stringtranslate.com

Планирование непрерывности бизнеса

Жизненный цикл планирования непрерывности бизнеса

Непрерывность бизнеса можно определить как «способность организации продолжать поставку продуктов или услуг на заранее определенных приемлемых уровнях после разрушительного инцидента» [1] , а планирование непрерывности бизнеса [2] [3] (или планирование непрерывности бизнеса и устойчивости ) — это процесс создания систем предотвращения и восстановления для борьбы с потенциальными угрозами для компании. [4] Помимо предотвращения, целью является обеспечение непрерывности операций до и во время выполнения аварийного восстановления . [5] Непрерывность бизнеса — это предполагаемый результат надлежащего выполнения как планирования непрерывности бизнеса, так и аварийного восстановления.

Различные органы по стандартизации опубликовали несколько стандартов обеспечения непрерывности бизнеса, чтобы помочь в составлении контрольного списка текущих задач планирования. [6]

Непрерывность бизнеса требует подхода сверху вниз для определения минимальных требований организации, чтобы гарантировать ее жизнеспособность как сущности. Устойчивость организации к неудачам — это «способность… выдерживать изменения в своей среде и продолжать функционировать». [7] Часто называемая устойчивостью, это способность, которая позволяет организациям либо выдерживать изменения в среде без необходимости постоянной адаптации, либо организация вынуждена адаптировать новый способ работы, который лучше подходит к новым условиям среды. [7]

Обзор

Любое событие, которое может негативно повлиять на операции, должно быть включено в план, например, прерывание цепочки поставок , потеря или повреждение критической инфраструктуры (основного оборудования или вычислительных/сетевых ресурсов). Таким образом, BCP является подмножеством управления рисками . [8] В США государственные организации называют этот процесс планированием непрерывности операций (COOP). [9] План обеспечения непрерывности бизнеса [ 10] описывает ряд сценариев катастроф и шаги, которые бизнес предпримет в каждом конкретном сценарии для возвращения к обычной торговле. BCP пишутся заранее и также могут включать меры предосторожности, которые необходимо принять. Обычно создаваемый с участием ключевого персонала, а также заинтересованных сторон, BCP представляет собой набор непредвиденных обстоятельств для минимизации потенциального вреда для бизнеса в неблагоприятных сценариях. [11]

Устойчивость

Анализ 2005 года того, как сбои могут негативно влиять на деятельность корпораций и как инвестиции в устойчивость могут дать конкурентное преимущество перед организациями, не готовыми к различным непредвиденным обстоятельствам [12], расширил тогдашние общепринятые практики планирования непрерывности бизнеса. Бизнес-организации, такие как Совет по конкурентоспособности, приняли эту цель устойчивости. [13]

Адаптация к изменениям, происходящая, по-видимому, более медленно и эволюционно — иногда в течение многих лет или десятилетий — описывается как более устойчивая [14] , а термин «стратегическая устойчивость» теперь используется для обозначения чего-то большего, чем просто сопротивление разовому кризису, а скорее постоянного предвосхищения и корректировки, «прежде чем необходимость изменений станет совершенно очевидной».

Этот подход иногда обобщают как: готовность , [15] защита, реагирование и восстановление. [16]

Теория устойчивости может быть связана с областью связей с общественностью. Устойчивость — это коммуникативный процесс, который конструируется гражданами, семьями, системой СМИ, организациями и правительствами посредством повседневных разговоров и опосредованных бесед. [17]

Теория основана на работе Патриса М. Баззанелла , профессора Школы коммуникаций имени Брайана Лэмба в Университете Пердью . В своей статье 2010 года «Устойчивость: разговоры, сопротивление и представление новых нормальных ситуаций» [18] Баззанелл обсудила способность организаций процветать после кризиса посредством создания сопротивления. Баззанелл отмечает, что существует пять различных процессов, которые люди используют, пытаясь сохранить устойчивость: создание нормальности, подтверждение якорей идентичности, поддержание и использование сетей коммуникации, приведение в действие альтернативной логики и преуменьшение негативных чувств при выдвижении на первый план позитивных эмоций.

Если рассматривать теорию устойчивости, то теория кризисной коммуникации похожа, но не та же самая. Теория кризисной коммуникации основана на репутации компании, но теория устойчивости основана на процессе восстановления компании. Существует пять основных компонентов устойчивости: создание нормальности, подтверждение якорей идентичности, поддержание и использование сетей коммуникации, приведение в действие альтернативной логики и преуменьшение негативных чувств при выдвижении на первый план негативных эмоций. [19] Каждый из этих процессов может быть применим к бизнесу в кризисные времена, что делает устойчивость важным фактором для компаний, на котором следует сосредоточиться во время обучения.

Существует три основные группы, на которые влияет кризис. Это микро (индивидуальные), мезо (групповые или организационные) и макро (национальные или межорганизационные). Существует также два основных типа устойчивости: проактивная и постустойчивость. Проактивная устойчивость заключается в подготовке к кризису и создании прочной основы для компании. Постустойчивость включает в себя постоянное поддержание коммуникации и общение с сотрудниками. [20] Проактивная устойчивость заключается в решении текущих проблем до того, как они вызовут возможные изменения в рабочей среде, а постустойчивость — в поддержании коммуникации и принятии изменений после того, как произошел инцидент. Устойчивость может применяться к любой организации. В Новой Зеландии программа по устойчивым организациям Кентерберийского университета разработала инструмент оценки для сравнительного анализа устойчивости организаций. [21] Он охватывает 11 категорий, каждая из которых содержит от 5 до 7 вопросов. Коэффициент устойчивости суммирует эту оценку. [22]

Непрерывность

Планы и процедуры используются при планировании непрерывности бизнеса для обеспечения того, чтобы критически важные организационные операции, необходимые для поддержания работы организации, продолжали работать во время событий, когда ключевые зависимости операций нарушаются. Непрерывность не обязательно должна применяться к каждой деятельности, которую организация выполняет. Например, в соответствии с ISO 22301:2019 организации должны определить свои цели непрерывности бизнеса, минимальные уровни операций по продуктам и услугам, которые будут считаться приемлемыми, и максимально допустимый период нарушения (MTPD), который может быть разрешен. [23]

Основная часть затрат при планировании приходится на подготовку документов по управлению соответствием аудиту; существуют средства автоматизации, позволяющие сократить время и затраты, связанные с ручным созданием этой информации.

Инвентарь

Планировщики должны иметь информацию о:

Анализ

Фаза анализа состоит из:

Количественная оценка коэффициентов убытков должна также включать «доллары для защиты в судебном процессе». [24] Было подсчитано, что доллар, потраченный на предотвращение убытков, может предотвратить «семь долларов экономических потерь, связанных со стихийными бедствиями». [25]

Анализ влияния на бизнес (BIA)

Анализ влияния на бизнес (BIA) различает критические (срочные) и некритические (несрочные) функции/виды деятельности организации. Функция может считаться критической, если это предписано законом.

Каждая функция/действие обычно зависит от комбинации составляющих компонентов для своего функционирования:

Для каждой функции присваиваются два значения:

Максимальное время восстановления

Максимальные временные ограничения, в соответствии с которыми основные продукты или услуги предприятия могут быть недоступны или не могут быть доставлены, прежде чем заинтересованные стороны воспримут неприемлемые последствия, были названы следующим образом:

Согласно ISO 22301 термины «максимально допустимый простой» и «максимально допустимый период сбоя» означают одно и то же и определяются с использованием одних и тех же слов. [29] В некоторых стандартах используется термин «максимальный предел простоя» . [30]

Последовательность

Когда происходит сбой более чем одной системы, планы восстановления должны сбалансировать потребность в согласованности данных с другими целями, такими как RTO и RPO. [31] Цель согласованности восстановления (RCO) — это название этой цели. Она применяет цели согласованности данных , чтобы определить измерение согласованности распределенных бизнес-данных во взаимосвязанных системах после инцидента катастрофы. Аналогичные термины, используемые в этом контексте, — «Характеристики согласованности восстановления» (RCC) и «Гранулярность объекта восстановления» (ROG). [32]

В то время как RTO и RPO являются абсолютными значениями для каждой системы, RCO выражается в процентах, которые измеряют отклонение между фактическим и целевым состоянием бизнес-данных в разных системах для групп процессов или отдельных бизнес-процессов.

Следующая формула вычисляет RCO, где «n» представляет собой количество бизнес-процессов, а «сущности» представляют собой абстрактное значение для бизнес-данных:

100% RCO означает, что после восстановления не происходит никаких отклонений в бизнес-данных. [33]

Анализ угроз и рисков (TRA)

После определения требований к восстановлению, каждая потенциальная угроза может потребовать уникальных шагов по восстановлению (планов действий в чрезвычайных ситуациях или плейбуков). Распространенные угрозы включают:

Вышеуказанные области могут каскадироваться: спасатели могут споткнуться. Запасы могут истощиться. Во время вспышки атипичной пневмонии 2002–2003 годов некоторые организации разделили и ротировали команды, чтобы соответствовать инкубационному периоду заболевания. Они также запретили личные контакты как в рабочее, так и в нерабочее время. Это повысило устойчивость к угрозе.

Сценарии воздействия

Сценарии воздействия определяются и документируются:

Они должны отражать максимально возможный ущерб.

Уровни готовности

Семь уровней аварийного восстановления SHARE [38], представленные в 1992 году, были обновлены в 2012 году IBM в восьмиуровневую модель: [39]

Проектирование решения

Два основных требования на этапе анализа воздействия:

Этот этап совпадает с планированием восстановления после стихийных бедствий .

Фаза решения определяет:

Стандарты

Стандарты ИСО

Существует множество стандартов, которые поддерживают планирование и управление непрерывностью бизнеса. [40] [41] Международная организация по стандартизации (ИСО) разработала, например, целую серию стандартов по системам управления непрерывностью бизнеса [42] под руководством технического комитета ISO/TC 292 :

Британские стандарты

Британский институт стандартов (BSI Group) выпустил ряд стандартов, которые с тех пор были отменены и заменены указанными выше стандартами ISO.

В Великобритании стандарты BS 25999-2:2007 и BS 25999-1:2006 использовались для управления непрерывностью бизнеса во всех организациях, отраслях и секторах. Эти документы дают практический план действий в большинстве непредвиденных ситуаций — от экстремальных погодных условий до терроризма, сбоя ИТ-системы и болезни персонала. [62]

В 2004 году, после кризисов предыдущих лет, правительство Великобритании приняло Закон о гражданских непредвиденных обстоятельствах 2004 года : предприятия должны иметь меры по планированию непрерывности, чтобы выжить и продолжать процветать, одновременно работая над тем, чтобы свести инциденты к минимуму. Закон был разделен на две части: Часть 1: гражданская защита, охватывающая роли и обязанности местных спасателей Часть 2: полномочия в чрезвычайных ситуациях. [63] В Великобритании устойчивость реализуется на местном уровне Форумом по местной устойчивости . [64]

Австралийские стандарты

Соединенные Штаты

Внедрение и тестирование

Фаза внедрения включает в себя изменение политики, приобретение материалов, укомплектование персоналом и тестирование.

Тестирование и организационное принятие

В книге « Упражнения для совершенства» , изданной Британским институтом стандартов в 2008 году , определены три типа упражнений, которые можно использовать при тестировании планов обеспечения непрерывности бизнеса.

Хотя время начала и окончания заранее согласовано, фактическая продолжительность может быть неизвестна, если событиям будет позволено идти своим чередом.

Обслуживание

Двухгодичный или годовой цикл технического обслуживания руководства BCP [76] делится на три периодических мероприятия.

Проблемы, обнаруженные на этапе тестирования, часто приходится повторно вносить на этап анализа.

Информация и цели

Руководство BCP должно развиваться вместе с организацией и содержать информацию о том, кто и что должен знать :

Технический

Необходимо поддерживать специализированные технические ресурсы. Проверки включают:

Тестирование и проверка процедур восстановления

Изменения программного обеспечения и рабочего процесса должны быть задокументированы и проверены, включая проверку того, что задокументированные задачи восстановления рабочего процесса и поддерживающая инфраструктура аварийного восстановления позволяют персоналу восстанавливаться в течение заранее определенного времени восстановления. [79]

