Разработка и реализация процесса управления инцидентами иб в соответствии с лучшими практиками обеспечивает следующее
Download 1,2 Mb.
|
текст лекции
- Bu sahifa navigatsiya:
- Документация и записи в области непрерывности бизнеса
|
Поддержка УНБ
Целью процесса поддержки УНБ является обеспечение компетентности и способности организации к УНБ, которые должны быть эффективными, актуальными и пригодными для достижения поставленных целей. Действия по поддержке УНБ предусматривают изменение графика существующих учений при возникновении существенных изменений в стратегии, решениях или бизнес-процессах. Результатами процесса поддержки УНБ являются [9, 11]: документированные свидетельства превентивного характера управления организации и управления программой УНБ; проверка результатов учений и компетентности персонала, реализующего стратегию УНБ и соответствующие планы; верификация мониторинга и управления рисками в области НБ; документированные свидетельства того, что существенные изменения структуры, продукции и услуг, действий, целей, штата и задач организации учтены в планах управления инцидентом и ОНБ организации. Анализ УНБ Согласно требованиям стандартов в области УНБ высшее руководство организации через запланированные интервалы времени и/или при существенных изменениях в организации анализирует способность организации к УНБ, обеспечивает ее непрерывную применимость, адекватность и эффективность [9-13]. Этот анализ документируется, а созданные записи поддерживаются в рабочем состоянии. Анализ мер по УНБ верифицирует соответствие политики УНБ организации всем применимым законам, нормам, стандартам, стратегиям, структурам и руководящим указаниям по осуществлению успешной практики в данной области другими организациями. Этот анализ предоставляет информацию для последующих возможных изменений политик, стратегий, целей и других элементов СУНБ в соответствии с результатами проведенных учений, изменениями обстоятельств и обязательств по постоянному улучшению. В контексте постоянного улучшения организация изучает новейшие технологии и лучшие практики в области УНБ, включая новые инструменты и методы. Эти знания оцениваются на предмет их возможной применимости для организации. Входные данные для анализа УНБ со стороны руководства включают в себя следующее: результаты аудита и анализа СУНБ и, если применимо, результаты аудита СУНБ ключевых поставщиков и подрядчиков; данные обратной связи с причастными сторонами, включая независимых наблюдателей; методы, продукцию или процедуры, которые могут быть использованы организацией для улучшения функционирования и повышения эффективности СУНБ; предупреждающие и корректирующие действия, соответствующие масштабу потенциальных проблем организации (в отношении невыполнения каких-либо требований к внедрению и функционированию СУНБ) и согласованные с политикой и целями в области НБ; уровни остаточного и приемлемого риска; уязвимости или угрозы, которым не было уделено достаточного внимания при предыдущей оценке или обработке риска; действия, предпринятые после предыдущих анализов со стороны руководства; все внутренние или внешние изменения, которые могут повлиять на СУНБ; рекомендации для улучшения; результаты проведения учений; появившиеся передовой опыт и рекомендации; опыт прошлых инцидентов; результаты проведения программ обучения и повышения компетентности персонала. Выходные данные анализа со стороны руководства включают в себя все решения и действия, связанные со следующим: изменением области применения СУНБ; повышением эффективности СУНБ; модификацией стратегии и процедур УНБ, при необходимости, для адекватной реакции на внутренние или внешние события, которые могут воздействовать на УНБ, включая изменение требований к бизнесу и устойчивости, бизнес-процессов, затрагивающих существующие требования к бизнесу, установленных законодательных, обязательных и договорных требований, уровней риска и/или уровней приемлемого риска; потребностями в ресурсах; требованиями к финансированию и бюджету. Частота и выбор времени анализа обусловлены законодательными требованиями и договорными обязательствами в зависимости от размера, характера и юридического статуса организации. Анализ может быть инициирован под влиянием требований причастных сторон. Анализ может принять форму внутреннего или внешнего аудита или самооценки, которые верифицируют следующие положения: все ключевые продукции и услуги, поддерживающие их КВД и необходимые для этого ресурсы идентифицированы и включены в стратегию УНБ организации; политика, стратегии, структура и планы в области ОНБ организации точно отражают приоритеты, требования и задачи организации; компетентность и способность организации к УНБ эффективны, пригодны для достижения целей и дают возможность эффективного управления, руководства, контроля и координации инцидента; решения организации в области НБ являются эффективными, актуализированными и пригодными для достижения целей, а также соответствуют уровню риска организации; программы по поддержке и проведению учений по УНБ организации эффективно внедрены; стратегии УНБ и соответствующие планы включают в себя улучшения, необходимость которых выявлена во время инцидентов и проведения учений, и адекватно отражены в программе УНБ; в организации существует непрерывная программа обучения и повышения осведомленности персонала в области УНБ; проводится эффективный обмен информацией по процедурам УНБ с соответствующим персоналом; сотрудники понимают свои роли, обязанности и ответственность; процессы управления изменениями работают в конкретных местах и эффективно функционируют. Организация планирует, устанавливает, внедряет и поддерживает в рабочем состоянии программу(ы) проведения аудита с учетом анализа воздействий на бизнес, мер по оценке, управлению и снижению риска, а также результатов предыдущих аудитов. Также организация устанавливает, внедряет и поддерживает в рабочем состоянии процедуру аудита УНБ, ориентированную на определение: обязанностей и компетентности вовлеченного персонала, требований к планированию и проведению аудитов, выполнение отчетов о результатах аудита и регистрацию связанных записей; критериев, области действия, регулярности и методов аудита. Организация обеспечивает независимый аудит своей компетентности и способности к УНБ, что позволяет идентифицировать фактические и потенциальные несоответствия. Независимый аудит проводится компетентными лицами (внутренними или внешними). Выбор аудиторов и проведение аудита обеспечивают объективность и беспристрастность процесса аудита. Процесс самооценки УНБ также играет большую роль в обеспечении наличия у организации обоснованного, эффективного и пригодного для достижения поставленных целей УНБ. Самооценка обеспечивает качественную верификацию способности организации к восстановлению бизнеса после инцидента. Самооценка проводится в соответствии с поставленными целями организации. При этом учитываются соответствующие промышленные стандарты и передовой опыт в данной области. Внедрение УНБ в культуру организации Для получения положительного результата от внедрения НБ в обычную операционную деятельность и процессы управления, она должна стать частью системы ценностей организации, независимо от ее размера или сферы деятельности [9, 11]. На каждой стадии процесса УНБ существуют возможности для создания и повышения культуры ОНБ в организации. Создание процесса УНБ и его внедрение в организации может оказаться длительным и сложным процессом, который может усугубляться значительным сопротивлением со стороны персонала. Понимание существующей культуры внутри организации может помочь в разработке соответствующей программы внедрения и развития в ней культуры УНБ. Все сотрудники должны понять, что УНБ - это серьезная задача для организации, и они играют важную роль в поддержке непрерывности поставки продукции и услуг их клиентам и потребителям. В результате построения, развития и внедрения УНБ в культуру организации УНБ становится частью основных активов и эффективного управления организации. Внедрение УНБ в культуру организации позволяет ей добиться следующего: более эффективно разрабатывать и развивать программу УНБ; вызывать большее доверие со стороны причастных сторон (особенно персонала и потребителей) к способности организации справляться с любыми нарушениями функционирования бизнеса; увеличить устойчивость организации в долгосрочной перспективе путем возможности применения УНБ при принятии решений на всех уровнях; минимизировать вероятность возникновения нарушений и размер их последствий. Для достижения успеха в данной области действовать надо в нескольких направлениях [27]. Во-первых, до сотрудников регулярно доводить смысл и важность работ по ОНБ. Одновременно с этим необходимо тренировать навыки, которые потребуются сотрудникам в случае наступления ЧС. Во-вторых, важна явная активная поддержка работ по внедрению и поддержанию процесса УНБ со стороны руководства всех уровней. Поддержка со стороны только высшего руководства - необходимое, но не достаточное условие. Пассивное сопротивление со стороны руководителей среднего звена и рядовых сотрудников, на кого возложена существенная доля нагрузки по внедрению процесса, может стать непреодолимым препятствием на пути к успешному внедрению. Третьим важным соображением является то, что даже в технологических компаниях процесс ОНБ не должен рассматриваться как задача исключительно подразделений ИТ или других технических подразделений. Необходимо регулярно проводить работу по донесению до бизнес-подразделений того, что задача ОНБ не может быть решена без их участия. Таким образом, внедрение УНБ в культуру организации основывается на следующем [9-13]: лидерстве руководителей организации; распределении ответственности и полномочий; повышении осведомленности персонала об УНБ; обучении навыкам работы по УНБ; отработке планов во время учений. Для повышения и поддержания осведомленности об УНБ всего персонала необходимо обеспечить понимание персоналом важности УНБ для организации. Персонал должен быть уверен, что УНБ - это долгосрочная задача, имеющая постоянную поддержку со стороны высшего руководства. Организация устанавливает процесс идентификации и определения требований к осведомленности об УНБ и оценки эффективности создания и повышения осведомленности персонала. Персонал, вовлеченный в УНБ, должен постоянно пополнять свои знания об УНБ из внешних источников, что можно достичь, например, путем сотрудничества с руководством аварийно-спасательных служб, органов местного самоуправления и других подобных организаций. Организация повышает, улучшает и поддерживает осведомленность путем внедрения программы непрерывного образования и информирования об УНБ всего персонала. Такая программа обычно включает в себя следующее: консультации с персоналом на всех уровнях организации по вопросам создания программы УНБ; обсуждение вопросов УНБ в информационных бюллетенях организации, при проведении инструктажа, в рамках вводных программ или в журналах; описание УНБ на веб-сайте и/или интранете организации; изучение опыта внутренних и внешних инцидентов; внесение УНБ в качестве пункта повестки дня различных совещаний; отработку в рамках учений планов ОНБ на альтернативном рабочем месте или производственной площади (например, на участке восстановления деятельности); посещение установленных альтернативных рабочих мест или производственных площадей (например, участка восстановления деятельности). Организация может расширить свою программу осведомленности об УНБ на своих поставщиков и другие причастные стороны. Также организация устанавливает процесс идентификации потребностей в обучении требованиям УНБ, проведения этого обучения для соответствующих участников УНБ и оценки его эффективности. Организуется обучение персонала. Персонала, вовлеченного в УНБ для решения задач: управление программой УНБ; проведение анализа воздействия на бизнес; разработка и внедрение УНБ; реализация программы учений по УНБ; оценка риска и угроз; обмен информацией со СМИ. Персонала, не вовлеченного в УНБ, от которого требуется наличие соответствующих навыков для выполнения ответных мер при появлении инцидента и/или восстановления бизнеса. Навыки для выполнения таких ответных мер и компетентность персонала организации развиваются с помощью практического обучения, включая активное участие в учениях по УНБ. Документация и записи в области непрерывности бизнеса Лица, ответственные за поддержание в рабочем состоянии НБ, создают и поддерживают в рабочем состоянии соответствующую документацию СУНБ [9-13]. Документация СУНБ предназначена для обеспечения точных свидетельств эффективности функционирования СУНБ и внедрения УНБ в организации. Она обычно включает в себя следующие документы: политику УНБ, содержащую положение об области действия УНБ, целях СУНБ и необходимых процедурах; стратегию УНБ; анализ воздействия на бизнес; оценку риска; программу обеспечения компетентности в области НБ; программу обучения в области НБ; планы управления инцидентом(ами); планы ОНБ; планы восстановления бизнеса; график и программу учений, а также отчетность об их проведении; соглашения и договоры об уровне работоспособности СУНБ; описание структуры ответных мер на инцидент; описание предупреждающих и корректирующих действий, предпринимаемых для улучшения СУНБ; анализ СУНБ со стороны руководства; описание мер по поддержке, анализу и постоянному улучшению УНБ; документы по обеспечению СУНБ ресурсами. Все виды необходимых документов и записей заранее определяются, поддерживаются в рабочем состоянии, управляются и используются для обеспечения свидетельств эффективности функционирования СУНБ. Обязательно устанавливаются документированные процедуры управления документацией и записями СУНБ. Download 1,2 Mb. Do'stlaringiz bilan baham: 
|