Ο κύκλος PDCA (Plan Do-Check-Act) O κύκλος PCDA (Σχεδιασμός - Εφαρμογή & Λειτουργία Έλεγχος Βελτίωση) υιοθετήθηκε από το ISO 22301:2012 (Κοινωνική ασφάλεια Συστήματα Διοίκησης Επιχειρησιακής Συνέχειας). Χρησιμοποιείται ως μέθοδος Διοίκησης για την εφαρμογή ενός Συστήματος Διοίκησης, εξασφαλίζοντας ότι πληρούνται όλες οι προϋποθέσεις του ISO 22301:2012 για τον οργανισμό που επιθυμεί να πιστοποιηθεί με αυτό. Χωρίζεται σε 4 φάσεις: Σχεδιασμός - Εφαρμογή & λειτουργία Έλεγχος Βελτίωση. Η κάθε φάση αποτελείται από αρκετά δομημένα βήματα, τα οποία μπορούν να εφαρμοστούν σε κάθε οργανισμό ανεξάρτητα από τη φύση, τον τύπο και το μέγεθος του. Χρησιμοποιείται επίσης σαν βασική έννοια, για τη σύνδεση αρκετών συστημάτων διοίκησης που μπορεί να συσχετίζονται μεταξύ τους όπως: ISO9001,ISO4001,ISO31000,ISO27001,ISO18001 Συνεχιζόμενη Βελτίωση του Συστήματος Διοίκησης Επιχειρησιακής Συνέχειας ΣΧΕΔΙΑΣΜΟΣ ΒΕΛΤΙΩΣΗ ΕΛΕΓΧΟΣ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ + Εισροές (προαπαιτούμενα) ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ + Εκροές (Διαχείριση Επιχειρησιακής Συνέχειας) χ ρ ή σ ι μ α Ενισχυμένος ρόλος στο ISO22301 Χρήσιμη πληροφορία Σημ.: Τα Αγγλικά ακρωνύμια, επεξηγούνται στο Παράρτημα 1
ΣΧΕΔΙΑΣΜΟΣ (Θέσπιση) Κατανόηση των αναγκών του οργανισμού. Δημιουργία πολιτικής και αντικειμενικών στόχων του BCMS (Σύστημα Διοίκησης Επιχειρησιακής Συνέχειας). 1) Θέσπιση του Περιεχομένου του BCMS καθώς και των αναγκών, των απαιτήσεων και του Πεδίου Εφαρμογής του (Παράγραφος 4,ISO22301:2012) 2) Ορισμός Aπαιτήσεων για τον ρόλο της Ανώτερης Διοίκησης (παράγραφος 5.1 & 5.2,ISO22301:2012) / πολιτική BCMS (παράγραφος 5.3,ISO22301:2012) / Ρόλοι & Αρμοδιότητες (παράγραφος 5.4,ISO22301:2012) 3) Καθορισμός των στόχων του BCMS σε συνάρτηση με την πολιτική του BCMS και των πλάνων για την επίτευξή τους (παράγραφος 6,ISO22301:2012) 4) Εσωτερική και Εξωτερική Επικοινωνία (παράγραφος 7.4,ISO22301:2012)/ Επάρκεια κι Επίγνωση του προσωπικού που ασχολείται με το BCMS (παράγραφος 7.2 & 7.3,ISO22301:2012) / Διατήρηση κατάλληλα τεκμηριωμένων πληροφοριών & έλεγχος (παράγραφος 7.5,ISO22301:2012) (και Λειτουργία) Εφαρμογή, λειτουργία και διαχείριση της πολιτικής του BCMS (Mέθοδοι, Διαδικασίες και Έλεγχοι) 1) BIA (Ανάλυση Επιχειρησιακού αντίκτυπου ) & RA (Εκτίμηση Ρίσκου) (παράγραφος 8.2.2 & 8.2.3,ISO22301:2012) 2) Καθορισμός στρατηγικών ( για τον Οργανισμό, το Ανθρώπινο Δυναμικό, τις Προμήθειες, τα Δεδομένα, τους Χώρους Εργασίας) (παράγραφος 8.3,ISO22301:2012) 3) Δημιουργία διαδικασιών Διαχείρισης Συμβάντων (παράγραφος 8.4.3,ISO22301:2012) / Ορισμός των πλάνων (παράγραφος 8.4.1 & 8.4.2 & 8.4.4,ISO22301:2012) / Θέσπιση διαδικασιών για την επαναφορά της επιχειρησιακής λειτουργίας. 4) Εξάσκηση και δοκιμή (παράγραφος 8.5,ISO22301:2012) (παράγραφος 8.4.5,ISO22301:2012) ΕΛΕΓΧΟΣ (Παρακολούθηση κι Αναθεώρηση) Παρακολούθηση και αναθεώρηση της απόδοσης σε σχέση με τους σκοπούς του BCMS/ Αναφορά των αποτελεσμάτων στην Ανώτερη Διοίκηση για αναθεώρηση/ Προσδιορισμός και ανάθεση ενεργειών για την εδραίωση και βελτίωση του BCMS (παράγραφος 9,ISO22301:2012) 1) Μέτρηση/Παρακολούθηση/Ανάλυση Αξιολόγησης με γνώμονα την πολιτική και τους στόχους του BCMS 2) Υποβολή αναφοράς στην Ανώτερη Διοίκηση/ Καθορισμός και ανάθεση διορθωτικών ενεργειών ΒΕΛΤΙΩΣΗ (και Συντήρηση) Συντήρηση και βελτίωση του BCMS μέσω διορθωτικών ενεργειών, βασιζόμενοι στα αποτελέσματα της αναθεώρησης από τη Διοίκηση (παράγραφος 10,ISO22301:2012) 1) Εντοπισμός μη συμμορφώσεων (από τα αποτελέσματα του Ελέγχου) και καθορισμός διορθωτικών ενεργειών 2) Συνεχής Βελτίωση (Συνεχιζόμενη διαδικασία, που συνίσταται στη βελτίωση της καταλληλότητας,, της απόδοσης και της αποτελεσματικότητας του BCMS αναθεωρώντας την πολιτική/τους στόχους και τα αποτελέσματα του ελέγχου, αναλύοντας τα γεγονότα που παρακολουθούνται και κάνοντας διορθωτικές και προληπτικές ενέργειες) 2
1 Απόκτηση της δέσμευσης της Διοίκησης ΣΧΕΔΙΑΣΗ 2 11ΒΗΜΑΤΑ Γιατί χρειαζόμαστε το BCMS και ποιοι είναι οι πόροι/απαιτήσεις: Χρονοδιάγραμμα, πόροι (αποκλειστικό προσωπικό για το BCM, άλλοι πόροι), προϋπολογισμός 11ΣΕΛΙΔΕΣ Καθορισμός του πεδίου εφαρμογής (scope) και των επιδιώξεων του BCMS ΣΧΕΔΙΑΣΗ Προσδιορισμός των εξωτερικών και εσωτερικών θεμάτων, τα οποία είναι σχετικά με το στόχο του οργανισμού και επηρεάζουν την ικανότητά του να επιτύχει τα αναμενόμενα αποτελέσματα του BCMS (παράγραφος 4.1 & 4.2, ISO22301: 2012). Πιο συγκεκριμένα, αναγνωρίζοντας το περιβάλλον μέσα στο οποίο ο οργανισμός λειτουργεί και αλληλεπιδρά. Το ΠΕΔΙΟ Σ (παράγραφος 4.3, ISO22301: 2012) καθορίζεται λαμβάνοντας υπόψη: Τμήματα του οργανισμού που πρέπει να περιλαμβάνονται Το μέγεθος, τη φύση, την αποστολή, τους στρατηγικούς στόχους και τις υποχρεώσεις του οργανισμού Τις λειτουργίες/τα προϊόντα/τις υπηρεσίες/τις δραστηριότητες του οργανισμού Τις ανάγκες/επιθυμίες των ενδιαφερόμενων μερών (πελάτες, συνεργάτες, κοινή γνώμη κ.τ.λ.) 3 Διοίκηση Προγράμματος (Επιχειρησιακής Συνέχειας) ΣΧΕΔΙΑΣΗ Σε αυτό το σημείο καθορίζουμε το χρονοδιάγραμμα, κατανέμουμε επαρκείς πόρους, ελέγχουμε τον προϋπολογισμό και εξασφαλίζουμε τη συνεχή υποστήριξη της Διοίκησης. To Programme Management είναι μία συνεχιζόμενη διαδικασία του BCMS. ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΠΡΟΥΠΟΛΟΓΙΣΜΟΣ ΠΟΡΟΙ 4 Ε Υ Α Ι Σ Θ Η Τ Ο Π Ο Ι Η Σ Η Ενσωματώνοντας το BCMS στην καθημερινή επαγγελματική ζωή. ΣΧΕΔΙΑΣΗ Συστήνοντας κι ενσωματώνοντας το BCMS σε όλους τους εργαζόμενους μέσω : Newsletters/ εταιρικών έντυπων Portal / Εταιρικού Website/ Intranet Σεμιναρίων Διανομής υλικού Ειδικών εκδηλώσεων BCM Συστήνοντας κι ενσωματώνοντας το BCMS στις εταιρικές διαδικασίες μέσω: Εγχειριδίου Ποιότητας (ISO 9001) Συστήνοντας κι ενσωματώνοντας το BCMS στους εργαζόμενους με ενεργό ρόλο μέσω: Ασκήσεων Εκπαιδεύσεων Εκστρατειών ενημέρωσης Ηγεσίας Ανώτερης Διοίκησης Σ Υ Μ Μ Ε Τ Ε Χ Ο Υ Μ Ε Εμπλέκουμε τους ανθρώπους μας Ενισχύουμε τη νοοτροπία Δ ι α χ ε ί ρ ι σ η ς Κ ι ν δ ύ ν ω ν 3
Το BCMS σε 11 βήματα Έκδοση 1.0 Κατανοώντας τον Οργανισμό (βήματα 5&6) Διεξαγωγή Ανάλυσης Επιχειρησιακού Αντίκτυπου (BIA) και Εκτίμησης Ρίσκου (RA) Μπορεί επίσης να διεξάγουμε CRA (Ανάλυση Απαιτήσεων Συνέχειας ) αλλά παρέχει σ χεδόν τα ίδια αποτελέσματα με τη BIA. Τ αποτελέσματα των BIA & RA χρησιμοποιούνται για την ανάπτυξη ΣΤΡΑΤΗΓΙΚΩΝ ανάκαμψης της εταιρείας (παράγραφος 8.3 του ISO22301:2012) BIA Αναγνωρίζει βασικά προϊόντα & υπηρεσίες Εκτιμά το αντίκτυπο (με την πάροδο του χρόνου) σε: 1. Εργαζόμενους ή άλλους 2. Απώλεια δεδομένων 3. Ζημιά στη φήμη του οργανισμού 4. Οικονομική βιωσιμότητα 5. Ποιότητα παρεχόμενων υπηρεσιών 6. Ρυθμιστικά θέματα Προσδιορίζει αλληλεξαρτήσεις Ορίζει τους απαιτούμενους πόρους για την επανάκαμψη του οργανισμού Προσδιορίζει τα RTO & MTPD (or MAO) (βλ. δίπλα) MBCO (Ελάχιστος στόχος της Επιχειρησιακής Συνέχειας) Το ελάχιστα αποδεκτό, απ τον οργανισμό, επίπεδο παροχής υπηρεσιών ή/και προϊόντων για την επίτευξη των επιχειρηματικών του στόχων κατά τη διάρκεια ενός συμβάντος, το οποίο μπορεί να διακόψει ή να διαταράξει τη λειτουργία του οργανισμού 5 Διεξαγωγή BIA RA Αποτελεί κομμάτι της Διαχείρισης Ρίσκου Αναγνωρίζει απειλές και τρωτά σημεία Κύριοι παράγοντες: Αντίκτυπο, Πιθανότητα Χρόνος Επαναφοράς (RTO) Η χρονική περίοδος μετά από ένα συμβάν, εντός της οποίας το προϊόν ή η υπηρεσία, πρέπει ν ανακτηθεί Μέγιστος Ανεκτός Χρόνος Διακοπής Λειτουργίας (MTPD) & Μέγιστος Αποδεκτός Χρόνος Εκτός Λειτουργίας (MAO) Ο χρόνος που απαιτείται, ώστε οι αρνητικές επιπτώσεις που προκύπτουν ως αποτέλεσμα της αδυναμίας παροχής ενός προϊόντος ή μιας υπηρεσίας ή της εκτέλεσης μιας δραστηριότητας, να καταστούν μη αποδεκτές Επίσημη και καταγεγραμμένη διεργασία εκτίμησης για την αναγνώριση κύριων προϊόντων κι υπηρεσιών, των δραστηριοτήτων που τα υποστηρίζουν, καθώς και των αλληλεπιδράσεων μεταξύ τους. Καθορίζει επίσης τις χρονικές προτεραιότητες επαναφοράς ( RTO,MTPD), και τους απαραίτητους πόρους για τη λειτουργία του οργανισμού εντός ενός ελαχίστου αποδεκτού επιπέδου. Πως διεξάγεται η BIA RTO < MTPD - Είναι η δραστηριότητα όντως κρίσιμη; - Διαθέτουμε αξιόπιστα & ρεαλιστικά δεδομένα; Το RTO μας βοηθά ν αποφασίσουμε για τις κρίσιμες δραστηριότητες. Το MTPD απαντά στην ερώτηση: - Σε πόσο χρόνο θ απειληθεί η βιωσιμότητα του οργανισμού; H BIA πρέπει ν αναθεωρείται σε τακτά χρονικά διαστήματα, τουλάχιστον ετησίως (για τον Έλεγχο) Καθορίζουμε αν χρειαζόμαστε σύμβουλο Προσδιορίζουμε το Πεδίο Εφαρμογής Προσδιορίζουμε τη μέθοδο διεξαγωγής (συνεντεύξεις, workshops κτλ.) Συγκεντρώνουμε κι αναλύουμε τις πληροφορίες Επαληθεύουμε και λαμβάνουμε έγκριση από την κάθε εμπλεκόμενη επιχειρησιακή μονάδα Παρουσιάζουμε την τελική αναφορά Λαμβάνουμε έγκριση από την Ανώτερη Διοίκηση 4
6 Διεξαγωγή RA ανα κρίσιμο κτήριο, βασισμένη στο πεδίο εφαρμογής του BCMS Επίσημη και καταγεγραμμένη διεργασία,η οποία συστηματικά αναγνωρίζει, αναλύει κι αξιολογεί τα ρίσκα, τις απειλές & τα τρωτά σημεία. Τα ρίσκα μπορεί να είναι: Εταιρικά, Λειτουργικά/Διαχειριστικά, Οικονομικά κα. Η RA, είναι μεθοδολογία της Διαχείρισης Κινδύνου (με αναφορά στο ISO 3100). Τα ευρήματα της RA, πρέπει ν αποστέλλονται και να σχολιάζονται από συγκεκριμένες επιχειρησιακές μονάδες (Κατασκευές, Εγκαταστάσεις, Υγεία κι Ασφάλεια, Φυσική Ασφάλεια κτλ), οι οποίες θ αποφασίζουν τις μετέπειτα ενέργειες. Τα εναπομείναντα ευρήματα, θα πρέπει να παρακολουθούνται απ τον εσωτερικό έλεγχο. Λέξεις Κλειδιά: Αντίκτυπο Πιθανότητα RA Matrix (εργαλείο για την εκτίμηση ρίσκων,βασισμένο στο αντίκτυπο και την πιθανότητα) Risk Register (Καταγράφονται εδώ όλα τα ρίσκα, προκειμένου να παρακολουθούνται) Residual Risk (Εναπομείναν ρίσκο) Risk Appetite (το αποδεκτό επίπεδο ρίσκου, το μέγεθος του ρίσκου που μπορεί ο οργανισμός ν αντέξει,ή αλλιώς η Διάθεση Ανάληψης Ρίσκου) RA Εκτίμηση Ρίσκου Αναγνώριση Ρίσκου (πυρκαγιά, διακοπή ρεύματος κα ) Ανάλυση Ρίσκου Αξιολόγηση Ρίσκου (ποια ρίσκα χρήζουν αντιμετώπισης) Διαχείριση Ρίσκου RT Αντιμετώπιση Ρίσκου Ενέργειες μετριασμού Ρίσκου Αποδοχή /Ανοχή (παρακολούθηση ρίσκου) Μεταφορά (SLAs**, ασφαλιστική κάλυψη, ανάθεση σε τρίτους) Αντιμετώπιση/Μείωση (ελαχιστοποίηση πιθανότητας ή αντίκτυπου) Τερματισμός/Αποφυγή RR Επανεξέταση Ρίσκου Επαναξιολόγηση ρίσκου & επικαιροποίηση Risk Register Μείωση της πιθανότητας όμοιων ρίσκων (μέσω της γνώσης που έχει προέλθει από την εμπειρία) Έλεγχος ότι τα ρίσκα είναι εντός των ορίων ανοχής. Διατήρηση τεκμηριωμένης πληροφορίας για τον Έλεγχο ** SLA: Συμβόλαιο Διασφάλισης Επιπέδου Ποιότητας 5
7 Δημιουργία ΣΤΡΑΤΗΓΙΚΩΝ βασισμένων στα BIA & RA outcomes Ο οργανισμός αναπτύσσει στρατηγικές ανάκαμψης, ώστε ν αντιμετωπίσει τα ευρήματα των BIA & RA, να προστατέψει τις δραστηριότητές του και να παραμείνει σε λειτουργία. Σκοπός μας είναι να διασφαλίσουμε τη συνέχεια των κρίσιμων λειτουργιών του οργανισμού, καθώς και των υποστηρικτικών δραστηριοτήτων τους. Αναπτύσσουμε ΣΤΡΑΤΗΓΙΚΕΣ (παράγραφος 8.3, ISO22301:2012) για: ΕΠΙΧΕΙΡΗΣΙΑΚΕΣ ΛΕΙΤΟΥΡΓΙΕΣ ΑΚΙΝΗΤΗ ΠΕΡΙΟΥΣΙΑ (ΕΡΓΑΣΙΑΚΟΙ ΧΩΡΟΙ) Ψηφιακά εφεδρικά αντίγραφα Εκτυπωμένα αντίγραφα (όπου χρειάζεται) Χρηματοοικονομικές και διαχειριστικές διαδικασίες HR (ΑΝΘΡΩΠΙΝΟ ΔΥΝΑΜΙΚΟ) Εκπαίδευση σε ταυτόχρονη εκτέλεση πολλών εργασιών (όλοι εκπαιδεύονται σε όλα) Πλάνο διαδοχής Εναλλαγή καθηκόντων Ανταλλαγή γνώσεων Καταγεγραμμένη πληροφορία ΕΦΟΔΙΑΣΜΟΣ (ΠΡΟΜΗΘΕΙΕΣ) Εναλλακτικοί προμηθευτές Ύπαρξη επιπλέον αποθέματος προϊόντων σε πολλές τοποθεσίες (Απαιτείται όμως επιπλέον κόστος!) 2 ος η/ και 3 ος κύριος προμηθευτής (Χωρίζοντας την παραγγελία σε μικρότερες κι αναθέτοντάς την σε περισσότερους προμηθευτές) Συμφωνίες SLAs με προμηθευτές Εφεδρική γραμμή παραγωγής (όπου χρειαστεί) Εναλλακτικοί χώροι εργασίας (εντός του οργανισμού) Παροχή εναλλακτικών χώρων εργασίας από 3 ους (συμφωνίες SLA) Διαθέσιμοι χώροι (Αχρησιμοποίητοι χώροι στις εγκαταστάσεις της εταιρείας) Απομακρυσμένη πρόσβαση Μεταφορά λιγότερο κρίσιμων λειτουργιών σε διαφορετικές εγκαταστάσεις ΤΕΧΝΟΛΟΓΙΑ (ΠΛΗΡΟΦΟΡΙΚΗ & ΔΙΚΤΥΟ) Συμφωνίες SLAs με προμηθευτές Ανάκαμψη μετά από καταστροφή (hot =δημιουργία ακριβών αντιγράφων των δεδομένων, cold= Αντιγραφή κι επανεκκίνηση, stand by= εφεδρική μονάδα σε κατάσταση ετοιμότητας) Γεωγραφική διασπορά των συστημάτων Aποθήκευση στο cloud (σε online αποθηκευτικό χώρο) Ενίσχυση θωράκισης (πολλαπλές ή γεωγραφικά εξαπλωμένες μονάδες συστημάτων) Mirroring (Δημιουργία πανομοιότυπων αντιγράφων) Σε ενδεχόμενο διακοπής Ελαχιστοποιούμε την πιθανότητα να συμβεί Μ ι κ ρ α ί ν ο υ μ ε τ η δ ι ά ρ κ ε ι ά τ η ς Περιορίζουμε την επίδρασή της 6
8 Διαχείριση Απόκρισης Συμβάντος (πλάνα ανάκαμψης) Ο οργανισμός καταγράφει τεκμηριωμένες διαδικασίες,προκειμένου να διαχειριστεί διασπαστικά συμβάντα, σε λειτουργικό, τακτικό, και στρατηγικό επίπεδο. Οι διαδικασίες πρέπει να είναι: Ευέλικτες και κατάλληλες για το μέγεθος, τη φύση και τις ανάγκες ης εταιρείας Σαφώς καθορισμένες,όσον αφορά το ΠΟΤΕ και το ΠΩΣ θα γίνει η ενεργοποίηση των πλάνων ανάκαμψης Προσανατολισμένες στην επίδραση του συμβάντος κι όχι σε σενάρια. Τα σενάρια είναι αναρίθμητα. Η Διαχείριση Απόκρισης Συμβάντος είναι η 1 η διαδικασία που δημιουργείται, ακόμη κι όταν δεν έχουν διεξαχθεί BIA κι RA. Η δημιουργία και η εκπαίδευση ικανών ομάδων απόκρισης, είναι μεταξύ των πρώτων προτεραιοτήτων μας. ΣΤΟΧΟΣ Συνέχεια επιχειρησιακών δραστηριοτήτων Ανάκαμψη κρίσιμων λειτουργιών ΠΡΟΤΕΡΑΙΟΤΗΤΕΣ 1 η : ΑΝΘΡΩΠΟΙ Όταν δημιουργούμε πλάνα ύστερα ΠΕΡΙΟΥΣΙΑΚΑ ΣΤΟΙΧΕΙΑ, ΛΕΙΤΟΥΡΓΙΕΣ,ΦΗΜΗ ΓΙΑΤΙ χρειαζόμαστε πλάνα Προετοιμασία κι ετοιμότητα μιας άμεσης απόκρισης Μείωση της επίδρασης και του κόστους της διακοπής Ενίσχυση της εμπιστοσύνης των ανθρώπων: Ανακαλύπτοντας τι συνέβη Αναγνωρίζοντας προτεραιότητες Αναλαμβάνοντας δράση Συχνότερα πλάνα BCP (Πλάνο Επιχειρησιακής Συνέχειας) IT DR (Πλάνο επαναφοράς Υποδομών πληροφορικής από καταστροφή) CMP (Πλάνο Ομάδας Διαχείρισης Κρίσεων) Πλάνο Εκκένωσης Πλάνο Επικοινωνιών/Media BIC (Πλάνο Διαχείρισης Συμβάντων από Υπεύθυνους Κτηρίων / ανά κτήριο) Τα ΠΛΑΝΑ πρέπει να ΜΟΡΦΕΣ ΠΛΑΝΩΝ Έ γ γ ρ α φ α Ενημερωτικές κάρτες Ανάρτηση σε Portal / Intranet Q R c o d e s Είναι ασφαλώς ΑΠΟΘΗΚΕΥΜΕΝΑ ΕΛΕΓΧΟΝΤΑΙ συχνά ΕΝΗΜΕΡΩΝΟΝΤΑΙ τακτικά, όταν υπάρχει: Αλλαγή στη BIA Αλλαγή στη δομή του Οργανισμού Αλλαγή σε κάποιο στοιχείο του BCP Νομοθετική αλλαγή Ευρήματα Ελέγχου Μετά από δοκιμή σε πραγματικές συνθήκες 7
Το BCMS σε 11 βήματα Έκδοση 1.0 Κάθε πλάνο σύμφωνα με το ISO22301:2012 πρέπει να: ΠΕΡΙΕΧΕΙ: Έχει σαφώς ορισμένο Πεδίο Εφαρμογής Είναι προσβάσιμο & κατανοητό Διαχειρίζεται και να επικαιροποιείται από συγκεκριμένο άτομο Έχει έγκριση της Διοίκησης Ρόλους κι αρμοδιότητες Ενέργειες / Λίστες ελέγχου ** Διαδικασία Ενεργοποίησης μηχανισμού (Πότε, από ποιόν) Ανοιχτά κανάλια επικοινωνίας με όλους *** Σημεία Συνάντησης (κι εναλλακτικά) Διαδικασία Τερματισμού (πότε και πως) Αναφορές σε άλλα πλάνα /διαδικασίες ** Οι ενέργειες αποφασίζονται σύμφωνα με το κάθε πλάνο και περιλαμβάνουν: ΑΡΧΙΚΗ φάση ΕΝΔΙΑΜΕΣΗ φάση (κατά τη διάρκεια του συμβάντος) φάση ΤΕΡΜΑΤΙΣΜΟΥ (μετά το πέρας του συμβάντος) *** Επικοινωνία με όλα τα ενδιαφερόμενα μέρη, υπηρεσίες έκτακτης ανάγκης και σημαντικούς αποδέκτες. Σύμφωνα με την παράγραφο 8.4.3, ISO22301:2012, ένας οργανισμός, πρέπει να έχει αποτελεσματικές διαδικασίες για τη διευκόλυνση της ενεργοποίησης των προειδοποιήσεων, των συναγερμών και των επικοινωνιών, άμεσα και δραστικά. Η πληροφορία πρέπει να είναι: ΕΓΚΑΙΡΗ, ΑΚΡΙΒΗΣ, ΣΥΝΑΦΗΣ Η άμεση κι αποτελεσματική επικοινωνία προστατεύει τη ΦΗΜΗ Κυρίως όμως, μπορεί Συγκεκριμένα