вторник, 20 июля 2010 г.

Худшие практики

Недавно попалась на глаза статья в журнале Continuity, и я не смог отказать себе в удовольствии ее перевести, поскольку по содержанию ее легко можно было бы приписать перу Григория Остера. Должен заметить, что все описанное, к сожалению, встречается в нашей реальной жизни.

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса (УНБ) - это управленческий процесс, используемый для того, чтобы убедить аудиторов, регуляторов и другие заинтересованные стороны в том, что организация способна эффективно реагировать на возможные воздействия, угрожающие ее репутации, бренду и деятельности, создающей прибавочную стоимость, даже если это не так.

1. Политика УНБ и управление программой УНБ
Эффективная программа УНБ не требует участи высших руководителей организации и требует минимального участия управленческих, операционных, административных и технических специалистов.
Ответственность за УНБ возлагается на какого-нибудь сотрудника организации, который не обладает властными полномочиями, находится на нижних уровнях иерархии в организации и кому руководитель организации чувствует необходимость дать поручение чем-нибудь заняться. Этот сотрудник будет называться менеджером непрерывности бизнеса, но у него не будет подчиненных и ему не будут предоставляться дополнительные ресурсы для выполнения своей работы.
Управление организацией при реагировании на инцидент будет осуществляться руководителем организации, никак не интересующимся программой УНБ и не имеющим никакого представления об управлении инцидентами и планах непрерывности бизнеса.

2. Разработка и реализация реагирования в рамках УНБ
Целью процесса УНБ является создание плана непрерывности бизнеса (ПНБ), и именно с этого следует начать процесс УНБ. План предназначен для того, чтобы убедить заинтересованных лиц и аудиторов, что критические функции организации будут продолжать осуществляться во время прерывания, что бы его ни вызвало, а остальные функции будут восстановлены контролируемым образом.
Менеджеру непрерывности бизнеса следует при первой же возможности приступить к разработке плана непрерывности бизнеса и не волноваться по поводу привлечения к этой работе других сотрудников, поскольку у них, наверное, есть более важные дела.

2.1. План управления инцидентами
План управления инцидентами может быть разработан, но поскольку он влечет дополнительные расходы, то не является обязательным. Руководитель организации обеспечит эффективное и своевременное управление в случае наступления серьезного инцидента и защитит бренд организации от финансового и репутационного ущерба без всякого плана управления инцидентами.

2.2. План непрерывности бизнеса (ПНБ)
ПНБ служит основой, на которой строится весь процесс УНБ. В нем описываются теоретические действия всей организации в ответ на инцидент, вызывающий прерывание деятельности, а вовсе не те меры, которые реализованы в действительности. Те, кому предстоит использовать этот план, должны быть способны взять его и применить, ни разу до этого не подержав в руках, и интуитивно понимать, как его использовать, чтобы выбрать и применить подходящие стратегии управления восстановлением деятельности бизнес-подразделений в соответствии с приоритетами, существующими у этих подразделений в данный момент.
Элементы и содержание плана непрерывности бизнеса могут меняться от организации к организации, но если для разработки ПНБ будет использован шаблон, полученный из другой организации, вероятно, он будет отражать культуру этой другой организации и сложность ее технических решений.

2.3. Планы возобновления деятельности подразделений
Планы возобновления деятельности содержат описание действий по реагированию на инцидент конкретных департаментов или бизнес-подразделений. Обычно они разрабатываются самими департаментами и не имеют никакой или очень слабую связь с планом непрерывности бизнеса с точки зрения целей, приоритетов и процессов восстановления. Типичным примером плана возобновления бизнеса служит план аварийного восстановления информационных и телекоммуникационных систем, который должен быть разработан ИТ-департаментом самостоятельно, чтобы не тратить время пользователей на выяснение их требований к ИТ-системам.

3. Понимание организации
Когда заканчивается разработка плана непрерывности бизнеса, можно приступать к созданию других элементов программы УНБ, которые захотят увидеть аудиторы. Предварительным условием для этого является изучение жаргона, используемого профессионалами в области непрерывности бизнеса, для его применения по отношению к вашей организации, даже если больше никого эта терминология не интересует.

3.1. Анализ воздействия на бизнес (АВБ)
Теоретически в ходе анализа влияния на бизнес (BIA) выявляется, измеряется и оценивается влияние потери, прерывания или нарушения течения бизнес-процессов, чтобы руководство могло определить, через какой промежуток времени это влияние становится неприемлемым. На практике достичь этого невозможно.
Осуществление анализа влияния на бизнес путем проведения интервью, семинаров и заполнения опросных листов дорого и отнимает много времени, поэтому не стоит даже пытаться, если только менеджеру непрерывности бизнеса нечего больше делать. Вместо этого, цель анализа влияния на бизнес, состоящая в определении "максимально допустимого времени прерывания" каждого из бизнес-процессов, может быть достигнута с помощью информации из плана непрерывности бизнеса, который уже разработан. Максимально допустимое время прерывания каждого бизнес-процесса совпадает с целевым временем восстановления, указанным в плане непрерывности бизнеса, и эту информацию следует извлечь из ПНБ в отдельный документ, который можно направить руководителю в качестве доказательства проведения АВБ.

3.2. Анализ требований непрерывности (АТН)
В рамках проведения анализа требований непрерывности собирается информация о ресурсах, требуемых для возобновления и продолжения работы. Снова, эти данные могут быть взяты из ПНБ, который уже разработан, поэтому нет необходимости совершать дополнительные действия.

3.3. Оценка рисков
В контексте УНБ при проведении оценки рисков оценивается вероятность и размер ущерба от реализации тех угроз, способных вызвать прерывание бизнеса, о которых чаще всего упоминают в СМИ или которые более всего волнуют руководителей организации. При оценке рисков надо использовать количественные методы, подсчитывая вероятность реализации каждой угрозы и размер вызываемого ею ущерба, и затем перемножая эти две величины, чтобы создать иллюзию точной численной оценки риска.
Для каждого измеренного риска должно быть указано некоторое количество действий реагирования, уменьшающих риск. Они должны быть продемонстрированы руководству как свидетельство того, что в организации понимают угрожающие ей риски и предпринимают меры по их уменьшению. После демонстрации этого отчета руководству организации оценка рисков может быть забыта, по крайней мере, на целый год.

(Продолжение следует)

2 комментария: