Üzletmenet-folytonosság tervezése

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

Termelési folyamatok folytonossága
Az Európai Unió támogatási alapjai, a as időszak újdonságai.
Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.
Önkéntes menedzsment Előzmények Toborzás Szűrés, kiválasztás
AZ INFORMATIKAI BIZTONSÁG
Az üzleti terv.
Beruházási projektek dokumentációja
Üzletmenet-folytonosság
A TELEPÜLÉSI ÖNKORMÁNYZATOK STRATÉGIAI VEZETÉSE. Milyen az igazán jó önkormányzat? POLGÁRKÖZELI  AUTONÓM ÉS VÁLLALKOZÓ SZELLEMŰ  AKCIÓ-ORIENTÁLT  KÜLDETÉS-CÉLOK-KOMPETENCIA.
Heves megye civil szervezeteinek szervezetfejlesztése A program az Európai Unió támogatásával valósul meg. K á rp á tok Alap í tv á ny – Magyarorsz á g.
NCA - Önkéntes projektek tervezése és megvalósítása
INFORMÁCIÓRENDSZEREK FEJLESZTÉSÉNEK IRÁNYÍTÁSA.. Alkalmazás - projekt Alkalmazás - a vállalat tökéletesítésére irányuló új munkamódszer projekt - az új.
Az ötlettől a projekttervig
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice 1 Krasznay Csaba CISA, CISM, CISSP,
Szervezeti szintű folyamatszemlélet OPF. Célja: Az OPF célja, megtervezni és végrehajtani a szervezeti folyamatok fejlesztését, mindezt arra alapozva,
A projektmenedzsment funkciói és területei
Ambrovics Andrea KEOP IH vezető Nemzeti Fejlesztési Ügynökség
MinőségIrányítási Rendszer (MIR) elektronikus dokumentációjához
Az EU-pályázati rendszer gyakorlata Magyarországon
Megvalósíthatóság és költségelemzés Készítette: Horváth László Kádár Zsolt.
A projekt az Európai Unió támogatásával, az Európai Szociális Alap társfinanszírozásával valósul meg. Pannon Egyetem Georgikon Kar Szegedi Tudományegyetem.
Fejlesztési, stratégiai útmutató
Konzulens: Dr. Boda György Készítette: Kovács Katalin
Biztosításfelügyeleti szakmai konzultáció
2009. december 8. Pomázi Gyula SZTE felsőoktatási stratégiai szakértő
2009. december Előadó: Farkas Krisztina december
Vállalatok pénzügyi folyamatai
Karbantartási tevékenység felmérése és fejlesztése
Projektek monitorozása. Elvek és módszerek
R EQUIREMENTS D EVELOPMENT Készítette: Devecseri Viktor.
Magyar Controlling Egyesület Szolnok, október 29. MCE Konferencia 2009 A controlling gyakorlata Bepillantás az államigazgatási kontrolling gyakorlatába.
Kockázat, probléma, változás és dokumentumkezelés Készítette: Szentirmai Róbert (minden jog fenntartva)
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Emberi erőforrás menedzsment Munkakörök elemzése, tervezése
Az elemzés és tervezés módszertana
Funkciói, feladatai és területei
„Infrastruktúra-fejlesztés az egészségpólusokban” TIOP-2.2.7/07/2F.
Válságkommunikáció Dr. Piskóti István.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
CMMI 1.3 – Verifikáció Készítette: Kis Gergely. Bevezetés A specifikációt, követelményt vetjük össze a kész/készülő termékkel Itt nem vizsgáljuk, hogy.
Mi a kontroll? Projektkontroll alapelvei –A jelentéskészítés – nem egy bürokratikus és hosszan tartó tevékenység –Kontrollkritériumok –Jelentés a tervről.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Az önkormányzati cégek és önkormányzat közötti szerződéses kapcsolatok vizsgálata és az önkormányzati feladatellátást szabályozó külső szerződések rendszere.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Az ISO 9001:2008 MinőségIrányítási Rendszer (MIR) dokumentumai A dokumentáció lehet bármilyen alakú vagy típusú adathordozón.
Mit láthatunk a honlapon? Az előző ISO 9001 szabvány szerint kiadott tanúsítványok (várhatóan) az új ISO 9001 szabvány kiadását követő 24 hónapig.
„Szervezeti hatékonyság fejlesztése az egészségügyi ellátórendszerben – Területi együttműködések kialakítása” TÁMOP B Magyar kórházszövetség XXVII.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
A cél-meghatározási, projektdefiniálási fázis Készítette: Szentirmai Róbert (minden jog fenntartva)
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
KONFIGURÁCIÓKEZELÉS è A projektirányítás a költségekkel, erőforrásokkal és a felhasznált idővel foglalkozik. è A konfigurációkezelés pedig magukkal a termékekkel.
1 Szervezet és minőség 2. előadás 1. 2 Az előadás tartalmi elemei Alapfogalmak A minőségfejlesztés jogszabályi háttere Minőségfejlesztési megközelítések.
PROJEKTMENEDZSMENT Szabó Mária
Kockázati értékelés kis szervezetekben Tar György Szeged, 2013.október
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
SZÖM II. Fejlesztési szint folyamata 5.1. előadás
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO 9001 jelenlegi helyzete
Az informatikai biztonság irányításának követelményrendszere (IBIK)
„ÖSSZEFOGÁSBAN AZ ÉSZAK- HEGYHÁTÉRT”- EFOP
Szenzor Gazdaságmérnöki Kft.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Kockázat, probléma, változás és dokumentumkezelés
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Barcsák Marianna KPSZTI
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Előadás másolata:

Üzletmenet-folytonosság tervezése Business Continuity Plan BCP (Krasznay Csaba és Maros Dóra)

Mi az az üzletmenet-folytonosság? Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetőleg a legkisebb kieséssel. Tervezéssel, teszteléssel, oktatással és karbantartással lehet csak kezelni a kérdéskört. A gyakorlatban ez elsősorban rengeteg dokumentum elkészítését jelenti, amitől sokan ódzkodnak. De ha egyszer beüt a krach, hirtelen minden leírt oldalnak és teszteléssel eltöltött időnek értelme lesz. Márpedig az üzletmenet folyamatosan fennakad… akár látja ezt a főnök, akár nem. Tulajdonképpen a kockázatmenedzsment egyik eredménye, hiszen abból derül ki, hogy mire kell felkészülnünk.

ISO 22301 Business Continuity Management System

Hogyan érhető el a cél? Kipróbált, jól definiált eljárások vagy ott helyben kellene kitalálni Tudatosan viselkedő személyzet vagy fejetlenség Döntéshozó potenciál vagy egymásra mutogatás Rendelkezésre álló erőforrások vagy fennakadások, végeláthatatlan csúszások Üzleti oldal elvárásai  előfizető elvárásai

Tervek, dokumentumok I. Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva. Helyreállítási Terv (Business Resumption Plan – BRP): leírja, hogy egy üzleti folyamatot hogyan kell visszaállítani egy nem kívánt esemény után. Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része.

Tervek, dokumentumok II. Működés folytatásának terve (Continuity of Operations Plan – COOP): Feladata annak a definiálása, hogy a szervezeti működést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-től függetlenül készül. Mivel elsősorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítésű. A támogatás folyamatossági terve (Continuity of Support Plan): Az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. Krízis kommunikációs terv (Crisis Communication Plan): A katasztrófa esetén szükséges belső és külső kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság előtt.

Tervek, dokumentumok III. Informatikai incidenskezelési terv (Cyber Incident Response Plan): Azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete. Katasztrófa helyreállítási terv (DRP): Akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogy hogyan lehet a pl. teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része (általában). Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan – OEP): A létesítményeket fenyegető veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tűzeset vagy valamilyen bűncselekmény miatt életbelépő cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre.

Tervek, dokumentumok IV.

Mikor beszélünk katasztrófáról? A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz. Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy előre meghatározott időn túl nem képes a kritikus üzleti funkciókat működtetni. A katasztrófa kimondása ezen az előre meghatározott időn múlik, pl. ha egy szervezet egy hétig nem képes egy funkciót működni, akkor az már katasztrófa. Minden kritikus funkcióra más időbeliség vonatkozhat.

A katasztrófa jellemzői Nem tervezett szolgáltatásleállás, Hosszan tartó szolgáltatásleállás (de milyen hosszan?), Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani, Komoly károkat vagy veszteségeket okoz. (mit nevezünk komolynak?) Katasztrófát kimondani nagyon komoly döntés!!!

Az üzletmenet-folytonosság céljai I. A kockázatmenedzsment során nem lehet mindenre felkészülni, vagy minden kockázatot eltűntetni, de az ilyen események során is fenn kell tartani a szervezet működőképességét. Néhány cél, amit a BCP megold: Azonnali és vélhetően megfelelő elvileg kipróbált válasz a vészhelyzetekre. Megkönnyíti az üzleti működés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy előre meghatározott időn belül újra lehet indítani. Csökkenti a kár mértékét.

Az üzletmenet-folytonosság céljai II. Eljárások és erőforrások listája, amit a visszaállítás során fel kell használni. Világos leírás, amit a felelősök végre tudnak hajtani. Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során. Segíti a zűrzavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével. Tartalmazza a visszaállításhoz szükséges információk listáját. Leírja a tartalék helyen történő működés szabályait, ha az elsődleges hely nem elérhető. Az elsődleges helyre való visszatérés eljárásait is meghatározza.

A BCP elkészítésének lépései BCP-t készíteni és karbantartani sokáig tart és drága, ráadásul talán sosem lesz rá szükség (legalább is azt hisszük)! Igazából csak akkor hiányzik, amikor már megtörtént a baj, és nincs. De akkor nagyon tud hiányozni! Lépései: Projektindítás és irányítás, Üzleti hatások elemzése, Visszaállítási stratégiák meghatározása, Tervezés és megvalósítás, Tesztelés, karbantartás, tudatosság és képzés.

Az üzletmenet-folytonosság tervezés folyamata

Üzletfolytonossági rendszer kialakítása az MVM csoportnál

Projektindítás és irányítás Részei: Győződjünk meg arról, hogy egyáltalán szükségünk van-e BCP-re! Erre kiváló megoldás egy fókuszált kockázatelemzés. Szerezzük meg a menedzsment támogatását! Határozzuk meg a belső és külső stratégiai erőforrásokat, akik meg tudják mondani, hogy a BCP megvalósítható-e! Alakítsuk meg a BCP csoportot, amiben szervezeti és műszaki szempontból is kompetens emberek vannak! Készüljön projektindítási dokumentáció! Döntsük el, hogy kellenek-e adatgyűjtő eszközök! Legyenek formális és tervezett megbeszélések (párbeszéd)! Az egésznek legyen egy koordinátora (általában biztonsági igazgató)!

Üzleti hatások elemzése (Business Impact Analyzis-BIA) I. Üzleti és nem műszaki döntések meghozatalát igényli! Célja a nem kívánt esemény hatásának elemzése az üzleti folyamatra. A hatás azzal a maximálisan megengedhető idővel mérhető, ami még nem okoz visszafordíthatatlan kárt az üzleti folyamatokban, és azzal, hogy a szervezet milyen működési és gazdasági károkkal tud visszaállni a megfelelő működésre. A BIA célja az, hogy a menedzsment elfogadja a maximálisan elfogadható kiesést (Maximum Tolerable Downtime – MTD) minden kritikus üzleti folyamatra. Ezen kívül meg kell határozni, hogy az MTD-n túli leállás mekkora anyagi és presztízs kárt okoz (pl. kár/nap). A BIA a kiváltó okot nem elemzi, csak az okozott hatást!!!

A BIA céljai A BIA céljai: Leírás a menedzsment részére a lehetséges nem kívánt események hatásairól. Az üzleti folyamatok kritikusságának meghatározása. (Ebben segíthet az ISO 9001) Prioritást állapít meg a kritikus rendszerek között. Megvizsgálja egy leállás anyagi hatásait. Megállapítja a kritikus funkciók visszaállítási ablakait.

