ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA BUSINESS CONTINUITY MANAGEMENT. Strona: 1 l 30

Transkrypt

1 ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA BUSINESS CONTINUITY MANAGEMENT Strona: 1 l 30

2 Plan spotkania: Informacja o spółce Idea zarządzania ciągłością działania Podstawy formalne PDCA ciągły proces doskonalenia BCM BIA jako fundament BCM Różne plany do różnych celów Narzędzia BCM Metodyka zarządzania ciągłością działania Analiza działalności Strategia Plany awaryjne (środki ochrony) Budowa świadomości Testowanie i przegląd Wdrożenie BCM Diagnoza przedwdrożeniowa szkolenia Budowa mechanizmów zarządzania ciągłością Opracowanie dokumentacji Wdrożenie i doskonalenie Strona: 2 l 30

3 1. Przedstawienie firmy Strona: 3 l 30

4 PBSG informacja o spółce Doradztwo zarządcze i IT Zarządzanie ryzykiem: - zintegrowane zarządzanie ryzykiem - system przeciwdziałania zagrożeniom korupcyjnym - Sarbanes-Oxley Act - profil odporności na defraudację i korupcję - COSO II Zarządzanie bezpieczeństwem - analiza podatności IT - audyt teleinformatyczny - bezpieczeństwo informacji - bezpieczeństwo łańcucha dostaw - dane osobowe - polityka bezpieczeństwa Zarządzanie: - strategia - zarządzanie procesami - zintegrowane systemy zarządzania - EFQM/CAF Doradztwo IT: - ISO 20000/ITIL - audyt przedwdrożeniowy - strategia informatyzacji - zarządzanie projektem IT Zarządzanie Ciągłością działania: - zarządzanie ciągłością działania - zarządzanie sytuacją kryzysową - planowanie ciągłości procesów - planowanie awaryjne - infrastruktura krytyczna Oprogramowanie: - Smart Architect - Smart Risk - Smart Portal - Smart Audyt - Smart Reports Konsultanci współpracujący z PBSG są prekursorami wdrożeń kompleksowych rozwiązań w zakresie systemów zarządzania w Polsce. W efekcie PBSG posiada unikalne w kraju kompetencje w zakresie budowy, implementacji i doskonalenia systemów zarządzania w oparciu o międzynarodowe standardy i dobre praktyki. Do pionierskich w Polsce projektów zaliczamy: Usługi PBSG Potwierdzeniem pozycji lidera na rynku polskim są w obszarze zarządzania są zrealizowane projekty: Pierwsze w Polsce wdrożenie i certyfikacja systemu zarządzania jakością usług IT wg ISO w KGHM Polska Miedź SA Pierwsze w branży finansowej wdrożenie i certyfikacja systemu zarządzania bezpieczeństwem informacji wg ISO w PKO Bank Polski SA Pierwsze w Polsce i jedno z pierwszych na świecie wdrożenie i certyfikacja systemu zarządzania ciągłością działania wg BS w PKO Bank Polski SA Przetłumaczenie i wydanie książki: "Zintegrowane Zarządzanie Ryzykiem Struktura Ramowa" - najpopularniejszego modelu zarządzania ryzykiem Pierwsze w Polsce wdrożenie systemu zarządzania bezpieczeństwem łańcuchem dostaw wg ISO Pierwsze w Polsce wdrożenie systemu zarządzania jakością (ISO 9001), bezpieczeństwem informacji (ISO 27001) oraz systemu zapobiegania zdarzeniom korupcyjnym w UM Kielce Eksperci PBSG realizowali także specjalistyczne audyty nakierowane na zdiagnozowanie istniejących rozwiązań w zakresie zarządzania, wskazanie istniejących zagrożeń oraz kierunków doskonalenia. Prace takie realizowaliśmy dla organizacji z różnych sektorów, w tym firm polskich i koncernów międzynarodowych. Strona: 4 l 30

5 PBSG informacja o spółce Wybrane doświadczenie PBSG PKO Bank Polski SA Komisja Nadzoru Finansowego SKOK Stefczyka Orange EnergiaPro Koncern Energetyczny SA Ministerstwo Gospodarki Fortis Bank Polska Bank Pocztowy BZ WBK PZU SA NFOŚ i GW PLANNJA Electrabel Polska Elektrownia Turów SA KGHM SA THOMSON Strona: 5 l 30

6 Zarządzanie Ciągłością Działania Odpowiednie narzędzia do odpowiednich celów BCM Narzędzia dla BCM Wszelkie prace związane z wprowadzeniem jak i utrzymaniem systemu BCM wymagają tworzenia dokumentacji, to właśnie w niej zawarte są między innymi wyniki przeprowadzonych analiz, zapisy planów awaryjnych czy też inna dokumentacja powstała w trakcie realizacji systemu BCM. Często narzędziami wykorzystywanymi do tych celów są edytory tekstów i arkusze kalkulacyjne. Rozwiązanie takie choć najprostsze, przy rosnącej skali złożoności planowania awaryjnego, najczęściej się nie sprawdza. Aby efektywnie zarządzać systemem BCM trzeba posługiwać się efektywnymi narzędziami. Przykładem systemu który usprawnia proces planowania awaryjnego a w dalszej kolejności upraszcza i zmniejsza koszty jego utrzymania jest: (Living Disaster Recovery Planning System) oraz firmy która od ponad 25 lat oferuje rozwiązana stosowane przez tysiące organizacji i przedsiębiorstw w ponad 70 krajach. Strona: 6 l 30

7 2. Idea zarządzania ciągłością działania Strona: 7 l 30

8 Zarządzanie Ciągłością Działania Idea zarządzania ciągłością działania Każda działalność biznesowa jest potencjalnie narażona na niespodziewane i nagłe zdarzenia których skutkiem są przerwy w działalności przedsiębiorstwa. W 90% incydentów są to tak zwane ciche katastrofy informacja o nich nie zostaje podana do publicznej wiadomości lecz ich wpływ na działalność przedsiębiorstwa jest znaczny i niszczący, zarówno zasoby jak i strukturę organizacji. Przyczyny tych zdarzeń najczęściej znajdują się poza organizacją i poza jej kontrolą. Często zdarzenia te dotyczą również kooperantów organizacji. Otoczenie rynkowe Otoczenie rynkowe Strona: 8 l 30

9 Zarządzanie Ciągłością Działania Idea zarządzania ciągłością działania Celem BCM jest przygotowanie organizacji na różnego typu zdarzenia poprzez: identyfikację ich natury i źródeł, określenie wpływu na procesy biznesowe, opracowanie rozwiązań zmniejszających możliwość ich wystąpienia i wpływu na organizację. identyfikacja określenie wpływu opracowanie rozwiązań Włączenie BCM, jako ważnego elementu dobrego zarządzania, do codziennej praktyki biznesowej daje nie tylko wymierne korzyści w chwili wystąpienia zdarzenia awaryjnego lecz zwiększa również wiarygodność i reputację przedsiębiorstwa w otoczeniu biznesowym. Strona: 9 l 30

10 Zarządzanie Ciągłością Działania Idea zarządzania ciągłością działania Definicja BCM: Business Continuity Management - całościowe zarządzanie procesem, który identyfikuje potencjalne zagrożenia dla organizacji i ich wpływ na jej działalność biznesową. Stanowi jednocześnie ramy budowania odporności organizacji na różnego typu zagrożenia oraz skutecznego reagowania na nie. Jego celem jest ochrona kluczowych interesów organizacji, reputacji oraz jej marki. Business Continuity Management Strona: 10 l 30

11 Zarządzanie Ciągłością Działania Podstawy formalne Pierwsze regulacje dotyczące planowania awaryjnego pojawiły się już w latach 90 i dotyczyły przede wszystkim obszaru Obrony Cywilnej w Wielkiej Brytanii. W drodze ewolucji i coraz większego zainteresowania różnego typu organizacji w wielu miejscach na świecie powstawały kolejne formalne dokumenty stanowiące podstawę planowania awaryjnego. Do najważniejszych należą ISO/PAS 56:2003 (opublikowany przez British Standards Institution) oraz bazujący na tym dokumencie BS (British Standard) na który składają się dwie publikacje: BS :2006 Code of Practice for Business Continuity Management BS Business Continuity Management BS :2007 Specification for Business Continuity Management Strona: 11 l 30

12 Zarządzanie Ciągłością Działania Podstawy formalne BS :2006 Code of Practice for Business Continuity Management Jest kodeksem postępowania zawierającym wskazówki i zalecenia, określającym najlepsze praktyki dotyczące zarządzania ciągłością działania. BS :2007 Specification for Business Continuity Management Jest normą podlegającą audytowaniu. Normatywna specyfikacja, według której można przeprowadzać audyty i oceniać zgodność z wymogami lub jej brak. Strona: 12 l 30

13 Zarządzanie Ciągłością Działania PDCA ciągły proces doskonalenia BCM Aby system BCM był efektywny i na bieżąco odpowiadał potrzebom organizacji w zakresie planowania awaryjnego musi być oparty na ciągłym procesie doskonalenia i weryfikacji rozwiązań awaryjnych. Zmieniające się środowisko, otoczenie biznesowe oraz rozwiązania technologiczne wymuszają zastosowanie cyklu PDCA w systemie BCM. Zastosowanie cyklu PDCA w systemie BCM oznacza ciągłą ewolucję tego systemu opartą na czterech krokach: PLAN ustanowienie polityki dotyczącej ciągłości działalności, wyznaczenie celów, kontroli, procesów i procedur istotnych dla zarządzania ryzykiem i poprawy ciągłości działalności, tak by osiągnąć wyniki zgodne z ogólnymi politykami i celami organizacji. DO - wdrożenie i realizacja polityki dotyczącej ciągłości działania, kontrole, procesy i procedury CHECK - monitorowanie i kontrola wydajność w stosunku do celów i polityki ciągłości działania, przekazywanie wyników kierownictwu do kontroli oraz określenie i zatwierdzenie działań mających na celu ich naprawianie i usprawnianie ACT - utrzymanie i usprawnianie system BCM poprzez podejmowanie działań prewencyjnych i naprawczych w oparciu wyniki kontroli zarządczych i ponownej oceny zakresu systemu BCM oraz polityki i celów dotyczących ciągłości działania. Strona: 13 l 30

14 Zarządzanie Ciągłością Działania PDCA ciągły proces doskonalenia BCM Stosowanie cyklu PDCA zapewnia zgodność z innymi normami dotyczącymi systemów zarządzania, takimi jak: ISO 9001:2000 (Systemy Zarządzania Jakością), ISO 14001:2004 (Systemy Zarządzania Środowiskowego), ISO 27001:2005 (Systemy Zarządzania Bezpieczeństwem Informacji) ISO 20000:2005 (Zarządzanie Jakością Usług IT), wspierający tym samym spójną i zintegrowaną implementację oraz działanie z powiązanymi systemami zarządzania. ISO ISO PDCA ISO 9001 ISO Strona: 14 l 30

15 Zarządzanie Ciągłością Działania BIA i RA jako fundament BCM BIA (Business Impact Analysis) Jest to analiza procesów i funkcji biznesowych składających się na biznes w całości dla lepszego zrozumienia celów działań w zakresie ciągłości działania. Jej wynikiem powinno być zidentyfikowanie krytycznych procesów i zasobów organizacji, nadanie procesom odpowiednich priorytetów w zależności od wpływu zdarzenia na poszczególne procesy (wpływ finansowy i niefinansowy). Opracowanie planów zachowania ciągłości oraz odzyskania działania opiera się na ustalonych w trakcie wykonywania analizy BIA wynikach. RA (Risk Assessment) Jest to analiza która umożliwia ocenę wystąpienia i jego wpływu różnego rodzaju zdarzeń na procesy. Umożliwia identyfikację potencjalnych zagrożeń. Wyniki mogą służyć do opracowania sposobu postępowania ryzykiem (np. jego minimalizacji). Analiza ryzyka powinna przede wszystkim obejmować zidentyfikowane poprzez BIA krytyczne procesy i funkcje. Strona: 15 l 30

16 3. Metodyka zarządzania ciągłością działania Strona: 16 l 30

17 Zarządzanie Ciągłością Działania Idea Systemowego Zarządzania Ciągłością Działania Business Continuity Management BCM Podejście umożliwiające zmodyfikowanie sposobu zarządzania organizacją uwzględniając krytyczność procesów jak i wymagania klientów w odniesieniu do niezawodności. Analiza działalności Przegląd i testowanie Strategia Budowa świadomości Plany awaryjne Strona: 17 l 30

18 Zarządzanie Ciągłością Działania - BCM Analiza działalności Zbudowanie właściwej ochrony wymaga przeprowadzenia analizy działalności oraz analizy wpływu i oceny ryzyka. Przegląd i testowanie Analiza działalności Strategia IDEA Adekwatność wyników otrzymanych w tym etapie rzutuje na charakterystykę systemu oraz na jego skuteczność. Nie uwzględnienie znaczącego zagrożenia w analizie ryzyka może mieć fatalne skutki dla działalności organizacji. Budowa świadomości Plany awaryjne Praktyka Analiza wpływu (BIA) powinna zawierać identyfikację krytycznych procesów biznesowych, zasobów, współzależności pomiędzy nimi oraz wyznaczenie parametrów (RTO, RPO, MTPD) Analiza ryzyka powinna (RA) wyznaczyć obszary ryzyka dla krytycznych procesów. Na jej podstawie należy określić sposoby postępowania z ryzykiem. Wynikiem obu analiz powinno być nadanie priorytetów poszczególnym procesom. Strona: 18 l 30

19 Zarządzanie Ciągłością Działania - BCM Strategia Organizacja powinna w sposób świadomy przyjąć jedno z podejść do problemu utrzymania ciągłości działania. Przegląd i testowanie Analiza działalności Strategia IDEA W teorii zarządzania istnieje kilka typów strategii, będących generalnymi podejściami do zarządzania obszarem ciągłości funkcjonowania organizacja winna zdecydować jaki model jest dla niej odpowiedni Budowa świadomości Plany awaryjne Praktyka Badając charakter działalności oraz możliwości organizacji należy przyjąć strategię, która zapewni realizację celów określonych przez najwyższe kierownictwo, przy założeniu określonych nakładów. Przyjęta strategia określa: o w jaki sposób organizacja reaguje na zdarzenia awaryjne o jakie działania umożliwią organizacji przywrócenie lub utrzymanie jej procesów krytycznych. Sformułowane strategie muszą być dostosowane do każdego produktu czy usługi, jak również muszą brać pod uwagę możliwość czasowego ograniczenia ich realizacji (np. w zakresie wartości i/lub obszaru). Strona: 19 l 30

20 Zarządzanie Ciągłością Działania - BCM Plany awaryjne Głównym celem jest minimalizacja strat i jak najszybsze przywrócenie normalnej działalności. Przegląd i testowanie Analiza działalności Strategia IDEA Środki ochrony (techniczne i organizacyjne) mogą mieć charakter zapobiegawczy i korekcyjny. Plany awaryjne określają działania podejmowane w przypadku zajścia negatywnych zdarzeń. Budowa świadomości Plany awaryjne Praktyka Opracowując plany awaryjne należy pamiętać, o zbudowaniu wspólnej struktury planów, która zapewniłaby odpowiednią skuteczność oraz prawidłowość konstrukcji. Plany awaryjne powinny zawierać: o opis reakcji na zdarzenie awaryjne, o komunikację w trakcie zdarzenia (wewnętrzną i zewnetrzną), o procedury powrotu do normalnej działalności, o udokumentowanie podjętych działań. Strona: 20 l 30

21 Zarządzanie Ciągłością Działania - BCM Budowa świadomości Świadomość pracowników jest podstawą sukcesu wdrożenia systemu zarządzania ciągłością działania. Przegląd i testowanie Analiza działalności Strategia IDEA Wykonanie analizy, przyjęcie strategii oraz opracowanie planów awaryjnych nie jest wystarczające do zapewnienia ciągłości działania. Pracownicy muszą znać i umieć wykorzystać plany awaryjne. Budowa świadomości Plany awaryjne Praktyka Budowanie świadomości realizuje się nie tylko poprzez szkolenia i udział w testach, ale również poprzez codzienne dostarczanie wiedzy na temat np. wartości parametrów które określają naszą zdolność utrzymania ciągłości działania. Pracownicy powinni znać swój zakres odpowiedzialności wynikający z planu awaryjnego oraz rolę którą mają do spełnienia. Osoby odpowiedzialne za planowanie awaryjne powinny w sposób ciągły pogłębiać swoją wiedzę w tym zakresie poprzez udział w szkoleniach, seminariach i kongresach dotyczących planowania awaryjnego. Strona: 21 l 30

