sveuČiliŠte u zagrebu fakultet organizacije i informatike
DESCRIPTION
SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE. MODELIRANJE UPRAVLJANJA KONTINUITETOM POSLOVANJA (BCM) Prof.dr.sc. Zdravko Krakar. Tematske cjeline:. UVOD U UPRAVLJANJE KONTINUITETOM POSLOVANJA (BUSINESS CONTINUITY MANAGEMENT – BCM) 2. MOGUĆI PRISTUPI RAZVOJU BCM-a - PowerPoint PPT PresentationTRANSCRIPT
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
SVEUČILIŠTE U ZAGREBUFAKULTET ORGANIZACIJE I
INFORMATIKE
MODELIRANJE UPRAVLJANJA
KONTINUITETOM POSLOVANJA (BCM)
Prof.dr.sc. Zdravko Krakar
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
Tematske cjeline:
1. UVOD U UPRAVLJANJE KONTINUITETOM POSLOVANJA (BUSINESS CONTINUITY MANAGEMENT – BCM)
2. MOGUĆI PRISTUPI RAZVOJU BCM-a
3. RAZVOJ i PRAKSA BCM SUSTAVA
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
1. UVOD u BCM1.1. Čimbenici današnjeg
poslovanja
Globalizacija i integracija ekonomija Sve veća ovisnost o ICT Međuovisnosti tvrtki kroz snažno
povezivanje (E2E, npr. B2B poslovni lanci)
Ubrzavanje poslovnog takta Sve veća kompleksnost poslovanja
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
1.2. Prijetnje poslovanju
PRIRODA Poplave Potresi itd
ČOVJEK • Namjera Nenamjerni utjecaj
TEHNOLOGIJA Požar, eksplozija Prekid energije Pogreške u opremi Gubitci u komunikacijama Gubitci podataka itd
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
1.2.1. ICT kao prijetnja poslovanju
Štete zbog IT opreme Vandalizam Prodori u IS Terorizam• Uništenje BP Kontaminacija • Prirodne katastrofe Pogrešne procedure • Kvar opreme Gubitak servisa• Požar Loše procedure• Poplava Neautorizirani
pristupi• Krađa informacija Korisničke pogreške• Gubitak servisa Nepoštivanje
zakona …
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
1.3. Zašto i što je BCM?T
roš
ak
Vrijeme
Troškovi rješenjai
vrijeme nastavka rada
Troškovi prekidai
trajanje prekida
Trošak/Vrijeme
Optimalni omjer
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
1.4. Motivi za BCM
• Regulativa Sarbanes – Oxley Act Basel II
Hrvatski propisi COSO Ugovori
Poslovni instikt Odgovornost za
moguće situacije i posljedice na poslovanje koje iz toga proizlaze
• Primjena najbolje prakse
ITIL CobIT
• Norme / standardi
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
2. PRISTUPI USPOSTAVI BCM - a
Mogući su različiti pristupi:
• Kroz informacijsku sigurnost (ISO/IEC 27000)
• Kroz ITIL, CobIT (Najbolja praksa)
• Kroz IT DR (Disaster Recovery)
• Kroz norme za cjeloviti BCM
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
2.1. BCM i informacijska sigurnost
• Politika sigurnosti• Organizacija informacijske sigurnosti• Upravljanje imovinom• Sigurnost ljudskog potencijala• Fizička sigurnost i sigurnost okoline• Upravljanje komunikacijama i operacijama• Kontrola pristupa• Nabava, razvoj i održavanje informacijskih sustava• Upravljanje sigurnosnim incidentima• Upravljanje kontinuitetom poslovanja• Sukladnosti
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
2.2. BCM i najbolja praksa
2.2.2. BCM i COBIT
Efficiency
ApplicationsInformation
InfrastructurePeople
DELIVER AND
SUPPORT
MONITORAND
EVALUATE
ACQUIREAND
IMPLEMENT
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
Effectiveness
Confidentiality
Integrity
AvailabilityCompliance
DS1 Define and manage service levels.
DS2 Manage third-party services.DS3 Manage performance and
capacity.
DS4 Ensure continuous service.
DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and
incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical
environment.DS13 Manage operations.
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
PO1 Define a strategic IT plan.PO2 Define the information
architecture.PO3 Determine technological
direction.PO4 Define the IT processes,
organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims
and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain application
software.AI3 Acquire and maintain technology
infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and
changes.
PLANAND
ORGANISE
Reliability
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
2.2.2. BCM i COBIT Kontrole u DS4
DS4.1 Pristup kontinuitetu IT-aDS4.2 Plan kontinuiteta IT-aDS4.3 Kritični IT resursiDS4.4 Održavanje plana kontinuiteta IT-aDS4.5 Testiranje plana kontinuiteta IT-aDS4.6 Treninzi za postupanje po planuDS4.7 Prenošenje plana na sudionikeDS4.8 Oporavak i obnova IT uslugaDS4.9 Rezervna udaljena pohrana podatakaDS4.10 Provjere nakon oporavka
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
2.4. Norme za cjeloviti BCM
BS 25999:2006 Business continuity management- Part 1: Code of practice /2006 Part 2: Specifications /2007
BCI Business Continuity Institute
DRI Disaster Recovery Institute
Itd.
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3. RAZVOJ BCM SUSTAVA
3.0. Inicijalizacija i upravljanje BCM-om:• Politika i ciljevi BCM-a• Područje primjene• Osiguranje resursa za BCM• Plan BCM projekta• BCM dokumentacija• Način upravljanja projektom i odgovornosti• Smjernice za daljnji rad
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.1. Razumijevanje vlastitog poslovanja
• BIA (Business Impact Analysis)
• Određivanje kritičnih zahtjeva
• Procjene rizika (RA)
• Odlučivanje o postupanju s rizicima (Varijante odgovora)
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.2. Određivanje BCM strategije
3 razine BCM strategija:
• Strategija organizacije – korporativna strategija
• Strategija procesa
• Strategija oporavka resursa
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.2. Određivanje BCM strategije Razine zahtjeva prema organizaciji Share
Vrijeme za nastavak rada (RTO)
15 Min. 1-4 H.. 4 -8 H.. 8-12 Hr.. 12-16 Hr.. 24 Hr.. Dani
Izd
ac
i
Razina 4
Razina 3
Razina 2
Razina 7
Razina 6
Razina 5
Razina 1
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.3. Razvoj odgovora / planova BCM-a Eskalacija intervencije
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.4. Testiranje, održavanje i procjena BCM-a
• Definirati opseg, ciljeve i resurse potrebne za izvođenje testa
• Pripremiti BC scenarij/e za provedbu testiranja• Provesti testiranje plana kontinuiteta poslovanja
u skladu sa prihvaćenim scenarijem• Analizirati rezultate testiranja plana
kontinuiteta poslovanja
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.5. Razvoj BCM kulture
• Promicanje svijesti o BCM - u
• Potrebno je osigurati razvoj vještina potrebnih za učinkovito razvijanje, implementaciju, izvršavanje, testiranje i održavanje plana kontinuiteta poslovanja
• “Awareness” radionice
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
3.6. Iskustva u BCM-u
• NASDAQ• Bank of England• Mađarska narodna banka• Banke• HNB• Telekom tvrtke• FINA• HZMO• HEP, CURH, CO, Zračna luka,….• Itd.
MIP
RO
20
09 IS
S B
CM
MIP
RO
20
09 IS
S B
CM
HVALA NA POZORNOSTI
Kontakti: