmínky své aktivace, a stejně tak identifikovat osoby s odpovědností za vykonávání každého bodu plánu. Každý plán musí mít stanoveného vlastníka a měl by být přístupný všem pracovníkům, od nichž se vyžaduje, aby jej použili. Každý plán by měl minimálně obsahovat následující informace: * Účel a rozsah * Role a odpovědnosti * Podmínky a postupy aktivace plánu * Alternativní lokality * Přehled úkolů a činností - co se má udělat, kdy, kde a v jakém pořadí * Umístění alternativních zdrojů * Důležité kontaktní údaje * Další potřebné údaje a informace.
Testování, udržování a přezkoumání BCM
Vytvořené plány musí organizace testovat a tím se ujistit, že jsou úplné, reálné a funkční. Testování odhaluje nesouvislosti a opomenutí v plánech dříve, než jsou použity v případě nastalé havárie. +more Testování a nacvičení plánů zároveň slouží k proškolení těch pracovníků, kterým jsou v plánech kontinuity přiřazeny role.
Testování a revize plánů by měly probíhat v pravidelných intervalech, dle harmonogramu schváleného vrcholovým vedením organizace, nebo vždy když v organizaci dojde k významným změnám, které mohou ovlivnit kontinuitu činností. Testování by nemělo ohrozit organizaci tím, že by samo způsobilo narušení. +more Testování musí být praktické a ekonomické, přiměřené organizaci a navržené tak, aby budovalo důvěru ve vytvořené plány. Testování plánů musí být řízeno na základě vhodných scénářů, které jsou uzpůsobeny potřebám organizace. Scénáře mohou zahrnovat různé typy kontrol úplnosti plánů, až po simulace havarijních situací.
Průběh každého testu musí být detailně zaznamenán, veškeré činnosti a výsledky testů musí být následně přezkoumány. Plány kontinuity musí vždy postihovat aktuální změny ve společnosti. +more Při změnách v organizaci ovlivňující kontinuitu kritických činností může být nezbytné opakovat analýzu dopadů (BIA) a znovu ohodnotit kritické činnosti, podpůrné procesy a zdroje.
Odkazy
Reference
Související články
Obnova po havárii (Disaster recovery) * Business Continuity Management System * Business Impact Analysis * CRAMM
Externí odkazy
[url=http://www. bcms. +morecz/]webové stránky o systému řízení kontinuity činností (BCMS)[/url] * [url=http://www. lrqa. cz/standardy_a_schemata/standardy_a_schemata/228306-bs25999. aspx]prověření implementace standardu BS25999 v organizaci[/url].
*Zálohování a archivace dat v podnikovém prostředí - 6. díl (část 1/3), Business Continuity Management (BCM), [url=https://web. +morearchive. org/web/20140128110448/http://www. zalohovani. net/zalohovani-a-archivace-dat-v-podnikovem-prostredi-6-dil-cast-13-business-continuity-management-bcm/]Dostupné online[/url], Storagecraft *Zálohování a archivace dat v podnikovém prostředí - 6. díl (část 2/3), Business Continuity Management (BCM), [url=https://web. archive. org/web/20140128111118/http://www. zalohovani. net/zalohovani-a-archivace-dat-v-podnikovem-prostredi-6-dil-cast-23-business-continuity-management-bcm/]Dostupné online[/url], Storagecraft *Zálohování a archivace dat v podnikovém prostředí - 6. díl (část 3/3), Business Continuity Management (BCM), [url=https://web. archive. org/web/20140128111549/http://www. zalohovani. net/zalohovani-a-archivace-dat-v-podnikovem-prostredi-6-dil-cast-33-business-continuity-management-bcm/]Dostupné online[/url], Storagecraft.
Kategorie:Řízení procesů Kategorie:Informační bezpečnost Kategorie:Informační management Kategorie:Krizový management