понедельник, 29 февраля 2016 г.

Управление непрерывностью (Business Continuity)



Управление непрерывностью - очень важный процесс, связанный с обеспечением непрерывной работы бизнеса при различных сбоях или даже катастрофах, связанных с ИТ.
Чем же должен заниматься в компании человек, отвечающий за непрерывность?
Как и обычно, изобретать велосипед не будем, а обратимся к своду знаний CobiT, где процесс управления непрерывностью занимает свое место в группе процессов обслуживания и поддержки:

Итак, для начала

Описание процесса

Создать и поддерживать план, позволяющий бизнесу и ИТ реагировать на инциденты и сбои, в целях продолжения работы критически важных бизнес процессов, необходимых ИТ-услуг, и поддерживать доступность информации на уровне, приемлемом для предприятия.

Цель процесса

Продолжение выполнения критически важных бизнес-операций и поддержание доступности информации на уровне, приемлемом для предприятия в случае существенного ИТ сбоя

Задачи и примеры метрик процесса

Бизнес-критическая информация доступна для бизнеса в соответствии с
минимальным требуемым уровнем обслуживания

  • Процент ИТ сервисов, доступных в согласованное время
  • Процент успешных и сделанных вовремя восстановлений из резервных копий
  • Процент резервных копий, перемещенных и находящихся в безопасном хранении

Достаточная устойчивость для критически важных сервисов

  • Количество критических важных бизнес систем, не покрытых планом

Тесты на непрерывность подтверждают эффективность плана

  • Количество испытаний и тестов, которые достигли целей по восстановлению
  • Частота испытаний

Актуальный план по непрерывности отражает текущие требования бизнеса

  • Процент согласованных улучшений, которые были отражены в плане
  • Процент выявленных проблем, которые были впоследствии рассмотрены в
  • плане

Внутренние и внешние стороны прошли подготовку в плане по непрерывности.

  • Процент представителей внутренних и внешних заинтересованных сторон, которые прошли обучение
  • Процент выявленных вопросов, которые были впоследствии рассмотрены в учебных материалах

Что, собственно, нужно будет делать:

Определить политику и область охвата процесса обеспечения непрерывности бизнеса в соответствии с целями предприятия и ключевых заинтересованных сторон.

  1. Определить внутренние и аутсорсинговые бизнес-процессы или услуги, которые имеют решающее значение для деятельности предприятия или необходимые для выполнения юридических и/или договорных обязательств.
  2. Определить ключевые заинтересованные стороны и их роли и обязанности для определения и согласования политики непрерывности и области ее охвата.
  3. Определить и задокументировать согласованный минимум целей и охвата политики по непрерывности бизнеса и внедрить необходимость планирования непрерывности бизнеса в корпоративную культуру.
  4. Определить необходимые вспомогательные бизнес-процессы и связанные с ними ИТ-услуги.

Оценить параметры управления и обеспечения непрерывности бизнеса и выбрать экономически эффективную и жизнеспособную  стратегию непрерывности, которая обеспечит восстановление предприятия и непрерывность в условиях стихийного бедствия или других серьезных инцидентов или нарушений.

  1. Выявить потенциальные сценарии, которые могут вызвать события, которые могут повлечь за собой существенные разрушительные инциденты.
  2. Провести анализ влияния на бизнес, чтобы оценить влияние перебоев критических бизнес-функций на протяжении некоторого времени.
  3. Установите минимальное время, необходимое для восстановления бизнес-процессов и поддержки ИТ на основе приемлемой длины прерывания бизнеса и максимально допустимого времени отключения электроэнергии.
  4. Оценить вероятность возникновения угроз, которые могут привести к потере непрерывности бизнеса и определить меры, которые позволят уменьшить вероятность и влияние за счет улучшенного предотвращения и повышенной устойчивости.
  5. Проанализировать требования к непрерывности, чтобы определить различные бизнес и технические варианты
  6. Определить условия и тех, кто будет принимать ключевые решения, на основе которых будет составляться планы по непрерывности
  7. Определить потребности в ресурсах и затраты для каждого стратегического технического варианта и сделать стратегические рекомендации.
  8. Получить одобрение высших руководителей бизнеса для выбранных стратегических вариантов.

Разработать план обеспечения непрерывности бизнеса (BCP), основанный на стратегии, в котором задокументированы процедуры и информация, предназначенные для использования в случае инцидента, чтобы позволить предприятию продолжать свои критически важные бизнес функции

  1. Определить ответные действия и необходимые коммуникации, которые необходимо предпринять в случае сбоя. Определить соответствующие функции и обязанности, в том числе ответственность за политики и их реализацию.
  2. Разработать и поддерживать оперативные планы BCP, содержащие процедуры, которым необходимо следовать для того, чтобы обеспечить непрерывность функционирования критически важных бизнес-процессов и/или временных механизмов обработки, в том числе ссылки на планы поставщиков услуг аутсорсинга.
  3. Убедитесь в том, что ключевые поставщики и аутсорсинг партнеры имеют эффективные планы обеспечения непрерывности деятельности. Получите проверенные доказательства в соответствии с требованиями.
  4. Определить условия и процедуры восстановления, которые позволили бы возобновление бизнес-деятельности, в том числе обновление и согласование информационных баз данных для сохранения целостности информации.
  5. Определить и документировать ресурсы, необходимые для поддержки процедуры обеспечения непрерывности и восстановления, с учетом людей,  и объектов ИТ-инфраструктуры.
  6. Определить и задокументировать требования к резервному копированию информации, необходимые для поддержки планов, включая планы и бумажные документы, а также массивов данных, а также рассмотреть вопрос о необходимости обеспечения хранения информации и за пределами территории предприятия (off-site backup)
  7. Определить необходимые навыки для лиц, участвующих в выполнении плана и вспомогательных процедур.
  8. Распределить планы и вспомогательную документацию соответствующим образом уполномоченным заинтересованным сторонам и убедиться, что эти планы доступны при всех аварийных сценариях.

Осуществление, тест и обзор BCP

Тестирование механизмов обеспечения непрерывности на регулярной основе, исполнение планов восстановления на основании заранее определенных результатов и обеспечение инновационных решений, которые будут разработаны чтобы помочь проверить в течение длительного времени, что план будет работать, как и ожидалось.

  1. Определить цели для осуществления и проверки бизнес, технических, логистических, административных, процедурных и операционных систем плана для проверки полноты BCP в соответствии с бизнес-рисками.
  2. Определить и согласовать с заинтересованными сторонами мероприятия, которые являются реалистичными, проверяют процедуры обеспечения непрерывности, и включают в себя функции и механизмы хранения данных, которые вызывают минимальные помехи для бизнес-процессов..
  3. Назначить роли и обязанности для выполнения мероприятий плана обеспечения непрерывности и соответствующих испытаний.
  4. Запланировать мероприятия и тесты, как это определено в плане непрерывности.
  5. Провести после тренировки "разбор полетов" и анализ, чтобы рассмотреть, как все прошло.
  6. Разработать рекомендации по совершенствованию действующего плана непрерывности на основе результатов анализа.

Обзор, поддержка и улучшение плана обеспечения непрерывности.

Проводить управленческий анализ возможностей обеспечения непрерывности через регулярные промежутки времени для обеспечения его постоянной пригодности, адекватности и эффективности. Управление изменениями в плане в соответствии с процессом управления изменениями, чтобы гарантировать, что план обеспечения непрерывности сохраняется в актуальном состоянии и постоянно отражает фактические потребности бизнеса

  1. Просматривать план обеспечения непрерывности на регулярной основе с учетом сделанных предположений и текущих бизнес-оперативных и стратегических целей.
  2. Изучать, может ли потребоваться пересмотр оценки влияния на бизнес в зависимости от характера текущих изменений.
  3. Рекомендовать и обсуждать изменения в политике, планах, процедурах, инфраструктуре, а также роли и обязанности для утверждения управления и обработке с помощью процесса управления изменениями.
  4. Пересматривать план непрерывности на регулярной основе, чтобы учесть влияние новых или значительных изменений: организации предприятия, бизнес-процессов, аутсорсинг новых процессов, технологий, инфраструктуры, операционных и прикладных систем

Проведение учебных мероприятий по обеспечению непрерывности

Обеспечить все заинтересованные внутренние и внешние стороны, регулярными тренировками, касающиеся процедур, и их роли и ответственности в случае нарушения.

  1. Определить и поддерживать требования к обучению и планы для тех, кто выполняет планирование непрерывности, оценку воздействия, оценку риска, использует средства массовой коммуникации и реагирования на инциденты. Убедитесь в том, что учебные планы включают механизмы обеспечения регулярной профессиональной подготовки и обучения.
  2. Разработать компетенции на основе практического обучения, включая участие в учениях и испытаниях.
  3. Отслеживать навыки и компетенции на основе результатов тестирования и учебных мероприятий.

Управление мероприятиями по резервному копированию

Поддерживать доступность критически важной бизнес-информации

  1. Резервное копирование различных систем, приложений, данных и документации в соответствии с установленным графиком, принимая во внимание:


  • Частоту (ежемесячно, еженедельно, ежедневно и т.д.)
  • Режим резервного копирования (например, зеркалирование дисков для копирования в режиме реального времени или DVD-ROM для длительного хранения)
  • Тип резервного копирования (полный или инкрементный)
  • Тип носителя
  • Автоматизированное резервное копирование в режиме on-line
  • Типы данных (например, голос или видео)
  • Создание журналов
  • Критично важные данные конечных пользователей (например, электронные таблицы)
  • Физическое и логическое размещение источников данных
  • Безопасность и права доступа
  • Шифрование

  1. Убедитесь в том, что системы, приложения, данные и документация, поддерживаемые или обрабатываемые третьими сторонами надлежащим образом резервно копируются или сохраняются иным способом.
  2. Рассмотрите вопрос о необходимости предоставления резервных копий со стороны третьих лиц. Рассмотрите депозитные или соглашения об ответственном хранении.
  3. Определите требования к копиям на месте и за пределами площадки хранения резервных копий данных, которые отвечают требованиям бизнеса. Рассмотрите доступность, необходимую для резервного копирования данных.
  4. Разверните систему осведомленности и обучения BCP
  5. Периодически тестируйте и обновляйте резервные или архивные данные

Проводите "разбор полетов" после восстановления данных


Оцените адекватность BCP после успешного возобновления бизнес-процессов и
услуги после сбоя

  1. Оцените соответствие документации BCP
  2. Определить эффективность плана, возможностей обеспечения непрерывности, ролей и обязанностей, навыков и компетенций, устойчивость к инцидентам, технической инфраструктуры, а также организационных структур и отношений.
  3. Определите слабые места или упущения в плане и возможностей, и подготовьте рекомендации по улучшению.
  4. Получите одобрение руководства для каких-либо изменений в плане и внесите изменения с помощью процесса управления изменениями предприятия.


Автор: на Комментариев нет:

среда, 3 февраля 2016 г.

Несколько примеров показателей (метрик) для ИТ целей.


Продолжая тему целей предприятия, хочу остановится на ИТ целях, а точнее - на некоторых показателях их достижения. Показатели нам нужны, в первую очередь для того, чтобы понимать, насколько мы продвинулись в достижении той или иной ИТ цели. Ведь как известно, лучше всего себя сравнивать с собой же, но вчерашним :).

Велосипед, как обычно, изобретать не будем, и возьмем все из стандарта CobiT, оригинальный текст можно посмотреть в конце статьи.

Кстати, в процессе перевода сделал интересный вывод: в CobiТ нет такого понятий, как ИТ-сотрудники, есть определенные ИТ роли, которые в принципе могут выполнять любые сотрудники в рамках матричной системы управления.

Итак, список общих ИТ целей с примерами показателей (метрик) по каждой цели:

Финансы

01 Соответствие между ИТ- и бизнес-стратегиями

  • Процент от общего числа корпоративных стратегических целей предприятия, поддерживаемых стратегическими ИТ целями
  • Уровень удовлетворенности заинтересованных сторон охватом текущего портфеля программ проектов и сервисов
  • Процент факторов влияния на стоимость от ИТ, поставленных в соответствие бизнес-факторам влияния.

02 Следование внешнему законодательству и регулирующим требованиями в области ИТ и поддержка бизнес-соответствия.

  • Стоимость потерь от ИТ несоответствия (законодательству), в том числе от постановлений и штрафов а также от потери репутации
  • Количество ИТ-несоответствий (законодательству), которые вышли на уровень совета директоров (правления) или привели к общественному резонансу
  • Количество вопросов несоблюдения (нормативов), относящихся к договорам с поставщиками ИТ услуг
  • Уровень покрытия мероприятиями оценки соответствия

03 Лидирующая роль (вовлечение) руководства в принятии решений в области ИТ

  • Процент представителей высшего руководства с четко определенными ролями в области ответственности за принятие ключевых ИТ решений
  • Сколько раз ИТ вопросы выносились в повестку совета директоров (правления) проактивно.
  • Частота заседаний Стратегического комитета по ИТ
  • Уровень исполнения ИТ решений, принятых на уровне высшего руководства
04 Управляемые ИТ-риски

  • Количество ИТ процессов, ИТ услуг и критично зависимых от ИТ бизнес-проектов покрытых программой оценки рисков
  • Количество значительных ИТ-инцидентов, которые не были определены в оценке рисков
  • Процент корпоративных программ оценки рисков, в которых рассматривают и ИТ риски
  • Частота обновления риск-профиля

05 Получение выгод от инвестиций с использованием ИТ и портфеля услуг

  • Процент ИТ-зависимых инвестиций, в которых получение выгоды отслеживалось в течении всего экономического жизненного цикла
  • Процент ИТ сервисов, где ожидаемые выгоды осуществляются
  • Процент ИТ-зависимых инвестиций, где заявленные преимущества выполнены или перевыполнены
06 Прозрачность ИТ-затрат, выгод и рисков

  • Процент инвестиционных бизнес-кейсов с четко определенными и утвержденными ожидаемыми ИТ затратами и выгодами
  • Процент ИТ сервисов с четко определенными и утвержденными операционными расходами и ожидаемыми выгодами
  • Оценка удовлетворенности ключевых заинтересованных сторон относительно уровня прозрачности, понимания и точности финансовой информации в области ИТ

Заказчик


07 Предоставление ИТ-услуг в соответствии с бизнес-требованиями

  • Количество бизнес-собев из-за ИТ инцидентов
  • Процент бизнес-руководителей, удовлетворенных (согласных) с тем, что ИТ-служба соответствует обговоренному уровню сервиса
  • Процент пользователей, удовлетворенных качеством предоставляемых ИТ услуг

08 Адекватное использование приложений, информации и технических решений

  • Процент владельцев бизнес-процессов, удовлетворенных поддерживающими ИТ процессам и сервисами
  • Уровень понимания бизнес-пользователями того, как технологические решения поддерживают их процессы
  • Уровень удовлетворенности бизнес-пользователей обучением и руководствами пользователей
  • Чистая приведенная стоимость (NPV), показывающая уровень удовлетворенности бизнеса качеством и полезностью технологических решений

Внутреннее управление


09 Гибкость ИТ

  • Уровень удовлетворенности руководителей бизнеса восприимчивостью ИТ к новым требованиям
  • Количество критических бизнес-процессов, поддерживаемых современной ИТ инфраструктурой и приложениями
  • Среднее время превращения стратегических ИТ целей в согласованные и утвержденные ИТ инициативы (проекты)

10 Безопасность информации, обрабатывающей инфраструктуры и приложений

  • Количество инцидентов информационной безопасности, повлекших за собой финансовые убытки, остановку бизнеса или общественный резонанс
  • Количество ИТ сервисов с выдающимися требованиями по безопасности
  • Время на предоставление, изменение или удаления прав доступа сравнительно с согласованным уровнем сервиса
  • Частота проводимых мероприятий по оценке уровня безопасности в сравнении с последними стандартами и рекомендациями.

11 Оптимизация ИТ-активов, ресурсов и способностей

  • Частота проведения мероприятий по оценке уровня зрелости функциональных возможностей и оптимизации затрат
  • Текущий тренд (тенденция) результатов оценки
  • Уровень удовлетворенности высших руководителей бизнеса и ИТ ИТ-затратами и возможностями

12 Обеспечение работы и поддержка бизнес-процессов, путем интеграции приложений и технологий в бизнес-процессы

  • Количество инцидентов в бизнес-процессах, вызванных технологическими ошибками интеграции
  • Количество изменений в бизнес-процессах, которые должны быть отложены или переработаны из-за проблем технической интеграции
  • Количество ИТ-зависимых программ (проектов) отложенных, или повлекших дополнительные расходы из-за проблем с технологической интеграцией
  • Количество приложений или элементов инфраструктуры, работающих изолированно и не интегрированных.

13 Извлечение выгоды из программ и проектов, выполняемых в рамках сроков, бюджета и соответствующих требованиям и стандартам качества

  • Количество программ/проектов, уложившихся в сроки и в бюджет
  • Процент представителей заинтересованных сторон, удовлетворенных качеством программ/проектов
  • Количество программ (проектов) нуждающихся в значительной доработке из-за низкого качества
  • Стоимость обслуживания приложений относительно общей стоимости ИТ

14 Доступность надежной и нужной информации для принятия решений

  • Уровень удовлетворенности бизнес-пользователей качеством и своевременностью (или доступностью) управленческой информации
  • Количество инцидентов в бизнес-процессах, связанных с недоступностью информации
  • Количество и степень ошибочных бизнес-решений, где ошибочность или недоступность информации оказалась ключевым фактором
15 Соблюдение внутренних политик

  • Количество инцидентов, связанных с несоблюдением политики
  • Процент представителей заинтересованных сторон, которые понимают политики
  • Процент политик, поддерживаемых эффективными стандартами и рабочими практиками
  • Частота пересмотра и обновления политик

Обучение и развитие


16 Компетентный и мотивированный персонал ИТ

  • Процент сотрудников, чьи ИТ-навыки достаточны для квалификации, необходимой для их роли
  • Процент сотрудников, удовлетворенных их ролями, относящимися к ИТ
  • Количество обучения/учебных часов на одного сотрудника

17 Знания, экспертиза и инициативность для осуществления бизнес-инноваций

  • Уровень осведомленности и понимания высшими бизнес-руководителями возможностей ИТ-инноваций
  • Уровень удовлетворенности заинтересованных сторон в уровне ИТ-инновационной экспертизе и соответствующих идей
  • Количество утвержденных инициатив (проектов) в результате инновационных ИТ идей

Оригинал:





Автор: на Комментариев нет:
Подписаться на: Комментарии (Atom)