Предотвращение и устранение угроз, которые могут повлиять на компанию
Непрерывность бизнеса можно определить как «способность организации продолжать поставку продуктов или услуг на заранее определенных приемлемых уровнях после разрушительного инцидента» [1] , а планирование непрерывности бизнеса [2] [3] (или планирование непрерывности бизнеса и устойчивости ) — это процесс создания систем предотвращения и восстановления для борьбы с потенциальными угрозами для компании. [4] Помимо предотвращения, целью является обеспечение непрерывности операций до и во время выполнения аварийного восстановления . [5] Непрерывность бизнеса — это предполагаемый результат надлежащего выполнения как планирования непрерывности бизнеса, так и аварийного восстановления.
Непрерывность бизнеса требует подхода сверху вниз для определения минимальных требований организации, чтобы гарантировать ее жизнеспособность как сущности. Устойчивость организации к неудачам — это «способность… выдерживать изменения в своей среде и продолжать функционировать». [7] Часто называемая устойчивостью, это способность, которая позволяет организациям либо выдерживать изменения среды без необходимости постоянной адаптации, либо организация вынуждена адаптировать новый способ работы, который лучше подходит к новым условиям среды. [7]
Обзор
Любое событие, которое может негативно повлиять на операции, должно быть включено в план, например, прерывание цепочки поставок , потеря или повреждение критической инфраструктуры (основного оборудования или вычислительных/сетевых ресурсов). Таким образом, BCP является подмножеством управления рисками . [8] В США государственные организации называют этот процесс планированием непрерывности операций (COOP). [9] План обеспечения непрерывности бизнеса [ 10] описывает ряд сценариев катастроф и шаги, которые бизнес предпримет в каждом конкретном сценарии для возвращения к обычной торговле. BCP пишутся заранее и также могут включать меры предосторожности, которые необходимо принять. Обычно создаваемый с участием ключевого персонала, а также заинтересованных сторон, BCP представляет собой набор непредвиденных обстоятельств для минимизации потенциального вреда для бизнеса в неблагоприятных сценариях. [11]
Устойчивость
Анализ 2005 года того, как сбои могут негативно влиять на деятельность корпораций и как инвестиции в устойчивость могут дать конкурентное преимущество перед организациями, не готовыми к различным непредвиденным обстоятельствам [12], расширил тогдашние общепринятые практики планирования непрерывности бизнеса. Бизнес-организации, такие как Совет по конкурентоспособности, приняли эту цель устойчивости. [13]
Адаптация к изменениям, происходящая, по-видимому, более медленно и эволюционно — иногда в течение многих лет или десятилетий — описывается как более устойчивая [14] , а термин «стратегическая устойчивость» теперь используется для обозначения чего-то большего, чем просто сопротивление разовому кризису, а скорее постоянного предвосхищения и корректировки, «прежде чем необходимость изменений станет совершенно очевидной».
Этот подход иногда обобщают как: готовность , [15] защита, реагирование и восстановление. [16]
Теория устойчивости может быть связана с областью связей с общественностью. Устойчивость — это коммуникативный процесс, который конструируется гражданами, семьями, системой СМИ, организациями и правительствами посредством повседневных разговоров и опосредованных бесед. [17]
Теория основана на работе Патриса М. Баззанелла , профессора Школы коммуникаций имени Брайана Лэмба в Университете Пердью . В своей статье 2010 года «Устойчивость: разговоры, сопротивление и представление новых нормальных ситуаций» [18] Баззанелл обсудила способность организаций процветать после кризиса посредством создания сопротивления. Баззанелл отмечает, что существует пять различных процессов, которые люди используют, пытаясь сохранить устойчивость: создание нормальности, подтверждение якорей идентичности, поддержание и использование сетей коммуникации, приведение в действие альтернативной логики и преуменьшение негативных чувств при выдвижении на первый план позитивных эмоций.
Если рассматривать теорию устойчивости, то теория кризисной коммуникации похожа, но не та же самая. Теория кризисной коммуникации основана на репутации компании, но теория устойчивости основана на процессе восстановления компании. Существует пять основных компонентов устойчивости: создание нормальности, подтверждение якорей идентичности, поддержание и использование сетей коммуникации, приведение в действие альтернативной логики и преуменьшение негативных чувств при выдвижении на первый план негативных эмоций. [19] Каждый из этих процессов может быть применим к бизнесу в кризисные времена, что делает устойчивость важным фактором для компаний, на котором следует сосредоточиться во время обучения.
