System Zarządzania Ciągłością Działania (BCMS). Część 6. Kolejne kroki
Etap 2 (BCP i DRP)
Tomasz Guzikowski
Zarządzający przedsiębiorstwem muszą dbać o rozwój firmy. Zabezpieczenie nieprzerwanego jej funkcjonowania zapewnia system zarządzania ciągłością działania. W kolejnych częściach cyklu prezentuję poszczególne etapy wdrażania tego systemu. Po analizie ryzyka przyszła pora na kolejny krok – opracowanie planów BCP (Business Continuity Plan) i DRP (Disaster Recovery Plan).
Celem tego kroku jest opracowanie planów BCP i DRP zapewniających skuteczny sposób pracy w sytuacji zagrożenia ciągłości działania organizacji. Żeby go zrealizować, należy przeprowadzić kilka poniższych działań.
Opracowanie planów ciągłości działania (BCP) kluczowych procesów biznesowych
Na tym etapie następuje:
- Opracowanie planów zapewnienia ciągłości działania zawierających listę kroków niezbędnych do wykonania w celu realizacji poszczególnych procesów w przyjętych ramach czasowych w przypadku materializacji ryzyka.
- Opracowanie zakresu planu ciągłości działania podsumowującego informacje o procesie i zasobach wspierających.
- Opracowanie struktury odpowiedzialności (struktury zarządczej) za realizację i utrzymanie planu, ze wskazaniem kluczowych ról, uprawnień i odpowiedzialności dla osób i zespołów, które będą korzystać z planu; wytyczne i kryteria dotyczące tego, kto ma prawo odwołać się do planu i w jakich okolicznościach.
- Opracowanie kryteriów uruchomienia danego planu na podstawie listy kluczowych zagrożeń.
- Udokumentowanie informacji o kluczowych parametrach odtworzeniowych, w tym:
– Maximum Tolerable Downtime (MTD) – wskaźnik określający maksymalny dopuszczalny przestój krytycznego procesu biznesowego, który nie wywoła żadnych negatywnych konsekwencji dla biznesu; można mierzyć go w godzinach lub dniach. Jego ustalenie jest sprawą priorytetową w kontekście wszystkich dalszych prac projektowych;
– Recovery Point Objective (RPO) – wskaźnik określa, jak szybko infrastruktura IT jest przywrócona do pracy po wystąpieniu awarii lub innego incydentu;
– Recovery Time Objective (RTO) – wskaźnik określa dopuszczalną ilość utraconych danych i maksymalny akceptowalny czas pomiędzy wystąpieniem awarii a backupem danych;
– wymagania dla poszczególnych zasobów wspierających. - Opracowanie diagramu przepływu informacji oraz wymagań dotyczących dokumentacji działań wynikających z planu ciągłości działania.
Informacje pomocnicze dla koordynacji i komunikacji – dane kontaktowe członków zespołu i innych osób pełniących funkcje i obowiązki. - Kryteria wycofania się – mechanizmy wycofywania się po zakończeniu zdarzenia.
Opracowanie planów odtworzeniowych DRP
Tworzy się je dla zasobów, dla których na skutek poważnego zakłócenia (katastrofy) nie jest możliwe przywrócenie normalnej działalności w podstawowej lokalizacji (w sytuacjach, w których odtworzenie w lokalizacji zapasowej jest możliwe).
Na tym etapie następuje:
- Opracowanie kryteriów uruchomienia danego planu związanych z wystąpieniem katastrofy skutkującej brakiem fizycznego dostępu do zasobów w lokalizacji podstawowej oraz koniecznością przywrócenia ciągłości działania procesu z wykorzystaniem lokalizacji zapasowej.
- Udokumentowanie informacji o kluczowych parametrach odtworzeniowych (MTD, RPO, RTO) oraz wymaganiach dla poszczególnych zasobów wspierających.
- Uzupełnienie planów odtworzeniowych o działania konieczne ze względu na wykorzystanie lokalizacji zapasowej.
- Opracowanie diagramu przepływu informacji oraz wymagań dotyczących dokumentacji działań wynikających z planu DRP.
- Informacje pomocnicze dla koordynacji i komunikacji – dane kontaktowe członków zespołu i innych osób pełniących funkcje i obowiązki.
Procedury odzyskiwania powinny obejmować również wznowienie wszystkich działań, a nie tylko określonych jako priorytetowe. Uznaje się, że działania o niższym priorytecie muszą być wznowione w pewnym momencie i również mają wymagania dotyczące zasobów, które muszą być spełnione.
Procedury komunikacyjne
Nie mniej ważne są procedury dotyczące komunikacji w sytuacjach kryzysowych. Komunikacja, która będzie dostarczana i odbierana podczas incydentu czy kryzysu, powinna być zarządzana i koordynowana. Procedury powinny zawierać:
- szczegóły dotyczące tego, w jaki sposób i w jakich okolicznościach organizacja będzie komunikować się z pracownikami i ich bliskimi oraz innymi zainteresowanymi stronami,
- szczegóły dotyczące reakcji medialnej organizacji w następstwie incydentu lub kryzysu, które obejmują:
– strategię komunikacji w następstwie incydentu;
– preferowany interfejs z mediami;
– wytyczne lub szablony do sporządzenia oświadczenia dla mediów;
– kompetentnych rzeczników upoważnionych do przekazywania informacji mediom.
Ważne, aby czas i treści komunikacji wewnętrznej i zewnętrznej były spójne. Komunikacja wewnętrzna jest priorytetem, aby zbudować pewność siebie i zaufanie. Przygotowane wcześniej informacje mogą być szczególnie przydatne we wczesnych fazach incydentu. Umożliwią one zespołowi przekazanie szczegółów dotyczących organizacji i jej działalności biznesowej, podczas gdy szczegóły incydentu są jeszcze ustalane.
Ewakuacja
W każdej organizacji priorytetem powinno być jednak bezpieczeństwo ludzi. Szczególnie w sytuacji bezpośredniego zagrożenia życia i zdrowia zarówno pracowników, jak i wykonawców, klientów i gości. Planując odpowiednie działania w tym zakresie, należy uwzględnić co najmniej takie elementy, jak:
- zapewnienie sprawnej ewakuacji, w tym wyznaczenie i oznaczenie dróg ewakuacji oraz punktów zbiórki – najczęściej takie informacje znajdują się w Instrukcji Bezpieczeństwa Pożarowego,
- zapewnienie udzielenia pierwszej pomocy zarówno przez wyspecjalizowane służby ratownicze, jak i odpowiednio przeszkolonych pracowników,
- lokalizowanie i przeliczenie osób, które znajdowały się na miejscu zdarzenia – najczęściej poprzez wyznaczonych koordynatorów ewakuacji, którzy przekazują stosowne informacje odpowiednim służbom ratowniczym.
Dalsze kroki przedstawię w kolejnych częściach artykułach z tego cyklu.
|
Zobacz poprzednie artykuły tego cyklu:
System Zarządzania Ciągłością Działania (BCMS). Cz. 5. Kolejne kroki – Etap 2. (analiza ryzyka)
System Zarządzania Ciągłością Działania (BCMS). Cz. 4.
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS)