Üzletmenet-folytonosság tervezése Business Continuity Plan BCP (Krasznay Csaba és Maros Dóra)

Mi az az üzletmenet-folytonosság? Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetőleg a legkisebb kieséssel. Tervezéssel, teszteléssel, oktatással és karbantartással lehet csak kezelni a kérdéskört. A gyakorlatban ez elsősorban rengeteg dokumentum elkészítését jelenti, amitől sokan ódzkodnak. De ha egyszer beüt a krach, hirtelen minden leírt oldalnak és teszteléssel eltöltött időnek értelme lesz. Márpedig az üzletmenet folyamatosan fennakad… akár látja ezt a főnök, akár nem. Tulajdonképpen a kockázatmenedzsment egyik eredménye, hiszen abból derül ki, hogy mire kell felkészülnünk.

ISO 22301 Business Continuity Management System

Hogyan érhető el a cél? Kipróbált, jól definiált eljárások vagy ott helyben kellene kitalálni Tudatosan viselkedő személyzet vagy fejetlenség Döntéshozó potenciál vagy egymásra mutogatás Rendelkezésre álló erőforrások vagy fennakadások, végeláthatatlan csúszások Üzleti oldal elvárásai  előfizető elvárásai

Tervek, dokumentumok I. Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva. Helyreállítási Terv (Business Resumption Plan – BRP): leírja, hogy egy üzleti folyamatot hogyan kell visszaállítani egy nem kívánt esemény után. Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része.

Tervek, dokumentumok II. Működés folytatásának terve (Continuity of Operations Plan – COOP): Feladata annak a definiálása, hogy a szervezeti működést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-től függetlenül készül. Mivel elsősorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítésű. A támogatás folyamatossági terve (Continuity of Support Plan): Az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. Krízis kommunikációs terv (Crisis Communication Plan): A katasztrófa esetén szükséges belső és külső kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság előtt.

Tervek, dokumentumok III. Informatikai incidenskezelési terv (Cyber Incident Response Plan): Azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete. Katasztrófa helyreállítási terv (DRP): Akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogy hogyan lehet a pl. teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része (általában). Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan – OEP): A létesítményeket fenyegető veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tűzeset vagy valamilyen bűncselekmény miatt életbelépő cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre.

Tervek, dokumentumok IV.

Mikor beszélünk katasztrófáról? A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz. Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy előre meghatározott időn túl nem képes a kritikus üzleti funkciókat működtetni. A katasztrófa kimondása ezen az előre meghatározott időn múlik, pl. ha egy szervezet egy hétig nem képes egy funkciót működni, akkor az már katasztrófa. Minden kritikus funkcióra más időbeliség vonatkozhat.

A katasztrófa jellemzői Nem tervezett szolgáltatásleállás, Hosszan tartó szolgáltatásleállás (de milyen hosszan?), Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani, Komoly károkat vagy veszteségeket okoz. (mit nevezünk komolynak?) Katasztrófát kimondani nagyon komoly döntés!!!

Az üzletmenet-folytonosság céljai I. A kockázatmenedzsment során nem lehet mindenre felkészülni, vagy minden kockázatot eltűntetni, de az ilyen események során is fenn kell tartani a szervezet működőképességét. Néhány cél, amit a BCP megold: Azonnali és vélhetően megfelelő elvileg kipróbált válasz a vészhelyzetekre. Megkönnyíti az üzleti működés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy előre meghatározott időn belül újra lehet indítani. Csökkenti a kár mértékét.

Az üzletmenet-folytonosság céljai II. Eljárások és erőforrások listája, amit a visszaállítás során fel kell használni. Világos leírás, amit a felelősök végre tudnak hajtani. Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során. Segíti a zűrzavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével. Tartalmazza a visszaállításhoz szükséges információk listáját. Leírja a tartalék helyen történő működés szabályait, ha az elsődleges hely nem elérhető. Az elsődleges helyre való visszatérés eljárásait is meghatározza.

A BCP elkészítésének lépései BCP-t készíteni és karbantartani sokáig tart és drága, ráadásul talán sosem lesz rá szükség (legalább is azt hisszük)! Igazából csak akkor hiányzik, amikor már megtörtént a baj, és nincs. De akkor nagyon tud hiányozni! Lépései: Projektindítás és irányítás, Üzleti hatások elemzése, Visszaállítási stratégiák meghatározása, Tervezés és megvalósítás, Tesztelés, karbantartás, tudatosság és képzés.

Az üzletmenet-folytonosság tervezés folyamata

Üzletfolytonossági rendszer kialakítása az MVM csoportnál

Projektindítás és irányítás Részei: Győződjünk meg arról, hogy egyáltalán szükségünk van-e BCP-re! Erre kiváló megoldás egy fókuszált kockázatelemzés. Szerezzük meg a menedzsment támogatását! Határozzuk meg a belső és külső stratégiai erőforrásokat, akik meg tudják mondani, hogy a BCP megvalósítható-e! Alakítsuk meg a BCP csoportot, amiben szervezeti és műszaki szempontból is kompetens emberek vannak! Készüljön projektindítási dokumentáció! Döntsük el, hogy kellenek-e adatgyűjtő eszközök! Legyenek formális és tervezett megbeszélések (párbeszéd)! Az egésznek legyen egy koordinátora (általában biztonsági igazgató)!

Üzleti hatások elemzése (Business Impact Analyzis-BIA) I. Üzleti és nem műszaki döntések meghozatalát igényli! Célja a nem kívánt esemény hatásának elemzése az üzleti folyamatra. A hatás azzal a maximálisan megengedhető idővel mérhető, ami még nem okoz visszafordíthatatlan kárt az üzleti folyamatokban, és azzal, hogy a szervezet milyen működési és gazdasági károkkal tud visszaállni a megfelelő működésre. A BIA célja az, hogy a menedzsment elfogadja a maximálisan elfogadható kiesést (Maximum Tolerable Downtime – MTD) minden kritikus üzleti folyamatra. Ezen kívül meg kell határozni, hogy az MTD-n túli leállás mekkora anyagi és presztízs kárt okoz (pl. kár/nap). A BIA a kiváltó okot nem elemzi, csak az okozott hatást!!!

A BIA céljai A BIA céljai: Leírás a menedzsment részére a lehetséges nem kívánt események hatásairól. Az üzleti folyamatok kritikusságának meghatározása. (Ebben segíthet az ISO 9001) Prioritást állapít meg a kritikus rendszerek között. Megvizsgálja egy leállás anyagi hatásait. Megállapítja a kritikus funkciók visszaállítási ablakait.

Üzleti hatások elemzésének lépései I. 1. lépés: Határozzuk meg az információgyűjtés technikáját! Ez lehet elektronikus vagy papíralapú, személyes vagy csoportos interjú, stb. 2. lépés: Válasszuk ki az interjúalanyokat! Lehetőleg minden üzleti egységből egy vezetőt és egy dolgozót illik kiválasztani. 3. lépés: Készítsünk szervezetre szabott kérdőívet! A kérdések kvalitatív (pl. imidzs) és kvantitatív (pl. anyagi) veszteségekre vonatkoznak. 4. lépés: Elemezzük az információkat! A harmadik lépésből származó információkat szerkeszteni, analizálni és összesíteni kell!

Üzleti hatások elemzésének lépései II. 5. lépés: Határozzuk meg az időkritikus üzleti funkciókat! Az analízis eredményeképp meg lehet ezeket határozni. Ezen funkciókat kell a kritikus időn belül visszaállítani. Figyeljünk a függőségekre is! 6. lépés: Határozzuk meg a maximálisan elfogadható kiesés (MTD) mértékét! 7. lépés: A maximálisan elfogadható kiesés alapján állapítsunk meg prioritást a kritikus üzleti funkciók alapján! Minél kisebb a maximálisan elfogadható kiesés, annál fontosabb a funkció, és annál drágább visszaállítani! 8. lépés: Írjuk le a visszaállítási ajánlásokat! Ennek jóváhagyása még a következő lépés előtt történjen!

Visszaállítási stratégiák meghatározása Célja olyan stratégiák meghatározása, amik segítségével az előző lépésben definiált időkeretek betarthatók. Lépései: A költségek meghatározása minden lehetséges megoldáshoz, Árajánlat kérése külső szállítóktól, Szerződések megkötése, A kockázatok csökkenésének értékelése, Az értékelés alapján az időkeretek és prioritások esetleges újragondolása

Üzleti visszaállítási stratégia Elsősorban a kritikus erőforrásokra és az üzleti funkciók MTD-jére koncentrál. Prioritásai egyenesen a BIA-ból származnak. Kidolgozásához azonosítani kell a következőket: Kritikus üzleti folyamatok és a hozzájuk tartozó üzleti funkciók. Az ezekhez tartozó kritikus infrastruktúra elemek. A kritikus funkciók ellátásához szükséges eszközök (pl. IT). A szükséges irodai/üzemeltetési területek. Kulcsemberek az adott területen.

Létesítmény visszaállítási stratégia Annak meghatározása, hogy egy helyettesítő létesítményben hogyan lehet a munkát folytatni. Leírásra kerül: A minimálisan szükséges hely (munkaterületek, tárgyalók, stb.), ami a kritikus funkcióhoz kell. A kevésbé kritikus erőforrások által igényel hely. A helyettesítő létesítménnyel kapcsolatos biztonsági követelmények. Tűzvédelmi elvárások. A szükséges berendezési tárgyak listája. A kábelezési elvárások. Épületgépészeti igények. Irodaszerek listája.

Emberi erőforrással történő újraindítása stratégia Feladata azon eljárások azonosítása, amit manuálisan is el lehet végezni. Ezeket a műveleteket megfelelően kell dokumentálni, bizonylatolni, hogy a későbbi elektronikus feldolgozás egyszerű legyen. A következő dolgokat kell megfontolni: A kritikus folyamat elvégezhető-e manuálisan? Milyen dokumentálási eljárással lehet biztosítani, hogy semmilyen adat vagy tranzakció nem fog elveszni? Mik az alapvető fizikai rekord tárolási követelmények? Hogyan lehet a munkaerőt biztosítani ezekhez a folyamatokhoz? Hogyan lehet a kapcsolattartást biztosítani?

Kockázatmenedzsment folyamata

Kárérték táblázat Minimális Csekély Mérsékelt Jelentős Kritikus

Bekövetkezési valószínüség

Kockázati besorolás számítása

Kockázati elemzés Az elemzést minden kulcsfolyamat tekintetében el kell végezni! Meg kell nézni a kapcsolódó folyamatokat is (pl. támogató-HR) A legnagyobb „törődést” a kritikus kulcsfolyamatok kívánják (BCP és DRP) Akciótervek készítése (BCP része)

BUMM!!!