Существует три основные группы, на которые влияет кризис. Это микро (индивидуальные), мезо (групповые или организационные) и макро (национальные или межорганизационные). Существует также два основных типа устойчивости: проактивная и постустойчивость. Проактивная устойчивость заключается в подготовке к кризису и создании прочной основы для компании. Постустойчивость включает в себя постоянное поддержание коммуникации и общение с сотрудниками. [20] Проактивная устойчивость заключается в решении текущих проблем до того, как они вызовут возможные изменения в рабочей среде, а постустойчивость — в поддержании коммуникации и принятии изменений после того, как произошел инцидент. Устойчивость может применяться к любой организации. В Новой Зеландии программа по устойчивым организациям Кентерберийского университета разработала инструмент оценки для сравнительного анализа устойчивости организаций. [21] Он охватывает 11 категорий, каждая из которых содержит от 5 до 7 вопросов. Коэффициент устойчивости суммирует эту оценку. [22]
Непрерывность
Планы и процедуры используются при планировании непрерывности бизнеса для обеспечения того, чтобы критически важные организационные операции, необходимые для поддержания работы организации, продолжали работать во время событий, когда ключевые зависимости операций нарушаются. Непрерывность не обязательно должна применяться к каждой деятельности, которую организация выполняет. Например, в соответствии с ISO 22301:2019 организации должны определить свои цели непрерывности бизнеса, минимальные уровни операций по продуктам и услугам, которые будут считаться приемлемыми, и максимально допустимый период нарушения (MTPD), который может быть разрешен. [23]
Основная часть затрат при планировании приходится на подготовку документов по управлению соответствием аудиту; существуют средства автоматизации, позволяющие сократить время и затраты, связанные с ручным созданием этой информации.
Инвентарь
Планировщики должны иметь информацию о:
Оборудование
Поставки и поставщики
Места расположения, включая другие офисы и резервные /рабочие зоны восстановления (WAR)
Документы и документация, в том числе имеющие резервные копии вне офиса: [10]
Деловые документы
Документация процедуры
Анализ
Фаза анализа состоит из:
Анализ воздействия
Анализ угроз и рисков
Сценарии воздействия
Количественная оценка коэффициентов убытков должна также включать «доллары для защиты в судебном процессе». [24] Было подсчитано, что доллар, потраченный на предотвращение убытков, может предотвратить «семь долларов экономических потерь, связанных со стихийными бедствиями». [25]
Анализ влияния на бизнес (BIA)
Анализ влияния на бизнес (BIA) различает критические (срочные) и некритические (несрочные) функции/виды деятельности организации. Функция может считаться критической, если это предписано законом.
Каждая функция/действие обычно зависит от комбинации составляющих компонентов для своего функционирования:
Человеческие ресурсы (штатные сотрудники, сотрудники, работающие неполный рабочий день, или подрядчики)
ИТ-системы
Физические активы (мобильные телефоны, ноутбуки/рабочие станции и т. д.)
Документы (электронные или физические)
Для каждой функции присваиваются два значения:
Цель точки восстановления (RPO) – приемлемая задержка данных, которые не будут восстановлены. Например, приемлемо ли для компании потерять данные за 2 дня? [26] Цель точки восстановления должна гарантировать, что максимально допустимая потеря данных для каждого вида деятельности не будет превышена.
Целевое время восстановления (RTO) – приемлемое количество времени для восстановления функции
Максимальное время восстановления
Максимальные временные ограничения, в соответствии с которыми основные продукты или услуги предприятия могут быть недоступны или не могут быть доставлены, прежде чем заинтересованные стороны воспримут неприемлемые последствия, были названы следующим образом:
Максимально допустимый период перерыва (MTPoD)
Максимально допустимое время простоя (MTD)
Максимально допустимый простой (MTO)
Максимально допустимое отключение (MAO) [27] [28]
Согласно ISO 22301 термины «максимально допустимый простой» и «максимально допустимый период сбоя» означают одно и то же и определяются с использованием одних и тех же слов. [29] В некоторых стандартах используется термин «максимальный предел простоя» . [30]
Последовательность
Когда происходит сбой более чем одной системы, планы восстановления должны сбалансировать потребность в согласованности данных с другими целями, такими как RTO и RPO. [31] Цель согласованности восстановления (RCO) — это название этой цели. Она применяет цели согласованности данных , чтобы определить измерение согласованности распределенных бизнес-данных во взаимосвязанных системах после инцидента катастрофы. Аналогичные термины, используемые в этом контексте, — «Характеристики согласованности восстановления» (RCC) и «Гранулярность объекта восстановления» (ROG). [32]
В то время как RTO и RPO являются абсолютными значениями для каждой системы, RCO выражается в процентах, которые измеряют отклонение между фактическим и целевым состоянием бизнес-данных в разных системах для групп процессов или отдельных бизнес-процессов.
Следующая формула вычисляет RCO, где «n» представляет собой количество бизнес-процессов, а «сущности» представляют собой абстрактное значение для бизнес-данных:
100% RCO означает, что после восстановления не происходит никаких отклонений в бизнес-данных. [33]
Анализ угроз и рисков (TRA)
После определения требований к восстановлению, каждая потенциальная угроза может потребовать уникальных шагов по восстановлению (планов действий в чрезвычайных ситуациях или плейбуков). Распространенные угрозы включают:
Кража (внутренняя или внешняя угроза, важная информация или материалы)
Случайный отказ критически важных систем
Зависимость от одной точки
Неудача поставщика
Повреждение данных
Неправильная конфигурация
Сбой в работе сети
Вышеуказанные области могут каскадироваться: спасатели могут споткнуться. Запасы могут истощиться. Во время вспышки атипичной пневмонии 2002–2003 годов некоторые организации разделили и ротировали команды, чтобы соответствовать инкубационному периоду заболевания. Они также запретили личные контакты как в рабочее, так и в нерабочее время. Это повысило устойчивость к угрозе.
Сценарии воздействия
Сценарии воздействия определяются и документируются:
потребность в медицинских принадлежностях [34]
потребность в транспортных вариантах [35]
гражданское воздействие ядерных катастроф [36]
потребность в расходных материалах для бизнеса и обработки данных [37]
Они должны отражать максимально возможный ущерб.
Уровни готовности
Семь уровней аварийного восстановления SHARE [38], представленные в 1992 году, были обновлены в 2012 году IBM в восьмиуровневую модель: [39]
Уровень 0 — нет данных вне офиса • Компании с решением по аварийному восстановлению уровня 0 не имеют плана аварийного восстановления. Нет сохраненной информации, документации, резервного оборудования и плана действий в чрезвычайных ситуациях. Типичное время восстановления: длительность времени восстановления в этом случае непредсказуема . Фактически, восстановление может быть вообще невозможным.
Уровень 1 — Резервное копирование данных без Hot Site • Компании, использующие решения Tier 1 Disaster Recovery, резервируют свои данные на удаленном объекте. В зависимости от того, как часто создаются резервные копии, они готовы принять потерю данных на срок от нескольких дней до нескольких недель , но их резервные копии надежно защищены вне офиса. Однако на этом уровне отсутствуют системы, на которых можно восстановить данные. Метод доступа пикапа (PTAM).
Уровень 2 – Резервное копирование данных с Hot Site • Решения Tier 2 Disaster Recovery регулярно выполняют резервное копирование на ленту. Это сочетается с внешними объектами и инфраструктурой (известными как hot site), в которых можно восстановить системы с этих лент в случае аварии. Это решение уровня все равно приведет к необходимости воссоздания данных за несколько часов или дней, но оно менее непредсказуемо по времени восстановления . Примеры включают: PTAM с Hot Site, IBM Tivoli Storage Manager.
Уровень 3 – Электронное хранилище • Решения уровня 3 используют компоненты уровня 2. Кроме того, некоторые критически важные данные хранятся в электронном хранилище. Эти данные, хранящиеся в электронном хранилище, обычно более актуальны, чем те, которые передаются через PTAM. В результате после возникновения катастрофы происходит меньше повторного использования или потери данных .
Уровень 4 – Копии на определенный момент времени • Решения уровня 4 используются предприятиями, которым требуется как большая актуальность данных, так и более быстрое восстановление, чем пользователям более низких уровней. Вместо того чтобы в основном полагаться на транспортную ленту, как это принято на нижних уровнях, решения уровня 4 начинают включать больше дисковых решений. Несколько часов потери данных все еще возможны , но проще делать такие копии на определенный момент времени (PIT) с большей частотой, чем данные, которые можно реплицировать с помощью решений на основе ленты.
Уровень 5 – Целостность транзакций • Решения уровня 5 используются предприятиями, которым требуется согласованность данных между производственными и восстановительными центрами обработки данных. В таких решениях потери данных минимальны или отсутствуют ; однако наличие этой функциональности полностью зависит от используемого приложения.
Уровень 6 – Нулевая или небольшая потеря данных • Решения по аварийному восстановлению уровня 6 поддерживают самые высокие уровни актуальности данных . Они используются предприятиями, которые мало или совсем не терпят потери данных и которым необходимо быстро восстанавливать данные в приложениях. Эти решения не зависят от приложений для обеспечения согласованности данных.
Tier 7 – Высокоавтоматизированное, бизнес-интегрированное решение • Решения Tier 7 включают все основные компоненты, используемые для решения Tier 6 с дополнительной интеграцией автоматизации. Это позволяет решению Tier 7 гарантировать согласованность данных выше той, которая предоставляется решениями Tier 6. Кроме того, восстановление приложений автоматизировано, что позволяет восстанавливать системы и приложения намного быстрее и надежнее, чем это было бы возможно с помощью ручных процедур восстановления после сбоев.
Проектирование решения
Два основных требования на этапе анализа воздействия:
Для ИТ: минимальные требования к приложениям и данным, а также время, в течение которого они должны быть доступны.
Вне ИТ: сохранение печатных копий (например, контрактов). План процесса должен учитывать квалифицированный персонал и встроенные технологии.
Резервный сайт с приложениями, данными и рабочим пространством
Стандарты
Стандарты ИСО
Существует множество стандартов, которые поддерживают планирование и управление непрерывностью бизнеса. [40] [41]
Международная организация по стандартизации (ИСО) разработала, например, целую серию стандартов по системам управления непрерывностью бизнеса [42] под руководством технического комитета ISO/TC 292 :
ISO 22300 :2021 Безопасность и устойчивость – Словарь (Заменяет ISO 22300 :2018 Безопасность и устойчивость – Словарь и ISO 22300 :2012 Безопасность и устойчивость – Словарь.) [43]
ISO 22301 :2019 Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Требования (Заменяет ISO 22301 :2012.) [44]
ISO 22313 :2020 Безопасность и устойчивость — Системы управления непрерывностью бизнеса — Руководство по использованию ISO 22301 (Заменяет ISO 22313 :2012 Безопасность и устойчивость — Системы управления непрерывностью бизнеса — Руководство по использованию ISO 22301.) [45]
ISO/TS 22317:2021 Безопасность и устойчивость — Системы управления непрерывностью бизнеса — Руководящие принципы анализа воздействия на бизнес — (Заменяет ISO/TS 22315:2015 Социальная безопасность — Системы управления непрерывностью бизнеса — Руководящие принципы анализа воздействия на бизнес.) [46]
ISO/TS 22318:2021 Безопасность и устойчивость — Системы управления непрерывностью бизнеса — Руководящие принципы обеспечения непрерывности цепочки поставок (Заменяет ISO/TS 22318:2015 Социальная безопасность — Системы управления непрерывностью бизнеса — Руководящие принципы обеспечения непрерывности цепочки поставок.) [47]
ISO/TS 22330:2018 Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по кадровым аспектам обеспечения непрерывности бизнеса (актуально с 2022 г.) [48]
ISO/TS 22331:2018 Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по стратегии обеспечения непрерывности бизнеса. (Действует с 2022 г.) [49]
ISO/TS 22332:2021 Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие принципы по разработке планов и процедур обеспечения непрерывности бизнеса (актуально с 2022 г.) [50]
ISO/IEC/TS 17021-6:2014 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 6. Требования к компетентности для аудита и сертификации систем менеджмента непрерывности бизнеса. [51]
ISO/IEC 24762:2008 Информационные технологии. Методы обеспечения безопасности. Руководящие принципы по аварийному восстановлению информационных и коммуникационных технологий (отозван) [52]
ISO/IEC 27001:2022 Информационная безопасность , кибербезопасность и защита конфиденциальности — Системы управления информационной безопасностью — Требования. (Заменяет ISO/IEC 27001:2013 Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования.) [53]
ISO/IEC 27002:2022 Информационная безопасность, кибербезопасность и защита конфиденциальности — Средства управления информационной безопасностью. (Заменяет ISO/IEC 27002:2013 Информационные технологии — Методы обеспечения безопасности — Свод правил по средствам управления информационной безопасностью.) [54]
ISO/IEC 27031:2011 Информационные технологии – Методы обеспечения безопасности – Руководящие принципы по готовности информационных и коммуникационных технологий к обеспечению непрерывности бизнеса. [55]
ISO/PAS 22399:2007 Безопасность общества. Руководство по готовности к инцидентам и управлению непрерывностью деятельности (отозван) [56]
IWA 5:2006 Готовность к чрезвычайным ситуациям (отозван) [57]
Британские стандарты
Британский институт стандартов (BSI Group) выпустил ряд стандартов, которые с тех пор были отменены и заменены указанными выше стандартами ISO.
BS 7799 -1:1995 - процедуры обеспечения информационной безопасности, имеющие второстепенное значение. (отозван) [58]
BS 25999 -1:2006 - Управление непрерывностью бизнеса. Часть 1: Кодекс практики (заменен, отозван) [59]
BS 25999-2:2007 Управление непрерывностью бизнеса. Часть 2: Спецификация (заменен, отозван) [60]
2008: BS 25777, Управление непрерывностью информационных и коммуникационных технологий. Кодекс практики. (отозван) [61]
В Великобритании стандарты BS 25999-2:2007 и BS 25999-1:2006 использовались для управления непрерывностью бизнеса во всех организациях, отраслях и секторах. Эти документы дают практический план действий в большинстве непредвиденных ситуаций — от экстремальных погодных условий до терроризма, сбоя ИТ-системы и болезни персонала. [62]
В 2004 году, после кризисов предыдущих лет, правительство Великобритании приняло Закон о гражданских непредвиденных обстоятельствах 2004 года : предприятия должны иметь меры по планированию непрерывности, чтобы выжить и продолжать процветать, одновременно работая над тем, чтобы свести инциденты к минимуму. Закон был разделен на две части: Часть 1: гражданская защита, охватывающая роли и обязанности местных спасателей Часть 2: полномочия в чрезвычайных ситуациях. [63]
В Великобритании устойчивость реализуется на местном уровне Форумом по местной устойчивости . [64]
Австралийские стандарты
HB 292-2006, «Практическое руководство по управлению непрерывностью бизнеса» [65]
HB 293-2006, «Руководство для руководителей по управлению непрерывностью бизнеса» [66]
Непрерывность операций (COOP) и Национальный план реализации политики непрерывности (NCPIP), Федеральное правительство Соединенных Штатов [69] [70] [71]
Пакет услуг по планированию непрерывности бизнеса, Управление национальной защиты и программ Министерства внутренней безопасности и Федеральное агентство по чрезвычайным ситуациям (FEMA). [72] [73] [74] [69]
ASIS SPC.1-2009, Организационная устойчивость: системы управления безопасностью, готовностью и непрерывностью — требования и руководство по применению, Американский национальный институт стандартов [75]
Внедрение и тестирование
Фаза внедрения включает в себя изменение политики, приобретение материалов, укомплектование персоналом и тестирование.
Тестирование и организационное принятие
В книге «Упражнения для совершенства» , опубликованной в 2008 году Британским институтом стандартов, определены три типа упражнений, которые можно использовать при тестировании планов обеспечения непрерывности бизнеса.
Настольные учения — небольшое количество людей концентрируется на определенном аспекте BCP. Другая форма предполагает наличие одного представителя от каждой из нескольких команд.
Средние упражнения - Несколько отделов, команд или дисциплин концентрируются на нескольких аспектах BCP; сфера действия может варьироваться от нескольких команд из одного здания до нескольких команд, работающих в разбросанных местах. Добавляются заранее подготовленные "сюрпризы".
Сложные учения — все аспекты средних учений сохраняются, но для максимального реализма добавляется активация без уведомления, реальная эвакуация и реальный вызов пункта восстановления после аварии.
Хотя время начала и окончания заранее согласовано, фактическая продолжительность может быть неизвестна, если событиям будет позволено идти своим чередом.
Обслуживание
Двухгодичный или годовой цикл технического обслуживания руководства BCP [76] делится на три периодических мероприятия.
Подтвердите информацию в руководстве, доведите ее до сведения персонала и проведите специальное обучение для ключевых лиц.
Тестирование и проверка технических решений, принятых для проведения восстановительных работ.
Тестирование и проверка процедур восстановления организации.
Проблемы, обнаруженные на этапе тестирования, часто приходится повторно вносить на этап анализа.
Информация и цели
Руководство BCP должно развиваться вместе с организацией и содержать информацию о том, кто и что должен знать :
Серия контрольных списков
Должностные инструкции, необходимые навыки, требования к обучению
Распространение исправлений безопасности приложений и сервисов
Работоспособность оборудования
Работоспособность приложения
Проверка данных
Применение данных
Тестирование и проверка процедур восстановления
Изменения программного обеспечения и рабочего процесса должны быть задокументированы и проверены, включая проверку того, что задокументированные задачи восстановления рабочего процесса и поддерживающая инфраструктура аварийного восстановления позволяют персоналу восстанавливаться в течение заранее определенного времени восстановления. [79]
^ BCI Good Practice Guidelines 2013, цитируется в Mid Sussex District Council , Business Continuity Policy Statement, опубликовано в апреле 2018 г., дата обращения 19 февраля 2021 г.
^ «Как построить эффективный и организованный план обеспечения непрерывности бизнеса». Forbes . 26 июня 2015 г.
^ "Surviving a Disaster" (PDF) . American Bar .org (Американская ассоциация юристов) . 2011. Архивировано (PDF) из оригинала 2022-10-09.
^ Эллиот, Д.; Шварц, Э.; Хербейн, Б. (1999) Просто ждем следующего большого взрыва: планирование непрерывности бизнеса в финансовом секторе Великобритании. Журнал прикладных управленческих исследований, т. 8, №, стр. 43–60. Здесь: стр. 48.
^ Алан Берман (9 марта 2015 г.). «Построение успешного плана обеспечения непрерывности бизнеса». Журнал Business Insurance .
^ "План обеспечения непрерывности бизнеса". Министерство внутренней безопасности США. Архивировано из оригинала 7 декабря 2018 года . Получено 4 октября 2018 года .
^ ab Ян Маккарти; Марк Коллард; Майкл Джонсон (2017). «Адаптивная организационная устойчивость: эволюционная перспектива». Current Opinion in Environmental Sustainability . 28 : 33–40. Bibcode :2017COES...28...33M. doi :10.1016/j.cosust.2017.07.005.
^ Intrieri, Charles (10 сентября 2013 г.). «Планирование непрерывности бизнеса». Flevy . Получено 29 сентября 2013 г. .
^ «Ресурсы непрерывности и техническая помощь | FEMA.gov». www.fema.gov .
^ ab "Руководство по подготовке плана обеспечения непрерывности бизнеса" (PDF) . Архивировано из оригинала (PDF) 2019-02-09 . Получено 2019-02-08 .
^ «Планирование непрерывности бизнеса (BCP) для предприятий всех размеров». 19 апреля 2017 г. Архивировано из оригинала 24 апреля 2017 г. Получено 28 апреля 2017 г.
^ Йосси Шеффи (октябрь 2005 г.). Устойчивое предприятие: преодоление уязвимости конкурентоспособного предприятия. MIT Press.
^ "Transform. The Resilient Economy". Архивировано из оригинала 2013-10-22 . Получено 2019-02-04 .
^ "Newsday | Источник новостей Лонг-Айленда и Нью-Йорка | Newsday".
^ Тиффани Браун; Бенджамин Марц (2007). «Готовность к непрерывности бизнеса и осознанное состояние ума». Труды AMCIS 2007 года . S2CID 7698286.«По оценкам, 80 процентов компаний, не имеющих хорошо продуманного и проверенного плана обеспечения непрерывности бизнеса, прекращают свою деятельность в течение двух лет после крупной катастрофы» (Сантанджело, 2004 г.)
^ «Приложение A.17: Аспекты информационной безопасности управления непрерывностью бизнеса». ISMS.online. Ноябрь 2021 г.
^ «Коммуникация и устойчивость: заключительные мысли и ключевые вопросы для будущих исследований». www.researchgate.net .
^ Баззанелл, Патрис М. (2010). «Устойчивость: разговоры, сопротивление и воображение новых нормальных явлений». Журнал коммуникаций . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN 1460-2466.
^ Баззанелл, Патрис М. (март 2010 г.). «Устойчивость: разговоры, сопротивление и представление новых нормальных явлений в бытие». Журнал коммуникаций . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN 0021-9916.
^ Баззанелл, Патрис М. (2018-01-02). «Организация устойчивости как адаптивно-трансформационного напряжения». Журнал прикладных коммуникационных исследований . 46 (1): 14–18. doi :10.1080/00909882.2018.1426711. ISSN 0090-9882. S2CID 149004681.
^ "Устойчивые организации". 22 марта 2011 г.
^ «Диагностика устойчивости». 28 ноября 2017 г.
^ ISO, ISO 22301 Управление непрерывностью бизнеса: Ваше руководство по внедрению, опубликовано, дата обращения 20 февраля 2021 г.
^ "Emergency Planning" (PDF) . Архивировано (PDF) из оригинала 2022-10-09.
^ Хелен Кларк (15 августа 2012 г.). «Может ли ваша организация пережить стихийное бедствие?» (PDF) . RI.gov . Архивировано (PDF) из оригинала 2022-10-09.
↑ Мэй, Ричард. «Поиск RPO и RTO». Архивировано из оригинала 2016-03-03.
^ "Максимально допустимый сбой (определение)". riskythinking.com . Albion Research Ltd . Получено 4 октября 2018 г. .
^ "Инструкции BIA, УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА - СЕМИНАР" (PDF) . driecentral.org . Disaster Recovery Information Exchange (DRIE) Central. Архивировано (PDF) из оригинала 2022-10-09 . Получено 4 октября 2018 г. .
^ "Определения непрерывности бизнеса ISO 22301 2012 на простом английском языке". praxiom.com . Praxiom Research Group LTD . Получено 4 октября 2018 г. .
^ "Базовые меры кибербезопасности" (PDF) . Министерство внутренних дел - Национальный центр кибербезопасности. 2022. С. 12.
^ "The Rise and Rise of the Recovery Consistency Objective". 2016-03-22. Архивировано из оригинала 2020-09-26 . Получено 9 сентября 2019 г.
^ «Как оценить решение по управлению восстановлением». West World Productions, 2006 [1]
^ Джош Кришер; Донна Скотт; Роберта Дж. Уитти. «Шесть мифов об управлении непрерывностью бизнеса и восстановлении после сбоев» (PDF) . Gartner Research. Архивировано (PDF) из оригинала 2022-10-09.
^ «Местоположение и распределение медицинских поставок при стихийных бедствиях». doi :10.1016/j.ijpe.2009.10.004.{{cite journal}}: Цитировать журнал требует |journal=( помощь ) [ требуется разъяснение ]
^ "Планирование транспорта при восстановлении после стихийных бедствий". SCHOLAR.google.com . Архивировано из оригинала 2022-10-09.
^ Хлоя Демровски (22 декабря 2017 г.). «Holding It All Together». Технологии производственного бизнеса .
^ разработано Техническим руководящим комитетом SHARE совместно с IBM
^ Эллис Холман (13 марта 2012 г.). «Методология выбора решения для обеспечения непрерывности бизнеса» (PDF) . IBM Corp. Архивировано (PDF) из оригинала 2022-10-09.
^ Тирни, Кэтлин (21 ноября 2012 г.). «Управление катастрофами: социальные, политические и экономические измерения». Ежегодный обзор окружающей среды и ресурсов . 37 (1): 341–363. doi : 10.1146/annurev-environ-020911-095618 . ISSN 1543-5938. S2CID 154422711.
^ Партридж, Кевин Г.; Янг, Лиза Р. (2011). Модель управления устойчивостью CERT® (RMM) v1.1: Свод правил пешеходного перехода, коммерческая версия 1.1 (PDF) . Питтсбург, Пенсильвания: Университет Карнеги-Меллона . Получено 5 января 2023 г.
^ "ISO - ISO/TC 292 - Безопасность и устойчивость". Международная организация по стандартизации .
^ "ISO 22300:2018". ISO . 12 июля 2019 г.
^ «ISO 22301:2019». ИСО . 5 июня 2023 г.
^ "ISO 22313:2020". ISO .
^ "ИСО/ТС 22317:2021".
^ "ИСО/ТС 22318:2021".
^ "ISO/TS 22330:2018". ISO . 12 июля 2019 г.
^ "ISO/TS 22331:2018". ISO .
^ "ИСО/ТС 22332:2021".
^ "ISO/IEC TS 17021-6:2014". ISO .
^ "ISO/IEC 24762:2008". ISO . 6 марта 2008 . Получено 5 января 2023 .
^ "ISO/IEC 27001:2022". ISO . Получено 5 января 2023 г. .
^ "ISO/IEC 27002:2022". ISO . Получено 5 января 2023 г. .
^ "ISO/IEC 27031:2011". ISO . 5 сентября 2016 г. Получено 5 января 2023 г. .
^ «ISO/PAS 22399:2007». ИСО . 18 июня 2012 года . Проверено 5 января 2023 г.
^ «IWA 5:2006». ИСО . Проверено 5 января 2023 г.
^ "BS 7799-1:1995 Управление информационной безопасностью. Свод правил для систем управления информационной безопасностью". BSI Group . Получено 5 января 2023 г.
^ "BS 25999-1:2006 Управление непрерывностью бизнеса - Кодекс практики". BSI Group . Получено 5 января 2023 г.
^ "BS 25999-2:2007 (издание США) Управление непрерывностью бизнеса - Спецификация". BSI Group . Получено 5 января 2023 г. .
^ "BS 25777:2008 (Мягкая обложка) Управление непрерывностью информационных и коммуникационных технологий. Свод правил". BSI Group . Получено 5 января 2023 г.
^ Британский институт стандартов (2006). Управление непрерывностью бизнеса. Часть 1: Кодекс практики: Лондон
^ "Июль 2013 г. (V2) Роль местных форумов по устойчивости: справочный документ" (PDF) . Кабинет министров . Получено 5 января 2023 г. .
^ "HB HB 292—2006 Руководство для руководителей по управлению непрерывностью бизнеса" (PDF) . Стандарты Австралии . Получено 5 января 2023 г. .
^ "HB 293—2006 Руководство для руководителей по управлению непрерывностью бизнеса" (PDF) . Стандарты Австралии . Получено 5 января 2023 г. .
^ NFPA 1600, Стандарт по управлению чрезвычайными ситуациями и программами обеспечения непрерывности бизнеса (PDF) (ред. 2010 г.). Куинси, Массачусетс: Национальная ассоциация противопожарной защиты. 2010. ISBN978-161665005-6.
^ «Всесторонний обзор стандарта NFPA 1600». AlertMedia . 29 января 2019 г. . Получено 4 января 2023 г. .
^ ab "План обеспечения непрерывности бизнеса | Ready.gov". www.ready.gov . Получено 5 января 2023 г. .
^ "ПЛАН РЕАЛИЗАЦИИ ПОЛИТИКИ НАЦИОНАЛЬНОЙ НЕПРЕРЫВНОСТИ Совет внутренней безопасности, август 2007 г." (PDF) . FEMA . Получено 5 января 2023 г. .
^ "Ресурсы непрерывности и техническая помощь | FEMA.gov". FEMA . Получено 5 января 2023 г. .
^ "Непрерывность операций: обзор" (PDF) . FEMA . Получено 5 января 2023 г. .
^ "Бизнес | Ready.gov". www.ready.gov . Получено 5 января 2023 г. .
^ "Business Continuity Planning Suite | Ready.gov". www.ready.gov . Получено 5 января 2023 г. .
^ ASIS SPC.1-2009 Организационная устойчивость: системы управления безопасностью, готовностью и непрерывностью — требования и руководство по использованию (PDF) . Американский национальный институт стандартов. 2009. ISBN978-1-887056-92-2.
^ «Шаблон плана обеспечения непрерывности бизнеса».
^ "Глоссарий | DRI International". drii.org .
^ "Контрольный список плана восстановления после стихийных бедствий" (PDF) . CMS.gov . Архивировано (PDF) из оригинала 2022-10-09.
^ Отман. «Проверка метамодели управления катастрофами (DMM)». SCHOLAR.google.com .
Дальнейшее чтение
Джеймс К. Барнс (2001-06-08). Руководство по планированию непрерывности бизнеса . Wiley. ISBN 978-0471530152.
Кеннет Л. Фулмер (2004-10-04). Планирование непрерывности бизнеса, пошаговое руководство . Ротштейн. ISBN 978-1931332217.
Ричард Кепенах. Разработка плана обеспечения непрерывности бизнеса, 8 шагов для начала разработки плана .
Джуди Белл (октябрь 1991 г.). Планирование выживания в случае стихийных бедствий: практическое руководство для предприятий . Disaster Survival Planning, Incorporated. ISBN 978-0963058003.
Диматтиа, С. (15 ноября 2001 г.). «Планирование преемственности». Library Journal . 126 (19): 32–34.
Эндрю Золли; Энн Мари Хили (2013). Устойчивость: почему вещи приходят в норму . Simon & Schuster. ISBN 978-1451683813.
Международный глоссарий по устойчивости, DRI International.
Внешние ссылки
Уровни Disaster Recovery и TSM. Шарлотта Брукс, Мэтью Бедерняк, Игорь Джуран и Джон Мерриман. В книге Disaster Recovery Strategies with Tivoli Storage Management. Глава 2. Страницы 21–36. Серия Red Books. IBM. Tivoli Software. 2002.
SteelStore Cloud Storage Gateway: Руководство по передовым методам восстановления после сбоев. Riverbed Technology, Inc. Октябрь 2011 г.
Уровни восстановления после сбоев. Роберт Керн и Виктор Пельц. Журнал IBM Systems. Ноябрь 2003 г.
Непрерывность бизнеса: 5 уровней восстановления после сбоев. Архивировано 26.09.2018 на Wayback Machine Recovery Specialties. 2007.
Непрерывные операции: семь уровней восстановления после сбоев. Мэри Холл. Сообщество хранения (IBM). 18 июля 2011 г. Получено 26 марта 2013 г.
Максимально допустимый период нарушения (MTPOD)
Максимально допустимый период сбоя (MTPOD): ответ комитета BSI