Планирование непрерывности бизнеса
Непрерывность бизнеса можно определить как «способность организации продолжать поставку продуктов или услуг на заранее определенных приемлемых уровнях после разрушительного инцидента». [ 1 ] и планирование непрерывности бизнеса [ 2 ] [ 3 ] (или планирование непрерывности и устойчивости бизнеса ) — это процесс создания систем предотвращения и восстановления для борьбы с потенциальными угрозами для компании. [ 4 ] Помимо предотвращения, цель состоит в том, чтобы обеспечить возможность выполнения текущих операций до и во время выполнения аварийного восстановления . [ 5 ] Непрерывность бизнеса — это ожидаемый результат надлежащего выполнения как планирования непрерывности бизнеса, так и аварийного восстановления.
несколько стандартов непрерывности бизнеса, чтобы помочь в составлении контрольного списка текущих задач планирования. Различные органы по стандартизации опубликовали [ 6 ]
Непрерывность бизнеса требует нисходящего подхода для определения минимальных требований организации, обеспечивающих ее жизнеспособность как субъекта. Сопротивление организации неудачам — это «способность… противостоять изменениям в окружающей среде и продолжать функционировать». [ 7 ] Часто называемая устойчивостью, это способность, которая позволяет организациям либо переносить изменения окружающей среды без необходимости постоянной адаптации, либо организация вынуждена адаптировать новый способ работы, который лучше соответствует новым условиям окружающей среды. [ 7 ]
Обзор
[ редактировать ]В план следует включать любое событие, которое может негативно повлиять на операционную деятельность, например, прерывание цепочки поставок , потерю или повреждение критической инфраструктуры (основного оборудования или вычислительных/сетевых ресурсов). Таким образом, BCP является разновидностью управления рисками . [ 8 ] В США государственные учреждения называют этот процесс планированием непрерывности операций (COOP). [ 9 ] План обеспечения непрерывности бизнеса [ 10 ] описывает ряд сценариев стихийных бедствий и шаги, которые бизнес предпримет в каждом конкретном случае, чтобы вернуться к регулярной торговле. BCP составляются заранее и могут также включать меры предосторожности, которые необходимо принять. Обычно создаваемый при участии ключевого персонала, а также заинтересованных сторон, BCP представляет собой набор мер на случай непредвиденных обстоятельств, призванных минимизировать потенциальный вред для бизнеса в случае неблагоприятных сценариев. [ 11 ]
Устойчивость
[ редактировать ]Анализ 2005 года того, как сбои могут отрицательно повлиять на деятельность корпораций и как инвестиции в устойчивость могут дать конкурентное преимущество перед организациями, не подготовленными к различным непредвиденным обстоятельствам. [ 12 ] расширила распространенную в то время практику планирования непрерывности бизнеса. Бизнес-организации, такие как Совет по конкурентоспособности, приняли эту цель обеспечения устойчивости. [ 13 ]
Адаптация к изменениям, по-видимому, более медленным и эволюционным образом – иногда в течение многих лет или десятилетий – описывается как более устойчивая, [ 14 ] и термин «стратегическая устойчивость» теперь используется для того, чтобы выйти за рамки сопротивления единовременному кризису, а скорее для постоянного предвидения и корректировки, «прежде чем необходимость перемен станет отчаянно очевидной».
Этот подход иногда резюмируют как: готовность , [ 15 ] защита, реагирование и восстановление. [ 16 ]
Теория устойчивости может быть связана с областью связей с общественностью. Устойчивость – это коммуникативный процесс, который создается гражданами, семьями, медиасистемой, организациями и правительствами посредством повседневных разговоров и опосредованных бесед. [ 17 ]
Теория основана на работе Патриса М. Буззанелла , профессора Школы коммуникаций Брайана Лэмба при Университете Пердью . В своей статье 2010 года «Устойчивость: говорить, сопротивляться и воображать новые нормальные условия существования». [ 18 ] Буззанелл обсудил способность организаций процветать после кризиса за счет формирования сопротивления. Буззанелл отмечает, что существует пять различных процессов, которые люди используют, пытаясь поддерживать нормальную устойчивость, утверждая якоря идентичности, поддерживая и используя сети связи, задействуя альтернативную логику и преуменьшая негативные чувства, одновременно выдвигая на первый план положительные эмоции.
Если взглянуть на теорию устойчивости, то можно увидеть, что теория кризисной коммуникации похожа, но не одинакова. Теория кризисной коммуникации основана на репутации компании, а теория устойчивости — на процессе восстановления компании. Существует пять основных компонентов устойчивости: создание нормальной жизни, утверждение якорей идентичности, поддержание и использование сетей связи, использование альтернативной логики и преуменьшение негативных чувств при выдвижении на первый план негативных эмоций. [ 19 ] Каждый из этих процессов может быть применим к бизнесу в кризисные времена, что делает устойчивость важным фактором, на котором компании должны сосредоточиться во время обучения.
Кризис затрагивает три основные группы. Это микро (индивидуальные), мезо (групповые или организации) и макро (национальные или межорганизационные). Существует также два основных типа устойчивости: проактивная и пост-устойчивость. Проактивная устойчивость готовит к кризису и создает прочный фундамент для компании. Пост-устойчивость включает в себя продолжение поддержания связи и проверки с сотрудниками. [ 20 ] Проактивная устойчивость предполагает решение имеющихся проблем до того, как они вызовут возможные изменения в рабочей среде, а также поддержание связи и принятие изменений после того, как произошел инцидент. Устойчивость может быть применена к любой организации. В Новой Зеландии в рамках программы «Устойчивые организации Кентерберийского университета» был разработан инструмент оценки устойчивости организаций. [ 21 ] Он охватывает 11 категорий, каждая из которых содержит от 5 до 7 вопросов. Коэффициент устойчивости суммирует эту оценку. [ 22 ]
Непрерывность
[ редактировать ]Планы и процедуры используются при планировании непрерывности бизнеса, чтобы гарантировать, что критические организационные операции, необходимые для поддержания работы организации, продолжают работать во время событий, когда ключевые зависимости операций нарушаются. Непрерывность не обязательно должна применяться к каждой деятельности, которую предпринимает организация. Например, в соответствии со стандартом ISO 22301:2019 организации должны определить цели обеспечения непрерывности бизнеса, минимальные уровни операций с продуктами и услугами, которые будут считаться приемлемыми, а также максимально допустимый период простоев (MTPD), который можно допустить. [ 23 ]
Основные затраты при планировании этого процесса связаны с подготовкой документов по управлению соблюдением требований аудита; доступны инструменты автоматизации, позволяющие сократить время и затраты, связанные с ручным созданием этой информации.
Инвентарь
[ редактировать ]Планировщики должны иметь информацию о:
- Оборудование
- Поставки и поставщики
- Местоположение, включая другие офисы и площадки резервного копирования /восстановления рабочих зон (WAR).
- Документы и документация, в том числе имеющие резервные копии: [ 10 ]
- Деловые документы
- Документация по процедурам
Анализ
[ редактировать ]Фаза анализа состоит из:
- Анализ воздействия
- Анализ угроз и рисков
- Сценарии воздействия
Количественная оценка коэффициентов убытков должна также включать «доллары на защиту иска». [ 24 ] Подсчитано, что доллар, потраченный на предотвращение потерь, может предотвратить «семь долларов экономических потерь, связанных со стихийными бедствиями». [ 25 ]
Анализ влияния на бизнес (BIA)
[ редактировать ]Анализ воздействия на бизнес (BIA) различает критические (срочные) и некритические (несрочные) функции/деятельности организации. Функция . может считаться критической, если она продиктована законом
Для своей работы каждая функция/деятельность обычно опирается на комбинацию составляющих компонентов:
- Человеческие ресурсы (сотрудники, работающие полный рабочий день, сотрудники, работающие неполный рабочий день, или подрядчики)
- ИТ-системы
- Физические активы (мобильные телефоны, ноутбуки/рабочие станции и т. д.)
- Документы (электронные или физические)
Каждой функции присвоено два значения:
- Целевая точка восстановления (RPO) — приемлемая задержка данных, которые не будут восстановлены. Например, допустимо ли для компании потерять данные за 2 дня? [ 26 ] Цель точки восстановления должна гарантировать, что максимально допустимая потеря данных для каждого действия не будет превышена.
- Целевое время восстановления (RTO) – приемлемое количество времени для восстановления функции.
Максимальное среднее время восстановления
[ редактировать ]Максимальные временные ограничения, в течение которых ключевые продукты или услуги предприятия могут быть недоступны или недоставлены, прежде чем заинтересованные стороны осознают неприемлемые последствия, были названы:
- Максимально допустимый период простоя (MTPoD)
- Максимально допустимое время простоя (MTD)
- Максимально допустимый простой (MTO)
- Максимально допустимое отключение (MAO) [ 27 ] [ 28 ]
Согласно ISO 22301 термины «максимально допустимый простой» и «максимально допустимый период простоя» означают одно и то же и определяются с использованием одних и тех же слов. [ 29 ] В некоторых стандартах используется термин « максимальный предел времени простоя» . [ 30 ]
Последовательность
[ редактировать ]При сбое более чем одной системы планы восстановления должны сбалансировать необходимость обеспечения согласованности данных с другими целями, такими как RTO и RPO. [ 31 ] Цель восстановления (RCO) — это название этой цели. Он применяет цели согласованности данных , чтобы определить измерение согласованности распределенных бизнес-данных внутри взаимосвязанных систем после аварийного происшествия. В этом контексте используются аналогичные термины: «Характеристики согласованности восстановления» (RCC) и «Детализация объекта восстановления» (ROG). [ 32 ]
Хотя RTO и RPO являются абсолютными значениями для каждой системы, RCO выражается в процентах, которые измеряют отклонение между фактическим и целевым состоянием бизнес-данных в разных системах для групп процессов или отдельных бизнес-процессов.
Следующая формула рассчитывает RCO, где «n» представляет количество бизнес-процессов, а «сущности» представляют собой абстрактное значение бизнес-данных:
100 % RCO означает, что после восстановления никаких отклонений бизнес-данных не происходит. [ 33 ]
Анализ угроз и рисков (TRA)
[ редактировать ]После определения требований к восстановлению каждая потенциальная угроза может потребовать уникальных шагов восстановления (планов действий в чрезвычайных ситуациях или сценариев). Общие угрозы включают в себя:
- Эпидемия /пандемия
- Землетрясение
- Огонь
- Наводнение
- Кибератака
- Саботаж (внутренняя или внешняя угроза)
- Ураган или другой сильный шторм
- Отключение электроэнергии
- Отключение воды (перебои в подаче, загрязнение)
- Отключение связи
- ИТ-отключение
- Терроризм / Пиратство
- Война /гражданские беспорядки
- Кража (внутренняя или внешняя угроза, жизненно важная информация или материал)
- Случайный сбой критически важных систем
- Зависимость по одной точке
- Ошибка поставщика
- Повреждение данных
- Неправильная конфигурация
- Сбой сети
Вышеупомянутые области могут каскадироваться: Спасатели могут споткнуться. Запасы могут закончиться. Во время вспышки атипичной пневмонии в 2002–2003 годах некоторые организации разделили и поменяли команды в соответствии с инкубационным периодом заболевания. Они также запретили личные контакты как в рабочее, так и в нерабочее время. Это повысило устойчивость к угрозе.
Сценарии воздействия
[ редактировать ]Сценарии воздействия определены и документированы:
- потребность в медикаментах [ 34 ]
- потребность в транспортных возможностях [ 35 ]
- гражданские последствия ядерных катастроф [ 36 ]
- потребность в расходных материалах для бизнеса и обработки данных [ 37 ]
Они должны отражать максимально возможный ущерб.
Уровни готовности
[ редактировать ]SHARE Семь уровней аварийного восстановления [ 38 ] выпущенный в 1992 году, был обновлен IBM в 2012 году как восьмиуровневая модель: [ 39 ]
- Уровень 0 – Никаких внешних данных • Компании, использующие решение аварийного восстановления уровня 0, не имеют плана аварийного восстановления. Нет ни сохраненной информации, ни документации, ни оборудования для резервного копирования, ни плана действий в чрезвычайных ситуациях. Типичное время восстановления. Продолжительность времени восстановления в этом случае непредсказуема . На самом деле, восстановиться вообще невозможно.
- Уровень 1 – резервное копирование данных без использования «горячих площадок» • Предприятия, использующие решения для аварийного восстановления уровня 1, создают резервные копии своих данных на удаленном объекте. В зависимости от того, как часто создаются резервные копии, они готовы принять потерю данных от нескольких дней до недель , но их резервные копии находятся в безопасности за пределами площадки. Однако на этом уровне отсутствуют системы для восстановления данных. Метод доступа к пикапу (PTAM).
- Уровень 2 – Резервное копирование данных с помощью Hot Site • Решения для аварийного восстановления уровня 2 регулярно выполняют резервное копирование на ленту. Это сочетается с внешним объектом и инфраструктурой (так называемой «горячей площадкой»), позволяющей восстанавливать системы с этих лент в случае аварии. Это многоуровневое решение по-прежнему приведет к необходимости воссоздания данных объемом от нескольких часов до нескольких дней, но оно менее непредсказуемо по времени восстановления . Примеры: PTAM с доступным Hot Site, IBM Tivoli Storage Manager.
- Уровень 3 – Электронное хранилище • В решениях уровня 3 используются компоненты уровня 2. Кроме того, некоторые критически важные данные хранятся в электронном виде. Эти данные, хранящиеся в электронном виде, обычно более актуальны, чем те, которые передаются через PTAM. В результате после аварии происходит меньше восстановления или потери данных .
- Уровень 4 – копии на определенный момент времени • Решения уровня 4 используются предприятиями, которым требуется как большая актуальность данных, так и более быстрое восстановление, чем пользователям более низких уровней. Вместо того, чтобы в значительной степени полагаться на доставку ленточных носителей, как это принято на нижних уровнях, решения уровня 4 начинают включать в себя больше дисковых решений. Потеря данных на несколько часов по-прежнему возможна , но такие копии на определенный момент времени (PIT) легче создавать с большей частотой, чем данные, которые можно реплицировать с помощью решений на основе ленточных носителей.
- Уровень 5 – целостность транзакций • Решения уровня 5 используются предприятиями, которым требуется согласованность данных между производственными и восстановительными центрами обработки данных. ; потеря данных практически отсутствует В таких решениях однако наличие этой функциональности полностью зависит от используемого приложения.
- Уровень 6 – нулевая или минимальная потеря данных • Решения уровня 6 по аварийному восстановлению поддерживают высочайший уровень актуальности данных . Они используются предприятиями, которые практически не допускают потери данных и которым необходимо быстро восстановить данные в приложениях. Эти решения не зависят от приложений и обеспечивают согласованность данных.
- Уровень 7 – высокоавтоматизированное бизнес-интегрированное решение • Решения уровня 7 включают в себя все основные компоненты, используемые для решения уровня 6, с дополнительной интеграцией автоматизации. Это позволяет решению уровня 7 обеспечивать согласованность данных выше той, которую предоставляют решения уровня 6. Кроме того, восстановление приложений автоматизировано, что позволяет восстанавливать системы и приложения гораздо быстрее и надежнее, чем это было бы возможно с помощью ручных процедур аварийного восстановления.
Дизайн решения
[ редактировать ]Двумя основными требованиями этапа анализа воздействия являются:
- Для ИТ: минимальные требования к приложениям и данным, а также время, в течение которого они должны быть доступны.
- Вне ИТ: сохранение бумажных копий (например, контрактов). План процесса должен учитывать квалифицированный персонал и встроенные технологии.
Этот этап совпадает с планированием аварийного восстановления .
На этапе решения определяются:
- антикризисного управления Командная структура
- Телекоммуникационная архитектура между основными и дополнительными рабочими площадками
- Методика репликации данных между основными и дополнительными рабочими площадками
- Резервный сайт с приложениями, данными и рабочим пространством
Стандарты
[ редактировать ]Стандарты ИСО
[ редактировать ]Существует множество стандартов, которые поддерживают планирование и управление непрерывностью бизнеса. [ 40 ] [ 41 ] Например, Международная организация по стандартизации (ISO) разработала целую серию стандартов по системам управления непрерывностью бизнеса. [ 42 ] под ответственность технического комитета ISO/TC 292 :
- ISO 22300 :2021 Безопасность и отказоустойчивость – Словарь (Заменяет ISO 22300 :2018 Безопасность и отказоустойчивость – Словарь и ISO 22300 :2012 Безопасность и устойчивость – Словарь.) [ 43 ]
- ISO 22301 :2019 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Требования (Заменяет ISO 22301 :2012.) [ 44 ]
- ISO 22313 :2020 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Руководство по использованию ISO 22301 (Заменяет ISO 22313 :2012 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Руководство по использованию ISO 22301.) [ 45 ]
- ISO/TS 22317 :2021 Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Рекомендации по анализу воздействия на бизнес. (Заменяет ISO/TS 22315:2015 Социальная безопасность. Системы управления непрерывностью бизнеса. Рекомендации по анализу воздействия на бизнес.) [ 46 ]
- ISO/TS 22318 :2021 Безопасность и устойчивость. Системы управления непрерывностью бизнеса. Руководящие указания по обеспечению непрерывности цепочки поставок (Заменяет ISO/TS 22318:2015 Социальная безопасность. Системы управления непрерывностью бизнеса. Руководящие указания по обеспечению непрерывности цепочки поставок.) [ 47 ]
- ISO/TS 22330 :2018 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Рекомендации по кадровым аспектам непрерывности бизнеса (действительно по состоянию на 2022 год). [ 48 ]
- ISO/TS 22331 :2018 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Рекомендации по стратегии непрерывности бизнеса. (Действует по состоянию на 2022 г.) [ 49 ]
- ISO/TS 22332 :2021 Безопасность и отказоустойчивость. Системы управления непрерывностью бизнеса. Рекомендации по разработке планов и процедур обеспечения непрерывности бизнеса (действительно по состоянию на 2022 г.). [ 50 ]
- ISO/IEC/TS 17021-6 :2014 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 6. Требования к компетентности для аудита и сертификации систем управления непрерывностью бизнеса. [ 51 ]
- ISO/IEC 24762:2008 Информационные технологии. Методы обеспечения безопасности. Руководящие принципы для служб аварийного восстановления информационных и коммуникационных технологий (отозван) [ 52 ]
- ISO/IEC 27001:2022 Информационная безопасность , кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования. (Заменяет ISO/IEC 27001:2013 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.) [ 53 ]
- ISO/IEC 27002:2022 Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью. (Заменяет ISO/IEC 27002:2013 Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению информационной безопасностью.) [ 54 ]
- ISO/IEC 27031 :2011 Информационные технологии. Методы обеспечения безопасности. Рекомендации по обеспечению готовности информационных и коммуникационных технологий к обеспечению непрерывности бизнеса. [ 55 ]
- ISO/PAS 22399:2007 Социальная безопасность. Руководство по обеспечению готовности к инцидентам и управлению непрерывностью деятельности (отозвано) [ 56 ]
- IWA 5:2006 Готовность к чрезвычайным ситуациям (отозван) [ 57 ]
Британские стандарты
[ редактировать ]Британский институт стандартов (BSI Group) выпустил ряд стандартов, которые с тех пор были отменены и заменены вышеуказанными стандартами ISO.
- BS 7799-1 :1995 – процедуры информационной безопасности с периферийным адресом. (снято) [ 58 ]
- BS 25999-1 :2006 - Управление непрерывностью бизнеса. Часть 1. Свод правил (заменен, отозван) [ 59 ]
- BS 25999-2:2007 Управление непрерывностью бизнеса. Часть 2: Спецификация (заменен, отозван) [ 60 ]
- 2008: BS 25777, Управление непрерывностью информационных и коммуникационных технологий. Кодекс практики. (снято) [ 61 ]
В Великобритании BS 25999-2:2007 и BS 25999-1:2006 использовались для управления непрерывностью бизнеса во всех организациях, отраслях и секторах. Эти документы дают практический план действий в большинстве случаев — от экстремальных погодных условий до терроризма, сбоя ИТ-системы и болезни персонала. [ 62 ]
В 2004 году, после кризисов предыдущих лет, правительство Великобритании приняло Закон о гражданских чрезвычайных ситуациях 2004 года : предприятия должны иметь меры непрерывного планирования, чтобы выжить и продолжать процветать, одновременно стремясь свести инциденты к минимуму. Закон был разделен на две части: Часть 1: гражданская защита, охватывающая роли и обязанности местных служб реагирования Часть 2: чрезвычайные полномочия. [ 63 ] В Соединенном Королевстве устойчивость реализуется на местном уровне с помощью Местного форума устойчивости . [ 64 ]
Австралийские стандарты
[ редактировать ]- HB 292-2006, «Руководство для практиков по управлению непрерывностью бизнеса». [ 65 ]
- HB 293-2006, «Руководство для руководителей по управлению непрерывностью бизнеса». [ 66 ]
Соединенные Штаты
[ редактировать ]- Стандарт NFPA 1600 по управлению стихийными бедствиями/чрезвычайными ситуациями и программам обеспечения непрерывности бизнеса (2010 г.). Национальная ассоциация пожарной безопасности . (заменено). [ 67 ]
- NFPA 1600, Стандарт непрерывности, управления чрезвычайными ситуациями и кризисами (2019 г., действующий стандарт), Национальная ассоциация противопожарной защиты . [ 68 ]
- Непрерывность операций (COOP) и План реализации национальной политики непрерывности (NCPIP), Федеральное правительство США [ 69 ] [ 70 ] [ 71 ]
- Пакет планирования непрерывности бизнеса, Управление национальной защиты и программ DHS и FEMA. [ 72 ] [ 73 ] [ 74 ] [ 69 ]
- ASIS SPC.1-2009, Организационная устойчивость: системы управления безопасностью, готовностью и непрерывностью. Требования с руководством по использованию, Американский национальный институт стандартов [ 75 ]
Внедрение и тестирование
[ редактировать ]Фаза реализации включает в себя изменения в политике, приобретение материалов, подбор персонала и тестирование.
Тестирование и организационная приемка
[ редактировать ]В книге « Упражнения ради совершенства» , опубликованной Британским институтом стандартов в 2008 году , определены три типа упражнений, которые можно использовать при тестировании планов обеспечения непрерывности бизнеса.
- Кабинетные учения – небольшое количество людей концентрируется на конкретном аспекте ПП. Другая форма предполагает по одному представителю от каждой из нескольких команд.
- Средние упражнения . Некоторые отделы, команды или дисциплины концентрируются на нескольких аспектах BCP; объем может варьироваться от нескольких команд в одном здании до нескольких команд, работающих в разбросанных местах. Добавлены заранее подготовленные «сюрпризы».
- Комплексные учения . Все аспекты средних учений сохраняются, но для максимального реализма добавляется активация без уведомления, фактическая эвакуация и фактический вызов площадки аварийного восстановления.
Хотя время начала и окончания заранее согласовано, фактическая продолжительность может быть неизвестна, если событиям разрешено идти своим чередом.
Обслуживание
[ редактировать ]Техническое обслуживание руководства по BCP раз в два или два года. [ 76 ] разбит на три периодических мероприятия.
- Подтверждение информации, содержащейся в руководстве, распространение ее среди сотрудников для повышения осведомленности и специального обучения критически важных лиц.
- Тестирование и проверка технических решений, установленных для восстановительных работ.
- Тестирование и проверка процедур восстановления организации.
Проблемы, обнаруженные на этапе тестирования, часто приходится повторно вносить на этап анализа.
Информация и цели
[ редактировать ]Руководство BCP должно развиваться вместе с организацией и содержать информацию о том, кто и что должен знать :
- Серия контрольных списков
- Должностные инструкции, необходимые навыки, требования к обучению
- Документация и документооборот
- Определения терминологии для облегчения своевременного общения во время аварийного восстановления . [ 77 ]
- Списки рассылки (персонал, важные клиенты, продавцы/поставщики)
- Информация о коммуникационной и транспортной инфраструктуре (дороги, мосты) [ 78 ]
Технический
[ редактировать ]Необходимо поддерживать специализированные технические ресурсы. Проверки включают в себя:
- вирусов Распространение определений
- Распространение исправлений безопасности приложений и служб
- Работоспособность оборудования
- Работоспособность приложения
- Проверка данных
- Приложение данных
Тестирование и проверка процедур восстановления
[ редактировать ]Изменения программного обеспечения и рабочих процессов должны быть документированы и проверены, включая проверку того, что документированные задачи восстановления рабочих процессов и поддерживающая инфраструктура аварийного восстановления позволяют персоналу восстанавливаться в течение заранее определенного целевого времени восстановления. [ 79 ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Рекомендации BCI по передовой практике 2013 г., цитируются в Окружном совете Среднего Сассекса , Заявлении о политике непрерывности бизнеса , опубликовано в апреле 2018 г., по состоянию на 19 февраля 2021 г.
- ^ «Как построить эффективный и организованный план обеспечения непрерывности бизнеса» . Форбс . 26 июня 2015 г.
- ^ «Пережить катастрофу» (PDF) . American Bar .org (Американская ассоциация адвокатов) . 2011. Архивировано (PDF) из оригинала 9 октября 2022 г.
- ^ Эллиот, Д.; Шварц, Э.; Хербейн, Б. (1999) Ожидание следующего большого взрыва: планирование непрерывности бизнеса в финансовом секторе Великобритании. Журнал прикладных исследований в области управления, Vol. 8, Нет, стр. 43–60. Здесь: с. 48.
- ^ Алан Берман (9 марта 2015 г.). «Построение успешного плана непрерывности бизнеса» . Журнал «Бизнес-страхование» .
- ^ «План непрерывности бизнеса» . Министерство внутренней безопасности США. Архивировано из оригинала 7 декабря 2018 года . Проверено 4 октября 2018 г.
- ^ Jump up to: а б Ян Маккарти; Марк Коллард; Майкл Джонсон (2017). «Адаптивная организационная устойчивость: эволюционная перспектива». Текущее мнение об экологической устойчивости . 28 : 33–40. Бибкод : 2017КОЭС...28...33М . дои : 10.1016/j.cosust.2017.07.005 .
- ^ Интриери, Чарльз (10 сентября 2013 г.). «Планирование непрерывности бизнеса» . Флеви . Проверено 29 сентября 2013 г.
- ^ «Ресурсы для обеспечения непрерывности и техническая помощь | FEMA.gov» . www.fema.gov .
- ^ Jump up to: а б «Руководство по подготовке плана обеспечения непрерывности бизнеса» (PDF) . Архивировано из оригинала (PDF) 9 февраля 2019 г. Проверено 8 февраля 2019 г.
- ^ «Планирование непрерывности бизнеса (BCP) для предприятий любого размера» . 19 апреля 2017 года. Архивировано из оригинала 24 апреля 2017 года . Проверено 28 апреля 2017 г.
- ^ Йоси Шеффи (октябрь 2005 г.). Устойчивое предприятие: преодоление уязвимости конкурентоспособного предприятия . МТИ Пресс.
- ^ «Трансформация. Устойчивая экономика» . Архивировано из оригинала 22 октября 2013 г. Проверено 4 февраля 2019 г.
- ^ «Newsday | Источник новостей Лонг-Айленда и Нью-Йорка | Newsday» .
- ^ Тиффани Браун; Бенджамин Марц (2007). «Готовность к непрерывности бизнеса и состояние осознанности». Материалы AMCIS 2007 . S2CID 7698286 .
«По оценкам, 80 процентов компаний, не имеющих хорошо продуманного и проверенного плана обеспечения непрерывности бизнеса, прекращают свою деятельность в течение двух лет после крупной катастрофы» (Сантанджело, 2004).
- ^ «Приложение A.17: Аспекты информационной безопасности управления непрерывностью бизнеса» . СМИБ.онлайн. Ноябрь 2021 г.
- ^ «Коммуникация и устойчивость: заключительные мысли и ключевые вопросы для будущих исследований» . www.researchgate.net .
- ^ Буззанелл, Патрис М. (2010). «Устойчивость: разговоры, сопротивление и воображение новых нормальных условий существования». Журнал связи . 60 (1): 1–14. дои : 10.1111/j.1460-2466.2009.01469.x . ISSN 1460-2466 .
- ^ Буззанелл, Патрис М. (март 2010 г.). «Устойчивость: разговоры, сопротивление и воображение новых нормальных условий существования». Журнал связи . 60 (1): 1–14. дои : 10.1111/j.1460-2466.2009.01469.x . ISSN 0021-9916 .
- ^ Буззанелл, Патрис М. (2 января 2018 г.). «Организация устойчивости как адаптивно-трансформационная напряженность». Журнал прикладных коммуникационных исследований . 46 (1): 14–18. дои : 10.1080/00909882.2018.1426711 . ISSN 0090-9882 . S2CID 149004681 .
- ^ «Жизнеспособные организации» . 22 марта 2011 г.
- ^ «Диагностика устойчивости» . 28 ноября 2017 г.
- ^ ISO, ISO 22301 Управление непрерывностью бизнеса: Ваше руководство по внедрению , опубликовано, по состоянию на 20 февраля 2021 г.
- ^ «Аварийное планирование» (PDF) . Архивировано (PDF) из оригинала 9 октября 2022 г.
- ^ Хелен Кларк (15 августа 2012 г.). «Сможет ли ваша организация пережить стихийное бедствие?» (PDF) . RI.gov . Архивировано (PDF) из оригинала 9 октября 2022 г.
- ^ Мэй, Ричард. «Нахождение RPO и RTO» . Архивировано из оригинала 3 марта 2016 г.
- ^ «Максимально допустимый простой (определение)» . Riskythinking.com . ООО «Альбион Исследования» . Проверено 4 октября 2018 г.
- ^ «Инструкции BIA, УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА - СЕМИНАР» (PDF) . www.driecentral.org . Центральный обмен информацией для аварийного восстановления (DRIE). Архивировано (PDF) из оригинала 9 октября 2022 г. Проверено 4 октября 2018 г.
- ^ «Определения непрерывности бизнеса в стандарте ISO 22301 2012 на простом английском языке» . Praxiom.com . ООО «Исследовательская группа Праксиома» . Проверено 4 октября 2018 г.
