ISO 22301 определяет требования к планированию, созданию, внедрению, эксплуатации, мониторингу, обзору, поддержанию и постоянному улучшению документированной системы управления для подготовки, реагирования и восстановления после различных аварийных ситуаций. Требования, указанные в ISO 22301, являются общими и предназначены для применения ко всем организациям (или их частям), независимо от типа, размера и характера организации. Степень применения этих требований зависит от операционной среды организации и ее сложности.
Внедрение непрерывности бизнеса — это длительный и непростой процесс, который условно можно разделить на 17 шагов. Далее рассмотрим подробнее каждый шаг.
1) Поддержка руководства
Не имеет смысла начинать какой-либо проект (особенно этот), если руководство не готово вкладывать как финансовые, так и человеческие ресурсы, а для этого оно должно видеть явные выгоды.
2) Определение требований
Прежде чем предпринимать какие-либо конкретные шаги, вы хотите убедиться, что вы будете соответствовать всему, чего хотят от вас заинтересованные стороны (по крайней мере, те, кого вы считаете важными). Помните, что это не только законы и правила, но и требования соглашений с вашими клиентами (например, SLA), пожелания владельцев компании и местного сообщества и т. д. Вам необходимо перечислить все эти требования и определить, как общаться с каждой из заинтересованных сторон/заинтересованных сторон.
3) Политика и цели обеспечения непрерывности бизнеса
Высшему руководству необходимо определить некоторые основные обязанности и правила обеспечения непрерывности бизнеса, и именно для этого используется политика обеспечения непрерывности бизнеса, но высшему руководству также необходимо точно определить, что ожидается от обеспечения непрерывности бизнеса, — установив измеримые цели. Это непросто, но это, безусловно, необходимо, если вы хотите измерить, выполнила ли непрерывность бизнеса свою цель.
4) Вспомогательные документы для системы управления
Системы управления, будь то непрерывность бизнеса, информационная безопасность, управление качеством или защита окружающей среды, имеют общий набор процедур, на которые опираются такие системы. Эти процедуры: контроль документов и записей, внутренний аудит и корректирующие действия — как только вы их внедрите, вам станет намного проще управлять своей системой.
5) Оценка и устранение рисков
Хотите ли вы быть готовы к разрушительным инцидентам? Возможно, даже предотвратить некоторые из них? Сначала вам нужно выяснить, какие инциденты могут произойти, а затем определить, какие элементы управления (т. е. меры безопасности) вы можете применить для их смягчения — это, по сути, и есть оценка и устранение рисков.
6) Анализ влияния на бизнес
Ваш анализ не заканчивается оценкой риска — вам также необходимо выяснить две основные вещи: (1) насколько быстро вам нужно восстановиться и (2) что вам нужно, чтобы добиться успеха в таком восстановлении. Таким образом, целью анализа влияния на бизнес является определение целевого времени восстановления (RTO) и требуемых ресурсов.
7) Стратегия обеспечения непрерывности бизнеса
Учитывая входные данные (различные требования, RTO, ресурсы, наиболее вероятные инциденты), вам нужно выяснить, как достичь всего этого с минимальным уровнем инвестиций. Это может быть довольно сложным, но без этого шага ваша непрерывность бизнеса будет просто карточным домиком.
8) План обеспечения непрерывности бизнеса
На самом деле существует несколько типов планов BCP — как минимум, есть планы реагирования на инциденты (они определяют первоначальную реакцию на инцидент) и планы восстановления DRP (что необходимо сделать, чтобы начать выполнение мероприятий). Все это должно быть основано на стратегии, потому что в противном случае им не хватит ресурсов (информации, технологий, людей и т. д.) для реализации таких планов.
9) Обучение и осведомленность
Недостаточно иметь планы — если никто не знает, как их реализовать (или где их найти!), вы можете быть уверены, что в случае реального инцидента они точно не сработают. Поэтому вам нужно объяснить своим сотрудникам (и третьим лицам, которые играют роль в ваших планах) не только, как выполнять определенные шаги в вашем плане, но и почему это вообще важно.
10) Ведение документации
У письменных документов есть одна неприятная привычка — они очень быстро устаревают. Кто-то уходит из компании или приходят новые сотрудники; вы меняете рабочие процессы или технологию, добавляете новые продукты — все это должно быть отражено в вашей документации, особенно в планах. Без таких изменений вы не сможете реализовать свои планы, когда они больше всего нужны.
11) Упражнения и тестирование
Как бы необходимо это ни было, Обучение будет недостаточным — если вы не попробуете планы, чтобы узнать, как они работают в (почти) реальных ситуациях, вы никогда не узнаете, где они несовершенны. Поэтому выполнение регулярных тренировок и тестирования имеет первостепенное значение, и такое тестирование не должно ограничиваться только ИТ — все, включая высшее руководство и партнеров по аутсорсингу и поставщиков, должны быть включены.
12) Анализ после инцидента
Неважно, как сильно вы стараетесь, вы никогда не сможете предотвратить инциденты; однако вы можете извлечь уроки из таких инцидентов. И вы можете узнать довольно много — как люди реагируют, насколько они готовы, какие улучшения необходимы в планах и т. д., и, что самое важное — достигли ли вы своей цели по времени восстановления?
13) Общение с заинтересованными сторонами
На самом деле это не 13-й шаг (не то чтобы я пытался его избегать), потому что это шаг, который должен выполняться параллельно со всеми остальными шагами. Это связано с тем, что непрерывность бизнеса во многом зависит от регулирующих органов, властей, владельцев, семей сотрудников, СМИ и т. д., и вам необходимо информировать эти заинтересованные стороны с самого начала, когда вы пишете свою политику и устанавливаете цели, вплоть до того момента, когда инцидент действительно происходит.
14) Измерение и оценка
Основная идея здесь заключается в том, что нет смысла что-либо делать, если вы не знаете, достигли ли вы того, чего хотели, или нет. В случае непрерывности бизнеса цели устанавливаются на шаге № 3, а выяснение того, достигли ли вы этих целей, должно осуществляться с помощью каких-то метрик. Это может быть что-то сложное, например, сбалансированная система показателей, но также может быть и таким базовым, как измерение достижения RTO во время учений и тестирования.
15) Внутренний аудит
Невозможно быть на 100% объективным в отношении своей работы. Поэтому кто-то, кто менее субъективен, чем вы, должен проверить вашу работу и предложить улучшения — в этом и заключается суть внутреннего аудита. Хотя его часто считают накладными расходами, внутренний аудит на самом деле очень полезен, когда дело доходит до столкновения с реальностью.
16) Корректирующие действия
Все мы ежедневно вносим улучшения в то, что мы делаем, но ISO 22301 хочет, чтобы мы делали это систематически — он заставляет организацию выяснять, почему возникла проблема, и следить за тем, чтобы она никогда не повторилась. Или, как говорится в стандарте, «следить за тем, чтобы несоответствия не повторялись» — это нужно делать систематически и прозрачно.
17) Анализ со стороны руководства
После того, как все эти шаги выполнены, высшему руководству необходимо оценить их и принять некоторые важные решения — например, обновить цели, предоставить финансирование, внести более крупные улучшения и т. д. В конце концов, это их главная ответственность — чтобы компания пережила более крупные инциденты
