1. bcmold.ddc.moph.go.th/cdc/edoc/health security/bcmhealthcare.pdf · bcm strategy. business...

2

1. เหตผลและความจาเปนของ BCM

2. ความหมายและกระบวนการของ BCM

3. ประเดนทพงพจารณาเกยวกบ BCM

3

1. เหตผลและความจาเปนของ BCM

4

Lesson Learned

5

ภยคกคามจากภายในและภายนอก• การกระทาทมงประสงคราย

– การทจรต การลกขโมย หรอการขจะเผยความลบ

– การกอวนาศกรรม

– การกอการราย

• ความเสยหายจากภยธรรมชาต

– อคคภย

– นาทวมและความเสยหายจากนารปแบบอน

– สภาพอากาศทรนแรง

– มลพษในอากาศ

– อนตรายจากสารเคมรวไหล

• ความเสยหายทางดานเทคนค

– ระบบการสอสารลมเหลว

– ระบบไฟฟาลมเหลว

– อปกรณและชดโปรแกรมระบบงาน (Software)

เสยหาย

– ระบบการขนสงเสยหาย

6

Do you feel like you’re walking a tight rope each day?

Presenter

Presentation Notes

In the business world today, we have to deal with many risks and pressures … none more important than ensuring the continuous availability of your business. Today, I’d like to talk about how IBM can help you improve the availability of your business with an integrated business continuity program.

7

Business ContinuityBusiness Continuity is protecting critical business assets, managing risk, aligning recovery costs based on business risk and information value

Business Continuity is the ability to adapt and respond to risks, as well as opportunities, in order to maintain continuous business operations, be a more trusted partner, and enable growth.

Business Continuity is not simply IT Disaster Recovery... it is a management process that relies on each component in the business chain to sustain operations at all times.

Presenter

Presentation Notes

For a business today, almost nothing is worse than being hit by a system outage - even for a matter of minutes - and then finding the incident splashed across the newspaper the next day. It happens. Today, your customers, employees and suppliers expect to be able to tap into your business around the clock from all corners of the globe. The bottom line: When it comes to your business, downtime is unacceptable. To help keep operations running 24x7, you need a comprehensive business continuity plan that goes beyond disaster recovery. Maintaining high availability and continuous operations are also fundamental for success. Businesses need resiliency to help to ensure: Key business applications and data are protected and available Protection costs are predictable and manageable Operations continue after an outage or disaster Data can quickly become a liability if its mis-handled….. One email has the potential to bring down a corporation Determining business risk and then managing it are the primary objectives of a sound business continuity strategy. Business continuity goes well beyond disaster recovery and includes 24by 7 secure access to information and providing continuous business operations .

8

What is business resilience?Business resilience is the

ability to rapidly adapt

and respond to risks, as

well as opportunities, in

order to maintain

continuous business

operations, be a more

trusted partner, and

enable growth.

9

2. ความหมายและกระบวนการของ BCM

10

Business Continuity Management (BCM)

หมายถง กระบวนการบรหารแบบองครวมในการระบเหตการณ ทอาจสงผลกระทบตอองคกร รวมทงกาหนดกรอบในการดาเนนการรบมอกบเหตการณเหลานนเพอปกปองผลประโยชนของผมสวนไดสวนเสย ชอเสยง และภาพลกษณขององคกร

11

• Business Continuity Plan (BCP)

– แผนททาใหองคกรดาเนนงานไปไดอยางตอเนองหรอทาใหองคกรกลบคนสสภาพทสามารถดาเนนงานตอไปได ในกรณทเกดเหตการณฉกเฉน

• Disaster Recovery Plan (DRP)

– แผนทระบถงทรพยากร สงทตองดาเนนการ และขอมล ทองคกรหรอหนวยงานธรกจจาเปนตองใชในการกธรกจกลบคนสสภาวะปกต

–แผนงานทอธบายถงกระบวนการกระบบเทคโนโลยสารสนเทศกลบคนจากภาวะความขดของของการ

ประมวลผล

12

กระบวนการของ BCM (BCM Life-Cycle)

5

4 3

2

1

6

Business Continuity Strategies

BCM

Program Management

Develop & ImplementBusiness ContinuityResponse

Exercise, Maintain and Audit

Build & Embed a Continuity Culture

Understand Your Business

13

Maturity Level

The Business Continuity Management Process

Organisation StrategyOperational and Business

Objectives

Organisation (Corporate) BCM Strategy

Business Continuity Plan (s) Critical Management Plan

Exercising of BCM

BCM Programme Management BCM Policy

Maintenance of BCM

Education and Culture Building Activities

Resource Recovery Solutions and Plans

Process Level BCM Strategy

Critical Business Factors

(Mission Critical Activities)

Resource Recovery BCM Strategy

Business Outputs and Deliverables

(Services and Products)

Business Culture and Awareness Programme BCM Training Program

Audit of BCM

BCM Assurance

Stage 1 : Understanding your Business

Stage 2 : Business Continuity Management Strategies

Stage 3 : Develop and Implement a BCM Response

Stage 4 : Building and Embedding a BCM Culture

Stage 5 : Exercising, Maintenance and Audit of BCM

Stage 6 : BCM Programme Management

1

2

6

5

4

3

14


5

4 3

2

1

6


BCM

Program Management





15

1. Understand Your Business

Business Impact Analysis (การวเคราะหผลกระทบตอองคกร)

– การระบผลกระทบตอกระบวนการทางธรกจขององคกร อนเกดจากเหตการณทวไปทไมอาจควบคมได โดยพจารณาจาก

• กระบวนการดาเนนธรกจ และลาดบความสาคญ

• ทรพยากรทจาเปนตองใชในการดาเนนธรกจทสาคญ

• ความเสยง หรอจดออนของโครงสรางระบบเทคโนโลยสารสนเทศ การควบคมและระบบรกษาความปลอดภย

• ภยคกคามทจะมผลกระทบตอกระบวนการดาเนนธรกจ (Threat & Impact)

16


5

4 3

2

1

6


BCM

Program Management





17

2. Business Continuity Strategies

–จดลาดบความสาคญของระบบงาน : Critical, Vital, Sensitive, Non-sensitive

–ระบ Recovery Point Objective and Recovery Time Objective

18

RPO vs RTO

Interruption

Recovery Point Objective Recovery Time Objective

Mirroring 1 hr 2 hrs 24 hrsBackup

ReelBackup

19

Tape Backup

SecsMinsHrsDaysWks Secs Mins Hrs Days Wks

Recovery Point Recovery Time

Synchronous Replication

Periodic Replication

Asynchronous Replication

Replication Technology Drives RPO

Presenter

Presentation Notes

This slide looks specifically at the RPO or data loss. There’s various strategies/tactics to meet the recovery point objective. Tape backup/restore is on one end of the spectrum with full synchronous data replication at the other end. The specific technologies (e.g., replication, backup…) are not the the focus of this slide. They are just listed here so they can begin to frame this in context. They are used as ways to explain recovery point.

20

Tape Restore

SecsMinsHrsDaysWks Secs Mins Hrs Days Wks

Recovery Point Recovery Time

Recovery Time includes– Fault detection

– Recovering data

– Bringing applications back online

– Network access

Global Clustering Manual

Migration

Recovery Automation Drives RTO

Presenter

Presentation Notes

Same as last slide, but with focus on the RTO or recovery time objective (downtime). If you’d like to spend more time on this slide, you can refer to the bullets at the bottom… For example, if it takes 45 minutes to bring applications on line, and the maximum acceptable outage duration is 1 hour, then the Mandatory Decision Point is within 15 minutes of the actual disaster. Need to actually know the maximum acceptable outage duration Clock starts once the disruption occurs How long are end users impacted Business Requirement: Need applications �on line in 1 hour. Problem: clock starts upon disaster declaration 1 hour is maximum acceptable outage Time of fault detection eats into IT recovery time Even in a local failure, there’s some time needed to actually detect the fault. Drives the “Mandatory Decision Point” w/i 15 minutes

21

IT Business Recovery Metrics• Recovery Time Objective (RTO)

– How long can I afford to be without mysystems and business-critical applications?

