ISCG Sp. z o.o.
polski
Wyszukaj na stronie:
Przejdź do wyszukiwania
Business Continuity Planning (BCP) 
 

 Business Continuity Planning (BCP)
Szczegółowy opis realizacji planów ciągłości działania dla zasobów IT

Utrzymanie bezpieczeństwa systemu teleinformatycznego jest cyklicznym działaniem wynikającym z rekomendowanego przez wiele organizacji bezpieczeństwa podejścia PDCA (Plan-Do-Check-Act). Aby móc uważać system teleinformatyczny za bezpieczny, należy okresowo go kontrolować, badając w jaki sposób stosowane w praktyce procesy kontrolne różnią się od założeń.

Planowanie ciągłości działania polega na opracowaniu strategii działania umożliwiającej, w sytuacji krytycznej, utrzymanie krytycznych procesów biznesowych na minimalnym akceptowalnym poziomie.
W odniesieniu do zasobów IT, należy określić, na jakim poziomie funkcjonalności znajdują się poszczególne usługi, jakie niosą ze sobą zagrożenia, czy ograniczenia.

Schemat działań realizowanych w ramach projektu obejmować będzie:
1. Inwentaryzację zasobów i grup zasobów na wybranych serwerach plików
2. Określenie krytycznych procesów i wymagań odtworzeniowych
3. Określenie krytycznych zasobów i wymagań odtworzeniowych
4. Analiza ryzyka związanego z krytycznymi zasobami
5. Określenie sposobu postępowania z ryzykiem
Informacje będą przekazywane przez osoby odpowiedzialne za funkcjonowanie poszczególnych komórek organizacyjnych, w miarę potrzeb mogą być uszczegóławiane przez podległych im pracowników.

Inwentaryzacja zasobów i grup zasobów będzie realizowana w oparciu o wizje lokalne, informacje zebrane w trakcie wywiadów, analizę infrastruktury technicznej, oraz analizę istniejącej dokumentacji. Inwentaryzacja zakładać będzie następujące podejście: w przypadku zasobów o charakterze unikalnym będą one podlegały jednostkowej inwentaryzacji, w pozostałych przypadkach wyróżniane będą grupy zasobów.

Określenie potencjalnych strat, krytycznych procesów i dopuszczalnych czasów przestoju (określenie wpływu ryzyka) obejmować będzie następujące działania:
1. Analizę potencjalnych strat wynikłych z przerwania realizacji działań na wybranych serwerach (procesów biznesowych) traktowanych jako funkcja czasu, w tym
  • Określenie bezpośrednich i pośrednich strat finansowych
  • Określenie materialnych skutków awarii
  • Określenie niematerialnych skutków awarii
2. Określenie propozycji akceptowalnych poziomów strat
3. Wyróżnienie krytycznych działań (procesów biznesowych)
4. Określenie krytycznych zasobów niezbędnych do realizacji działań (procesów biznesowych)
5. Określenie dopuszczalnego czasu przestoju w realizacji krytycznych działań (procesów biznesowych), w szczególności opisanego przy użyciu miar
  • RTO (recovery time objective)
  • RPO (recovery point objective)
Prace analityczne opierać się będą na informacjach zebranych przy użyciu poniżej określonych metod:
1. Analiza istniejącej dokumentacji
2. Wywiady (przeprowadzane z osobami odpowiedzialnymi za realizację procesów biznesowych)
3. Ankiety i kwestionariusze stanowiące uzupełnienie wywiadów
4. Analiza wpływu środowiska na wybrane serwery
Straty będą analizowane w funkcji czasu przestoju realizacji procesów, co w konsekwencji pozwoli na określenie dopuszczalnego czasu przestoju. Analizowane przedziały czasowe zostaną ustalone w porozumieniu z Zamawiającym tak, aby odpowiadały one specyfice Zamawiającego.

Następnym krokiem w trakcie analizy będzie określenie zasobów krytycznych. Zidentyfikowane zostaną te zasoby informatyczne, które są niezbędne do realizacji określonych w poprzednich krokach procesów mogących zostać uznane za krytyczne. Jako kryterium uznania procesu za krytyczny zostanie przyjęte wystąpienie strat wynikających z przerwania procesu na poziomie nieakceptowanym dla Zamawiającego, przy czym analizowane będą różne scenariusze poziomu strat nieakceptowanych. Ostateczne poziomy strat nieakceptowanych zostaną określone przez Zamawiającego w oparciu o dostarczone przez Wykonawcę dane.

Na bazie przeprowadzonej analizy zaproponowane zostaną zalecane czasy odtworzenia dostępności zasobów (RTO i RPO) dla przyjętych poziomów akceptowalności strat. Czasy odtwarzania będą uwzględniać zależności pomiędzy zasobami i czasy wymagane na odtworzenie wstrzymanych operacji (ang. backlog).

W ramach realizacji projektu zostanie przeprowadzona analiza ryzyka w kontekście możliwości utraty dostępności zasobów krytycznych. Podejście takie pozwoli zoptymalizować prace analityczne i skoncentrować się wyłącznie na tych zasobach, które mają lub mogą mieć krytyczne znaczenie dla funkcjonowania przedsiębiorstwa.

Analiza ryzyka obejmować będzie identyfikację:
1. Zagrożeń mogących mieć negatywny wpływ na możliwość realizacji krytycznych procesów przez wybrane serwery (w tym na możliwość zastosowania zasobów krytycznych)
2. Prawdopodobieństwa (lub częstotliwości) wystąpienia tych zagrożeń
3. Podatności o charakterze organizacyjnym lub technicznym
4. Ryzyka jako funkcji zagrożeń, podatności i możliwych strat
Prawdopodobieństwo (lub częstotliwość) występowania zagrożeń będzie oceniane przy użyciu miar jakościowych, określających przedziały prawdopodobieństwa występowania zagrożenia (lub częstości występowania zagrożenia). Proponujemy zastosowanie pięciostopniowej skali jakościowej do oceny częstości występowania zagrożeń.

Prawdopodobieństwo wystąpienia strat jest oceniane według tej samej skali, jak prawdopodobieństwo wystąpienia zagrożeń, według poniżej określonego algorytmu:
1. W przypadku występowania podatności prawdopodobieństwo wystąpienia strat jest takie samo jak prawdopodobieństwo wystąpienia zagrożenia
2. W przypadku, gdy podatność ujawnia się tylko w pewnych specyficznych sytuacjach prawdopodobieństwo wystąpienia strat jest mniejsze od prawdopodobieństwa wystąpienia zagrożenia, wartość prawdopodobieństwa wystąpienia strat jest uzależniona od prawdopodobieństwa wystąpienia podatności
3. W przypadku, gdy podatność nie występuje, straty związane z daną podatnością nie wystąpią
Na bazie opisanej powyżej analizy (określającej prawdopodobieństwo wystąpienia strat), jak również analizy wpływu na biznes (określającej ryzyko wystąpienia strat) określany będzie, zgodnie z modelem przedstawionym w normie AS/NZS 4360, poziom ryzyka przy użyciu następującej skali:

Oznaczenie Charakterystyka
E Ryzyko ekstremalne, wymagane natychmiastowe działania
H Wysokie ryzyko, wymagana uwaga Zarządu
M Ryzyko umiarkowane, konieczność określenia szczegółowej odpowiedzialności kierownictwa za zarządzanie ryzykiem
L Ryzyko niskie, zarządzanie w oparciu o standardowe procedury

Wyniki analizy ryzyka określą jednocześnie zalecenia związane z postępowaniem z ryzykiem. W wyniku analizy ryzyka zostanie określone hierarchia zagrożeń według wartości oszacowanego ryzyka.

Co dostaje Klient w efekcie naszych prac

Nazwa produktu Zawartość merytoryczna
Inwentaryzacja zasobów i grup zasobów Wykaz zidentyfikowanych zasobów i grup zasobów, relacje pomiędzy zasobami
Wykaz zasobów krytycznych oraz karty serwerów Wykaz zasobów zidentyfikowanych jako krytyczne. Powiązania z procesami biznesowymi. Wymagania związane z czasem odtworzenia funkcjonalności zasobów (RTO, RPO). Wskazanie dodatkowych warunków skracających czas odtworzenia zasobów
Ryzyko przerwania realizacji krytycznych działań Wykaz zagrożeń i ich ocena. Powiązanie zagrożeń z zasobami. Wskazanie podatności i ich ocena. Ocena ryzyka w kontekście przerwania procesów biznesowych
Hierarchia zagrożeń Wykaz zagrożeń posortowanych według powodowanego przez nie ryzyka. Wskazanie powiązań pomiędzy zagrożeniami a procesami i zasobami
Organizacja zarządzania ciągłością działania Opis podejścia przedsiębiorstwa do zarządzania ciągłością działania. Wskazanie odpowiedzialności za działania związane z zarządzaniem ciągłością działania. Wykaz niezbędnych zasobów wspierających prace związane z zarządzaniem ciągłością działania. Podejście do zapewnienia spójności planów, konsolidacja planów
Strategia utrzymania dostępności funkcjonalności zasobów krytycznych Opis podejścia do utrzymania funkcjonalności zasobów krytycznych. Analiza zastępowalności zasobów. Prezentacja zalecanych wariantów zapewnienia dostępności zasobów, w tym w kontekście istniejących rozwiązań. Wskazanie klas rozwiązań technologicznych, które powinny być wykorzystywane w celu zapewnienia dostępności funkcjonalności zasobów krytycznych
Strategia komunikacji Zasady komunikacji wewnętrznej i zewnętrznej w sytuacji kryzysowej. Kanały komunikacyjne. Odpowiedzialność za komunikację
Dokumentacja Dokumentacja będzie zawierała zagadnienia opisane w niniejszej tabeli
Centrala ISCG 
Al. Jerozolimskie 174      
02-486 Warszawa     
tel. +48 (22) 571 67 80
fax.+48 (22) 571 67 81
Oddział ISCG Kraków
ul. Kujawska 3A
30-042 Kraków
tel. +48 (12) 394 60 08 
fax.+48 (22) 571 67 81
© 2009 ISCG Sp. z o.o.
Strona główna > Rozwiązania > Strony > w_bcp.aspx