1. bcmold.ddc.moph.go.th/cdc/edoc/health security/bcmhealthcare.pdf · bcm strategy. business...
TRANSCRIPT
1
2
1. เหตผลและความจาเปนของ BCM
2. ความหมายและกระบวนการของ BCM
3. ประเดนทพงพจารณาเกยวกบ BCM
3
1. เหตผลและความจาเปนของ BCM
4
Lesson Learned
5
ภยคกคามจากภายในและภายนอก• การกระทาทมงประสงคราย
– การทจรต การลกขโมย หรอการขจะเผยความลบ
– การกอวนาศกรรม
– การกอการราย
• ความเสยหายจากภยธรรมชาต
– อคคภย
– นาทวมและความเสยหายจากนารปแบบอน
– สภาพอากาศทรนแรง
– มลพษในอากาศ
– อนตรายจากสารเคมรวไหล
• ความเสยหายทางดานเทคนค
– ระบบการสอสารลมเหลว
– ระบบไฟฟาลมเหลว
– อปกรณและชดโปรแกรมระบบงาน (Software)
เสยหาย
– ระบบการขนสงเสยหาย
6
Do you feel like you’re walking a tight rope each day?
7
Business ContinuityBusiness Continuity is protecting critical business assets, managing risk, aligning recovery costs based on business risk and information value
Business Continuity is the ability to adapt and respond to risks, as well as opportunities, in order to maintain continuous business operations, be a more trusted partner, and enable growth.
Business Continuity is not simply IT Disaster Recovery... it is a management process that relies on each component in the business chain to sustain operations at all times.
8
What is business resilience?Business resilience is the
ability to rapidly adapt
and respond to risks, as
well as opportunities, in
order to maintain
continuous business
operations, be a more
trusted partner, and
enable growth.
9
2. ความหมายและกระบวนการของ BCM
10
Business Continuity Management (BCM)
หมายถง กระบวนการบรหารแบบองครวมในการระบเหตการณ ทอาจสงผลกระทบตอองคกร รวมทงกาหนดกรอบในการดาเนนการรบมอกบเหตการณเหลานนเพอปกปองผลประโยชนของผมสวนไดสวนเสย ชอเสยง และภาพลกษณขององคกร
11
• Business Continuity Plan (BCP)
– แผนททาใหองคกรดาเนนงานไปไดอยางตอเนองหรอทาใหองคกรกลบคนสสภาพทสามารถดาเนนงานตอไปได ในกรณทเกดเหตการณฉกเฉน
• Disaster Recovery Plan (DRP)
– แผนทระบถงทรพยากร สงทตองดาเนนการ และขอมล ทองคกรหรอหนวยงานธรกจจาเปนตองใชในการกธรกจกลบคนสสภาวะปกต
–แผนงานทอธบายถงกระบวนการกระบบเทคโนโลยสารสนเทศกลบคนจากภาวะความขดของของการ
ประมวลผล
12
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity Strategies
BCM
Program Management
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
Understand Your Business
13
Maturity Level
The Business Continuity Management Process
Organisation StrategyOperational and Business
Objectives
Organisation (Corporate) BCM Strategy
Business Continuity Plan (s) Critical Management Plan
Exercising of BCM
BCM Programme Management BCM Policy
Maintenance of BCM
Education and Culture Building Activities
Resource Recovery Solutions and Plans
Process Level BCM Strategy
Critical Business Factors
(Mission Critical Activities)
Resource Recovery BCM Strategy
Business Outputs and Deliverables
(Services and Products)
Business Culture and Awareness Programme BCM Training Program
Audit of BCM
BCM Assurance
Stage 1 : Understanding your Business
Stage 2 : Business Continuity Management Strategies
Stage 3 : Develop and Implement a BCM Response
Stage 4 : Building and Embedding a BCM Culture
Stage 5 : Exercising, Maintenance and Audit of BCM
Stage 6 : BCM Programme Management
1
2
6
5
4
3
14
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity Strategies
BCM
Program Management
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
Understand Your Business
15
1. Understand Your Business
Business Impact Analysis (การวเคราะหผลกระทบตอองคกร)
– การระบผลกระทบตอกระบวนการทางธรกจขององคกร อนเกดจากเหตการณทวไปทไมอาจควบคมได โดยพจารณาจาก
• กระบวนการดาเนนธรกจ และลาดบความสาคญ
• ทรพยากรทจาเปนตองใชในการดาเนนธรกจทสาคญ
• ความเสยง หรอจดออนของโครงสรางระบบเทคโนโลยสารสนเทศ การควบคมและระบบรกษาความปลอดภย
• ภยคกคามทจะมผลกระทบตอกระบวนการดาเนนธรกจ (Threat & Impact)
16
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity Strategies
BCM
Program Management
Understand Your Business
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
17
2. Business Continuity Strategies
–จดลาดบความสาคญของระบบงาน : Critical, Vital, Sensitive, Non-sensitive
–ระบ Recovery Point Objective and Recovery Time Objective
18
RPO vs RTO
Interruption
Recovery Point Objective Recovery Time Objective
Mirroring 1 hr 2 hrs 24 hrsBackup
ReelBackup
19
Tape Backup
SecsMinsHrsDaysWks Secs Mins Hrs Days Wks
Recovery Point Recovery Time
Synchronous Replication
Periodic Replication
Asynchronous Replication
Replication Technology Drives RPO
20
Tape Restore
SecsMinsHrsDaysWks Secs Mins Hrs Days Wks
Recovery Point Recovery Time
Recovery Time includes– Fault detection
– Recovering data
– Bringing applications back online
– Network access
Global Clustering Manual
Migration
Recovery Automation Drives RTO
21
IT Business Recovery Metrics• Recovery Time Objective (RTO)
– How long can I afford to be without mysystems and business-critical applications?
• Recovery Point Objective (RPO)– How much data can I afford to recreate (or lose)?
• Applications may be down until some or all of the data is recreated.
• Denotes the time interval between when last Consistency Group was formed and when the storage system is again operational.
• Network Recovery Objective– How long it takes to get the network operational.
22
Business Continuity Strategies
• Hot Site• Warm Site• Cold Site• Mobile Site• Reciprocal Arrangements
with other organization
23
Recovery Strategy VS Cost
24
Once risks are understood, an appropriate resilience strategy can
be developed
Accept the risk
An exposure is deemed acceptable to the
business
Mitigate the risk
Strategy required and implemented to reduce
risks
Transfer the risk
When it is more cost effective to transfer to
another entity (e.g., insurance, leaseback,
outsource)
Accept Mitigate Transfer
25
26
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity Strategies
BCM
Program Management
Understand Your Business
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
27
3. Develop & Implement Business Continuity Response
• การจดทา BCP ในภาพรวมทงองคกร เปนลายลกษณอกษร
• การจดตงทมงานหรอหนวยงาน และมอบหมายอานาจหนาทความรบผดชอบเพอเตรยมการและปฏบตการในภาวะฉกเฉน
– Incident Response Team - Emergency Action Team
– Emergency Management Team
– Damage Assessment Team
28
องคประกอบของแผนฯ• บคลากร
• องคประกอบของเทคโนโลย
– ทางเลอกในการกศนยประมวลผลกลาง
– Back-up Recovery Facilities
– การกระจายพนททางภมศาสตร
– กลยทธในการสารองและการจดเกบ
– การสารองแฟมขอมล
– การสารองซอฟแวร
– สถานทจดเกบภายนอก
29
องคประกอบของแผนฯ
• สงอานวยความสะดวก
• การสอสาร
• ขอควรพจารณาอน
30
Recovery occurs in phases, each with its own set of tasks and responsibilities. The plan must take the entire
flow into account.
31
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity Strategies
BCM
Program Management
Understand Your Business
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
32
4. Build & Embed a Continuity Culture
• สอสารแผนฯ ใหเจาหนาทผทเกยวของ
• พฒนาฝกอบรม
• รวม BCP เขาเปนสวนหนงของการกาหนดนโยบายและกระบวนการดาเนนงานปกต
– การพฒนาระบบงานและโปรแกรม (SDLC)
– นโยบายการควบคมการเปลยนแปลง
– แผนการฝกอบรมพนกงานและการสอสาร
– นโยบายการประกนภย
– นโยบายการประชาสมพนธภายนอก (รฐบาล สอ และประชาชน)
– การรกษาความปลอดภย
33
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity Strategies
BCM
Program Management
Understand Your Business
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
34
5. Exercise, Maintain and Audit
• การทดสอบ BCP (อยางนอยปละ 1 ครง)
• การสอบทานและตรวจสอบ BCP อยางเปน
อสระ
• การปรบ BCP ใหเปนปจจบนตามการ
เปลยนแปลงของบคลากร และ
สภาพแวดลอมทงภายในและภายนอก
องคกร
35
กระบวนการของ BCM (BCM Life-Cycle)
5
4 3
2
1
6
Business Continuity StrategiesBCM
Program Management
Understand Your Business
Develop & ImplementBusiness ContinuityResponse
Exercise, Maintain and Audit
Build & Embed a Continuity Culture
36
6. BCM Program Management
• บรหารโครงการ BCM –Enterprise-wide–Life-Cycle–Interdependence
BCM Policy BCM AssuranceBCM Project Management
37
IT Business Continuity Planning Process
Critical Processes
CriticalAssets
Data Currency
(RPO)
RecoveryTime
Objectives(RTO)
Threat Profile
BusinessContinuance
Plan
BusinessImpact
Analysis
ThreatAssessment
Recovery Plan Development Implementation
Architecture
Technology
Project Plan
Services
38
3. ประเดนทพงพจารณาเกยวกบ BCM
39
Business Continuity Management
Source : BCI, BCM Good Practice Guidelines
40
Business Continuity Management
Source : BCI, BCM Good Practice Guidelines
41
A single enterprise resiliency strategy can mitigate the risk associated with today’s
complex business needs
Freq
uenc
y of
oc
curre
nces
Consequences per occurrenceLow High
Virus
Worms Disk failure
System availability failures
Pandemic
Natural disaster
Application outage
Data corruption
Network problem
Building fire
Terrorism/civil unrest
Data driven
Event driven
Business driven
Failure to meet regulatory compliance
Workplace inaccessibility
Failure to meet industry standards
Regional power failures
Lack of governance
42
Getting to Business ContinuityBusiness Continuity should be addressed as a corporate-wide business plan.
Moving toward Business Continuity involves the strategy, preparations, and plans to provide business process protection in the event of a disruption at any layer.
Developing a Business Continuity plan involves understanding and balancing employee, customer, and stakeholder needs and delivering supporting capabilities enterprise-wide.
A Business Continuity plan in terms of processes, workforce, and data usage enables easier means of scaling of the business and adapting to change.
The majority of the success factors for a Business Continuity plan lay in people and procedures. Technology is only a tool.
Processes
Technology
Organization
Facilities
Strategy and Vision
Applicationsand Data
Bus
ines
s C
ontin
uity
Understand the main aspects of a good Business Continuity Plan
43
Business Continuity at the end of the day …….
40%
60%
ProcessDefinition/design, compliance and continuous improvement
PeopleRoles & responsibilities, management, skills development & discipline
Technology Hardware and software capabilities
44
Aspects of IT Business Continuity
Protection of critical Business data Operations continue after a disaster
Costs are predictable and manageableRecovery is predictable and reliable
Fault-tolerant, failure-resistant infrastructure supporting continuous application
processing
High AvailabilityNon-disruptive backups and
system maintenance coupled with continuous availability of
applications
Continuous OperationsProtection against unplanned
outages such as disasters through reliable, predictable
recovery
Disaster Recovery
BusinessContinuity
45
Preventive Services - High Availability
• A resilient IT infrastructure that masks individual component failures– i.e. no single points of
failure• Infrastructure continues to
provide access to applications
• Often provided by clustered servers, resilient hardware – Typically at one location
High Availability
BusinessContinuity
46
Continuous Operations• No need to take
applications down to do ongoing IT procedures such as:– Scheduled backups– Planned maintenance
• The ability to keep continuous access to applications when everything is working properly
Continuous
Operations
BusinessContinuity
47
Disaster Recovery• Ability to recover
from unplanned outages at a different site– Usually on
different hardware
• Performed after something has gone wrong on a site-wide basis
Disaster
Recovery
BusinessContinuity
48
Healthcare Data Archiving ChallengesVolume of Data
Reference data is growing exponentially and is being stored for long periods of time – often in perpetuity. Reference data consumes ~80%-90% of storage and ESG estimates compound growth of healthcare data is ~ 52% per year.
Value of InformationReference data (x-rays and documents) are actively referenced, and must be stored and protected throughout the data lifecycle to meet clinical and regulatory requirements.
Velocity of ChangeIT is under pressure to address the demands for increased storage and higher performance. 80% of problems not detected by IT staff until reported.
80% of IT problems are reported by end users
For
ecas
ted
TB
52% CAGR
49
Healthcare Data Archiving RequirementsIT RequirementsClinical Requirements
Fast PerformanceFast, reliable access to dataNo matter “how old”
High Availability7 x 24 Service even in presence of faultsNon-disruptive failover
Open and InteroperableIntegration with leading PACSGrow to support other disciplines
Access Data Across FacilitiesDifferent departments and applications
Massive, Fast Growing ArchiveOn-demand growth, tiered storageHardware refresh
Protect Patient RecordsData authenticity and integrityData security
Automated Disaster RecoveryOff-site disaster recovery; Goal:
RTO=0Traditional back-up and restore
won’t workCost is Critical
Improved resource effectivenessCosts: products, services,
operations
50
The eleven Business Continuity IT Requirements Questions (in proper order)
1. What applications or databases to recover?
2. What platform? (z, p, i, x and Windows, Linux, heterogeneous open, heterogeneous z+Open)
3. What is desired Recovery Time Objective (RTO)?
4. What is distance between the sites? (if there are 2 sites)
5. What is the connectivity, infrastructure, and bandwidth between sites?
7. What is the Level of Recovery?- Planned Outage- Unplanned Outage- Transaction Integrity
8. What is the Recovery Point Objective?
9. What is the amount of data to be recovered (in GB or TB)?
10. Who will design the solution?
11. Who will implementthe solution?
12. Remaining solutions are valid choices to give to detailed DR evaluation team
6. What are the specific h/w equipment(s) that needs to be recovered?
51
6 ปจจยสาคญของ BCP ทมประสทธภาพ• การวางแผนรองรบการดาเนนธรกจอยางตอเนองใน
ลกษณะภาพรวมทวทงองคกร
• การวเคราะหผลกระทบตอธรกจและการประเมนความเสยงอยางครอบคลม
• เปนมากกวาการกระบบเทคโนโลยสารสนเทศ
• การทดสอบ BCP อยางละเอยดทวถง• BCP และผลการทดสอบควรไดรบการตรวจสอบ
อยางเปนอสระ
• การปรบปรง BCP เปนระยะ11
52
BCM กบ IT Outsourcing
“ในการใชบรการงานเทคโนโลยสารสนเทศจากผใหบรการรายอน
องคกรยงคงตองรบผดชอบตอการใหบรการเสมอนเปนผดาเนนการเอง”
53
แนวทางการตรวจสอบ BCP (1)
• ความเหมาะสมของแผนรองรบการดาเนนธรกจอยางตอเนองในระดบภาพรวมทงองคกร
• คณภาพของการกากบดแล BCP และการสนบสนนของคณะกรรมการและผบรหารระดบสง
• ความเพยงพอของการจดทาการวเคราะหผลกระทบตอธรกจ และการประเมนความเสยง
• ความเหมาะสมของการบรหารความเสยงในกระบวนการดาเนนธรกจอยางตอเนอง
54
แนวทางการตรวจสอบ BCP (2)• ความเหมาะสมของการทดสอบ BCP
• ความครอบคลมและความสอดคลองของแผน
รองรบการดาเนนงานดานเทคโนโลย
สารสนเทศอยางตอเนอง กบ BCP ของฝายงาน
อนๆ และรวมเปนสวนหนงของ BCP ของ
องคกร
• ความพรอมของการสารองและความสามารถ
ใชงานระบบเทคโนโลยสารสนเทศไดเหมอนใน
ภาวะปกต
55
แนวทางการตรวจสอบ BCP (3)• ความรดกมของวธการปฏบตงานดานการรกษาความปลอดภย
• ความครอบคลมของการเตรยมการสาหรบกระบวนการกศนยประมวลผล กลบคนสภาวะปกต
• ความครอบคลมของการระบกจกรรมสาคญทดาเนนการโดยผใหบรการภายนอก
56
Q&A?
57
ขอบคณคะ