ISO22301业务连续性规划是一个商业问题,不一项技术。虽然每个业务单位的组织参与者不同程度地在开发,测试和维护一个 BCP,它是在业务影响分析(BIA)的过程,第一个广泛的业务领域的间的互动和安全管理人员发生。
在创建的BCP,一个重要的考虑因素是潜在停电影响到企业的经营。有必要了解潜在风险,可能导致停电,因为这些是根据该基金会的应急计划,可以防止事件成为灾难应建。在BIA元素的BCP过程设置阶段为塑造面向企业的判断有关拨款的资源规划工作。
BIA是一个管理层次的分析,确定了影响应一个潜在的数据处理故障时有发生。影响测量的最大时间允许的数据处理服务可以被中断已经造成无法弥补的伤害,以及业务操作,以及如何企业可以恢复的业务和财务造成的影响中断。
我们的目标的执行 BIA是获得了正式协议与行政级管理,以最大容忍停机时间(maximum tolerable downtimes / MTD)为每次关键业务支持资源。 MTD也被称为最大允许中断 (Maximum Allowable Outage / MAO) 。然后正式的MTD必须传达给业务单位,他们的支持服务机构(即IT /网络管理,设施等),和BCP团队,使现实的,成本效益,可以恢复被收购的替代品和/或开发。当行政管理层作出一个正式决定接受MTD对每个关键系统,BIA完成。
BIA必须尽可能量化 quantify,损失的影响从业务中断(天数)的条款的财务成本的角度来看。BIA不考虑什么类型的事故造成企业经营中断,它是只关心查明后果在金融方面的损失,额外费用 additional expense 和因尴尬预计持续时间中断。
BIA的目的是:
提供书面文件,以协助该组织的管理在了解影响与可能中断。
确定一个组织的业务职能和相关系统,应用程序和技术,以确定如何这些关键职能是组织。
找出任何问题,工作人员或管理方面可能有功能的能力,在不到最佳模式。
优先处理关键的系统。
分析影响停电,如收入损失,额外经营费用,延迟收入,并丧失竞争优势和公众的信心。
确定恢复窗口为各业务功能,如确定多长时间组织可能能够执行关键功能手动或通过一些其他的替代方法。
进行BIA的步骤包括:
确定信息收集技术,如调查或采访。
选择受访者。
自定义调查问卷,收集经济和运营影响的信息。
分析信息。
确定时间的关键业务功能。
确定最大容忍的停机时间(MTDs)。
在MTDs的基础上优先处理关键业务功能
文件、准备和报告的建议。
步骤1:确定信息收集技术 (Determine Information Gathering Techniques)
有几个方法可用于收集BIA信息。这些措施包括电子或纸为基础的调查和问卷调查,一对单面试,小组访谈或研讨会,以技术为基础的媒体,如视频会议会议和自动化软件 BIA工具。
步骤2:选择受访者 (Select Interviewees)
管理层和员工个人在各业务单位的确定,以及那些支持服务单位,确定关键业务流程。因为它通常不可行的要求每一位员工,必须选择一个示例根据谁将提供最好的信息在一段时间内需要。
例如,技术系统专家将被要求提供信息大批量用户和各种应用组织正在使用。财政代表可以提供财政捐助各组。这可以帮助确定关键业务功能基于潜在的经济损失。业务部门的代表协助确定费用与中断,如成本增加人员。
步骤3:自定义问卷 (Customize Questionnaire)
没有“标准”设置 BIA问题适用于每一个组织。虽然许多问题可能重叠在各种组织,它是重要的问题是根据该组织的习俗和文化。他们要适当对于目标受众和相关口岸。此外,问题应根据确定的时间关键业务流程和他们的支持服务。有两种类型的问题,将包括在BIA:定量和定性。
定量 Quantitative 的问题要求受访者以描述的经济影响(货币计算)或潜在的灾难中断。他们处理损失的销售,延期付款,罚款,工资,紧急采购等定性 Qualitative 的问题要求受访者估计从情感的影响 emotional impacts 出现亏损,如客户服务能力或失去客户的信任。
表4列出样本 BIA问题主题。提供援助的问题应在确定的影响中断业务功能,损失的收入,任何额外费用,无形的损失,如失去顾客的信任。
步骤4:分析信息 (Analyze Information)
收集的信息在第3步必须组织,相关性,并进行分析。首先,结果文件根据各业务部门。结果可以归纳到BIA汇总表包含的信息收集过程中采访过程中。这些汇总表应随后被送到各业务部门进行审查,如有必要,正式批准签名。下列项目应包括在分析问卷数据:
确定的工作职能是最关键的成功的业务和识别的信息系统支持这些功能。确定什么样的经济和业务的影响这些功能会对企业如果它无法运作。
使用定性和定量评估工具,以帮助识别对业务的影响,如果数据处理支持中断。
确定业务功能的相互依赖性,同样地识别信息系统的相互依存关系的关键系统。
验证,通过验证的结果与这些知识在每个业务部门。
步骤5:确定时间关键业务功能 (Determine Time-Critical Business Functions)
基于分析所收集的数据,时间是确定关键业务功能。这些工作流程,要求恢复在一个 MTD。这将帮助建立的顺序的应用程序和服务恢复。同时确定关键业务功能,记得确定任何其他业务单位或职能可能取决于业务的过程。业务部门的间的相互依存关系为同一资源分配可能需要更高的关键性的操作。
与此相关的方面确定关键业务功能也确定所需的资源来支持关键过程。资源需求计划的过程是确定的资源一个业务部门需要重建其业务职能的替代位置。虽然不是必不可少的一部分,BIA,资源需求规划使口岸确定的资源用在典型的工作环境,需要建立一个备用站点。其中包括计算机系统,网络,电讯联系,设施,电力 /暖通空调,其他设备和用品,以及人员。
步骤 6:确定最大耐受停机时间 (Determine Maximum Tolerable Downtimes / MTDs)
是的MTD一段时间业务功能或流程可以保持中断在其恢复能力变得可疑。业务流程要求更短的时间内被认为是有更多的时间关键的。例如,在一家旅行社,有机会获得预订系统最有可能是一次非常关键的功能(一到四小时的停电接受),同时有机会获得工资系统可能被视为重要(72小时停电接受)或正常(七天停电接受)。
步骤7:在MTDs的基础上优先处理关键业务功能 (Prioritize Critical Business Functions Based on MTDs)
一旦关键业务流程是确定的 – 那些将产生显著对组织的影响,如果没有完成 – 他们的排名来确定那些最关键的。通常情况下,短时期的恢复,较高的业务功能将是重点扶持。此外,较短的回收期通常需要更昂贵的恢复战略。表5和表6举例说明如何关键业务功能可以分类 /优先。
步骤8:文件和准备恢复的建议报告 (Document and Prepare Report for Recovery Recommendations)
该结果的BIA准备为行政级别管理评审和批准,然后再继续下一个阶段(恢复策略)。这是重要的信息是清晰,简洁,符合该组织的文化准备和提交报告。在许多组织中,口头陈述作出突出重点,以及派发更详细的最终书面报告。下一步是确定有效的恢复办法。一旦替代方案已经确定,计划可以制定和实施以确保关键业务功能和流程将不令人无法接受的影响,在事件的中断。(脑人加)
如何利用ISO22301认证业务连续性计划为组织增加防护,主动控制
火灾、地震、病毒、网络攻击,得益于业务流程中不断增加的技术使用,消费者的期望以及网络犯罪的迅猛发展,大量破坏的威胁越来越容易出现在组织中。
你几乎不可能事先得知何时发生业务中断,这就是为什么你需要业务连续性计划的原因。
在此篇文章中,我尝试解释业务连续性计划的工作原理、涵盖的内容以及如何创建业务连续性计划,希望对你有所帮助。
ISO22301业务连续性管理体系认证热线:021-64196861 64191739 余韵老师。
微信公众号