ロシアの標準GOST R 53647.3–2010「ビジネス継続性管理」に対する10の質問。 パート3.実装ガイド ''
数年前、ロシアにはビジネス継続性に関する規制文書がほとんどないと不満を言いました。 より正確には、GOST R 53647.1–2009ファミリー「ビジネス継続性管理」の国家標準の存在を知っていました。 パート1.実用的なガイダンス「およびGOST R 53647.2–2009」ビジネス継続性管理。 パート2.要件。 しかし、時間が経ち、家族が大量の文書を補充したことが判明しました。 いくつかの記事を考慮に入れたいと思います。
したがって、今回の検討対象は、GOST R 53647.3–2010「ビジネス継続性管理」です。 パート3.実装ガイド。」 以前の文書の場合と同様に、英国の国家文書-BIP 2142:2007「The Business Map to Business Continuity Management」に基づいています。 BS 25999の要件を満たします。」
おそらく、専門化が可能な他の分野と同様に、このドキュメントの推奨事項は、ビジネス継続性管理プロセスの実装で既に実際の経験を持っている人にとって、より理解しやすく有用です。
セクション4.1 |
|---|
| PSMSの開発と実装において、組織は主要な利害関係者の利益を確立する必要があります。 | 誰がその当事者と見なされるべきですか? | 組織の活動の種類に応じて、関係者の数には以下が含まれます。
- 個人および法人のクライアント、
- パートナー
- を含む商品およびサービスのサプライヤー アウトソーシングサービスと家主、
- 契約団体
- 金融機関や保険会社、
- 規制当局
- 市当局
- 緊急時の緊急サービス
- 環境団体
- 公的機関
- メディア。
|
セクション4.2 |
|---|
| MNSの要件の定義 | BSSの作成に関する作業を開始する理由は何ですか? | 不利な状況、経済効率、競争力、法律の要件の遵守、規制機関、外部監査人の場合の組織の安定性の向上。 |
セクション4.4 |
|---|
| BCMSを開発および実装するとき、組織はその主要な製品およびサービスの観点からBCMSの範囲を確立する必要があります。 | BCMSの範囲を決定する際に考慮すべきことは何ですか? | 初期段階では、SSSの構築に必要な時間、労力、資金、追加のハードウェアとソフトウェア、および外部組織からの支援がどれだけ必要かを事前に見積もることは困難です。 したがって、まず、SUNBを作成する複雑さで行き詰まらないように、スコープを十分に狭くする必要があります。 第二に、BSSSの作成が明らかな利益をもたらし、必要なリソースの提供が残存ベースで発生しないように、活動の非常に重要な領域を選択する必要があります。 |
セクション5.1 |
|---|
| プログラムファイナンス | MNSプログラムの資金調達を正当化する方法は? | 資金調達額を決定する際、万が一の事態が発生した場合に発生する可能性のある損失額と、それからの保護のための保証費用との間で妥協が常に求められます。 標準に記載されている経済的損失に加えて、次の影響を考慮する必要があります。
- 評判の低下、または悪意のあるサプライヤーのリストに含まれる脅威-例えば、予算組織とやり取りする場合。
- パフォーマンスの低下、つまり 着信アプリケーション/注文/クレームの処理速度。
- 報告期限の違反(事故は最も都合の悪い時間に発生するという事実にもかかわらず);
- 法的要件の違反;
- 結果を排除するための時間外労働の費用、および1時間のダウンタイムの結果は数週間で排除できます。
組織は、予防措置を保存することを決定した場合、組織が失う可能性のあるものの完全な説明を提供する必要があります。 |
セクション6 |
|---|
| 組織の文化へのMNSの導入 | MNSをその文化に導入することで、組織はどのような追加のメリットを享受できますか? | 標準にリストされているMNSの実装の利点に加えて、さらにいくつかを追加できます。
- 基本的な製品とサービスの識別と保護、それらの提供の継続性の確保。
- インシデントを管理し、効果的な対応手段を適用する能力。
- 他の組織、規制機関、政府機関、地方自治体、緊急サービスとの関係の組織による理解;
- 必要な演習を通して、通常の活動コースのインシデントまたは中断に効果的に対応できる訓練された要員の存在。
- 関係者の要件を理解し、満たす。
- 活動の通常のコースに違反した場合に必要なサポートのスタッフによる領収書の事前編成;
- 組織のサプライチェーン保護
- 組織の評判の保護。
- 法的要件および規制の枠組みへの準拠。
|
セクション7.1 |
|---|
| 文書管理 | MNSプログラムのドキュメントを管理する方法は? | MNSの分野でドキュメントを管理することは簡単な作業ではないことに留意する必要があります。 成熟したMNSプロセスの場合、完全なセットには最大数百種類のドキュメントを含めることができます。 同様に、同じタイプのドキュメントの数も数十に達する可能性があります(たとえば、緊急の場合の従業員の行動規則)。 この「経済」をすべて手動で管理するのは非現実的です。 幸いなことに、このタスクを自動化する特殊なソフトウェア製品が市場に長い間存在していました。 これらは条件付きで2つのグループに分けることができます:組織自体の機器にインストールされるグループ(Sungard Availability Servicesなど)と、インターネット経由でSaaSスキームに従って提供されるグループ(ClearView Continuityなど)です。 各グループには長所と短所があります。
| 「+」 | 「-」 |
|---|
| ソフトウェア | -希望に応じて印刷するためのテンプレート、プロセス、フォームのカスタマイズ | -追加ソフトウェアの研究;
-自己管理 | | サース | -インターネットのみが必要です。
-特殊な組織でのデータの可用性と安全性が高い場合があります | -データは組織外に残ります。
-緊急の場合、アクセスが難しい場合があります |
ツールの選択は、バイヤーの特定の状況と好みによって異なりますが、MNSの分野での作業の最初から使用することをお勧めします。 |
| セクション8.2 |
|---|
| 影響分析 | 標準に記載されていない重要なパラメータは何ですか? | 何らかの理由で、継続性に関する標準は、組織を危険にさらすことなく失われる可能性のあるデータの量を示すRPOパラメーター、Recovery Point Objectiveに対応していません。 おそらく標準の作成者は、データを完全に保存する必要があるという事実から進んでいますが、残念ながら、人生はこの要件を満たしていません。 商用クラウドを提供している企業でさえ、2時間以内に約1回、つまり 過去2時間に入力されたデータは失われる可能性があります。 技術的な解決策には制限があるため、RPOパラメーターの使用を拒否しないでください。 |
| 影響分析の実施方法 | 理論的には、ビジネスインパクト分析を実施するには2つのアプローチがあります。
ボトムアップアプローチは、特定のサーバーなどの1つのリソースの値が決定される場合です。 単一のサービスの提供または単一の製品の作成をサポートするリソースのセットの場合、このセットに含まれるすべてのリソースの中から最も厳しい要件が選択されます。 同様の手順がすべての製品またはサービスに対して繰り返されます。
2番目のトップダウンアプローチはより一般的であり、マネージャーから受け取った情報の分析と比較で構成されます。
同時に、このユニットの機能がどれほど重要であるかを尋ねるべきではありません。 あなたは彼のユニットと呼ばれる頭があまり重要ではないと想像できますか?
もちろん、誰もが彼が組織の存在にとって重要なだけでなく重要なタスクを実行すると言うでしょう。 したがって、特定の各機能が中断された場合の負の結果の増加を説明するように単純に依頼することをお勧めします。 これにより、定性的および感情的な推定値から量的推定値に切り替えることができます(彼らはあまり多くの電話に答えず、あまり多くのトランザクションを処理せず、あまり多くの顧客にサービスを提供せず、多くの未説明のリソースを費やします)。 |
| セクション8.5 |
|---|
| リスク評価 | どんなリスクについて話しているのですか? | ビジネスの継続性は、起こりうるすべてのインシデントと事故をカバーすると広く信じられています。 しかし実際には、原則として、異なる状況への単一のアプローチの使用は効果的ではありません。 除去の参加者の構成が異なる活動を混乱させるようなイベントのグラデーションを提案することができます。
- 破損-最小限の損傷を引き起こすイベント、すなわち たとえば、年間収益と比較した場合、または組織の目標を達成する能力にほとんど影響を与えない場合と比較して、損害は無視できます。 このような問題は、継続プロセスではなく、フルタイムのインシデント管理プロセスによって対処されます。
- 事故とは、組織のプロセスの正常な機能を妨げるイベントです。 この場合の損害は容認できないほど大きい場合があり(年間収益と比較して)、イベント自体が内部SLAおよび/または顧客に対する契約上の義務を遵守することを不可能にします。 事故をインシデント管理プロセスの一部として排除することはできませんが、他の人々の関与と継続性管理プロセスの活性化が必要です。
- 危機的状況とは、通常のプロセスの枠組みでは克服できない状況です。 継続性管理プロセスに加えて、危機管理プロセスの開始が必要です。 多くの場合、組織自体の力によって克服できますが、ビジネスプロセスに直接影響を与えない外部イベント(経済危機、マネージャーの誘deathまたは死亡、個人情報の盗難など)がその原因として役立つことがあります。
- 大規模災害とは、防ぐことのできない出来事であり、人々の生命と健康、組織の財産に大きな影響を与えます。 会社の存在だけでなく、見知らぬ人も危険にさらされる可能性があります。 大規模な大災害は、組織自体によってのみ排除することはできません。 内部のビジネス継続性および危機管理チームに加えて、外部の緊急サービスおよび管轄当局が災害管理において主要な役割を果たします。
したがって、ビジネス継続性プロセスの実装の最初の段階では、リスクの範囲を制限し、1つの櫛ですべての問題を削減しようとしない方が合理的です。 |
| セクション9。 |
|---|
| 事業継続戦略の定義 | 他にどのような戦略を開発しますか? | 継続性を確保するには、運用の継続、ITサービスの復元、メディアとのやり取り、ロジスティクス、輸送など、幅広い問題について戦略的な決定を下す必要があります。 しかし、次のトピックに注意を払うことはめったにありません。組織の敷地を使用する戦略です。
緊急事態が発生した場合、会社は機能を継続するために、そのような施設のニーズを満たす方法を提供する必要があります。たとえば、損傷した/アクセスできない施設から移動した機器の倉庫などです。 生産され続ける製品の倉庫。 危機管理本部; 通常の仕事を辞めた従業員のための予備のオフィススペース。 場合によっては、特定の組織が、応接室やガレージなどの他の部屋にニーズを持っていることがあります。
これらのすべてのニーズを満たすために、いくつかの方法を使用できます。たとえば、他の目的で一時的に自分の敷地を使用する、従業員を支店に移動する、商業データセンターのスペースをレンタルする、ビジネスプロセスの一部またはすべてを友好的な企業の敷地に一時的に移動する、従業員の仕事を整理する、などです家事。
採用された戦略的決定またはそれらの組み合わせには長所と短所があり、事前の準備、リソースの割り当て、技術的および組織的な近代化、オファー市場の研究、第三者との交渉と契約の締結が必要であり、緊急の時間はありません。 |
| セクション10.4 |
|---|
| 事業継続計画の内容 | 計画に含めると便利なものは他にありますか? | 標準には、計画に必ず含まれる必要のある多くのポイントがリストされています。 しかし、多くの組織でこのようなドキュメントを作成した経験から、さらにいくつかのトピックが言及されていないことが示唆されており、状況によっては非常に役立つ場合があります。
- 計画には、方法、チャネル、規則性、従業員とその親族、主要な利害関係者、および緊急事態における緊急サービスとの情報交換の責任を示す必要があります。 親relativeへの懸念は、自分自身について知らせることが不可能な場合、従業員が職務を遂行するのを妨げ、永続的な呼び出しで心配している親relativeが通信チャネルの操作をブロックする可能性があることに留意する必要があります。
- 計画では、それを実現するために必要な能力の最小レベルを記述することが役立ちます。 緊急事態では、計画に含まれるアクション、アプリケーション、またはツールに不慣れな人々が関与する可能性があります。 次のステップで、「これを行う方法がわからない」という言葉に人ががっかりして困惑している場合、回復状況は改善しそうにありません。
- 計画自体では、誰が、どのように、どのくらいの頻度でドキュメントを更新して適切なタイミングで最新のものにするかを示すことが役立ちます。 多くの場合、計画自体にわずかな変更を加えて、テストと演習を実施して活動を回復することもできます。
|