• Recovery Point Objective (RPO)– How much data can I afford to recreate (or lose)?

• Applications may be down until some or all of the data is recreated.

• Denotes the time interval between when last Consistency Group was formed and when the storage system is again operational.

• Network Recovery Objective– How long it takes to get the network operational.

22


• Hot Site• Warm Site• Cold Site• Mobile Site• Reciprocal Arrangements

with other organization

23

Recovery Strategy VS Cost

24

Once risks are understood, an appropriate resilience strategy can

be developed

Accept the risk

An exposure is deemed acceptable to the

business

Mitigate the risk

Strategy required and implemented to reduce

risks

Transfer the risk

When it is more cost effective to transfer to

another entity (e.g., insurance, leaseback,

outsource)

Accept Mitigate Transfer

Presenter

Presentation Notes

Subject: After you understand risks, you can develop an appropriate resilience strategy When we use the resilience framework to look at the different parts of the company, we are trying to understand whether you have a risk that you can accept or whether you have a risk that you want to avoid and mitigate. In other words, you may choose to do nothing about a risk, or you may improve your infrastructure to help ensure that you can handle events if they occur. You may also decide that the risk is one that you would prefer to transfer to somebody else, such as business continuity and resiliency services from IBM. We have more than 154 recovery centers around the world in 70 countries. A lot of clients feel more comfortable transferring risks associated with business continuity to IBM rather than handling risks themselves—because they know IBM recovery centers are designed to be robust and to ensure resilience in the face of a disruption. Additionally, transferring the risk can be accomplished through managed security or resiliency services. This allows your personnel to concentrate on strategic initiatives and leaves the day to day management and monitoring of your availability and security configurations to staff at IBM locations

26


5

4 3

2

1

6


BCM

Program Management





27

3. Develop & Implement Business Continuity Response

• การจดทา BCP ในภาพรวมทงองคกร เปนลายลกษณอกษร

• การจดตงทมงานหรอหนวยงาน และมอบหมายอานาจหนาทความรบผดชอบเพอเตรยมการและปฏบตการในภาวะฉกเฉน

– Incident Response Team - Emergency Action Team

– Emergency Management Team

– Damage Assessment Team

28

องคประกอบของแผนฯ• บคลากร

• องคประกอบของเทคโนโลย

– ทางเลอกในการกศนยประมวลผลกลาง

– Back-up Recovery Facilities

– การกระจายพนททางภมศาสตร

– กลยทธในการสารองและการจดเกบ

– การสารองแฟมขอมล

– การสารองซอฟแวร

– สถานทจดเกบภายนอก

29

องคประกอบของแผนฯ

• สงอานวยความสะดวก

• การสอสาร

• ขอควรพจารณาอน

30

Recovery occurs in phases, each with its own set of tasks and responsibilities. The plan must take the entire

flow into account.

31


5

4 3

2

1

6


BCM

Program Management





32

4. Build & Embed a Continuity Culture

• สอสารแผนฯ ใหเจาหนาทผทเกยวของ

• พฒนาฝกอบรม

• รวม BCP เขาเปนสวนหนงของการกาหนดนโยบายและกระบวนการดาเนนงานปกต

– การพฒนาระบบงานและโปรแกรม (SDLC)

– นโยบายการควบคมการเปลยนแปลง

– แผนการฝกอบรมพนกงานและการสอสาร

– นโยบายการประกนภย

– นโยบายการประชาสมพนธภายนอก (รฐบาล สอ และประชาชน)

– การรกษาความปลอดภย

Presenter

Presentation Notes

33


5

4 3

2

1

6


BCM

Program Management





34

5. Exercise, Maintain and Audit

• การทดสอบ BCP (อยางนอยปละ 1 ครง)

• การสอบทานและตรวจสอบ BCP อยางเปน

อสระ

• การปรบ BCP ใหเปนปจจบนตามการ

เปลยนแปลงของบคลากร และ

สภาพแวดลอมทงภายในและภายนอก

องคกร

35


5

4 3

2

1

6

Business Continuity StrategiesBCM

Program Management





36

6. BCM Program Management

• บรหารโครงการ BCM –Enterprise-wide–Life-Cycle–Interdependence

BCM Policy BCM AssuranceBCM Project Management

37

IT Business Continuity Planning Process

Critical Processes

CriticalAssets

Data Currency

(RPO)

RecoveryTime

Objectives(RTO)

Threat Profile

BusinessContinuance

Plan

BusinessImpact

Analysis

ThreatAssessment

Recovery Plan Development Implementation

Architecture

Technology

Project Plan

Services

Presenter

Presentation Notes

A business impact analysis answers the questions: � Of all the things my organization does, what are the most essential? What set of resources do I really need to support a business process? Resources may include IT assets, non-IT assets, human resources, business partners, suppliers, service providers, etc. How quickly do I need to restore these critical processes? How much data can I afford to lose?� Develop local threat profile — what specifically are you protecting against? � Business continuity planning includes: Communications plans Local site hardening In-house recovery vs. commercial hot-site selection Technology selection (that supports data currency and recovery time objects (RTO)) Documentation and automation development Test plan development and execution Plan maintenance and enhancement

38

3. ประเดนทพงพจารณาเกยวกบ BCM

39

Business Continuity Management

Source : BCI, BCM Good Practice Guidelines

40

Business Continuity Management

Source : BCI, BCM Good Practice Guidelines

41

A single enterprise resiliency strategy can mitigate the risk associated with today’s

complex business needs

Freq

uenc

y of

oc

curre

nces

Consequences per occurrenceLow High

Virus

Worms Disk failure

System availability failures

Pandemic

Natural disaster

Application outage

Data corruption

Network problem

Building fire

Terrorism/civil unrest

Data driven

Event driven

Business driven

Failure to meet regulatory compliance

Workplace inaccessibility

Failure to meet industry standards

Regional power failures

Lack of governance

Presenter

Presentation Notes

Subject: Different risks exist—but they all require a single resilience strategy from the enterprise Enterprise risk can be divided into three main categories—data driven, business driven and event driven. Historically companies have been focused on event-driven issues—things that are huge in scope such as natural disasters, pandemics, power failures and civil unrest. These are costly and very visible, but are fairly infrequent. Suppliers and consumers were generally more accepting of outages that were event driven, but recent events around the world have highlighted critical issues surrounding unavailability of resources over a period of days or weeks. As we discussed earlier, ever increasing access to information about outages or security breaches is highlighting the need to ensure that business driven and data driven events are also accounted for in resiliency strategy. These events may be smaller in scale, affect fewer systems or applications, and may affect only a minimal group of users or processes, but even these events are now proving costly to the business, to the reputation of the enterprise, negatively affecting share prices and reducing supplier confidence. Costs associated with data driven outages tend to be in the thousands of dollars, whereas those in business driven outages tend to be in the hundreds of thousands or millions. Those associated with event driven outages are generally in the millions. A resiliency strategy should be holistic but is generally incorporated application by application, system by system – dependent on cost and need.

42

Getting to Business ContinuityBusiness Continuity should be addressed as a corporate-wide business plan.

Moving toward Business Continuity involves the strategy, preparations, and plans to provide business process protection in the event of a disruption at any layer.

Developing a Business Continuity plan involves understanding and balancing employee, customer, and stakeholder needs and delivering supporting capabilities enterprise-wide.

A Business Continuity plan in terms of processes, workforce, and data usage enables easier means of scaling of the business and adapting to change.

The majority of the success factors for a Business Continuity plan lay in people and procedures. Technology is only a tool.

Processes

Technology

Organization

Facilities

Strategy and Vision

Applicationsand Data

Bus

ines

s C

ontin

uity

Understand the main aspects of a good Business Continuity Plan

43

Business Continuity at the end of the day …….

40%

60%

ProcessDefinition/design, compliance and continuous improvement

PeopleRoles & responsibilities, management, skills development & discipline

Technology Hardware and software capabilities

44

Aspects of IT Business Continuity

Protection of critical Business data Operations continue after a disaster

Costs are predictable and manageableRecovery is predictable and reliable

Fault-tolerant, failure-resistant infrastructure supporting continuous application

processing

High AvailabilityNon-disruptive backups and

system maintenance coupled with continuous availability of

applications

Continuous OperationsProtection against unplanned

outages such as disasters through reliable, predictable

recovery

Disaster Recovery

BusinessContinuity

Presenter

Presentation Notes

There are three primary aspects of providing business continuity for key applications and business processes: High Availability, Continuous Operations, and Disaster Recovery. Generally the higher in the organization, the simpler the term to use. Senior execs are responsible for setting vision and strategy. Mid level more for implementation. So you can get in the door with just BC at the senior level; but you need BC + HA & CO & DR to get in at the Manager, Director, level. “Business Continuity” was preferred by senior IT executives and line of business titles. Lower IT titles preferred more detailed naming that spelled out the solution components-- they wanted to make it relevant to their more limited responsibilities. High Availability: is the ability to provide access to applications. High availability is often provided by clustering solutions that work with operating systems coupled with hardware infrastructure that has no single points of failure. If a server that is running an application suffers a failure, the application is picked up by another server in the cluster, and users see minimal or no interruption. Today’s servers and storage systems are also built with fault-tolerant architectures to minimize application outages due to hardware failures. In addition, there are many aspects of security imbedded in the hardware from servers to storage to network components to help protect unauthorized access. You can think of high availability as resilient IT infrastructure that masks failures, and thus continues to provide access to applications. Continuous Operations: Sometimes you must take important applications down for purposes of updating files, or taking backups. Fortunately, great progress has been made in recent years in technology for online backups, but even with these advances, sometimes applications must be taken down as planned outages for maintenance or upgrading of servers or storage. You can think of continuous availability is the ability to keep things running when everything is working right... where you do not have to take applications down merely to do scheduled backups or planned maintenance. Disaster Recovery: the ability to recover a datacenter at a different site if a disaster destroys the primary site or otherwise renders it inoperable. The characteristics of a disaster recovery solutions are that processing resumes at a different site, and on different hardware. (A non-disaster problem, such as a corruption of a key customer database, may indeed be a catastrophe for a business, but it is not a disaster, in this sense of the term, unless processing must be resumed at a different location and on different hardware. You can think of disaster recovery as the ability to recover from unplanned outages at a different site, something you do after something has gone wrong. Fortunately, some of the solutions that you can implement as preparedness for disaster recovery, can also help with High Availability and with Continuous Operations. In this way, your investment in disaster recovery can help your operations even if you never suffer a disaster. The goal of business continuity is to protect critical business data, to make key applications available, and to enable operations to continue after a disaster. This must be done in such a way that recovery time is both predictable and reliable, and such that costs are predictable and manageable.

45

Preventive Services - High Availability

• A resilient IT infrastructure that masks individual component failures– i.e. no single points of

failure• Infrastructure continues to

provide access to applications

• Often provided by clustered servers, resilient hardware – Typically at one location

High Availability

BusinessContinuity

46

Continuous Operations• No need to take

applications down to do ongoing IT procedures such as:– Scheduled backups– Planned maintenance

• The ability to keep continuous access to applications when everything is working properly

Continuous

Operations

BusinessContinuity

47

Disaster Recovery• Ability to recover

from unplanned outages at a different site– Usually on

different hardware

• Performed after something has gone wrong on a site-wide basis

Disaster

Recovery

BusinessContinuity

48

Healthcare Data Archiving ChallengesVolume of Data

Reference data is growing exponentially and is being stored for long periods of time – often in perpetuity. Reference data consumes ~80%-90% of storage and ESG estimates compound growth of healthcare data is ~ 52% per year.

