Вадим Алджанов - ИТ-архитектура от А до Я: Шаблоны документов. Первое издание

•Настольная проверка (Tabletop);

•Имитация (Imitation);

•Полное тестирование (Full business continuity testing);

После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.

Обслуживание и обновление планов

Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:

•Изменение ИТ инфраструктуры;

•Изменение организационной структуры компании;

•Изменения в законодательстве;

•Обнаружение недостатков в планах при их тестировании;

Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:

•Проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;

•Проводить регулярные теоретические и практические тренинги для сотрудников организации, по выполнению плана;

•Интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании;

МЕТРИКИ ПРОЦЕССА

Для обеспечения высокого уровня функционирования процесса управления непрерывностью бизнеса необходимо обеспечить мониторинг состояния следующих метрик и активности процесса:

•Адекватность действий по восстановлению;

•Время восстановления в рамках регламента;

РОЛИ И ОТВЕТСТВЕННОСТИ

В соответствии с организационной структурой организации и ИТ департамента в частности, определены следующие роли и ответственности:

ВЛИЯНИЕ ПРИ ОТСУТСТВИИ ПЛАНА

Отсутствие процесса восстановления после сбоя может привести к следующим негативным воздействиям:

•Хаотичный порядок реагирования ИТ;

•Хаотичный порядок реагирования сотрудников;

•Отсутствие прозрачности функционирования ИТ и бизнеса;

•Не эффективное использование ИТ ресурсов;

•Финансовые и репутационные потери для бизнеса;

РИСКИ ПРИ ВНЕДРЕНИИ И СОПРОВОЖДЕНИИ

При внедрении в организации могут возникнуть риски, приводящие к неудачному внедрению процесса, или не эффективному его функционированию. Данные риски можно охарактеризовать как:

•Отсутствие поддержки со стороны руководства организации;

•Недостаточный уровень готовности организации и сотрудников;

•Отсутствие необходимых ресурсов, для внедрения процесса;

•Недостатки и ограничения бизнес процессов;

•Нехватка знаний и навыков у специалистов ИТ департамента;

•Недостатки и ограничения информационных системы;

•Недостатки и ограничения сопутствующей ИТ инфраструктуры;

КЛЮЧЕВЫЕ ФАКТОРЫ УСПЕХА ВНЕДРЕНИЯ ПРОЦЕССА

Ключевые факторы успеха:

•Пристальное внимание к процессу;

•Реалистичные цели;

•Оптимальные бизнес процессы;

•Наличие измеряемых метрик и показателей;

•Высокий уровень квалификации сотрудников ИТ;

•Приемлемый уровень осведомленности сотрудников;

ПОКАЗАТЕЛИ ЭФФЕКТИВНОСТИ И КРИТЕРИИ ОЦЕНКИ

Критериями оценки деятельности являются:

•Снижение времени недоступности ИТ для бизнеса;

•Снижение времени восстановления ИТ сервиса;

•Отсутствие претензий со стороны сотрудников;

•Отсутствие претензий со стороны контролирующих органов;

•Удовлетворенность руководства организации;

СВЯЗАННЫЕ ДОКУМЕНТЫ

Действия данного документа дополняется или является основополагающим для следующих ИТ документов:

•Политика, Стандарты и Процедура «Управления Инцидентами»;

•Политика, Стандарты и Процедура «Управления Проблемами»;

•Политика, Стандарты и Процедура «Управления Изменениями»;

•Политика, Стандарты и Процедура «Резервного Копирования»;

•Детальная Архитектура по всем ИТ сервисам;

•Политика и план «Управления Непрерывностью Бизнеса»;

•Рекомендации стандарта ISO 22301 «Business Continuity»;

•Рекомендации стандарта ISO 20000 «IT Service Management»;

•Рекомендации стандартов ISO 27000 «Information Security»;

Контроль документа:[•Номер документа: •Наименование документа: •Статус документа: •Маркер безопасности: •Дата утверждения: •Дата вступления в силу: •Протокол ИТ комитета: •Заменяет документ: •Документ разработан: •Дата разработки: •Документ одобрен: •Дата одобрения: •Утвержден: •Дата утверждения: ]

Контроль версии документа:[•Версия документа: •Дата внесения изменений: •Автор: • Содержание изменений: ]

Плана Восстановления Бизнеса (Business Continuity Plan) имеет схожее значение, что и План Непрерывности Бизнеса (Business Contingency Plan), но фокусируется на восстановлении предоставления ИТ сервисов вне зависимости от степени воздействия. Определяет восстановление бизнеса после значительного ущерба в следствии воздействия катастроф. Фактически, данный план является продолжением деятельности «Плана непрерывности Бизнеса» + «Плана Восстановления после сбоя». Но, в отличие от них, может включать в себя стратегические изменения в каталоге ИТ сервисов после воздействия чрезвычайной ситуации. Документ может быть разбит на два плана управления непрерывностью:

•План восстановления ИТ услуг (IT Service Continuity Plan) – план, определяющий шаги, необходимые для восстановления одной или нескольких услуг. План также должен определять события, которые являются основанием для его инициации, людей, которые должны быть задействованы, средства коммуникаций и т. п.

•План восстановления бизнеса (Business Continuity Plan BCP) – план определяет шаги, необходимые для восстановления бизнес-процессов в случае нарушения их функционирования. План также должен содержать информацию о событиях, которые являются основанием для его инициирования, людях, которые должны быть задействованы в реализации плана, средствах коммуникаций и т. п.

Примерная структура плана восстановления бизнеса:

1. Введение;

1.1. Исходная информация;

1.2. Границы действия плана;

1.3. Предпосылки создания плана;

2.Концепция;

2.1.Описание системы обеспечения непрерывности;

2.2.Описание этапов восстановления непрерывности;

2.3.Роли и их обязанности;

3.Активация плана;

3.1.Критерии и порядок активации;

3.2.Порядок уведомления заинтересованных лиц;

3.3.Порядок оценки происшествия;

4.Контроль;

5.Восстановление;

5.1.Последовательность восстановления непрерывности;

Помимо основных элементов, таких как проведение BIA, определения превентивных мер, стратегии восстановление, плана реагирования на воздействия, структура документа дополнительно должна регламентировать следующую деятельность: