Upload
goranvranic
View
195
Download
6
Embed Size (px)
DESCRIPTION
e-Business Conference Banja Luka 2014
Citation preview
Upravljanje kontinuitetom poslovanja po ISO 22301 standardu
Milica Labus
Belox Advisory Services
Sadržaj
• Uvod
• Šta je upravljanje kontinuitetom poslovanja?
• ISO 22301 standard
• Osnovna terminologija
• Koraci u procesu implementacije upravljanja kontinuitetom poslovanja
• Najvažnija (obavezna) dokumentacija
• Najveći izazovi prilikom implementacije
Uvod
• Predavanje pokriva osnovne korake u implementaciji upravljanja kontinuitetom poslovanja (BCM) u skladu sa ISO 22301 standardom
• Namenjeno je onima koji planiraju da implementiraju proces upravljanja kontinuitetom poslovanja
• Paralelno sa ISO 22301 standardom, sagledani su i zahtevi koji proizilaze iz Odluke o minimalnim standardima upravljanja IS u bankama (Agencija za bankarstvo Republike Srpske)
Koji su to neophodni elementi za uspešnu implementaciju BCM-a?
Zašto kontinuitet poslovanja?
Kontinuitet poslovanja je sposobnost organizacije
da nastavi sa isporukom proizvoda i/ili
pružanjem usluga na
prihvatljivim, unapred definisanim, nivoima
nakon incidentnog događaja.
Šta je upravljanje kontinuitetom poslovanja?
BCM je holistički proces upravljanja koji:
• identifikuje potencijalne pretnje kojima je izloženo poslovanje i njihove moguće uticaje na poslovne aktivnosti,
• definiše okvir za razvijanje otpornosti organizacije i sposobnost efikasnog oporavka organizacije od posledica incidentnog događaja,
• i na taj način štiti interese ključnih zainteresovanih strana, reputaciju organizacije, njen brend i ključne poslovne aktivnosti.
Cilj je zaštita poslovanja i očuvanje ključnih poslovnih aktivnosti!
Odakle krenuti ?
• ISO 22301 se smatra osnovnim standardom za upravljanje kontinuitetom poslovanja, iz sledećih razloga: • prvi međunarodni standard usmeren isključivo na kontinuitet
poslovanja • može se primeniti na bilo koju organizaciju, bez obzira na njenu
veličinu, delatnost i lokaciju • jasno definiše ciljeve i delokrug BCM-a • stavlja veliki akcenat na angažovanju rukovodstva organizacije
(Plan-Do-Check-Act model) • podrazumeva kontinuirano unapređenje
ISO 22301 familija standarda ISO 22301:2012 Specifikacija (Requirements) ISO 22313:2012 Uputstvo za implementaciju (Guidance)
ISO 22301 standard definiše uspostavljanje i upravljanje efikasnim Sistemom za upravljanje
kontinuitetom poslovanja (BCMS).
Sistem za upravljanje kontinuitetom poslovanja (BCMS)
1. definiše neophodnost i potrebe organizacije za uspostavljanjem kontinuiteta poslovanja
2. sprovodi kontrole i mere za upravljanje sposobnošću organizacije za oporavak od posledica vanredne situacije
3. prati performanse i efikasnost upravljanja kontinuitetom poslovanja
4. stalno poboljšava upravljanje kontinuitetom poslovanja na osnovu objektivnog merenja.
BCMS uspostavlja, sprovodi, upravlja, nadgleda, prati, održava i poboljšava kontinuitet poslovanja.
Ključne komponente BCMS-a
– Politika kontinuiteta poslovanja – Ljudi sa definisanim odgovornostima – Upravljanje procesima koji se odnose na:
• politiku • planiranje • uvođenje i funkcionisanje upravljanja kontinuitetom
poslovanja • ocenjivanje performansi • preporuke rukovodstva • poboljšanja upravljanja kontinuitetom poslovanja
– Set dokumenata koji su podložni reviziji i – Svi ostali procesi vezani za upravljanje kontinuitetom
poslovanja koji su relevantni za organizaciju.
Kontinuirano unapređenje BCMS-a
Zainter.
strane
BCM
Zainter.
strane
BCM
zahtevi
BCMS definicija preko PDCA modela
Izvor: International standard ISO 22301
1. Planiranje (PLAN)
2. Uspostavljanje i funkcionisanje (DO)
3. Praćenje i revizija (CHECK)
4. Održavanje i unapređenje (ACT)
BCMS implementacija u 10 koraka Planiranje (PLAN)
•1. Definisanje delokruga •2. Podrška rukovodstva
•3. Definisanje ciljeva •4. Definisanje podrške sprovođenju BCMS-a
Uspostavljanje i funkcionisanje (DO)
•5. Analiza uticaja na poslovanje i procena rizika
•6. Strategija kontinuiteta poslovanja
•7. Plan kontinuiteta poslovanja •8. Obuke i testiranje
Praćenje i revizija (CHECK)
•9. Ocenjivanje
Održavanje i unapređenje (ACT)
•10. Poboljšanja
I deo: Planiranje
1. Definisanje delokruga
– Razumevanje konteksta organizacije (interni i eksterni faktori)
– Razumevanje potreba i očekivanja zainteresovanih strana (osnivači, zaposleni, klijenti, partneri, ABRS,...)
– Usluge koje su poverene trećim licima
Plan
Do
Check
Act
Delokrug BCMS-a: delovi organizacije, BCMS zahtevi, proizvodi i usluge, potrebe zainteresovanih strana.
I deo: Planiranje ...
2. Podrška rukovodstva – Uključuje:
• usklađivanje BCM-a sa sveobuhvatnom strategijom organizacije
• obezbeđivanje potrebnih resursa za BCMS
• promovisanje kontinuiranog unapređenja
• definisanje uloga i odgovornosti
– Definiše se kroz Politiku upravljanja kontinuitetom poslovanja (eng. BCMS Policy)
BCMS Policy je dokument najvišeg nivoa koji služi rukovodstvu da upravlja razvojem BCMS u organizaciji.
Plan
Do
Check
Act
Politika upravljanja kontinuitetom poslovanja
• Definiše delokrug BCMS-a
• Definiše BCMS uloge i odgovornosti
• Definiše ciljeve performansi sistema i načine ocenjivanja
• Promoviše kontinuirano unapređenje
• Na raspolaganju je svim zainteresovanim stranama
Plan
Do
Check
Act
I deo: Planiranje ...
3. Definisanje ciljeva – Definisanje ciljeva BCMS-a koji su konzistentni sa Politikom i koji
uzimaju u obzir minimalni nivo raspoloživosti proizvoda i usluga koji je prihvatljiv organizaciji
– „SMART“ ciljevi
4. Definisanje podrške sprovođenju BCMS-a – Definisanje pristupa (ko je odgovoran, šta će biti urađeno, koji su
rokovi, koji su neophodni resursi i kako će se rezultati ocenjivati) – Definisanje potrebnih kompetencija za sve uloge vezane za BCMS-u – Promovisanje BCMS-a širom organizacije – Plan komunikacije – Upravljanje dokumentacijom
Plan
Do
Check
Act
II deo: Uspostavljanje i funkcionisanje
5. Analiza uticaja na poslovanje i procena rizika – Analiza uticaja na poslovanje (eng. Business Impact
Analysis - BIA) • Identifikovanje ključnih poslovnih procesa i aktivnosti • Procena uticaja prekida poslovanja tokom vremena • Identifikovanje potrebnih resursa • Utvrđivanje ciljnih parametara oporavka
– Procena rizika (eng. Risk Assessment - RA) • Identifikovanje i analiza potencijalnih rizika • Procena verovatnoće nastanka prekida u poslovanju • Preporuka za implementaciju dodatnih kontrola
Plan
Do
Check
Act
II deo: Uspostavljanje i funkcionisanje …
6. Strategija upravljanja kontinuitetom poslovanja
– Identifikovanje mogućih strategija kontinuiteta poslovanja koje će umanjiti rizike identifikovane u BIA i RA analizama na nivo koji je rukovodstvu organizacije prihvatljiv
– Proceniti neophodne resurse za svaku od mogućih strategija
– Izbor odgovarajuće strategije od strane rukovodstva organizacije
Strategija obezbeđuje da svi neophodni resursi budu na raspolaganju u slučaju incidentne situacije.
Plan
Do
Check
Act
Strategija upravljanja kontinuitetom poslovanja
• Definiše osnovu za pisanje BCP • Definiše na koji način se štite
ključni proizvodi i usluge • Definiše odgovor na incident • Strategija obezbeđenja
neophodnih resursa • Strategije oporavka za
pojedinačne poslovne funkcije • Definiše sve potrebne
pripremne aktivnosti za pisanje planova
Plan
Do
Check
Act
II deo: Uspostavljanje i funkcionisanje ...
7. Plan kontinuiteta poslovanja
– Detaljni koraci koje će organizacija izvršiti u slučaju da se incident dogodi:
• Odgovor na incident (kako reagovati?)
• Način oporavka aktivnosti (kako se oporaviti?)
• Način funkcionisanja u „fazi oporavka“
– To su dokumenti koji se koriste u slučaju stvarne opasnosti
Cilj je da se na prihvatljivu meru svedu potencijalni gubici koji mogu nastati kao rezultat vanredne situacije.
Plan
Do
Check
Act
Plan kontinuiteta poslovanja nije jedan dokument!
1. Procedura (plan) odgovora na incidente (eng. Incident Response Plan)
2. Plan oporavka informacionog sistema (eng. Disaster Recovery Plan)
3. Plan oporavka aktivnosti (za SVE poslovne aktivnosti, eng. Recovery Plan)
Plan
Do
Check
Act
Plan kontinuiteta poslovanja .....