Value of InformationReference data (x-rays and documents) are actively referenced, and must be stored and protected throughout the data lifecycle to meet clinical and regulatory requirements.

Velocity of ChangeIT is under pressure to address the demands for increased storage and higher performance. 80% of problems not detected by IT staff until reported.

80% of IT problems are reported by end users

For

ecas

ted

TB

52% CAGR

49

Healthcare Data Archiving RequirementsIT RequirementsClinical Requirements

Fast PerformanceFast, reliable access to dataNo matter “how old”

High Availability7 x 24 Service even in presence of faultsNon-disruptive failover

Open and InteroperableIntegration with leading PACSGrow to support other disciplines

Access Data Across FacilitiesDifferent departments and applications

Massive, Fast Growing ArchiveOn-demand growth, tiered storageHardware refresh

Protect Patient RecordsData authenticity and integrityData security

Automated Disaster RecoveryOff-site disaster recovery; Goal:

RTO=0Traditional back-up and restore

won’t workCost is Critical

Improved resource effectivenessCosts: products, services,

operations

50

The eleven Business Continuity IT Requirements Questions (in proper order)

1. What applications or databases to recover?

2. What platform? (z, p, i, x and Windows, Linux, heterogeneous open, heterogeneous z+Open)

3. What is desired Recovery Time Objective (RTO)?

4. What is distance between the sites? (if there are 2 sites)

5. What is the connectivity, infrastructure, and bandwidth between sites?

7. What is the Level of Recovery?- Planned Outage- Unplanned Outage- Transaction Integrity

8. What is the Recovery Point Objective?

9. What is the amount of data to be recovered (in GB or TB)?

10. Who will design the solution?

11. Who will implementthe solution?

12. Remaining solutions are valid choices to give to detailed DR evaluation team

6. What are the specific h/w equipment(s) that needs to be recovered?

51

6 ปจจยสาคญของ BCP ทมประสทธภาพ• การวางแผนรองรบการดาเนนธรกจอยางตอเนองใน

ลกษณะภาพรวมทวทงองคกร

• การวเคราะหผลกระทบตอธรกจและการประเมนความเสยงอยางครอบคลม

• เปนมากกวาการกระบบเทคโนโลยสารสนเทศ

• การทดสอบ BCP อยางละเอยดทวถง• BCP และผลการทดสอบควรไดรบการตรวจสอบ

อยางเปนอสระ

• การปรบปรง BCP เปนระยะ11

Presenter

Presentation Notes

คมอฉบบน มงเนนให สง ม BCP ทมประสทธผล โดย สง จะตอง มการวางแผนรองรบการดำเนนธรกจอยางตอเนองในลกษณะ Enterprise-Wide คำวา Enterprise-Wide คอครอบคลมเรองสำคญตาง ๆ ทเกยวของกบการดำเนนธรกจ ไมไดจำกดอยเพยงการกระบบ IT และการใหบรการ ใหกลบมาใชงานไดหรอการดำเนนการใหมขอมลอยในรปอเลกทรอนกสเทานน เพยงเทานยงไมเพยงพอทจะทำใหองคกรกลบมาดำเนนธรกจตามปกตได ควรครอบคลมถงเรองสำคญอนๆ เชนบคลากร สถานททำงาน สำหรบสง ทใชบรการจากภายนอก กตองม BCP สำหรบอปกรณและกระบวนการปฏบตงาน ทอยภายใตการควบคมดแลของผใหบรการจากภายนอกดวย ในการจดทำแผน สง อาจแบงใหแตละสวนธรกจรบผดชอบจดทำของตนเอง และมหนวยงานกลางคอยกำหนดนโยบาย คอยควบคมดแล และรวบรวมแผนใหประสานเปน BCP ในภาพรวม สง. จะตองมการวเคราะหผลกระทบของภยตางๆ ทมตอธรกจ โดยการพจารณาผลกระทบไมใชแคเรองงานประมวลผลขอมลเทานน แตควรจะพจารณาเรองอนๆ เชน การระยะเวลาสงสดทเครองหรอระบบหยดทำงาน (Maximum Available Downtime), เปาหมายของการกธรกจกลบคนสภาวะปกต (Recovery Point Objective), รายการคางในระบบ (Backlogged Transaction), และตนทนทเกดในชวงทเครองหรอระบบหยดทำงาน จากนนกทำการประเมนความเสยง โดยจดลำดบความสำคญของภยตามความรนแรงและโอกาสของการเกด โดยดถงผลกระทบตอสง ลกคา และตลาดการเงนดวย จดทำ Gap Analysis เปรยบเทยบแผน BCP ทมอยกบสงทควรจะเปน ซง 2 Steps นเปนพนฐานของ การวางแผนฯ โดยจะทำให สง รบทบาทสถานะและระดบความเสยงของตนเอง กอยางทกลาวมาตลอดวา BCP เปนมากกวาการกระบบ IT ใหกลบมาใชงานได แตหากเปนการกธรกจใหกลบมาดำเนนงานตามปกต หลงจากท สง ม BCP แลว กควรจดใหมกระบวนการตดตามดแลความเสยง โดยการทดสอบแผนฯ หรอซกซอมการปฏบตตามแผนอยางสมำเสมอ การสอบทานและตรวจสอบ BCP และผลการทดสอบอยางเปนอสระ รวมทงการปรบปรงแผนใหมความทนสมยตอการเปลยนแปลงตางๆทเกดขน

52

BCM กบ IT Outsourcing

“ในการใชบรการงานเทคโนโลยสารสนเทศจากผใหบรการรายอน

องคกรยงคงตองรบผดชอบตอการใหบรการเสมอนเปนผดาเนนการเอง”

53

แนวทางการตรวจสอบ BCP (1)

• ความเหมาะสมของแผนรองรบการดาเนนธรกจอยางตอเนองในระดบภาพรวมทงองคกร

• คณภาพของการกากบดแล BCP และการสนบสนนของคณะกรรมการและผบรหารระดบสง

• ความเพยงพอของการจดทาการวเคราะหผลกระทบตอธรกจ และการประเมนความเสยง

• ความเหมาะสมของการบรหารความเสยงในกระบวนการดาเนนธรกจอยางตอเนอง

Presenter

Presentation Notes

ในการตรวจสอบการวางแผนรองรบการดำเนนธรกจอยางตอเนองตามแนวทาง Best Practices ทกลาวมาแลว ผตรวจสอบจะเขาไปประเมนในเรองดงตอไปน ความเหมาะสมของตวแผนวาเปนลกษณะ Enterprise-wide หรอไม และสง. มกระบวนการจดทำและกำกบดแลดาน BCP อยางไร (ตองม Business Impact Analysis, Risk Assessment, Risk Management, Risk Monitoring) แผนBCP ในลกษณะดงกลาวจะเกดขนไมได ถาขาดการดแลและการสนบสนนโดยผบรหารของ สง ซงเปนปจจยสำคญอยางยงตองาน BCP การทำ Business Impact Analysis และ Risk Assessment มความเพยงพอทจะทำให สง ทราบความตองการ บทบาท สถานะความเสยงของตนเอง (รวมถง ความเสยงทยอมรบได)หรอไม การบรหารความเสยงดาน BCP ไดแก การกำหนดกลยทธในการลดความเสยงของการเกดความเสยหาย หรอลดระดบความรนแรงของผลกระทบทจะเกดขน เชนการกำหนดระยะหางของศนยสำรองกบศนยหลก รปแบบการสำรอง การผนวกเรอง BCP เขาไปในนโยบาย มาตรฐาน และวธปฏบตงานประจำของ สง เชนการพฒนา เปลยนแปลงแกไข โปรแกรมระบบงาน การฝกอบรมพนกงาน เปนตน การตดตามดแลให BCP ไดรบการปรบปรงใหมความทนสมย

