Business continuity planning

Business continuity planning

Een business continuity plan is een plan om de activiteiten voort te zetten als een plaats van het bedrijfsleven wordt beïnvloed door ongunstige fysieke omstandigheden, zoals een storm, brand of misdaad. Een dergelijk plan legt meestal hoe het bedrijf haar activiteiten zou herstellen of wordt verplaatst naar een andere locatie. Bijvoorbeeld, als een brand verwoest een kantoorgebouw of datacenter, de mensen en het bedrijfsleven of datacenter operaties zou verhuizen naar een herstel van het terrein.

Het plan kan omvatten herstellen van verschillende ramp die korte termijn zijn gelokaliseerd rampen tot dagen lang opbouw breed problemen een permanent verlies van een gebouw.

Voorbeelden: Kantoorgebouw rampen - een dak lekt in een kantoorgebouw, verplaats de mensen naar een andere verdieping in hetzelfde gebouw; het gebouw verliest stroom of wordt overspoeld, dan hebben mensen werken van huis tijdens de storing; het gebouw brandt en wordt volledig vernietigd, dan verplaats de mensen om een ​​recovery site tot een nieuw gebouw wordt verworven.

Rekencentrum rampen - een server breekt, dan herstellen naar een backup server; de elektrische stroom uit, dan start een noodgenerator, is het datacenter verwoest door een brand, vervolgens te herstellen naar een computer ramp recovery datacenter.

In de VS, overheidsinstanties verwijzen naar het proces als de continuïteit van de activiteiten planning.

Elke gebeurtenis die een negatieve invloed zouden kunnen hebben operaties is opgenomen in het plan, zoals supply chain, verlies of beschadiging van kritieke infrastructuur. Als zodanig moet het risicobeheer worden opgenomen als onderdeel van BCP.

In december 2006 heeft de British Standards Institution vrijgegeven een onafhankelijke standaard voor BCP NEN 25999-1. Voorafgaand aan de invoering van de BS 25999, BCP professionals zich op informatiebeveiliging norm BS 7799, die slechts zijdelings gericht BCP informatiebeveiliging procedures van een organisatie te verbeteren. BS 25999's toepasbaarheid strekt zich uit tot alle organisaties. In 2007, het BSI gepubliceerd NEN 25999-2 "Specificatie voor Business Continuity Management", welke eisen voor het implementeren, bedienen en verbeteren van een gedocumenteerd business continuity management systeem bepaalt.

Business Continuity Management is gestandaardiseerd in het Verenigd Koninkrijk door British Standards door de BS 25999-2: 2007 en NEN 25999-1: 2006. NEN 25999-2: 2007 business continuity management is de British Standard voor business continuity management in alle organisaties. Dit geldt ook voor de industrie en de sectoren. De standaard biedt een best practice raamwerk voor verstoring tijdens onverwachte gebeurtenissen die het bedrijfsleven zou kunnen brengen tot stilstand te minimaliseren. Het document geeft u een praktisch plan om te gaan met de meeste eventualiteiten - van extreme weersomstandigheden tot terrorisme, IT-systeem falen en het personeel ziekte.

Dit document werd in november 2012 vervangen door de Britse norm NEN-ISO22301: 2012.

In 2004, na crises in de voorgaande jaren, de Britse regering gaf de Civil Voorwaardelijke Act 2004. Deze voorziet de wetgeving voor de civiele bescherming in het Verenigd Koninkrijk.

De wet werd gescheiden in twee afzonderlijke delen: Deel 1 richt zich op de lokale regelingen voor de civiele bescherming, de oprichting van een wettelijk kader van rollen en verantwoordelijkheden voor de lokale hulpverleners. Deel 2 richt zich op noodhulp bevoegdheden, de oprichting van een modern kader voor het gebruik van speciale wetgevende maatregelen die nodig zijn om te gaan met de gevolgen van de meest ernstige noodgevallen zou kunnen zijn.

De wet vertelt responders en planners die bedrijven nodig hebben om continuity planning maatregelen in de plaats om te overleven en blijven groeien, terwijl werken aan het houden van het incident zo klein mogelijk.

Analyse

De analyse fase bestaat uit impactanalyse, dreigingsanalyse en de impact scenario's.

Business impact analyse

Een Business impactanalyse onderscheidt kritische en niet-kritische organisatie functies / activiteiten. Kritische functies zijn die waarvan verstoringen wordt als onacceptabel beschouwd. Percepties van aanvaardbaarheid worden beïnvloed door de kosten van de recovery-oplossingen. Een functie kan ook kritisch worden overwogen als gedicteerd door de wet. Voor elke kritische functie, worden twee waarden dan toegewezen:

  • Recovery Point Objective - de aanvaardbare latentie van gegevens die niet worden hersteld
  • Recovery Time Objective - de aanvaardbare hoeveelheid tijd om de functie te herstellen

Het herstel punt doelstelling moet ervoor zorgen dat de maximaal toelaatbare verlies van gegevens voor elke activiteit niet wordt overschreden. De hersteltijd doel moet ervoor zorgen dat de maximaal toelaatbare periode Verstoring voor elke activiteit niet wordt overschreden.

Next, de impactanalyse resultaten in het herstel eisen voor elke kritische functie. Herstel eisen bestaan ​​uit de volgende informatie:

  • De zakelijke vereisten voor het herstel van de kritische functie, en / of
  • De technische voorschriften voor het herstel van de kritische functie

Dreiging en risico-analyse

Na het definiëren van herstel eisen, kan elke potentiële bedreiging unieke stappen herstel vereisen. Gemeenschappelijke dreigingen zijn:

  • Epidemie
  • Aardbeving
  • Brand
  • Overstroming
  • Cyber ​​aanval
  • Sabotage
  • Orkaan of andere zware storm
  • Utility uitval
  • Terrorisme / Piraterij
  • War / onlusten
  • Diefstal
  • Willekeurige falen van de missie-kritische systemen

De impact van een epidemie kan worden beschouwd als een zuiver menselijke, en kunnen worden verlicht met technische en zakelijke oplossingen. Echter, als de mensen achter deze plannen worden getroffen door de ziekte, dan is het proces kan struikelen.

Tijdens de 2002-2003 SARS-uitbraak, sommige organisaties gegroepeerd medewerkers in verschillende teams, en geroteerd de teams tussen primaire en secundaire bouwplaatsen, met een rotatie-frequentie die gelijk is aan de incubatietijd van de ziekte. De organisaties verboden ook face-to-face intergroepscontact tijdens zakelijke en niet-kantooruren. De splitsing toegenomen veerkracht tegen de dreiging van quarantaine-maatregelen als een persoon in een team werd blootgesteld aan de ziekte.

Impact scenario's

Na het definiëren van bedreigingen, impact scenario's vormen de basis van de business recovery plan. In het algemeen, de planning voor de meest verreikende gevolgen heeft de voorkeur. Een typisch effect scenario zoals "building verlies" omvat meest kritieke zakelijke functies. Een BCP kan documenteren scenario's voor elk gebouw. Meer gelokaliseerde effect scenario's - bijvoorbeeld het verlies van een bepaalde verdieping in een gebouw - kan ook worden gedocumenteerd.

Vereiste herstel

Na de analyse fase, zakelijke en technische eisen herstel vooraf aan de oplossingen die fase. Asset voorraden zorgen voor een snelle identificatie van de inzetbare middelen. Voor een kantoor-gebaseerde IT-intensieve bedrijven, kan het plan eisen bureaus, human resources, applicaties, data, handmatige oplossingen, computers en randapparatuur.

Andere zakelijke omgevingen, zoals productie, distributie, opslag etc. moeten deze elementen te dekken, maar waarschijnlijk hebben extra problemen.

Oplossing ontwerp

De oplossing ontwerpfase identificeert de meest kosteneffectieve ramp recovery-oplossing die twee belangrijkste eisen van de impactanalyse stadium voldoet. Voor IT-doeleinden, wordt dit meestal uitgedrukt als de minimale toepassing en de vereiste gegevens en de tijd waarin de minimale toepassing en de toepassing van gegevens beschikbaar moeten zijn.

Buiten de IT-domein, moet het behoud van papieren informatie, zoals contracten, geschoold personeel of het herstel van embedded technologie in een procesinstallatie worden beschouwd. Deze fase overlapt ramp recovery planning methodologie. De oplossingsfase bepaalt:

  • crisisbeheersing bevelstructuur
  • secundaire bouwplaatsen
  • telecommunicatie architectuur tussen primaire en secundaire bouwplaatsen
  • datareplicatie methodologie tussen primaire en secundaire bouwplaatsen
  • toepassingen en gegevens die nodig zijn op de secundaire werkplek
  • fysische gegevens eisen aan de secundaire werkplek.

Uitvoering

De uitvoeringsfase behelst veranderingen in het beleid, materiële overnames, personeel en testen.

Testen en organisatorische aanvaarding

Het doel van de test is om organisatorische acceptatie dat de oplossing voldoet aan de eisen van herstel te bereiken. Plannen kunnen niet aan de verwachtingen als gevolg van onvoldoende of onjuiste herstel eisen, oplossing ontwerpfouten of fouten oplossing implementatie voldoen. Testen kunnen omvatten:

  • Crisis commando team call-out testen
  • Technische swing-test van basis- naar voortgezet werklocaties
  • Technische swing-test van secundair naar primaire werklocaties
  • Applicatie-test
  • Business process-test

Op minimum, wordt het testen uitgevoerd op een tweejaarlijkse schema.

Het boek 2008 Oefenen voor Excellence, gepubliceerd door de British Standards Institution geïdentificeerd drie soorten oefeningen die kunnen worden gebruikt bij het testen van business continuity plannen.

Tafelblad oefeningen

Tabletop oefeningen meestal sprake van een klein aantal mensen en richt zich op een specifiek aspect van een BCP. Ze kunnen gemakkelijk geschikt voor volledige teams uit een bepaald gebied van een bedrijf.

Een andere vorm betreft een enkele vertegenwoordiger van elk van de verschillende teams. Doorgaans werken de deelnemers door middel van eenvoudige scenario en dan bespreken de specifieke aspecten van het plan. Bijvoorbeeld, wordt een brand ontdekt buiten de werkuren.

De oefening verbruikt slechts een paar uur en wordt vaak verdeeld in twee of drie sessies, elk concentreren op een ander thema.

Medium oefeningen

Een medium oefening wordt uitgevoerd binnen een "Virtual World" en brengt verschillende afdelingen, teams of disciplines. Het concentreert zich meestal op meerdere BCP aspecten, wordt gevraagd de interactie tussen de teams. Het bereik van een medium oefening kan variëren van enkele teams uit een co-organisatie in een gebouw met meerdere teams opererende verspreide locaties. Het milieu moet zo realistisch zijn als praktisch en team maten een realistische situatie moet weerspiegelen. Realisme kan zich uitstrekken tot gesimuleerde nieuwsuitzendingen en websites.

Een medium oefening duurt typisch enkele uren, maar ze kunnen zich uitstrekken over meerdere dagen. Het gaat meestal een "Scenario Cell" dat voegt pre-scripted "verrassingen" in de gehele oefening.

Complexe oefeningen

Een complexe oefening is bedoeld om zo weinig grenzen mogelijk te hebben. Het omvat alle aspecten van een medium oefening. De oefening blijft binnen een virtuele wereld, maar maximaal realisme is essentieel. Dit kan onder meer niet-kennisgeving activering, daadwerkelijke evacuatie en daadwerkelijke inroepen van een ramp recovery website.

Terwijl de start- en stoptijden worden vooraf overeengekomen, kunnen de daadwerkelijke duur onbekend zijn als evenementen mogen hun gang gaan.

Onderhoud

Halfjaarlijks of jaarlijks onderhoud cyclus onderhoud van een BCP handleiding is onderverdeeld in drie periodieke activiteiten.

  • Bevestiging van de informatie in de handleiding, roll-out aan het personeel voor bewustwording en specifieke opleiding voor kritische individuen.
  • Testen en verificatie van de technische oplossingen die voor nuttige toepassing.
  • Testen en verificatie van de organisatie recovery procedures.

Problemen die tijdens de testfase vaak moet opnieuw worden ingevoerd om de analyse fase.

Informatie / doelstellingen

De BCP handleiding moet evolueren met de organisatie. De oproep boom activeren controleert de efficiëntie van het plan van de kennisgeving, alsmede contactgegevens nauwkeurigheid. Soorten wijzigingen die moeten worden geïdentificeerd en bijgewerkt in de handleiding zijn:

  • Staffing
  • Belangrijke klanten
  • Verkopers / leveranciers
  • Organisatiestructuur veranderingen
  • Bedrijf beleggingsportefeuille en mission statement
  • Communicatie en transport infrastructuur zoals wegen en bruggen

Technisch

Gespecialiseerde technische middelen moeten worden gehandhaafd. Controles zijn onder meer:

  • Virusdefinities distributie
  • Applicatiebeveiliging en service patch distributie
  • Hardware operabiliteit
  • Toepassing operabiliteit
  • Gegevensverificatie
  • Data-applicatie

Testen en verificatie van herstel procedures

Zoals werkprocessen te veranderen, kan de vorige procedures herstel niet meer geschikt zijn. Controles zijn onder meer:

  • Zijn alle werkprocessen voor kritische functies gedocumenteerd?
  • Hebben het gebruikt voor kritische functies systemen veranderd?
  • Zijn de gedocumenteerde werk checklists zinvol en accuraat?
  • Doe het gedocumenteerde werkproces herstel taken en ondersteunen ramp recovery-infrastructuur mogelijk maken personeel te herstellen binnen de vooraf bepaalde hersteltijd doel?
(0)
(0)
Commentaren - 0
Geen commentaar

Voeg een reactie

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Tekens over: 3000
captcha