- ^ «Базовые меры кибербезопасности» (PDF) . Министерство внутренних дел - Национальный центр кибербезопасности. 2022. с. 12.
- ^ «Рост и рост цели обеспечения единообразия восстановления» . 22 марта 2016 г. Архивировано из оригинала 26 сентября 2020 г. Проверено 9 сентября 2019 г.
- ^ «Как оценить решение по управлению восстановлением». West World Productions, 2006 [1]
- ^ Джош Кришер; Донна Скотт; Роберта Дж. Уитти. «Шесть мифов об управлении непрерывностью бизнеса и аварийном восстановлении» (PDF) . Исследования Гартнера. Архивировано (PDF) из оригинала 9 октября 2022 г.
- ^ «Расположение и распределение медицинских средств при стихийных бедствиях». дои : 10.1016/j.ijpe.2009.10.004 .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) [ нужны разъяснения ] - ^ «Транспортное планирование при аварийном восстановлении» . УЧЕНЫЙ.google.com . Архивировано из оригинала 9 октября 2022 г.
- ^ «Резюме сценариев планирования» (PDF) . Архивировано (PDF) из оригинала 9 октября 2022 г.
- ^ Хлоя Демровски (22 декабря 2017 г.). «Держим все вместе». Технология производственного бизнеса .
- ^ разработан Техническим руководящим комитетом SHARE в сотрудничестве с IBM.
- ^ Эллис Холман (13 марта 2012 г.). «Методология выбора решения для обеспечения непрерывности бизнеса» (PDF) . IBM Corp. Архивировано (PDF) оригиналом от 9 октября 2022 г.
- ^ Тирни, Кэтлин (21 ноября 2012 г.). «Управление стихийными бедствиями: социальные, политические и экономические измерения» . Ежегодный обзор окружающей среды и ресурсов . 37 (1): 341–363. doi : 10.1146/annurev-environ-020911-095618 . ISSN 1543-5938 . S2CID 154422711 .
- ^ Партридж, Кевин Г.; Янг, Лиза Р. (2011). Модель управления устойчивостью CERT® (RMM) v1.1: Кодекс практики, коммерческая версия Crosswalk, версия 1.1 (PDF) . Питтсбург, Пенсильвания: Университет Карнеги-Меллона . Проверено 5 января 2023 г.
- ^ «ISO – ISO/TC 292 – Безопасность и отказоустойчивость» . Международная организация по стандартизации .
- ^ «ИСО 22300:2018» . ИСО . 12 июля 2019 г.
- ^ «ИСО 22301:2019» . ИСО . 5 июня 2023 г.
- ^ «ИСО 22313:2020» . ИСО .
- ^ «ИСО/Ц 22317:2021» .
- ^ «ИСО/Ц 22318:2021» .
- ^ «ИСО/ТС 22330:2018» . ИСО . 12 июля 2019 г.
- ^ «ИСО/ТС 22331:2018» . ИСО .
- ^ «ИСО/Ц 22332:2021» .
- ^ «ИСО/МЭК ТС 17021-6:2014» . ИСО .
- ^ «ИСО/МЭК 24762:2008» . ИСО . 6 марта 2008 года . Проверено 5 января 2023 г.
- ^ «ИСО/МЭК 27001:2022» . ИСО . Проверено 5 января 2023 г.
- ^ «ИСО/МЭК 27002:2022» . ИСО . Проверено 5 января 2023 г.
- ^ «ИСО/МЭК 27031:2011» . ИСО . 5 сентября 2016 года . Проверено 5 января 2023 г.
- ^ «ИСО/ПАС 22399:2007» . ИСО . 18 июня 2012 года . Проверено 5 января 2023 г.
- ^ «ИВА 5:2006» . ИСО . Проверено 5 января 2023 г.
- ^ «BS 7799-1:1995 Менеджмент информационной безопасности. Свод правил для систем управления информационной безопасностью» . Группа компаний БСИ . Проверено 5 января 2023 г.
- ^ «BS 25999-1:2006 Менеджмент непрерывности бизнеса. Свод правил» . Группа компаний БСИ . Проверено 5 января 2023 г.
- ^ «BS 25999-2:2007 (издание для США) Управление непрерывностью бизнеса. Спецификация» . Группа компаний БСИ . Проверено 5 января 2023 г.
- ^ «BS 25777:2008 (Мягкая обложка) Управление непрерывностью информационных и коммуникационных технологий. Свод правил» . Группа компаний БСИ . Проверено 5 января 2023 г.
- ^ Британский институт стандартов (2006). Управление непрерывностью бизнеса. Часть 1. Кодекс практики: Лондон.
- ^ Кабинет министров. (2004). обзор Закона. В: Закон о гражданских чрезвычайных ситуациях Секретариата Секретариата по чрезвычайным ситуациям 2004 года: краткое изложение. Лондон: Секретариат по гражданским чрезвычайным ситуациям
- ^ «Июль 2013 г. (Версия 2) Роль местных форумов устойчивости: справочный документ» (PDF) . Кабинет министров . Проверено 5 января 2023 г.