Üzleti hatások elemzésének lépései I. 1. lépés: Határozzuk meg az információgyűjtés technikáját! Ez lehet elektronikus vagy papíralapú, személyes vagy csoportos interjú, stb. 2. lépés: Válasszuk ki az interjúalanyokat! Lehetőleg minden üzleti egységből egy vezetőt és egy dolgozót illik kiválasztani. 3. lépés: Készítsünk szervezetre szabott kérdőívet! A kérdések kvalitatív (pl. imidzs) és kvantitatív (pl. anyagi) veszteségekre vonatkoznak. 4. lépés: Elemezzük az információkat! A harmadik lépésből származó információkat szerkeszteni, analizálni és összesíteni kell!

Üzleti hatások elemzésének lépései II. 5. lépés: Határozzuk meg az időkritikus üzleti funkciókat! Az analízis eredményeképp meg lehet ezeket határozni. Ezen funkciókat kell a kritikus időn belül visszaállítani. Figyeljünk a függőségekre is! 6. lépés: Határozzuk meg a maximálisan elfogadható kiesés (MTD) mértékét! 7. lépés: A maximálisan elfogadható kiesés alapján állapítsunk meg prioritást a kritikus üzleti funkciók alapján! Minél kisebb a maximálisan elfogadható kiesés, annál fontosabb a funkció, és annál drágább visszaállítani! 8. lépés: Írjuk le a visszaállítási ajánlásokat! Ennek jóváhagyása még a következő lépés előtt történjen!

Visszaállítási stratégiák meghatározása Célja olyan stratégiák meghatározása, amik segítségével az előző lépésben definiált időkeretek betarthatók. Lépései: A költségek meghatározása minden lehetséges megoldáshoz, Árajánlat kérése külső szállítóktól, Szerződések megkötése, A kockázatok csökkenésének értékelése, Az értékelés alapján az időkeretek és prioritások esetleges újragondolása

Üzleti visszaállítási stratégia Elsősorban a kritikus erőforrásokra és az üzleti funkciók MTD-jére koncentrál. Prioritásai egyenesen a BIA-ból származnak. Kidolgozásához azonosítani kell a következőket: Kritikus üzleti folyamatok és a hozzájuk tartozó üzleti funkciók. Az ezekhez tartozó kritikus infrastruktúra elemek. A kritikus funkciók ellátásához szükséges eszközök (pl. IT). A szükséges irodai/üzemeltetési területek. Kulcsemberek az adott területen.

Létesítmény visszaállítási stratégia Annak meghatározása, hogy egy helyettesítő létesítményben hogyan lehet a munkát folytatni. Leírásra kerül: A minimálisan szükséges hely (munkaterületek, tárgyalók, stb.), ami a kritikus funkcióhoz kell. A kevésbé kritikus erőforrások által igényel hely. A helyettesítő létesítménnyel kapcsolatos biztonsági követelmények. Tűzvédelmi elvárások. A szükséges berendezési tárgyak listája. A kábelezési elvárások. Épületgépészeti igények. Irodaszerek listája.

Emberi erőforrással történő újraindítása stratégia Feladata azon eljárások azonosítása, amit manuálisan is el lehet végezni. Ezeket a műveleteket megfelelően kell dokumentálni, bizonylatolni, hogy a későbbi elektronikus feldolgozás egyszerű legyen. A következő dolgokat kell megfontolni: A kritikus folyamat elvégezhető-e manuálisan? Milyen dokumentálási eljárással lehet biztosítani, hogy semmilyen adat vagy tranzakció nem fog elveszni? Mik az alapvető fizikai rekord tárolási követelmények? Hogyan lehet a munkaerőt biztosítani ezekhez a folyamatokhoz? Hogyan lehet a kapcsolattartást biztosítani?

Kockázatmenedzsment folyamata

Kárérték táblázat Minimális Csekély Mérsékelt Jelentős Kritikus

Bekövetkezési valószínüség

Kockázati besorolás számítása

Kockázati elemzés Az elemzést minden kulcsfolyamat tekintetében el kell végezni! Meg kell nézni a kapcsolódó folyamatokat is (pl. támogató-HR) A legnagyobb „törődést” a kritikus kulcsfolyamatok kívánják (BCP és DRP) Akciótervek készítése (BCP része)

BUMM!!!