Планирование непрерывности бизнеса это

Вплоть до последнего времени Business continuity plan считался неким премиальным аксессуаром больших корпораций и транснациональных компаний — стильным, полезным, но не первой необходимости. Средний и малый бизнес в большинстве своем, если и знал о такой опции, не видел необходимости тратить на это внутренние ресурсы. Либо не обладал экспертизой, чтобы составить такой план самостоятельно, ни тем более бюджетом на привлечение внешних консультантов. Беспрецедентная ситуация всемирной пандемии стала суровым уроком, который продемонстрировал, что план «Б» нужен любому бизнесу, независимо от его размера и отрасли. Маленьким предприятиям он, возможно, необходим даже больше, так как большие корпорации могут рассчитывать на помощь материнских компаний или государства.

Итак, что такое Business continuity plan и как его разработать?

Business continuity plan — это план непрерывности ведения бизнеса, или антикризисный план компании, который регламентирует и описывает ее действия в типовых кризисных ситуациях. Иногда он включает в себя планирование восстановления после сбоев (Disaster recovery planning), иногда последнее разрабатывается как самостоятельный документ (процедура). Для простоты далее будем называть все это BCP.

Австралийский вебинар на тему «Планирование непрерывности бизнеса в области логистики и транспорта»

BCP можно условно разделить на три основных блока:

I. Выявление и анализ рисков

Для того чтобы выявить все потенциальные риски бизнеса, рекомендуется привлечь все его ключевые подразделения. И в проектной команде должны быть руководители всех подразделений. Юристы, финансисты, главный бухгалтер, руководитель логистики и производства (если оно есть), руководитель HR, коммерческий директор, руководитель IT. Только тот человек, который отвечает за соответствующий сегмент, сможет точно назвать, какие сложности могут возникнуть в зоне его ответственности, а также сделать относительно точную оценку их последствий.

Первый шаг — составление списка всех бизнес-процессов компании и информационных систем, поддерживающих их работоспособность. Это позволит точно определить конечный состав проектной команды.

Следующий шаг — анализ потенциальных угроз, направленных на бизнес-процессы компании. Производится выявление возможных сценариев реализации угроз и проводится их классификация.

Потенциальные угрозы или риски бывают как общие, так и специфичные, для разных видов бизнеса. К примеру, пандемия так или иначе затронула весь бизнес, кого-то больше (полное приостановление деятельности), кого-то меньше (перевод на удаленку и падение спроса). Есть еще ряд менее экзотических негативных сценариев, которые могут произойти у любой компании: внезапное закрытие офиса пожарными или собственно пожар/потоп в офисе либо на складе, арест счетов из-за претензий налоговой, долгосрочное отключение интернета, электричества или воды в офисе. Специфические риски — это, например, отзыв лицензии или иного специального разрешения у предприятия, которое ему необходимо для ведения бизнеса, перекрытие конкретного логистического направления из-за погодных или политических катаклизмов, неурожай культуры у постоянного поставщика сырья и т.п.

Непрерывность бизнеса. Ответы на вопросы #1

После того как список возможных угроз готов, рядом с каждой из них указываются следующие параметры:

• Вероятность наступления. Например: маловероятная/незначительная/вероятная/ожидаемая.
  Это позволит оценить, во-первых, очередность разработки антикризисных мер, а во вторых — помочь при оценке объемов ресурсов, которые будет целесообразно вложить в превентивные меры.
• Возможный урон для бизнеса. Последствия бывают незначительными, ощутимыми, значительными и критическими, т.е. ведущими к ликвидации бизнеса. Также следует учесть, что урон может быть не только финансовым или правовым, но и репутационным. Для бизнесов, сильно зависящих от доверия потребителя (например, детское питание), репутационный урон может иметь гораздо более критическое значение, чем штрафы от государственных органов.
  Этот и предыдущий параметр оценки могут меняться в зависимости от модернизации внутренних бизнес-процессов и, конечно, зависят от экономической, политической, эпидемиологической ситуации в регионе. Поэтому их надо пересматривать как минимум раз в год, а в идеале ответственное лицо должно вносить изменения по мере появления новых обстоятельств.
• Ответственные лица и их заместители. Здесь указываются руководители подразделений, деятельность которых является триггером для запуска кризисного сценария в компании, и которые квалифицированы для того, чтобы осуществлять действия по минимизации или прекращению такого сценария. Например, долговременное отключение интернета в офисном здании в результате аварии — это задача, которую решают руководители АХО и IT. Когда сценарий затрагивает всю компанию в целом — например, при пандемии, — ответственным является руководитель компании, который должен будет делегировать полномочия по разрешению ситуации руководителям подразделений.

II. Разработка плана минимизации бизнес-рисков и мер реагирования в случае их наступления

Это основной раздел антикризисного плана, включающий в себя описание всевозможных кризисных сценариев, путей их развития и максимально безболезненного закрытия. На этом этапе проводится сравнение возможных потерь с выгодами от предотвращения последствий, оцениваются затраты на предотвращение потерь путем введения в компании комплекса превентивных мер, а также разрабатывается план реагирования при наступлении негативного сценария. На этом этапе план дополняется следующими пунктами по каждому сценарию:

• Превентивные меры. Необходимо выделить и внести в план два вида мер: снижающие вероятность наступления данного риска и минимизирующие потери при его наступлении. Например, для риска пожара в офисном здании превентивной мерой, снижающей вероятность наступления, будут противопожарные системы в офисе, а мерами, минимизирующими последствия, — несгораемый шкаф, резервное копирование информации и алгоритм одновременного перевода всего персонала на удаленку. На этом же этапе необходимо оценить расходы на меры, которые являются приоритетными с точки зрения вероятности наступления и возможного урона, определить сроки, стоимость реализации и внести их в бюджет.
• Меры, которые должны быть предприняты при наступлении риска. Перечень мер административного, технического или правового характера. В идеале нужно прописать все варианты развития событий — от пожара части офиса с последующим восстановлением и возможностью части персонала вернуться на свои рабочие места до сценария полного уничтожения здания и имущества. Также указываются контакты третьих лиц и организаций, которые должны быть привлечены к разрешению инцидента (представители собственника здания, таможенный брокер, районный участковый или адвокат по уголовным делам). Что касается последних, рекомендуется заранее определить поставщика соответствующих юридических услуг и заключить рамочный договор. Чтобы в случае, к примеру, внеплановой проверки антимонопольных органов не терять время на поиск, обсуждение условий и т.п., а просто сделать один телефонный звонок.

III. Тренинги для персонала и новых сотрудников, внутренние стресс-тесты, а также постоянное обновление BCP с учетом изменения внутренних бизнес-процессов и обновлений законодательства

Тренинги и стресс-тесты позволяют определить, насколько детально разработан план, понятен ли он сотрудникам и менеджменту организации, и как полно он отражает потребности компании в организации планирования непрерывности бизнеса. Если тренинги и тесты покажут какие-то белые пятна или пробелы, технические составляющие плана нужно перепроверить и при необходимости внести уточнения и дополнения.

Организовав тренинги в форме тимбилдинга, можно убить сразу двух зайцев: сплотить команду и отработать кризисный сценарий.

Отдельного упоминания стоит разработка и отработка на тренингах инструкций по коммуникациям с прессой. Как мы уже упоминали выше, операционные риски часто идут рука об руку с репутационными, и сотрудники должны четко понимать, что в случае, например, крупного пожара или несчастного случая предоставление прессе непроверенной или некорректной информации может повлечь серьезный репутационный и правовой ущерб для компании.

Если у вас не было BCP на случай коронакризиса или он не сработал, лидеры консалтинга рекомендуют сфокусироваться на следующих пунктах, специфичных именно для COVID-19. Несмотря на общее улучшение эпидемиологической обстановки, пандемия еще не закончилась, более того, есть вероятность, что осенью она возобновится с новой силой.

1. Основной приоритет — безопасность и доступность персонала. Необходимо обеспечить постоянную возможность поддерживать гибкий график работы и быстрый перевод на полную удаленку. То есть доступность материальной базы и готовность IT-структуры. Последние месяцы наверняка показали, где в вашей системе слабые места. Самое время их усилить и привести в полную готовность.
2. Если для определенных категорий сотрудников удаленная работа невозможна, необходимо организовать рабочие места таким образом, чтобы они не только обеспечивали оптимальный уровень защиты от заражения, но и соответствовали всем нормативным требованиям и рекомендациям. Это обезопасит ваших сотрудников и поможет избежать штрафов и дополнительных проверок со стороны госорганов.
3. Разработать четкий краткосрочный финансовый план, а именно — реалистично оценить состояние дебета и кредита, возможно ли ускорить получение первого и отсрочить или разбить на части второе, то есть рассчитать все возможности для того, чтобы избежать кассовых разрывов.
4. Согласовать с клиентами и поставщиками график платежей. Если, несмотря на все меры, кассовые разрывы неизбежны, стоит рассмотреть возможность кредитования или другие способы дополнительного финансирования. Также следует постоянно мониторить новости в секторе финансовой поддержки на предмет возможности получения государственной помощи.
5. Годовой бюджет и бизнес-план: если вы не принадлежите к тем немногим счастливчикам, которых карантин задел только по касательной, стоит пересмотреть и скорректировать годовой бюджет и бизнес-план. В частности, необходимо критически оценить операционные и прочие расходы, снизив их до необходимого для выживания уровня.
6. Логистика. Если специфика вашего бизнеса зависит от импорта или внутреннего воздушного сообщения, необходимо рассмотреть возможность альтернативных логистических решений или временное увеличение стока и, соответственно, складских площадей с учетом сезонных колебаний спроса.
7. Из-за особенностей ситуации новые правила, ограничения и льготы выпускаются и озвучиваются практически на ежедневной основе. Чтобы ничего не пропустить, рекомендуем вам подписаться на обновления от ведущих новостных агентств или правовых систем.
8. Если ваш бизнес еще открыт, значит, все необходимые действия по срочной диджитализации вы уже осуществили. Пора подумать о том, как можно развить и усовершенствовать эти решения, чтобы они стали вашим конкурентным преимуществом.

Источник: upside.pro

Планирование обеспечения непрерывности бизнеса в организациях, часть 1

Планирование обеспечения непрерывности бизнеса в организациях, часть 1

К сожалению, опыт подтверждает то, что очень мало организаций имеют Планы непрерывности бизнеса (BCP) и/или Планы аварийного восстановления (DRP). И что? Скажете вы, как-то ведь работаем и все в порядке. А то, что в обычных условиях возможно и все нормально, а вот в случае аварии, катастрофы или даже инцидента? В ситуациях, которые будут нарушать нормальное функционирование организации, она уже не готова поддерживать непрерывность бизнеса (предоставлять свои товары и/или услуги для своих клиентов).

Что такое план обеспечения непрерывности бизнеса?

План обеспечения непрерывности бизнеса — это документ или набор документов, который позволяет организации реагировать на сбои (инциденты) и возобновлять и восстанавливать предоставление товаров и услуг в соответствии с ее целями обеспечения непрерывности бизнеса. То есть результатом создания ВСР является достижение такого уровня, при котором не происходит перерыва или простоя в функционировании организации (в частности ее критических процессов) в случае наступления события, которое может привести к нарушению или утрате, чрезвычайной или кризисной ситуации.

Zobacz podobne Новый стандарт ISO 15189

Каковы основные цели Плана обеспечения непрерывности бизнеса?

Выделим основные цели для создания плана/-ов обеспечения непрерывности бизнеса:

• выполнение требований по продолжению и восстановлению приоритетных процессов в указанные сроки и в необходимом (установленном)объеме;
• поддержание способности организации выполнять обязательства перед клиентами и партнерами, предупреждение и противодействие возможным нарушениям нормального функционирования;
• поддержание уровня управления организацией, позволяющего обеспечить условия для принятия рациональных и оптимальных управленческих решений, их своевременной и полной реализации;
• обеспечение благоприятных условий труда и безопасности сотрудников, безопасности гостей и лиц пребывающих на территории организации;
• снижение тяжести последствий нарушения нормального функционирования организации (в том числе материального ущерба, потери информации, потери деловой репутации);
• обеспечение того, чтобы меры по обеспечению непрерывности бизнеса соответствовали политикам, процедурам, правовым, нормативным и организационным требованиям.

Zobacz podobne Стандарты серии ISO 27000

Планы обеспечения непрерывности бизнеса должны содержать рекомендации и информацию, чтобы помочь командам реагировать на сбои и помочь организации в реагировании и восстановлении.

Что должен содержать план/планы обеспечения непрерывности бизнеса?

В целом планы обеспечения непрерывности бизнеса должны включать:

1) описание действий, которые предпримут команды, чтобы:

• продолжать или восстанавливать приоритетные процессы в течение заданного периода времени;
• отслеживать воздействия сбоя и реакции организации на него;

2) ссылки на предопределенные пороги и процесс активации ответних действий;

3) процедуры, позволяющие поставлять продукты и услуги в согласованном объеме;

4) сведения об управлении непосредственными последствиями нарушения с должным учетом:

• благосостояние едениц;
• предотвращение дальнейшей потери или недоступности приоритетных действий;
• воздействие на окружающую среду.

Zobacz podobne Новый стандарт ISO/IEC 27001:2022

Непрерывность бизнеса и стандарты ISO

Международный стандарт ISO 22301 Business Continuity Management Systems позволяет организациям поддерживать свое функционирование и непрерывность бизнеса, содержит ценную информацию, полезную для стратегического планирования, управления рисками, управления цепочками поставок, трансформации бизнеса и управления ресурсами.

Хотите внедрить Систему управления непрерывностью бизнеса на основе стандарта ISO 22301 или ее элементы?

Приглашаем вас следить за нашими новостями, где мы будем публиковать практические советы в области управления непрерывностью бизнеса и создания Планов обеспечения непрерывности бизнеса (BCP), а также вы можете обратиться к нашим специалистам.

ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements

Источник: ikmj.com

8.1.6 Планирование непрерывности бизнеса

Для обеспечения защиты основных бизнес-процессов организации от воздействия серьезных отказов или бедствий и сведения к минимуму ущерба, нанесенного такими событиями, организация должна разработать эффективную стратегию непрерывности бизнеса, включая планы и стратегию действий в чрезвычайной ситуации и восстановления после бедствия. К этой категории относятся следующие защитные меры:

1 Стратегия непрерывности бизнеса

Организация должна разработать и документально оформить стратегию непрерывности бизнеса, включая план действий в чрезвычайной ситуации и восстановление после бедствий, в отношении рассматриваемой системы ИТ на основе потенциальных идентифицированных неблагоприятных воздействий на бизнес вследствие неготовности к работе, модификации или разрушения системы ИТ.

2 План непрерывности бизнеса

На основе стратегии непрерывности бизнеса организация должна разработать и документально оформить планы непрерывности бизнеса в случае возникновения чрезвычайной ситуации и восстановления после бедствия.

3 Проверка и актуализация плана непрерывности бизнеса

Прежде чем принять план непрерывности бизнеса, организация должна тщательно проверить его эффективность в обстоятельствах реальной жизни и довести его до сведения ответственного персонала. Так как планы непрерывности бизнеса могут быстро устаревать, организация должна проводить их периодическую актуализацию. Стратегия непрерывности бизнеса должна совершенствоваться по мере необходимости.

Организация должна дублировать все важные файлы и другие информационные данные бизнеса, программы и документацию важных систем. Периодичность дублирования должна быть установлена в зависимости отважности информации и в соответствии с планом непрерывности бизнеса. Резервные копии должны храниться в безопасном месте и отдельно друг от друга, а восстановленные копии — периодически проверяться на достоверность.

8.1.7 Физическая безопасность

Защитные меры в этой области связаны с физической защитой. Их следует рассматривать совместно с идентификацией окружающей среды (см. 7.2). Нижеизложенные защитные меры должны применяться к зданиям, зонам безопасности, местам размещения ЭВМ и офисным помещениям. Выбор защитных мер зависит от рассматриваемой части здания. К этой категории относятся следующие защитные меры:

1 Материальная защита

Физические защитные меры, применяемые для защиты здания, включают в себя заборы, управление физическим доступом (пропускные пункты), прочные стены, двери и окна. Зоны безопасности в пределах здания должны быть защищены от несанкционированного проникновения с помощью управления физическим доступом, охраны и т.д. Зоны безопасности могут быть необходимы для оборудования ИТ, например, серверов, связанного с ними программного обеспечения и данных, поддерживающих важные виды коммерческой деятельности организации. Доступ в такие зоны безопасности должен быть ограничен минимальным числом необходимого персонала, подробное описание доступа должно быть зарегистрировано. Все диагностическое и контрольное оборудование должно храниться в безопасном месте и его использование должно держаться под строгим контролем.

2 Противопожарная защита

Оборудование и прилегающая территория, включая доступ к ним, должны быть защищены от распространения огня из какого-либо места в здании или соседних строений. Опасность возникновения и распространения пожара вблизи помещений и/или зон, содержащих оборудование, должна быть сведена к минимуму. Организация должна обеспечить защиту от пожаров, возникающих в пределах и/или затрагивающих помещения/зоны, содержащие основное оборудование. Защитные меры должны предусматривать обнаружение огня и дыма, охранную сигнализацию и подавление очага возгорания. Следует также учитывать, что противопожарная защита может не вызвать повреждения систем ИТ от воды или других средств тушения.

3 Защита от воды/других жидкостей

Организация не должна размещать основные (значимые) средства в зоне возможного затопления, утечки воды или другой жидкости. Должна быть предусмотрена соответствующая защита в случае возникновения угрозы затопления.

4 Защита от стихийных бедствий

Здания, содержащие важное оборудование, должны быть защищены от удара молнии и оснащено защитой от грозового разряда. Защита от стихийных бедствий может быть достигнута за счет размещения оборудования в зонах, где стихийные бедствия маловероятны, а также применения стратегического и текущего планирования.

5 Защита от хищения

Для обеспечения управления уровнями запасов все части оборудования должны быть однозначно идентифицированы и подлежать инвентарному учету. Персонал охраны и администраторы должны проверять выносимые без разрешения из помещений/зон или здания оборудование или ресурсы. Организация должна обеспечить защиту конфиденциальности информации и прав собственности на программное обеспечение, находящихся на портативных носителях (например, съемных и сменных дисках, флэш-накопителях, оптических дисках, гибких дисках и др.).

6 Энергоснабжение и вентиляция

Все оборудование ИТ должно быть защищено (при необходимости) от внезапного отключения электричества. Должен быть предусмотрен соответствующий альтернативный источник энергоснабжения и бесперебойного питания. Другой целью обеспечения безопасности является поддержание допустимой температуры и влажности.

7 Прокладка кабелей

Силовые и коммуникационные кабели, осуществляющие передачу данных или поддержку служб ИТ, должны быть защищены от перехвата информации, повреждения и перегрузки. Проложенные кабели должны быть защищены от случайного или преднамеренного повреждения.

При планировании кабелей должны учитываться перспективные разработки. В оправданных случаях кабели должны быть защищены от возможного подслушивания.

Источник: studfile.net