- ^ «HB HB 292–2006 Руководство по управлению непрерывностью бизнеса» (PDF) . Стандарты Австралии . Проверено 5 января 2023 г.
- ^ «Руководство для руководителей по управлению непрерывностью бизнеса HB 293–2006» (PDF) . Стандарты Австралии . Проверено 5 января 2023 г.
- ^ NFPA 1600, Стандарт по управлению стихийными бедствиями/чрезвычайными ситуациями и программам обеспечения непрерывности бизнеса (PDF) (изд. 2010 г.). Куинси, Массачусетс: Национальная ассоциация противопожарной защиты. 2010. ISBN 978-161665005-6 .
- ^ «Всеобъемлющий обзор стандарта NFPA 1600» . АлертМедиа . 29 января 2019 года . Проверено 4 января 2023 г.
- ^ Jump up to: а б «План непрерывности бизнеса | Ready.gov» . www.ready.gov . Проверено 5 января 2023 г.
- ^ «ПЛАН РЕАЛИЗАЦИИ НАЦИОНАЛЬНОЙ ПОЛИТИКИ НЕПРЕРЫВНОСТИ, Совет внутренней безопасности, август 2007 г.» (PDF) . ФЕМА . Проверено 5 января 2023 г.
- ^ «Ресурсы для обеспечения непрерывности и техническая помощь | FEMA.gov» . ФЕМА . Проверено 5 января 2023 г.
- ^ «Непрерывность деятельности: обзор» (PDF) . ФЕМА . Проверено 5 января 2023 г.
- ^ «Бизнес | Ready.gov» . www.ready.gov . Проверено 5 января 2023 г.
- ^ «Пакет планирования непрерывности бизнеса | Ready.gov» . www.ready.gov . Проверено 5 января 2023 г.
- ^ ASIS SPC.1-2009 Организационная устойчивость: системы управления безопасностью, готовностью и непрерывностью. Требования с руководством по использованию (PDF) . Американский национальный институт стандартов. 2009. ISBN 978-1-887056-92-2 .
- ^ «Шаблон плана обеспечения непрерывности бизнеса» .
- ^ «Глоссарий | DRI International» . drii.org .
- ^ «Контрольный список плана аварийного восстановления» (PDF) . CMS.gov . Архивировано (PDF) из оригинала 9 октября 2022 г.
- ^ Осман. «Валидация метамодели управления стихийными бедствиями (DMM)» . УЧЕНЫЙ.google.com .
Дальнейшее чтение
[ редактировать ]- Джеймс С. Барнс (8 июня 2001 г.). Руководство по планированию непрерывности бизнеса . Уайли. ISBN 978-0471530152 .
- Кеннет Л. Фулмер (4 октября 2004 г.). Планирование непрерывности бизнеса. Пошаговое руководство . Ротштейн. ISBN 978-1931332217 .
- Ричард Кепенах. Разработка плана непрерывности бизнеса, 8 шагов для начала разработки плана .
- Джуди Белл (октябрь 1991 г.). Планирование выживания при стихийных бедствиях: Практическое руководство для бизнеса . Планирование выживания при стихийных бедствиях, Incorporated. ISBN 978-0963058003 .
- Диматтиа, С. (15 ноября 2001 г.). «Планирование непрерывности» . Библиотечный журнал . 126 (19): 32–34.
- Эндрю Золли; Энн Мари Хили (2013). Устойчивость: почему ситуация возвращается в норму . Саймон и Шустер. ISBN 978-1451683813 .
- Международный глоссарий по устойчивости , DRI International.
Внешние ссылки
[ редактировать ]- Уровни аварийного восстановления и TSM. Шарлотта Брукс, Мэтью Бедерняк, Игорь Джуран и Джон Мерриман. В книге « Стратегии аварийного восстановления с помощью Tivoli Storage Management». Глава 2. Страницы 21–36. Серия «Красные книги». ИБМ. Программное обеспечение Тиволи. 2002.
- SteelStore Cloud Storage Gateway: Руководство по передовому опыту аварийного восстановления. Riverbed Technology, Inc., октябрь 2011 г.
- Уровни аварийного восстановления. Роберт Керн и Виктор Пельц. Журнал IBM Systems. Ноябрь 2003 года.
- Непрерывность бизнеса: 5 уровней аварийного восстановления. Архивировано 26 сентября 2018 г. на сайте Wayback Machine Recovery Specialities. 2007.
- Непрерывные операции: семь уровней аварийного восстановления. Мэри Холл. Сообщество систем хранения данных (IBM). 18 июля 2011 г. Проверено 26 марта 2013 г.
- Максимально допустимый период простоя (MTPOD)
- Максимально допустимый период сбоя (MTPOD): ответ комитета BSI
- Вейбэк-машина
- Янко Ассошиэйтс
- План непрерывности бизнеса
- Рекомендации Министерства внутренней безопасности по плану действий в чрезвычайной ситуации
- Набор инструментов для управления персоналом в условиях пандемии CIDRAP/SHRM. Архивировано 18 мая 2013 г. в Wayback Machine.
- Адаптируйтесь и реагируйте на риски с помощью плана обеспечения непрерывности бизнеса (BCP)