Управления рисками и планирование непрерывности рабочего

Управления рисками и планирование непрерывности рабочего
процесса
1.
Вступление
Управление рисками играет критически важную роль в защите информационных активов
организации в нынешний цифровой век, когда организации все более и более полагаются на
автоматизированные системы информационной технологии при обработке их информации и при
обеспечении лучшей поддержки их миссии. Планирование непрерывности рабочего процесса тесно
связано с управлением рисками. Его используют для предупреждения и ответных действий на
перебои в работе и для защиты важных рабочих процессов от влияния значительных сбоев или
существенных поломок . Управление рисками и планирование непрерывности рабочего процесса
стали жизненно важными компонентами рабочих операций, благодаря которым и проистекает весь
рабочий процесс. 1
2.
Что такое управление рисками?
Управление рисками – это процесс идентификации рисков, оценки рисков, и принятия мер по
уменьшению рисков к допустимому уровню. Управление рисками охватывает три процесса:
управление риском, уменьшение риска, и рассмотрение и оценка. Управление рисками позволяет
ИТ-менеджерам балансировать операционные и экономические затраты по принятию защитных
мер и достижению увеличения операционных возможностей путем защиты ИТ-систем и данных,
поддерживающих их организационные миссии.
Главными целями управления рисками есть обеспечение возможности организации
выполнения своих миссий путем повышения безопасности систем информационной технологии,
которые хранят, обрабатывают или передают организационную информацию. Опыт процессов
управления рисками может помочь менеджерам в принятии осознанных решений по управлению
рисками, базирующихся на адекватных знаниях; оправдать затраты бюджета информационных
технологий; а также авторизовать эффективные системы информационной технологии. Хорошо
структурированная методология по управлению рисками может помочь процессу управления
идентифицировать адекватные рычаги контроля для обеспечения возможностей безопасности,
являющихся принципиально важными для миссий организации.
Информационные активы организации сталкиваются с разными рисками в сегодняшней среде
бизнеса. Активы организации невозможно защитить, если суть риска не определена четко. Но
1
‘Руководство по управлению рисками для Систем информационной технологии’ (Специальные
публикации Национального института стандартов и технологий США 800-30), авторы: G. Stoneburner, A.
Goguen, and A. Feringa; ‘Пособие по управлению информационными рисками’, авторы: M. Krause and H.
Tipton; и ‘Планирование непрерывного рабочего процесса: Рекомендации по хорошей практике’, автор: D. J.
Smith из Института по исследованиям непрерывности рабочего процесса, являются главными ссылками для
этого занятия.
Управление рисками и планирование непрерывности рабочего процесса
необходимо уяснить, что означает риск в отдельном контексте. Риск – это возможность действия
или случая, который может принести вред или привести к потерям организации и ее
информационных активов. В этом смысле риск относится к таким рискам, которые ассоциируются с
потенциально вредным случаем, который может произойти при отсутствии конкретного контроля,
способного предотвратить нанесение ущерба. Риск – это чистое негативное влияние конкретной
угрозы, что может злоупотреблять слабыми сторонами активов организации для причинения вреда,
или ущерба этим активам. Обычно, риск выражается математической формулой:
Риск = Угрозы x Слабые зоны x Стоимость активов.
Согласно этой формуле, риск является функцией вероятности конкретной угрозы,
злоупотребляющей конкретной потенциально слабой стороной с влиянием на активы организации в
результате такого негативного происшествия. Существует четыре типа рисков рабочего процесса,
которые можно определить следующим образом:
•
Финансовый риск. Большинство информационных систем потенциально имеют
некоторое влияние на результат финансовой работы организации, и сбои в них будут
давать негативный результат в финансовой сфере, и таким образом нужно учесть
уровень, вероятность и потенциальное влияние таких сбоев.
•
Стратегический риск. Информационные системы
влияние на организацию.
•
Операционный риск. Операционный риск является более распространенным, чем
другие факторы риска в рабочем процессе, поскольку большинство информационных
систем созданы для влияния на уровень эффективности организации в повседневной
ее работе.
•
Соответствие закону. Информационные системы могут иметь прямое влияние не то,
насколько организация соответствует статутным требованиям.
имеют прямое стратегическое
Угроза – это потенциальная возможность для конкретного источника угрозы злоупотребить
конкретной слабой стороной. Источник угрозы может злоупотреблять слабой стороной умышленно,
либо он может задеть слабое место случайно. Слабые стороны – это ошибки или недоработки,
которые можно задеть случайно или которыми можно злоупотреблять осознанно, таким образом,
нарушая безопасность или стратегии безопасности. Источник угрозы не представляет собой риска,
если нет в наличии слабой зоны. При определении вероятности угрозы, нужно принимать во
внимание источники угроз, потенциальные слабые стороны и существующий контроль рисков.
Проводя линию от слабой стороны к угрозам, и идентифицируя потенциальное влияние угроз
на активы, можно четко увидеть связь между разными факторами; эта связь является одной из
самых фундаментальных концепций оценки риска. Можно видеть, что разная степень слабых мест
позволяет угрозам появляться с большей или меньшей частотой или силой влияния. Чем больше
слабые стороны, тем больше риск утрат в результате конкретной угрозы.
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 2 из 11
Управление рисками и планирование непрерывности рабочего процесса
3.
Оценка рисков
Термин управление рисками характеризирует общий процесс, являющийся непрерывным и
постоянно усложняющийся. Его первой фазой является управление риском. Она включает в себя
идентификацию рисков, меры по уменьшению рисков и бюджетное влияние на внедрение решений,
связанных с принятием, избежанием или переносом рисков. Вторая фаза управления рисками
включает в себя приписывание приоритетности, бюджетирование, внедрение и обслуживание
релевантных мер по снижению риска.
В эпоху информации надежная защита информации становится бесконечным заданием догнать
технологию сохранения информации, ее обработки, передачи и доступ к ней быстро развивается.
Важно, чтобы процесс анализа и оценки рисков был легко понятен всем сторонам и был оформлен
своевременно. Риски, потенциально связанные с информацией и информационной технологией
нужно идентифицировать и управлять ими рентабельным способом.
Анализ рисков в процессе анализа целевой среды и определения связей между ее атрибутами,
связанными с риском. Такой анализ должен идентифицировать угрозы и слабые стороны, включая
слабые зоны связанных и родственных активов. Анализ также должен установить потенциал и
природу нежеланных результатов, а также показать и предоставить оценку встречным мерам,
направленным на снижение риска.
Анализ риска остается фундаментом эффективного управления безопасностью, так как
менеджеры нуждаются в инструменте для понимания особенностей безопасности и рисков, которым
подвержена их организация. Анализ рисков предоставляет как оправдание, так и может действовать
в роли инструмента коммуникаций внутри организации.
Термин анализ рисков относится к установлению стоимости активов, частоты угроз,
последствиям потенциально вредного происшествия и любых других случайных элементов.
Результаты анализа рисков можно использовать для оценки или измерения рисков. Таким образом,
термин управление рисками используется для характеристики, как процессов, так и результата
анализа, так и оценивания рисков.
Управление риском, следовательно, являет собой систематический анализ
•
Вреда, наносимого рабочему процессу, который может наступить в результате сбоя
программы безопасности, принимая во внимание потенциальные последствия
нарушения конфиденциальности, целостности, или доступности информации и других
активов.
•
Реальной вероятности наступления такого сбоя в свете преобладающих угроз и слабых
мест, а также рычагов контроля, применяемых на данном этапе.
Результаты такого оценивания могут быть использованы для направления и определения
адекватных управленческих действий и приоритетов в управлении рисками информационной
безопасности, а также для внедрения рычагов контроля, выбранных для защиты от таких рисков.
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 3 из 11
Управление рисками и планирование непрерывности рабочего процесса
4.
Количественные подходы в сравнении с качественными
Существует два фундаментально разных подхода к управлению рисками: количественный и
качественный. Они отличаются по своей природе и используемым параметрам.
1. Качественный подход использует два основоположных элемента вероятности
происшествия и его негативных последствий.
2. Количественный подход описывает риск исключительно с математической точки зрения,
определяя величину в цифрах для каждого риска и пользуясь этим в качестве
руководства для дальнейшего принятия решений в области управления рисками.
Главным преимуществом количественного подхода есть то, что он предоставляет
количественное измерение масштаба влияния, что можно использовать в анализе рентабельности
рекомендованных элементов управления. Его недостаток – значение количественного подхода
может быть неясным, в зависимости от области числовых значений, используемых для измерения.
Возможно, потребуется проинтерпретировать результаты этого подхода качественным образом.
Аргументы за и против, связанные с количественным подходом, поданы далее.
4.1 Аргументы за использование количественного подхода
•
Оценка и результаты поддерживают многозначительный статистический анализ,
поскольку он обосновывается на существенных независимых объективных процессах и
показателях.
•
Ценность конфиденциальности, целостности и доступности информации выражается в
денежном эквиваленте наряду с рациональностью. Это облегчает процесс понимания
ожидаемых затрат.
•
Процесс принятия решений при составлении информационной безопасности
поддерживается надежной основой оценки затрат/прибыли мероприятий по устранению
риска.
•
Деятельность по управлению рисками можно легко контролировать и оценивать.
•
Риск можно понять глубже и результаты оценки риска получают и выражают понятным
способом; денежная стоимость, процентное соотношение, а также возможные
результаты пересчитываются на годовой основе.
4.2 Аргументы против использования количественного подхода
•
Процесс ведения расчетов сложный. Без эффективного объяснения менеджеры могут
неправильно понять или потерять доверие к результатам произведенных расчетов.
•
Необходимо использовать надежный автоматизированный инструмент и связанные с
ним знания для проведения количественной оценки величины риска. Также требуются и
усилия с использованием ручной работы.
•
Необходимо собрать существенное количество данных о целевой информации и ее
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 4 из 11
Управление рисками и планирование непрерывности рабочего процесса
информационно-технологической среде.
•
Нужно провести исследование человеческой угрозы и частоты угрозы с использованием
собственных усилий пользователей, если отсутствует соответствующая база знаний.
Проблемы этого типа оценки рисков обычно связаны с ненадежностью и неточностью данных.
Вероятность редко может быть точной, и в некоторых случаях, способствовать бездействию на
основании самодовольствия. Вдобавок к этому, средства контроля и противодействия часто
направлены на ряд потенциальных происшествий, а сами эти происшествия часто связаны между
собой. Несмотря на заявленные недостатки, ряд организаций успешно пользуется количественным
подходом.
Многие эксперты доказали, что чисто количественный подход не является возможным или
целесообразным по той причине, что возможно обширное влияние происшествия и сложности при
измерении численного значения для многих их этих факторов. Из этого следует, что, возможно,
понадобится использовать одновременно и качественный подход.
Качественная оценка риска является процессом оценки рисков на основе анализа разных
сценариев, которые исследуют потенциал и возможное влияние разных происшествий и угроз. При
таком подходе, составляется ряд коротких сценариев потенциальных происшествий. Эти сценарии
развиваются, или же исследуются, с той целью, чтобы изучить, какие именно сферы корпорации
могут поддаться влиянию и возможный масштаб причиненного вреда в результате действия
обстоятельств согласно составленному сценарию.
Количественный подход – пока что самый часто использованный. Данные относительно
вероятности не нужны, и используется только оценочный потенциальный урон. Большинство
методик количественной оценки риска используют взаимосвязанные элементы: угрозы, слабые
стороны и активы. Главным преимуществом количественного подхода есть то, что он делает
приоритетными риски и идентифицирует зоны, которые необходимо немедленно улучшить для
исправления их уязвимости. Недостатком количественной оценки является то, что она не
предоставляет конкретных измерений величины влияния происшествия, которые поддаются
количественному определению, делая, таким образом, анализ затрат и выгоды любых элементов
управления трудным.
4.3 Аргументы за использование качественного подхода
•
Расчеты являются несложными, понятными и нетрудными для выполнения.
•
Не нужно определять денежную стоимость конфиденциальности, целостности и
доступности информации.
•
Нет надобности в определении частоты и влияния на данные сто стороны
количественных угроз.
•
Нет необходимости проводить оценку стоимости мероприятий по смягчению риска и
рассчитывать стоимость/выгоду таких мероприятий.
•
Этот подход направлена на общее определение важных сфер риска.
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 5 из 11
Управление рисками и планирование непрерывности рабочего процесса
4.4 Аргументы против использования качественного подхода
•
Оценка и результат рисков являются по своей сути субъективными в плане самого
процесса и в плане метрических параметров. Независимые объективные метрики не
используются.
•
Восприятие стоимости целевых информационных активов не обосновывается на
объективном денежном расчете и может быть неспособным отобразить настоящее
значение риска.
•
Не предоставлена основа для анализа затрат/выгоды мероприятий по смягчению риска,
есть только субъективное определение проблемы.
•
Контролировать процесс управления рисками объективно при этом подходе
невозможно, так как все принимаемые меры субъективны.
Но проведение чисто качественной оценки рисков также не является возможным.
Количественный и качественный подходы указывают на бинарную категоризацию метрики рисков и
технологий управления информационными рисками. В действительности же, существует целый
спектр использования разных подходов, и они всегда используются в сочетании друг с другом. Это,
конечно же, предусматривает высокий уровень понимания и знаний относительно рабочих
процессов и потенциальных рисков.
5.
Смягчение последствий от овеществления рисков
Смягчение последствий овеществления рисков – это второй процесс в управлении рисками. Он
включает в себя определение приоритетности, оценку и осуществление должного контроля по
снижению риска, рекомендуемого на основании процесса оценки конкретного риска.
В общем, для рабочего процесса, контроль риска в пределах, в которых им можно управлять,
является наиболее рентабельной опцией. Управление рисками – это маршрут, который сейчас
предпочитают большинство организаций, потому что устранение всех рисков обычно является
непрактичным или почти невозможным. Ответственность менеджеров в том, чтобы использовать
самый рентабельный подход и внедрить самые подходящие элементы контроля для снижения
риска к допустимому уровню и с минимальным негативным влиянием на ресурсы и главную цель
организации.
Смягчение последствий овеществления рисков является систематической методологией,
используемой главными менеджерами для снижения риска миссии. Этого можно достигнуть любым
из нижеописанных путей:
•
Принятие риска на себя. Принятие потенциального риска и продолжение управления
информационной системой, или же применение элементов контроля для снижения
риска до допустимого уровня.
•
Избежание риска. Во избежание самого риска и/или его последствий (например, не
использовать некоторые функции системы или остановить работу системы при
обнаружении риска).
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 6 из 11
Управление рисками и планирование непрерывности рабочего процесса
•
Ограничение риска. Ограничение риска с использованием элементов контроля,
сводящих к минимуму негативное влияние угрозы касательно слабых сторон (например,
использование поддерживающих, превентивных или обнаруживающих элементов
контроля).
•
Планирование риска. Управление риском путем разработки плана уменьшения
последствий овеществления риска, который определяет приоритетность, применяет и
поддерживает элементы контроля.
•
Исследование и признание. Снижение риска потерь путем признания уязвимости или
ошибки и поиска элементов контроля для исправления уязвимых мест.
•
Перенос риска. Перенос риска, используя другие опции с целью компенсации потерь
(например, страхование).
Менеджеров очень интересует возможность определения и применения мер безопасности,
которые способны смягчить последствия овеществления рисков. Следственно, нужно отдавать
первое место идентификации пары угроза - слабое место, которая потенциально может оказать
огромное влияние на миссию или принести вред. Важно выбирать адекватные меры безопасности
для каждого слабого места, находящегося под угрозой. Потом нужно определить или подтвердить
уже определенные пары слабое место/мера безопасности касательно всех связанных с ними угроз,
и, наконец, определить масштаб снижения риска актива, которого нужно достичь путем применения
мер безопасности по отношению к каждой угрозе.
Элементы контроля технической безопасности можно сконфигурировать для защиты от
конкретных типов угроз в интересах снижения последствия овеществления рисков. Эти элементы
контроля, если их грамотно использовать, могут предотвратить, ограничить или отразить вред,
причиняемый источником угрозы миссии организации. Эти элементы технического контроля могут
включать в себя поддержку, превентивные средства, обнаружение и элементы контроля
восстановления. Все эти элементы контроля должны слаженно работать для обеспечения
безопасности важных и уязвимых данных, информации и информационно-технологических функций.
6.
Определение стоимости и оценка
Процесс управления рисками – это длительный и постоянно изменяющийся процесс. Это
вызвано тем фактом, что сама сеть постоянно расширяется и обновляется. Изменяются ее
компоненты и заменяются или обновляются новыми версиями ее программные приложения. Также,
случаются изменения в структуре персонала, а правила безопасности со временем тоже, скорее
всего, подвергаются изменениям. Такие изменения могут вывести на поверхность риски, которые
раньше удерживались на невысоком уровне, а с приходом изменений обретают новую силу.
Таким образом, хорошая программа по управлению рисками должна пересматриваться и
практиковаться регулярно. Нужно иметь специальный график оценки и снижения последствий
овеществления рисков мисси. Процессы, используемые только периодически, также нужно
пересматривать и делать достаточно гибкими для того, чтобы иметь возможность вносить в них
санкционированные и оправданные изменения.
Успешная программа по управлению рисками полагается на последовательность и
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 7 из 11
Управление рисками и планирование непрерывности рабочего процесса
приверженность главных менеджеров, а также на полную поддержку и участие персонала отдела
информационных технологий. Она также полагается на компетентность группы, оценивающей
риски. Эта группа должна владеть необходимыми экспертными навыками для применения методики
управления риском к конкретному сайту и системе, определения рисков миссии, и для
удовлетворения потребностей организации. Также, понимание и совместная работа членов
пользовательской общности также являются важными, равно как и постоянное определение
стоимости и оценка рисков миссии, связанных с информационными технологиями.
Адекватная интегрированная программа управления рисками может помочь менеджерам
значительно улучшить рентабельность среды информационной технологии и обеспечить
эффективное в плане затрат соответствие с релевантными регулятивными требованиями.
Способность правительственного агентства определить риски и предотвратить инциденты или их
влияние является важной выгодой при обеспечении непрерывного функционирования рабочего
процесса и его роста, также в условиях растущих угроз и давления.
7.
Планирование непрерывности рабочего процесса (BCP)
Планирование непрерывности рабочего процесса состоит из проверенных планов и процедур,
введенных в формальные операционные процессы, которые позволяют бизнесу (рабочему
процессу) защититься от угроз. Оно включает в себя мониторинг, управление кризисами, ответные
действия в чрезвычайных случаях, восстановление, ограничение вреда, уменьшение последствий и
принятие остаточного риска. Это не план восстановления при крупной поломке или план ответных
действий в чрезвычайных ситуациях, хотя их можно рассматривать как часть процесса
планирования непрерывности бизнеса (рабочего процесса). Инвентарь, активы, процессы и люди –
все это является существенными факторами, которые необходимо принимать во внимание во время
планирования непрерывности рабочего процесса. Успех планирования непрерывности рабочего
процесса зависит от возможности организации интегрировать восстановление системы в работу
более общего уровня по планированию.
Планирование непрерывности рабочего процесса – это процесс управления, вызванный
необходимостью целостного рабочего процесса, который идентифицирует потенциальное влияние
инцидента, угрожающего организации. Оно предоставляет возможности для достижения гибкости и
способности эффективного ответного действия для защиты интересов его заинтересованных лиц,
репутации, бренда, и действий по созданию ценности. ВСР является больше вопросом рабочего
процесса, нежели вопросом техническим.
7. 1 Цели BCP
Благодаря продвижению информационной технологии, организации все больше и больше
полагаются на нее. С появлением электронного управления, электронной торговли и электронного
бизнеса, всего лишь один период простоя может иметь жесточайшие последствия для организации.
Всесторонний и четкий план поддержки непрерывности рабочего процесса нужен для того, чтобы
достичь состояния устойчивости бизнес-процессов, при поддержке постоянной работы критически
важных систем и сетей.
Планирование непрерывности рабочего процесса организации имеет цель предоставления
общую структуру и стандартизированный подход для создания возможности действия и
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 8 из 11
Управление рисками и планирование непрерывности рабочего процесса
информирования этого процесса. Оно создается для противодействия сбоям рабочих процессов и
защиты важных бизнес-процессов от влияния значительных сбоев и существенных поломок. Таким
образом, потребности организации в обеспечении того, чтоб ее способности и компетентность ВСР
соответствовали природе, масштабу и сложности рабочих процессов организации и отображали их
индивидуальную культуру и среду функционирования.
Планирование непрерывности рабочего процесса нужно применять для снижения помех,
создаваемых поломками и сбоями системы безопасности (что может произойти вследствие
природных катаклизмов, несчастных случаев, поломки оборудования и преднамеренных действий) к
допустимому уровню путем сочетания превентивных и восстановительных элементов контроля.
Последствия неисправностей, сбоев системы безопасности и потери базы предоставления услуг
нужно анализировать. Планирование непрерывности рабочего процесса должно предусматривать
элементы контроля, используемые для идентификации рисков и для ограничения масштаба
причиняемого вреда в ходе каких-либо происшествий. Также нужно разрабатывать и внедрять
планы на случай дополнительных непредвиденных обстоятельств. Такие планы необходимо
поддерживать и осуществлять для того, чтобы превратить их в неотъемлемую часть других
процессов управления для того, чтобы обеспечить возможность восстановления бизнес-процессов и
существенных операций в требуемых временных рамках.
Планирование непрерывности рабочего процесса не состоит в планировании чего-то, что может
никогда и не случиться; оно заключается в планировании того, что может произойти. После
террористических атак на Нью-Йорк 11 сентября 2001 года, верховное правительство осознало цену
укрепления данных и коммуникационных систем своей организации с помощью планирования
непрерывности рабочего процесса. Больше организаций увеличило бюджет своего планирования
непрерывности рабочего процесса, потому что наличие такого эффективного планирования
помогает при развитии и поддержке непрерывности рабочего процесса по всей организации.
Планирование непрерывности рабочего процесса способно помочь организациям быстро
восстановиться путем обеспечения надежной и плавной продолжительности операций. Оно также
может защитить активы организации, предоставить контроль управления над рисками и их
последствиями, предложить при надобности превентивные меры и осуществить активный контроль
над процессом управления сбоями в работе. Многие большие организации используют
планирование непрерывности рабочего процесса в качестве элемента ключевых бизнес-процессов
для повышения общей продуктивности. Вклад корректно организованного планирования
непрерывности рабочего процесса в организацию следующий:
•
Поддержка роста и инноваций.
•
Увеличение удовлетворенности клиентов.
•
Удовлетворение нужд людей.
•
Улучшение общего качества процесса достижения целей миссии.
•
Обеспечение материала для практической финансовой системы показателей.
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 9 из 11
Управление рисками и планирование непрерывности рабочего процесса
8.
Подход к планированию непрерывности рабочего процесса.
Планирование непрерывности рабочего процесса является интерактивным процессом, включающим
в себя следующие фазы.
