SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE MODELIRANJE UPRAVLJANJA KONTINUITETOM POSLOVANJA (BCM) Prof.dr.sc. Zdravko Krakar
Tematske cjeline: UVOD U UPRAVLJANJE KONTINUITETOM POSLOVANJA (BUSINESS CONTINUITY MANAGEMENT – BCM) 2. MOGUĆI PRISTUPI RAZVOJU BCM-a 3. RAZVOJ i PRAKSA BCM SUSTAVA
UVOD u BCM 1.1. Čimbenici današnjeg poslovanja Globalizacija i integracija ekonomija Sve veća ovisnost o ICT Međuovisnosti tvrtki kroz snažno povezivanje (E2E, npr. B2B poslovni lanci) Ubrzavanje poslovnog takta Sve veća kompleksnost poslovanja
1.2. Prijetnje poslovanju ČOVJEK TEHNOLOGIJA PRIRODA Poplave Potresi itd ČOVJEK Namjera Nenamjerni utjecaj TEHNOLOGIJA Požar, eksplozija Prekid energije Pogreške u opremi Gubitci u komunikacijama Gubitci podataka
1.2.1. ICT kao prijetnja poslovanju Štete zbog IT opreme Vandalizam Prodori u IS Terorizam Uništenje BP Kontaminacija Prirodne katastrofe Pogrešne procedure Kvar opreme Gubitak servisa Požar Loše procedure Poplava Neautorizirani pristupi Krađa informacija Korisničke pogreške Gubitak servisa Nepoštivanje zakona …
1.2.2. Statistika bojazni u praksi
1.3. Zašto i što je BCM?
1.4. Motivi za BCM Regulativa Hrvatski propisi Norme / standardi Sarbanes – Oxley Act Basel II Hrvatski propisi COSO Ugovori Poslovni instikt Odgovornost za moguće situacije i posljedice na poslovanje koje iz toga proizlaze Primjena najbolje prakse ITIL CobIT Norme / standardi
2. PRISTUPI USPOSTAVI BCM - a Mogući su različiti pristupi: Kroz informacijsku sigurnost (ISO/IEC 27000) Kroz ITIL, CobIT (Najbolja praksa) Kroz IT DR (Disaster Recovery) Kroz norme za cjeloviti BCM
2.1. BCM i informacijska sigurnost Politika sigurnosti Organizacija informacijske sigurnosti Upravljanje imovinom Sigurnost ljudskog potencijala Fizička sigurnost i sigurnost okoline Upravljanje komunikacijama i operacijama Kontrola pristupa Nabava, razvoj i održavanje informacijskih sustava Upravljanje sigurnosnim incidentima Upravljanje kontinuitetom poslovanja Sukladnosti
2.2. BCM i najbolja praksa 2.2.1. ITIL V2
2.2. BCM i najbolja praksa 2.2.2. BCM i COBIT INFORMATION C O B I T F R A M E W O R K ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. Efficiency Integrity Effectiveness Availability MONITOR AND EVALUATE Compliance Confidentiality PLAN AND ORGANISE Reliability IT RESOURCES DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Applications Information Infrastructure People DELIVER AND SUPPORT ACQUIRE AND IMPLEMENT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.
2.2.2. BCM i COBIT Kontrole u DS4 DS4.1 Pristup kontinuitetu IT-a DS4.2 Plan kontinuiteta IT-a DS4.3 Kritični IT resursi DS4.4 Održavanje plana kontinuiteta IT-a DS4.5 Testiranje plana kontinuiteta IT-a DS4.6 Treninzi za postupanje po planu DS4.7 Prenošenje plana na sudionike DS4.8 Oporavak i obnova IT usluga DS4.9 Rezervna udaljena pohrana podataka DS4.10 Provjere nakon oporavka
2.3. BCM kroz DR
2.4. Norme za cjeloviti BCM BS 25999:2006 Business continuity management- Part 1: Code of practice /2006 Part 2: Specifications /2007 BCI Business Continuity Institute DRI Disaster Recovery Institute Itd.
2.5. Životni ciklus BCM-a
3.0. Inicijalizacija i upravljanje BCM-om: 3. RAZVOJ BCM SUSTAVA 3.0. Inicijalizacija i upravljanje BCM-om: Politika i ciljevi BCM-a Područje primjene Osiguranje resursa za BCM Plan BCM projekta BCM dokumentacija Način upravljanja projektom i odgovornosti Smjernice za daljnji rad
3.1. Razumijevanje vlastitog poslovanja BIA (Business Impact Analysis) Određivanje kritičnih zahtjeva Procjene rizika (RA) Odlučivanje o postupanju s rizicima (Varijante odgovora)
3.2. Određivanje BCM strategije 3 razine BCM strategija: Strategija organizacije – korporativna strategija Strategija procesa Strategija oporavka resursa
Vrijeme za nastavak rada (RTO) 3.2. Određivanje BCM strategije Razine zahtjeva prema organizaciji Share Vrijeme za nastavak rada (RTO) 15 Min. 1-4 H.. 4 -8 H.. 8-12 Hr.. 12-16 Hr.. 24 Hr.. Dani Izdaci Razina 4 Razina 3 Razina 2 Razina 7 Razina 6 Razina 5 Razina 1
3.2. Određivanje BCM strategije Odabir BCM rješenja
3.3. Razvoj odgovora / planova BCM-a Eskalacija intervencije
3.4. Testiranje, održavanje i procjena BCM-a Definirati opseg, ciljeve i resurse potrebne za izvođenje testa Pripremiti BC scenarij/e za provedbu testiranja Provesti testiranje plana kontinuiteta poslovanja u skladu sa prihvaćenim scenarijem Analizirati rezultate testiranja plana kontinuiteta poslovanja
3.5. Razvoj BCM kulture Promicanje svijesti o BCM - u Potrebno je osigurati razvoj vještina potrebnih za učinkovito razvijanje, implementaciju, izvršavanje, testiranje i održavanje plana kontinuiteta poslovanja “Awareness” radionice
3.6. Iskustva u BCM-u NASDAQ Bank of England Mađarska narodna banka Banke HNB Telekom tvrtke FINA HZMO HEP, CURH, CO, Zračna luka,…. Itd.
HVALA NA POZORNOSTI Kontakti: zkrakar@zih.hr zkrakar@foi.hr