22 Zarządzanie Ciągłością Działania - BCM Testowanie i przegląd Środowisko w którym zbudowano system podlega zmianom, w związku z tym również system powinien się zmieniać! Przegląd i testowanie Analiza działalności Strategia IDEA Należy wdrożyć odpowiednie mechanizmy zapewniające, że przyjęta polityka i strategia, wyniki analiz wpływu i ryzyka oraz plany awaryjne przystają do rzeczywistości. Budowa świadomości Plany awaryjne Praktyka System zarządzania ciągłością działania powinien być cyklicznie audytowany i przeglądany pod kątem zmian w organizacji Plany awaryjne powinny być cyklicznie testowane pod kątem adekwatności i skuteczności zawartych w nich rozwiązań awaryjnych Wyniki audytów, przeglądów i testów powinny być należycie udokumentowane i przekazywane do najwyższego kierownictwa w celu akceptacji. Należy zadbać o odpowiednie procedury nadzoru aktualności procedur składających się na system. Najwyższe kierownictwo kontroluje stosowność polityki ciągłości działania, jej celów i zakresu, oraz określa i upoważnia do działań mających na celu ich naprawę i ulepszenie. Strona: 22 l 30

23 4. Wdrożenie BCM Strona: 23 l 30

24 Wdrożenie BCM Strona: 24 l 30

25 Wdrożenie BCM Diagnoza przedwdrożeniowa szkolenia Jakie są krytyczne problemy? Jakie są możliwości wzrostu? Analiza funkcjonującej dokumentacji Przygotowanie audytu przygotowanie list kontrolnych Efekt prac: pisemny raport, zestawiający wyniki, wnioski i rekomendacje Wstępna diagnoza zgodności z podejściem BCM Identyfikacja potrzeb (analiza procesów) Ustalenie oczekiwanych efektów Przygotowanie rekomendacji Szkolenie dla kierownictwa wprowadzenie do BCM omówienie wyników z audytu wstępnego praktyczny spojrzenie na system BCM prezentacja projektu harmonogram, cele i oczekiwane wyniki każdego z etapów. Strona: 25 l 30

26 Wdrożenie BCM Budowa mechanizmów zarządzania ciągłością Jaka jest optymalna struktura systemu? Jak można osiągnąć optymalną strukturę? Opracowanie metodyki zarządzania ciągłością działania Identyfikacja punktów krytycznych Szacowanie punktów krytycznych i ich ocena Informowanie o ryzyku Postępowanie wobec ryzyka Zaprojektowanie procesów i struktury Określenie działań krytycznych Opracowanie harmonogramu zmian Warsztaty dla zespołu projektowego Przeprowadź analizę ryzyka Rekomenduj rozwiązania Wdrażaj rozwiązania niezbędne Określaj nowe zagrożenia Strona: 26 l 30

27 Wdrożenie BCM Opracowanie dokumentacji Metodyka PBSG budowy dokumentacji Jakie narzędzia zarządcze i IT będą najlepsze? Opracowanie docelowych procesów i struktury dokumentacji Wdrożenie zmian Analiza powdrożeniowa Wprowadzanie modyfikacji Szkolenia Sesje robocze z pracownikami Optymalizacja procesów Identyfikacja potencjału doskonalenia Unifikacja dokumentowania procedur Analiza benchmarkingowa rozwiązań Narzędzia PBSG Strona: 27 l 30

28 Wdrożenie BCM Wdrożenie i doskonalenie W jakim kierunku system powienien się rozwijać? Szkolenia dla wybranych grup lub wszystkich pracowników Przeprowadzenie audytów wewnętrznych Testowanie planów awaryjnych Optymalizacja utrzymania ciągłości Analiza możliwości doskonalenia systemu Monitorowanie procesów Kreowanie inicjatyw Wdrażanie inicjatyw Zwiększanie zakresu wiedzy o ryzykach Strona: 28 l 30

29 Wdrożenie BCM Strona: 29 l 30

30 Dziękuję za udział w prezentacji. PBSG Sp. z o.o. Centrum Biurowe Globis ul. Roosevelta Poznań tel. (061) fax (061) firma@pbsg.pl Strona: 30 l 30