8.1 Определение масштаба и планирование проекта по планированию
непрерывности рабочего процесса
Эта фаза является начальной фазой, которая будет определять направление последующих
этапов деятельности. Первым действием является проверка отдельных рабочих-операций и служб
информационной поддержки организации. Деятельности по планированию проекта включает в себя
определение точного масштаба, временных рамок, рабочего персонала (особенно тех работников,
которые будут играть самую важную роль в развитии проекта планирования непрерывности
рабочего процесса), а также других вопросов с той целью, чтобы о статусе и требованиях проекта
можно было проинформировать всю организацию.
8.2 Оценка влияния на рабочий процесс
На этом этапе производиться изучение размера потенциальных угроз и возможной значимости
их влияния с позиций их способности нарушить информационные системы и услуги коммуникации
организации. Такое влияние может быть по своей природе финансовым (денежные потери) или
операционным (например, неспособность предоставления и мониторинга качества услуг для
клиентов).
8.3 Развитие стратегии восстановления
В ходе этой фазы готовится и предоставляется руководству оценка альтернатив по
восстановлению с альтернативными затратами. Информация, собранная на втором этапе, может
быть использована для определения приблизительных ресурсов по восстановлению, необходимых
для поддержки рабочих функций, для которых время является критически важным.
8.4 Разработка плана по восстановлению
Эта фаза включает в себя сам процесс разработки плана непрерывности рабочего процесса.
Точная документация является необходимой для осуществления эффективного процесса
восстановления, в который входит как административная информация об инвентаре, так и
детализированный план действий команды по восстановлению.
8.5 Внедрение, Тестирование, и обслуживание
Это последняя фаза проекта плана непрерывности рабочего процесса, в которую включено
установление точного тестирования и обслуживания программы по управлению, а также действия
изначального и поточного тестирования и обслуживания.
9.
Принципы планирования непрерывности рабочего процесса
При разработке плана непрерывности рабочего процесса организации важно принимать во
внимание следующее принципы.
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 10 из 11
Управление рисками и планирование непрерывности рабочего процесса
1. Планирование непрерывности рабочего процесса является неотъемлемой частью
управленческого процесса организации.
2. Деятельность по планированию должна подходить, сосредотачиваться на и прямо
поддерживать общую стратегию деятельности и цели организации.
3. Планирование непрерывности рабочего процесса должно обеспечить гибкость
организации для оптимизации ее продуктивности и доступности услуг.
4. Планирование непрерывности рабочего процесса должно быть рентабельным
процессом управления.
5. Организация и ее компоненты ответственны и подотчетны за поддержку адекватной
программы использования, повторения, и тестирования для обеспечения
эффективной, своевременной и целесообразной компетентности и возможности
планирования непрерывности рабочего процесса.
6. Все стратегии, планы и решения о планировании непрерывности рабочего процесса
должны быть в зависимости от рабочего процесса и им стимулироваться. Такое
планирование должно базироваться на жизненно важных действиях в рамках миссии
деятельности организации.
7. Согласованные, опубликованные и распространенные организационные курс и
стратегия, структура вместе с релевантными практическими рекомендациями по
планированию непрерывности рабочего процесса, являются необходимыми.
8. Нужно идентифицировать, определить и осознать соответствующие юридические и
регуляторные требования перед тем, как внедрять программу по планированию
непрерывности рабочего процесса.
9. Результаты и суть планирования непрерывности рабочего процесса нужно
рассматривать на всех стадиях развития новых рабочих операций, продуктов, услуг и
проектов касательно инфраструктуры организации.
10. Результаты и суть планирования непрерывности рабочего процесса нужно
рассматривать как существенную часть процесса управления изменениями в
деятельности.
11. Все третьи стороны, от которых организация зависит в значительной степени, должны
выявлять эффективную, надежную и целесообразную способность к планированию
непрерывности рабочего процесса.
Электронное Управление – Что нужно знать лидеру в сфере управления
Страница 11 из 11