Üzletmenet folytonossági irányítási rendszer
Az online és a valós idejű tranzakciókkal dolgozó informatikai rendszerek elterjedése miatt mára már a rendszerek rövid idejű leállása is komoly kockázatot, veszteséget jelenthet a vállalatok számára. Amennyiben a szolgáltatás folyamatossága megszakad, és az üzletileg elvárt helyreállítási időn belül nem is indítható újra, akkor ez jelentős anyagi és presztízs veszteséget okozhat a vállalatoknak, és a komolyabb, adatvesztésessel is járó esetében ez a vállalat ellehetetlenüléséhez, megszűnéséhez is vezethet.
Minden vállalat, vállalkozás elemi érdeke, hogy az adatai biztonságáról és az üzletmenet folytonosság fenntartásáról gondoskodjon. Ennek érdekében szükséges, hogy minden szervezet rendelkezzen olyan eljárásokkal, amelyek csökkentik az informatikával támogatott folyamatok megszakadásának a lehetőségét, illetve rendelkezzenek olyan forgatókönyvekkel, amelyek az esetlegesen bekövetkező kiesések esetére biztosítani tudják az üzleti működés újraindíthatóságát .
Az üzletmenet folytonosság fenntartásáról való gondoskodás egy biztosításhoz hasonlítható befektetés, amely jövőbeli károk csökkentésére szolgál. A vállalat felső vezetésének feladata, hogy a befektetés, vagyis az üzletmenet folytonosság biztosítására és fenntartására fordított erőforrások arányban legyenek azokkal a potenciális veszteségekkel, amelyet az üzleti folyamat kiesése okozhat.
Az üzletmenet folytonosság folyamatos és hatékony fenntartása az üzletmenet folytonosság irányítási rendszernek, mint folyamatnak a szervezetek napi tevékenységébe történő szerves beintegrálódásával valósul meg. Az üzletmenet folytonosság irányítási rendszere egy olyan ciklikusan ismétlődő tevékenység, amely során az alábbi tevékenységek követik egymást:
- az üzleti tevékenység és az üzleti elvárások meghatározása
- az üzletmenet folytonosság tervezése
- az üzletmenet folytonossági eljárások kialakítása
- az üzletmenet folytonossági eljárások bevezetése, tesztelés, értékelése és javítása
A HOPET Kft. vállalja, hogy Megrendelőinél elvégzi az üzletmenet folytonosság tervezését, és elkészíti az ehhez kapcsolódó dokumentumokat. Kiépíti az üzletmenet folytonosság irányítási rendszerét, és - azoknál az ügyfeleknél, akik minőségirányítási rendszerrel rendelkeznek, - a két irányítási rendszert egybeintegrálva kialakítja a Megrendelő integrált üzletmenet folytonossági és minőségirányítási rendszerét.
Az üzletmenet folytonosság tervezését az angliai szabványügyi hivatal /British Standards Institute/ „de facto” ipari szabványként tekintett BS 25999:2006 Business Continuity Management, BCP üzletmenet folytonosság menedzsment módszertana alapján végezzük. A szabvány egy üzleti szemléletű stratégiai és operatív keretrendszer, „de facto” ipari szabvány.
1. ábra Az üzletmenet folytonosság menedzselése
A projekt kezdetén tanácsadóink, mint független auditorok átvilágítják a terület működését, "gap analízist" végeznek, majd kidolgozzák a kiépítés konkrét feladatait.
BCP programunk az alábbi nyolc, szorosan egymásra épülő lépésben valósul meg:
- Kockázatok felmérése
- Üzleti folyamatok feltárása
- Kapcsolatok (input, output)
- Kiesés hatása (critical recovery time)
- IT és telecom kapcsolat
- Milyen gyakran kell az adott folyamatot végrehajtani
- Egy esetleges üzemzavar bekövetkeztekor mennyi ideig képes a felelős szakterület fenntartani a folyamat működését anélkül, hogy komolyabb üzleti veszteség keletkezne
- Mekkora és milyen erőforrások szükségesek az adott folyamat által meghatározott feladatok végrehajtásához
- Milyen módon lehet helyettesíteni egy katasztrófahelyzet esetén a folyamatban résztvevő erőforrásokat, eszközöket?
- Üzleti hatás elemzés
- A konfigurációs redundancia (táp, diszk, CPU, I/O)
- A megnövelt rendelkezésre állást szolgáló ("High Availability, HA") megoldások
- Hálózati útvonal redundancia
- Eszköz tartalékolás, helyszíne, módja
- SLA szerződések tartalma
- Program, adat és konfigurációs állományok mentése
- Mentett állományok őrzési helye
- A változás menedzsment megfelelősége
- Kockázati hatás elemzés
- Szükséges erőforrások
- Katasztrófa megelőzési terv
- Helyreállítási stratégia
- Humán erőforrás (belső, külső)
- Technológiai eszközök (saját tartalék, beszállító)
- Helyiségek, (tartalék) infrastruktúra
- A terv elkészítése
- Üzletmenet folytonossági terv /BCP/ Katasztrófa elhárítási terv /DRP/, meghivatkozva rendszerenként:
- Mentési és visszatöltési eljárások
- Mellékletek, segédletek, formanyomtatványok
- Checklist-ek, jegyzőkönyvek
- BC stratégia (követelmények és megoldások)
- Megelőzési eljárások (mentési és tárolási előírások)
- HR feltételek előírása
- WAR (tartalék munkaterület)
- SW és HW konfigurációs listák elkészítése
- DRP tárolása
- Tartalék beszállítói lista
- Security a helyreállítás folyamán
- Kárenyhítés (biztosítások)
- BCP karbantartás előírása
A kockázatok felmérése során elkészítünk egy listát, amely tartalmazza a lehetséges veszélyforrásokat, azok bekövetkezési valószínűségét, valamint az általa előidézett rendkívüli helyzet fennállásának időtartamát.
Az üzleti folyamatok feltárása során többek között az alábbiakat is rögzítjük:
Az üzleti folyamatok számbavétele során, azzal párhuzamosan több szempont figyelembevételével rangsoroljuk is azokat:
Az üzleti hatás elemzés során feltárjuk az egyes folyamatok kieséséből adódó problémákat, és megállapítjuk a cég szakembereivel közösen az ezáltal okozott kár mértékét.
Felmérésre kerül az IT és telecom eszközök és rendszerek védelme, felmérésre kerül eszközönként::
A kockázati hatás elemzés során felmérjük, hogy a potenciális fenyegetettségek milyen hatással lehetnek az egyes folyamatok, szervezeti egységek működésére.
A fenyegető tényezők a „Continuous Service Stack” alapján:
2. ábra Fenyegető tényezők
A menedzsmentnek döntést kell hoznia a felvállalható kockázatokról. Elv: A ráfordítás legyen arányos a véletlen események által okozott károk valószínűsíthető mértékével.
A folyamatok és a kockázatok felmérésével párhuzamosan fel kell mérni a folyamat működéséhez szükséges munkaerő-szükségletet, a szükséges berendezések, eszközök, valamint a folyamat során használandó adatbázisok, adatok, dokumentációk körét.
A felmérések során megállapításra kerül továbbá az erőforrások minimálisan szükséges mennyisége, helyettesíthetősége, valamint, hogy milyen módon, és mennyi idő alatt lehet ismét előállítani, vagy beszerezni és üzembe állítani azokat.Az üzleti folyamatokat veszélyeztető fenyegetettségek kiküszöbölése érdekében olyan megelőző intézkedéseket kell tenni, amelyekkel az elszenvedett kár mérsékelhető, értéke minimalizálható. A váratlan eseményekre való felkészüléshez elengedhetetlenül szükséges különböző tartalékmegoldások kiépítése, megvalósítása (tartalékolások, hibatűrő rendszerek, mentések, adattárolási megoldások, alternatív helyszín biztosítása).
A helyreállítási stratégia kidolgozása során a vállalat vezetésének döntést kell hoznia, hogy az üzletmenet folytonosságot milyen szintű tartalékolással, milyen megoldással biztosítja.
Ezt figyelembe véve, a vezetésnek többféle alternatívát kínálunk. Mindegyik alternatívánál megadjuk, hogy milyen feltételekkel, költséggel és ütemezéssel valósítható meg, milyen előnye-hátránya van az adott megoldásnak, illetve hogy mi a teendő az üzemszerű állapot helyreállítása érdekében.
Erőforrás területek
A tervezésnél figyelemmel kell lenni arra, hogy a visszaállítás nem azonos a helyreállítással.
A helyreállítási stratégia kialakítása után kerül sor az üzletmenet folytonossági terv elkészítésére. A terv tartalmazza a végrehajtásához szükséges operatív (pl. az elérhetőségi) adatokat, tartalmazza a felülvizsgálatára vonatkozó előírásokat, valamint tartalmazza az egyes helyettesítő eljárások megfelelősségének és az ehhez szükséges ismeretek ellenőrzésére vonatkozó teszt eljárásokat, valamint előírja a tesztelések gyakoriságát is.
A tervek hierarchikus szerkezete:
A BCP dokumentum az alábbiakat tartalmazza:
A BCP process állapotának a mérésére szolgál az alábbi diagram, az u.n. "pókháló" ábra:
3. ábra BCP folyamat állapot diagram
Az informatikai katasztrófaterv elkészítése
Az informatikai rendszerek jelenlegi működését figyelembe véve kell elkészíteni az informatikai katasztrófatervet, amely a rendkívüli események kezeléséhez nyújt részletes forgatókönyvet. A katasztrófatervet úgy kell kialakítani, hogy az újonnan bevezetésre kerülő technikai megoldások beépíthetők legyenek a tervbe.
A informatikai katasztrófaterv egy operatív dokumentum, tartalma:
- Szereplők, felelősségek, hatáskörök - HR
- Észlelés, intézkedések, jelentési kötelezettségek
- Helyreállítási eljárások
- Kommunikáció – média
- Teszt eljárások
- Helyreállítást követő eljárások
- Krízis menedzsment terv: - tűz, bombatámadás - amikor az épület további használata nem lehetséges
- Szereplők, hatáskör, felelősségek
- Észlelés
- Eljárások
- Kommunikáció – média
A katasztrófaterv kialakítása az alábbi lépések szerint történik:
- Katasztrófa helyzet meghatározása A terv készítésének első lépéseként a Megrendelő szakembereivel közösen meghatározásra kerülnek a rendkívüli helyzetek besorolási fokozatai.
- Szerepkörök és felelősségek
- Megelőzési intézkedések
- A katasztrófa helyzet elhárítása
- A katasztrófa helyzetet követő intézkedések
- A katasztrófaterv tesztelése
- A katasztrófaterv felülvizsgálata
- Mellékletek
Második lépésként meg kell határozni a rendkívüli helyzetek elrendeléséért, azok kezeléséért felelősök személyét és teendőit.
Az üzletmenet folytonosság biztosítása érdekében szükséges, hogy rendszerenként illetve folyamatonként meghatározzuk azokat a megelőző intézkedéseket, tartalékmegoldásokat, amelyek segítségével a szolgáltatások folyamatossága katasztrófahelyzetben is biztosítható.
Meghatározzuk, hogy a helyzeteket követően melyek azok az intézkedések, amelyeket a károk elhárítása, vagy a károk csökkentése érdekében szükséges megtenni.
Megrendelő szakembereivel közösen kidolgozzuk és rögzítjük azokat az intézkedéseket és eljárásokat, amelyeket alkalmazni kell a rendkívüli helyzetek bekövetkeztétől annak elhárulásáig.
A katasztrófaterv megfelelősségének igazolásaképpen tesztelni kell a tervet. Elkészítjük a teszteléshez szükséges terveket és szakértői rendelkezésre állást biztosítunk a tesztek elvégzéséhez.
Rendszeres időközönként szükséges a tervek felülvizsgálata. Ilyenkor adódik alkalom az alkalmazott új technikai megoldások beépítésére, illetve a tervek aktualizálására.
A katasztrófaterv mellékletében szerepeltetjük azokat az adatokat és információkat, amelyeknek rendszeres felülvizsgálata, aktualizálása szükséges a terv naprakész állapotának fenntartásához.