54

แนวทางการตรวจสอบ BCP (2)• ความเหมาะสมของการทดสอบ BCP

• ความครอบคลมและความสอดคลองของแผน

รองรบการดาเนนงานดานเทคโนโลย

สารสนเทศอยางตอเนอง กบ BCP ของฝายงาน

อนๆ และรวมเปนสวนหนงของ BCP ของ

องคกร

• ความพรอมของการสารองและความสามารถ

ใชงานระบบเทคโนโลยสารสนเทศไดเหมอนใน

ภาวะปกต

Presenter

Presentation Notes

5. BCP ควรมการทดสอบเปนระยะ เพอใหสง มความมนใจวาแผนยงคงสามารถใชปฏบตได และยงชวยประเมนหรอหาจดออนหรอชองโหวของแผน ในการทดสอบแผนของธรกจใดธรกจหนง ควรครอบคลมฝายงานอนๆ ทเกยวของในกระบวนการดำเนนธรกจใหครบถวน 6. ผตรวจสอบจะตองเขาไปประเมนแผน DRP (การเตรยมความพรอมระบบคอมพวเตอร ขอมล ระบบเครอขายสอสาร) และแผนกควรสอดคลองกบ BCP ของธรกจ 7. ผตรวจสอบมหนาทตองประเมนความพรอมและความสามารถของระบบเทคโนโลยสารสนเทศชดสำรองวาสามารถรองรบการปฏบตงานในภาวะฉกเฉนไดหรอไม ซงระบบ IT ครอบคลม Hardware, Software, Data, Network

55

แนวทางการตรวจสอบ BCP (3)• ความรดกมของวธการปฏบตงานดานการรกษาความปลอดภย

• ความครอบคลมของการเตรยมการสาหรบกระบวนการกศนยประมวลผล กลบคนสภาวะปกต

• ความครอบคลมของการระบกจกรรมสาคญทดาเนนการโดยผใหบรการภายนอก

Presenter

Presentation Notes

8. ผตรวจสอบยงตองประเมนกระบวนการในการกศนยประมวลผล กลบคนสภาวะปกตดวย สง ควรมแผนทระบการกลบคนสภาวะการปฏบตงานปกตและการยายกลบมาสสถานททำงานปกต ทนททแกไขสถานการณได และเครองอำนวยความสะดวกตาง ๆ ทใชอยเปนประจำสามารถใชงานไดใหมอกครง สง ควรมการจดเกบเอกสารเชนแผน BCP เอกสารประกอบระบบงาน และขนตอนปฏบตงาน ไวทสถานทปฏบตงานสำรองดวย 9. สง ควรมการรกษาความปลอดภยทางกายภาพและการควบคมการเขาถงอยางเพยงพอในกระบวนการสำรองขอมลและการจดเกบโปรแกรมตลอดอายการใชงาน ซงครอบคลมตงแตการสราง การโอนยาย/สงไปสถานทจดเกบ การจดเกบ การเรยกใชและการถายโอน จนถงการทำลาย 10. การ Outsource บรการใด ไมไดหมายความวาจะ Outsource ความรบผดชอบออกไปดวย ตรงกนขาม ผบรหารของสงมความรบผดชอบในการจดเตรยมความพรอมรองรบการดำเนนงานทอยภายใตบรษทผใหบรการ โดยตองจดใหมแผน BCP และมการทดสอบรวมกบผใหบรการอยางสมำเสมอ

56

Q&A?

57

ขอบคณคะ

1. bcmold.ddc.moph.go.th/cdc/edoc/health security/bcmhealthcare.pdf · bcm strategy. business...

Documents