• Definiše uloge i odgovornosti • Aktivaciju i deaktivaciju plana • Upravljanje neposrednim
posledicama incidenta • Načine komunikacije sa svim
zainteresovanim stranama • Neophodne resurse • Alternativne lokacije • Timove zadužene za oporavak • Oporavak aktivnosti u okviru
RTO
Plan
Do
Check
Act
II deo: Uspostavljanje i funkcionisanje …
8. Obuke i testiranje planova kontinuiteta poslovanja – U skladu sa ciljevima i delokrugom BCMS-a – Definisanje materijala za obuku i plana obuke – Definisanje plana testiranja – Izvođenje testiranja u planiranim intervalima, a
specijalno prilikom značajnih promena u organizaciji ili u njenom okruženju
– Na osnovu rezultata testiranja definisanje korektivnih mera i poboljšanja strategije kontinuiteta poslovanja i planova kontinuiteta poslovanja Osnova uspešnog upravljanja kontinuitetom poslovanja
je fokus na kontinuirano unapređenje
Plan
Do
Check
Act
Kontinuirano unapređenje.. Plan
Do
Check
Act
5. Sprovođenje analize uticaja na poslovanje i
procena rizika
6. Definisanje strategije upravljanja
kontinuitetom poslovanja
7. Definisanje i uspostavljanje planova kontinuiteta poslovanja
8. Obuke i testiranje planova kontinuiteta
poslovanja
III deo: Praćenje i revizija
9. Ocenjivanje
– Definisanje metrika za ocenjivanje performansi BCMS
– Definisanje procesa Interne revizije
– Usvajanje rezultata ocenjivanja od strane rukovodstva (eng. Management review)
Povratne informacije o performansama sistema omogućavaju rukovodstvu da na najbolji način zaštite
poslovanje imajući u vidu ograničene resurse.
Plan
Do
Check
Act
IV deo: Održavanje i unapređenje
10. Poboljšanja – Korektivne akcije
• Definisati proces i ažurno voditi listu korektivnih akcija
– Analiza uzroka • Za svaku identifikovanu neusaglašenost i/ili loše
performanse BCMS-a
– Praćenje progresa i izveštavanje • Statusi korektivnih akcija
Kontinuirano unapređenje BCMS pomoću korektivnih akcija u skladu sa rezultatima internih revizija, preporuka
rukovodstva i ostalih relevantnih informacija.
Plan
Do
Check
Act
Najvažnija (obavezna) dokumentacija
1. Politika upravljanja kontinuitetom poslovanja
2. Ciljevi upravljanja kontinuitetom poslovanja (BCMS ciljevi)
3. Procena rizika (RA)
4. Analiza uticaja na poslovanje (BIA)
5. Strategija upravljanja kontinuitetom poslovanja
6. Planovi kontinuiteta poslovanja (BCP)
Najvažnija (obavezna) dokumentacija ...
7. Plan obuke i materijali za obuku
8. Plan testiranja i rezultati testiranja
9. Rezultati interne revizije
10.Plan unapređenja (lista korektivnih akcija sa prioritetima)
Oko 50% BCM dokumentacije su planovi ... ostalo je priprema i održavanje!
Kako pridobiti podršku menadžmenta?
Najvažnije koristi:
Usklađivanje sa
propisima
Povećava poverenje klijenata i ostalih zainteresovanih
strana
BCM pozitivno utiče na ostale procese u
organizaciji
Sprečavanje gubitaka velikih
razmera
Najveći izazovi prilikom implementacije
• Nedostatak podrške rukovodstva (opravdanost projekta, budžet/resursi)
• Nerazumevanje procesa implementacije BCM („the quick and dirty“ pristup)
• Nerazumevanje da je BCM poslovna inicijativa, a ne IT projekat
• Baziranje BCM isključivo na vendorskom rešenju • Konsultantski projekat tipa „crna kutija“ • Baziranje implementacije isključivo na nekom standardu • BCP neadekvatan korišćenju u vanrednoj situaciji (npr.
previše ili premalo detalja) • ...
Šta Belox može da ponudi?
• Konsultantske usluge prilagođene Vašim potrebama • tim stručnjaka sa iskustvima na BCM projektima u
regionu • pomoć u definisanju uloga i odgovornosti, ciljeva i
delokruga BCM-a • template svih dokumenata • specijalizovane obuke prilagođene Vašim potrebama • podršku u celokupnom procesu uspostavljanja BCM /
BCMS-a
Više detalje o našim uslugama možete pročitati na www.belox.rs/it
Hvala na pažnji!
Milica Labus
Business Development Manager,
Partner
Belox Advisory Services Jurija Gagarina 14nj, A 1/5 Belville
11070 Beograd, Srbija
[email protected] www.belox.rs