2. Par ISO 22301
• Business Continuity Management
– Ietver visu organizāciju kopumā
– Vadības iesaiste un pārskate
– Kā visi ISO standarti būvēts pēc PDCA modeļa
– Attiecas uz organizāciju (pielāgojas organizācijas
specifikai)
– Iekšējais audits
• Vēsture
– 1997 – UK un ASV standarti, 1999 – gatavošanās Y2K,
2002 – BCI publicē BCM vadlīnijas, 2006 – tiek
publicēts BS 25999-1 (balstoties uz PAS56)
3. ISO 22301 saturs
Sadaļa Ietvars
1 Mērogs
2 Atsauces uz normatīvajiem aktiem
3 Termini un definīcijas
4 Vispārējās prasības
5 Vadības iesaiste (Politika, Lomu un atbildību sadalījums)
6 Plānošana (Mērķi un plāni to sasniegšanai, Darbības kā tiek pārvaldītas
problēmas)
7 Atbalsts (resursi, kompetences, komunikācija, dokumentācija)
8 Darbināšana (darbības plānošana, sagatavošanās, plānošana, rīcība
noteiktos gadījumos, pārbaudes/testi, pārskatīšana)
9 Darbības izvērtēšana (monitorēšana un mērījumi, iekšējais audits,
vadības pārskati)
10 Uzlabošana (neatbilstības un koriģējošās darbības, pastāvīga uzlabošana)
4. Standarta specifika
• Regulāra nepārtrauktības testēšana
– Nav specifisku testu prasību ir prasība regularitātei
• Regulāra efektivitātes analīze
– Piesaistot arī iesaistītās trešās puses
• Risku vadība papildinās ar kopēju BIA (kaut
gan tai tāpat tur būtu jābūt)
• Business recovery vs Disaster recovery
5. Standarta specifika
• Jāspēj demonstrēt, ka ir analizēta arī ārējā vide
un tās ietekmes faktori
– Nav svarīga specifiska metodoloģija
– Daļa no risku analīzes
• Biznesa nepārtrauktības plāni
– Atbilstoši jomām var būt vairāki
– Vienota formāta/principa
– Ikgadēja pārskatīšana
– Ārējās un iekšējās komunikācijas nozīme
7. Atstātā iespaida analīze (Business
Impact Analysis)
Procesi
Katram
procesam
noteikt tā
svarīgumu
BCM
kontekstā
Informācijasresursi
Katram
resursam
noteikt tā
iesaisti
kritiskajos
procesos
Atjaunošanās
RPO un
RTO
noteikšana
8. Stratēģijas izvēle
• Standarts prasa atspoguļot stratēģijas izvēles
procesu (ka tāds vispār ir bijis)
• Neprasa konkrētu metodoloģiju
• Piemēri
– Atjaunošanās ar saviem resursiem
– Hot site/Cold site
– Piegādes un darbības nodrošināšanas līgumi
– Noteiktu pakalpojumu darbības
pārtraukšana/aizkavēšana
9. Darbības nepārtrauktības plāna
komponentes
• Plāna kopsavilkums (mērogs, mērķi, pieņēmumi)
• Atbildības un lomas, lēmumu pieņemšanas kapacitātes
• Izziņošana, iedarbināšana un eskalācija
• BCM komanda
• Kontaktinformācija
• Darbu saraksts (checklists)
• Atbalsta infromācija
• Kritiskās darbības (plāns, RPO un RTO mērķi)
• Atjaunojamie resursi un atjaunošanas vieta
• Paraugi dokumentiem un formām
10. Apmācības un testēšana
• Vismaz reizi gadā rekomendēts testēt
• Testēšanai nebūtu jāaptur normāla biznesa
funkcionēšana
• Mērķis ir atrast vājos punktus, izlabot un
testēt atkārtoti
• Var testēt visu plānu (Disaster drill) vai
atsevišķas komponentes (component testing,
module testing, linked testing)
11. Sasaiste ar IT jautājumiem
• IT darbības nepārtrauktības plānošana ir daļa
no organizācijas kopējās nepārtrauktības
plānošanas
– ISO 27001, ISO 17799 -> izrietoši LR MK
765.noteikumi valsts informācijas sistēmām (Valsts
informācijas sistēmu vispārējās drošības prasības)
netieši ietver šādu norādi
– Bez organizācijas izvirzītām prioritātēm par
informācijas sistēmu drošību atbildīgajiem ir
neiespējami plānot IT darbības nepārtrauktību
13. Atsauces citos standartos
• LVS ISO/IEC 27001
– A.14 kontroļu grupa izvirza prasības darbības
nepārtrauktības plānošanai
– ISO 27031 (Guidelines for information and
communication technology readiness for business
continuity)
• ISO 28000 (Piegādes ķēdes drošība)
15. Citi standarti un metodoloģijas
• BS 25999-1 (Britu standarts)
• SS 540 (Singapūras standarts) – Darbības nepārtrauktība
• SOX prasība
• ISO 22399 – vadlīnijas gatavībai incidentiem un darbības
turpināšanai
• ISO 24762 – ICT Disaster recovery
• NIST 800-34 – Vadlīnijas kā saprast mērķus un porcesus
informācijas sistēmu nepārtrauktības plānošanā
• NFPA 1600 (National Fire Protection Association) – kā
pārvaldīt nepārtrauktību un izvērtēt esošās programmas
Paraugisituācijām LV,kadvarētuiestātiesvajadzībapēc business continuityDzelzceļakatastrofaPlūdi
BCM ->Orientējasuz to kābiznessvarturpināties, kadiestājasproblēmas. SvarīgākoprocesuturpināšanaDR – Atjaunottehnoloģijupēciespējasātrāk (kāatjaunotkonkrētastehnoloģijas un sistēmas)Ideja -> BCM = pārceļamiesuzjaunāmtelpām, laitikaiturpinātudarbību; DRM – Atjaunojamesošāstelpas to orģinālajāstāvoklī!
Piem: SWOT, PEST (Political, Economical, Social, Technological), utmlOrganizācijaijāspējnodemonstrētkātāplānonodotinformācijuarīuzārpusiutml…Vienmērnozīmētkonkrētumedijukomunikācijaspārstāvi (savādākinformācijapatinonākdažādāsformās!) RunātpirmajiempašiemPARAUGI no auditorijas – kātestēt???? Kādassekasvarbūttestiem?
Mērķisatrastpiemērotākosdarbībasatjaunošanasrisinājumuskritiskajāmbiznesafunkcijām un atbalstaresursusiemDatucentrapiemēri:Būvēt no jauna,AtjaunotPārcelt pie piegādātājakāda DCCold siteWarn, hot siteActive recovery site
Ievaddatiizstrādē:RiskuvadībaBusiness Impact Analysis (atstātāiespaidaanalīze)Business Continuity Strategy Development rezultāts
Varbūtpirms tam kādsvarētuminētparaugus LV kāvarētuiestātiesnepieciešamībapēc BCM