τα IMP & BCP πρέπει επίσης να περιλαμβάνουν : IMP (Πλάνο Διαχείρισης Συμβάντος): Αναφορά σε Απόκριση στα Media (Εκπρόσωπος στα ΜΜΕ, βασική πληροφόρηση) Μέθοδο για την εκτίμηση του Αντίκτυπου (πχ. ICT table Εργαλείο που χρησιμοποιούμε για να εκτιμήσουμε την κρισιμότητα ενός συμβάντος) Μέθοδο για να καταγράψουμε το συμβάν (Λίστες ελέγχου, ανάλογα με το πλάνο) να σώσει ΖΩΕΣ BCP (Πλάνο Επιχειρησιακής Συνέχειας): Αναφορά σε DR πλάνα (πλάνα επαναφοράς, καθώς και σε άλλα πλάνα) Αναφορά σε νομικά κι ασφαλιστικά ζητήματα (ποιά SLAs είναι διαθέσιμα, ρυθμιστικά θέματα κτλ) Απαιτήσεις για πόρους: ΑΝΘΡΩΠΙΝΟΥΣ (ειδικά θέματα HR, θέματα πρόνοιας κι ασφάλειας, μετακινήσεις) ΔΕΔΟΜΕΝΩΝ ΠΡΟΜΗΘΕΙΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΓΚΑΤΑΣΤΑΣΕΩΝ (εναλλακτικές τοποθεσίες) Συγκεκριμένοι ρόλοι (Επιτροπή Συντονισμού) 8
9 Ασκήσεις κι εκπαίδευση ΓΙΑΤΙ να εξασκούμαστε και να εκπαιδευόμαστε; Μαθαίνουμε κι εξασκούμε το ρόλο που μας έχει ανατεθεί Δοκιμάζουμε και βελτιώνουμε τα πλάνα Δημιουργούμε ομαδικό πνεύμα Αυξάνουμε την εμπιστοσύνη / παρακινούμε Αυξάνουμε την επίγνωση Εκμεταλλευόμαστε διδάγματα που έχουν αποκτηθεί Αναγνωρίζουμε τυφλά σημεία ΠΟΤΕ να εξασκούμαστε και να εκπαιδευόμαστε; Σε τακτική βάση και/ή Όταν συμβεί μια σημαντική αλλαγή στον οργανισμό Τ ύ π ο ι Α σ κ ή σ ε ω ν CALL CASCADE (call tree) ** - Δοκιμή των επικοινωνιακών καναλιών ** Λιγότερο αποτελεσματικός τρόπος άσκησης WALK THROUGH Ενδελεχής εξέταση των πλάνων (Λίστες ελέγχου) ΠΡΟΣΟΜΕΙΩΣΗ Συζήτηση πάνω σε σενάριο, σύμφωνα με το πλάνο ΕΛΕΓΧΟΣ ΣΤΗ ΠΡΑΞΗ Δοκιμή μέρους του πλάνου (πχ. για μια επιχειρησιακή λειτουργία), κάτω από πραγματικές συνθήκες ΠΛΗΡΗΣ ΔΟΚΙΜΗ / WIDE REHEARSAL Ταυτόχρονη ενεργοποίηση κι εφαρμογή διαφόρων πλάνων, κάτω από πραγματικές συνθήκες ΑΣΚΗΣΕΙΣ ΕΚΚΕΝΩΣΗΣ Οι ΑΣΚΗΣΕΙΣ πρέπει να έχουν: Οι ΑΣΚΗΣΕΙΣ πρέπει να είναι: Πεδίο Εφαρμογής (καθορισμός αντικειμενικών στόχων και σκοπών) Ρόλους κι Αρμοδιότητες Χρόνο (Πότε) Τόπο (Που) Ρίσκα που εμπεριέχονται TOR (Όρους αναφοράς) PER (Αναφορά μετά την Άσκηση) ΑΠΟΔΕΙΚΤΙΚΑ ΣΤΟΙΧΕΙΑ (φωτογραφίες) ΤΙ ΣΥΝΕΒΗ (αποτελέσματα) ΕΝΕΡΓΕΙΕΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΓΙΝΟΥΝ Ρεαλιστικές / ευέλικτες Συμφωνημένες με τα ενδιαφερόμενα μέρη Καταγεγραμμένες καθ όλη τη διάρκεια τους Ετοιμάζουμε και διατηρούμε ένα 3ετές πλάνο για όλες τις ασκήσεις που πρόκειται να διεξαχθούν, το οποίο επανεξετάζουμε κάθε χρόνο. Είναι σημαντικό όλα τα μέλη (συμπεριλαμβανομένων και των αναπληρωτών), να είναι ικανά και να μπορούν να λειτουργήσουν αποτελεσματικά σαν ομάδα. 9