Смотрите также

Ссылки

  1. ^ BCI Good Practice Guidelines 2013, цитируется в Mid Sussex District Council , Business Continuity Policy Statement, опубликовано в апреле 2018 г., дата обращения 19 февраля 2021 г.
  2. ^ «Как построить эффективный и организованный план обеспечения непрерывности бизнеса». Forbes . 26 июня 2015 г.
  3. ^ "Surviving a Disaster" (PDF) . American Bar .org (Американская ассоциация юристов) . 2011. Архивировано (PDF) из оригинала 2022-10-09.
  4. ^ Эллиот, Д.; Шварц, Э.; Хербейн, Б. (1999) Просто ждем следующего большого взрыва: планирование непрерывности бизнеса в финансовом секторе Великобритании. Журнал прикладных управленческих исследований, т. 8, №, стр. 43–60. Здесь: стр. 48.
  5. ^ Алан Берман (9 марта 2015 г.). «Построение успешного плана обеспечения непрерывности бизнеса». Журнал Business Insurance .
  6. ^ "План обеспечения непрерывности бизнеса". Министерство внутренней безопасности США. Архивировано из оригинала 7 декабря 2018 года . Получено 4 октября 2018 года .
  7. ^ ab Ян Маккарти; Марк Коллард; Майкл Джонсон (2017). «Адаптивная организационная устойчивость: эволюционная перспектива». Current Opinion in Environmental Sustainability . 28 : 33–40. Bibcode :2017COES...28...33M. doi :10.1016/j.cosust.2017.07.005.
  8. ^ Intrieri, Charles (10 сентября 2013 г.). «Планирование непрерывности бизнеса». Flevy . Получено 29 сентября 2013 г. .
  9. ^ «Ресурсы непрерывности и техническая помощь | FEMA.gov». www.fema.gov .
  10. ^ ab "Руководство по подготовке плана обеспечения непрерывности бизнеса" (PDF) . Архивировано из оригинала (PDF) 2019-02-09 . Получено 2019-02-08 .
  11. ^ «Планирование непрерывности бизнеса (BCP) для предприятий всех размеров». 19 апреля 2017 г. Архивировано из оригинала 24 апреля 2017 г. Получено 28 апреля 2017 г.
  12. ^ Йосси Шеффи (октябрь 2005 г.). Устойчивое предприятие: преодоление уязвимости конкурентоспособного предприятия. MIT Press.
  13. ^ "Transform. The Resilient Economy". Архивировано из оригинала 2013-10-22 . Получено 2019-02-04 .
  14. ^ "Newsday | Источник новостей Лонг-Айленда и Нью-Йорка | Newsday".
  15. ^ Тиффани Браун; Бенджамин Марц (2007). «Готовность к непрерывности бизнеса и осознанное состояние ума». Труды AMCIS 2007 года . S2CID  7698286.«По оценкам, 80 процентов компаний, не имеющих хорошо продуманного и проверенного плана обеспечения непрерывности бизнеса, прекращают свою деятельность в течение двух лет после крупной катастрофы» (Сантанджело, 2004 г.)
  16. ^ «Приложение A.17: Аспекты информационной безопасности управления непрерывностью бизнеса». ISMS.online. Ноябрь 2021 г.
  17. ^ «Коммуникация и устойчивость: заключительные мысли и ключевые вопросы для будущих исследований». www.researchgate.net .
  18. ^ Баззанелл, Патрис М. (2010). «Устойчивость: разговоры, сопротивление и воображение новых нормальных явлений». Журнал коммуникаций . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN  1460-2466.
  19. ^ Баззанелл, Патрис М. (март 2010 г.). «Устойчивость: разговоры, сопротивление и представление новых нормальных явлений в бытие». Журнал коммуникаций . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN  0021-9916.
  20. ^ Баззанелл, Патрис М. (2018-01-02). «Организация устойчивости как адаптивно-трансформационного напряжения». Журнал прикладных коммуникационных исследований . 46 (1): 14–18. doi :10.1080/00909882.2018.1426711. ISSN  0090-9882. S2CID  149004681.
  21. ^ "Устойчивые организации". 22 марта 2011 г.
  22. ^ «Диагностика устойчивости». 28 ноября 2017 г.
  23. ^ ISO, ISO 22301 Управление непрерывностью бизнеса: Ваше руководство по внедрению, опубликовано, дата обращения 20 февраля 2021 г.
  24. ^ "Emergency Planning" (PDF) . Архивировано (PDF) из оригинала 2022-10-09.
  25. ^ Хелен Кларк (15 августа 2012 г.). «Может ли ваша организация пережить стихийное бедствие?» (PDF) . RI.gov . Архивировано (PDF) из оригинала 2022-10-09.
  26. ^ Мэй, Ричард. "Finding RPO and RTO". Архивировано из оригинала 2016-03-03.
  27. ^ "Максимально допустимый сбой (определение)". riskythinking.com . Albion Research Ltd . Получено 4 октября 2018 г. .
  28. ^ "Инструкции BIA, УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА - СЕМИНАР" (PDF) . driecentral.org . Disaster Recovery Information Exchange (DRIE) Central. Архивировано (PDF) из оригинала 2022-10-09 . Получено 4 октября 2018 г. .
  29. ^ "Определения непрерывности бизнеса ISO 22301 2012 на простом английском языке". praxiom.com . Praxiom Research Group LTD . Получено 4 октября 2018 г. .
  30. ^ "Базовые меры кибербезопасности" (PDF) . Министерство внутренних дел - Национальный центр кибербезопасности. 2022. С. 12.
  31. ^ "The Rise and Rise of the Recovery Consistency Objective". 2016-03-22. Архивировано из оригинала 2020-09-26 . Получено 9 сентября 2019 г.
  32. ^ «Как оценить решение по управлению восстановлением». West World Productions, 2006 [1]
  33. ^ Джош Кришер; Донна Скотт; Роберта Дж. Уитти. «Шесть мифов об управлении непрерывностью бизнеса и восстановлении после сбоев» (PDF) . Gartner Research. Архивировано (PDF) из оригинала 2022-10-09.
  34. ^ «Местоположение и распределение медицинских поставок при стихийных бедствиях». doi :10.1016/j.ijpe.2009.10.004. {{cite journal}}: Цитировать журнал требует |journal=( помощь ) [ требуется разъяснение ]
  35. ^ "Планирование транспорта при восстановлении после стихийных бедствий". SCHOLAR.google.com . Архивировано из оригинала 2022-10-09.
  36. ^ "ПЛАНИРОВАНИЕ СЦЕНАРИЙ. Краткое изложение" (PDF) . Архивировано (PDF) из оригинала 2022-10-09.
  37. ^ Хлоя Демровски (22 декабря 2017 г.). «Holding It All Together». Технологии производственного бизнеса .
  38. ^ разработано Техническим руководящим комитетом SHARE совместно с IBM
  39. ^ Эллис Холман (13 марта 2012 г.). «Методология выбора решения для обеспечения непрерывности бизнеса» (PDF) . IBM Corp. Архивировано (PDF) из оригинала 2022-10-09.
  40. ^ Тирни, Кэтлин (21 ноября 2012 г.). «Управление катастрофами: социальные, политические и экономические измерения». Ежегодный обзор окружающей среды и ресурсов . 37 (1): 341–363. doi : 10.1146/annurev-environ-020911-095618 . ISSN  1543-5938. S2CID  154422711.
  41. ^ Партридж, Кевин Г.; Янг, Лиза Р. (2011). Модель управления устойчивостью CERT® (RMM) v1.1: Свод правил пешеходного перехода, коммерческая версия 1.1 (PDF) . Питтсбург, Пенсильвания: Университет Карнеги-Меллона . Получено 5 января 2023 г.
  42. ^ "ISO - ISO/TC 292 - Безопасность и устойчивость". Международная организация по стандартизации .
  43. ^ "ISO 22300:2018". ISO . 12 июля 2019 г.
  44. ^ «ISO 22301:2019». ИСО . 5 июня 2023 г.
  45. ^ "ISO 22313:2020". ISO .
  46. ^ "ИСО/ТС 22317:2021".
  47. ^ "ИСО/ТС 22318:2021".
  48. ^ "ISO/TS 22330:2018". ISO . 12 июля 2019 г.
  49. ^ "ISO/TS 22331:2018". ISO .
  50. ^ "ИСО/ТС 22332:2021".
  51. ^ "ISO/IEC TS 17021-6:2014". ISO .
  52. ^ "ISO/IEC 24762:2008". ISO . 6 марта 2008 . Получено 5 января 2023 .
  53. ^ "ISO/IEC 27001:2022". ISO . Получено 5 января 2023 г. .
  54. ^ "ISO/IEC 27002:2022". ISO . Получено 5 января 2023 г. .
  55. ^ "ISO/IEC 27031:2011". ISO . 5 сентября 2016 г. Получено 5 января 2023 г. .
  56. ^ «ISO/PAS 22399:2007». ИСО . 18 июня 2012 года . Проверено 5 января 2023 г.
  57. ^ «IWA 5:2006». ИСО . Проверено 5 января 2023 г.
  58. ^ "BS 7799-1:1995 Управление информационной безопасностью. Свод правил для систем управления информационной безопасностью". BSI Group . Получено 5 января 2023 г.
  59. ^ "BS 25999-1:2006 Управление непрерывностью бизнеса - Кодекс практики". BSI Group . Получено 5 января 2023 г.
  60. ^ "BS 25999-2:2007 (издание США) Управление непрерывностью бизнеса - Спецификация". BSI Group . Получено 5 января 2023 г. .
  61. ^ "BS 25777:2008 (Мягкая обложка) Управление непрерывностью информационных и коммуникационных технологий. Кодекс практики". BSI Group . Получено 5 января 2023 г.
  62. ^ Британский институт стандартов (2006). Управление непрерывностью бизнеса. Часть 1: Кодекс практики: Лондон
  63. ^ Кабинет министров. (2004). Обзор Акта. В: Civil Contingencies Secretariat Civil Contingencies Act 2004: краткое содержание. Лондон: Civil Contingencies Secretariat
  64. ^ "Июль 2013 г. (V2) Роль местных форумов по устойчивости: справочный документ" (PDF) . Кабинет министров . Получено 5 января 2023 г. .
  65. ^ "HB HB 292—2006 Руководство для руководителей по управлению непрерывностью бизнеса" (PDF) . Стандарты Австралии . Получено 5 января 2023 г. .
  66. ^ "HB 293—2006 Руководство для руководителей по управлению непрерывностью бизнеса" (PDF) . Стандарты Австралии . Получено 5 января 2023 г. .
  67. ^ NFPA 1600, Стандарт по управлению чрезвычайными ситуациями и программами обеспечения непрерывности бизнеса (PDF) (ред. 2010 г.). Куинси, Массачусетс: Национальная ассоциация противопожарной защиты. 2010. ISBN 978-161665005-6.
  68. ^ «Всесторонний обзор стандарта NFPA 1600». AlertMedia . 29 января 2019 г. . Получено 4 января 2023 г. .
  69. ^ ab "План обеспечения непрерывности бизнеса | Ready.gov". www.ready.gov . Получено 5 января 2023 г. .
  70. ^ "ПЛАН РЕАЛИЗАЦИИ ПОЛИТИКИ НАЦИОНАЛЬНОЙ НЕПРЕРЫВНОСТИ Совет внутренней безопасности, август 2007 г." (PDF) . FEMA . Получено 5 января 2023 г. .
  71. ^ "Ресурсы непрерывности и техническая помощь | FEMA.gov". FEMA . Получено 5 января 2023 г. .
  72. ^ "Непрерывность операций: обзор" (PDF) . FEMA . Получено 5 января 2023 г. .
  73. ^ "Бизнес | Ready.gov". www.ready.gov . Получено 5 января 2023 г. .
  74. ^ "Business Continuity Planning Suite | Ready.gov". www.ready.gov . Получено 5 января 2023 г. .
  75. ^ ASIS SPC.1-2009 Организационная устойчивость: системы управления безопасностью, готовностью и непрерывностью — требования и руководство по использованию (PDF) . Американский национальный институт стандартов. 2009. ISBN 978-1-887056-92-2.
  76. ^ «Шаблон плана обеспечения непрерывности бизнеса».
  77. ^ "Глоссарий | DRI International". drii.org .
  78. ^ "Контрольный список плана восстановления после стихийных бедствий" (PDF) . CMS.gov . Архивировано (PDF) из оригинала 2022-10-09.
  79. ^ Отман. «Проверка метамодели управления катастрофами (DMM)». SCHOLAR.google.com .

Дальнейшее чтение

Внешние ссылки