ΔΕΞΙΟΤΗΤΕΣ των ατόμων που έχουν ενεργό ρόλο στο BCM (ΠΛΑΙΣΙΟ ΙΚΑΝΟΤΗΤΩΝ BCMS) Δεξιότητες που σχετίζονται με το BCM Εκπαίδευση σε BIA &RA Δεξιότητες απόκρισης σε συνθήκες κρίσης Εκπαίδευση στην επικοινωνία με τα ΜΜΕ Εκπαίδευση σε ΙΤ ασφάλεια πληροφοριών Δεξιότητες Ελεγκτή (Αυτό- Αξιολόγηση) Ανάπτυξη πλάνων κι ασκήσεων Δεξιότητες ομιλίας σε κοινό Διοικητικές Δεξιότητες Διαχείριση Προγράμματος Ηγεσία Στρατηγική σκέψη Ομαδικότητα Επιρροή 10 Διατήρηση κι Αναθεώρηση ΕΛΕΓΧΟΣ ΠΩΣ; Έλεγχος (Εσωτερικός κι Εξωτερικός) Αυτό -Αξιολόγηση Συναντήσεις BCSC (Επιτροπή Συντονισμού /Ανά 3μηνο) Αξιολόγηση απόδοσης (παρουσίαση δεικτών απόδοσης KPIs) ΠΟΣΕΣ ασκήσεις; ΠΟΣΕΣ δοκιμές ανάκαμψης από καταστροφές; ΠΟΣΟΙ νέοι ρόλοι; Παρακολούθηση Απόδοσης ΑΠΟΔΕΙΚΝΥΟΝΤΑΣ ΟΤΙ ΤΟ BCMS ΕΙΝΑΙ ΑΠΟΤΕΛΕΣΜΑΤΙΚΟ Η ΚΑΤΑΓΡΑΦΗ είναι ΚΡΙΣΙΜΗ Κάθε στιγμή διατηρούμε καταγεγραμμένα τεκμήρια γ ι α ό, τι κ ά ν ο υ μ ε Μια ΦΩΤΟΓΡΑΦΙΑ ι σ ο ύ τ α ι μ ε χ ί λ ι ε ς λέξειs Αποφασίζουμε ΤΙ χρειάζεται να παρακολουθηθεί και να μετρηθεί Καθιερώνουμε έγκυρες μεθόδους για μετρήσεις (KPIs) Ποσοτικές μετρήσεις Ποιοτικές μετρήσεις Αποφασίζουμε ΠΟΤΕ θα εκτελείται παρακολούθηση και μέτρηση Αποφασίζουμε ΠΩΣ θα γίνει αξιολόγηση κι ανάλυση Εξασφαλίζουμε ότι το BCMS είναι σύμφωνο με τις υπάρχουσες ρυθμιστικές και νομοθετικές απαιτήσεις 10
Impact Το BCMS σε 11 βήματα Έκδοση 1.0 11 Συνεχής Βελτίωση ΒΕΛΤΙΩΣΗ Συνεχιζόμενη διαδικασία που έχει σκοπό να: Αυξήσει την αποτελεσματικότητα του BCMS Αυξήσει την απόδοση του BCMS Βελτιώσει την καταλληλότητα του BCMS Μέσω : Αναθεώρησης των στόχων και της Πολιτικής BCMS Αναθεώρησης των αποτελεσμάτων του Ελέγχου και προσδιορισμού των μη- συμμορφώσεων Ανάλυσης των παρακολουθούμενων γεγονότων Διορθωτικών και Προληπτικών ενεργειών Αναθεώρησης από τη Διοίκηση Εφαρμογή Αλλαγών Αναθεώρηση Προσδιορισμός Μη -Συμμόρφωση (αποτελέσματα Ελέγχου) Διόρθωση Αντιμετώπιση των συνεπειών Παράρτημα Όροι : Risk Matrix PDCA (Plan, Do, Check, Act) cycle BCMS (Business Continuity Management System) BIA (Business Impact Analyses) RA (Risk Assessment) CRA ( Continuity Requirement Analysis) RTO (Recovery Time Objective) MTPD (Maximum Tolerable Period of Disruption) MAO (Maximum Acceptable Outage) MBCO (Minimum Business Continuity Objective) BCP Plan (Business Continuity Plan) IT DR Plan (Disaster Recovery) CMP Plan (Crisis Management Plan) BIC Plan(Building Incident Controller) IMP (Incident Management plan) BCP (Business Continuity plan) ICT table (Impact Criteria Table) TOR (Terms of Reference) PER (Post Exercise Report) HIGH LO Plan Accept LO Reduce Control HIGH Probability 11