Ceļvedis

Biznesa nepārtrauktības plāns (BCP) - pamatprincipi

Kā izveidot BCP atbilstoši ISO 22301.

Biznesa nepārtrauktības plāns jeb BCP nodrošina, ka organizācija spēj turpināt kritisko funkciju darbību incidenta laikā un atjaunot normālu darbību pēc traucējuma. ISO 22301 ir starptautisks biznesa nepārtrauktības pārvaldības standarts, kas nosaka strukturētu pieeju šāda plāna izveidei, ieviešanai, testēšanai un pilnveidošanai.

  1. Veikt biznesa ietekmes analīzi — BIA
    Identificēt organizācijas kritiskos procesus, to savstarpējās atkarības, ietekmi uz darbību, finanšu zaudējumus, juridiskās sekas un reputācijas riskus. BIA ietvaros jānosaka galvenie atjaunošanas rādītāji:
    MTD — maksimāli pieļaujamais dīkstāves ilgums, pēc kura organizācijai rodas būtiska vai nepieņemama ietekme;
    RTO — mērķa laiks, kurā process vai sistēma jāatjauno pēc incidenta;
    RPO — maksimāli pieļaujamais datu zuduma apjoms laikā;
    MTTR — vidējais laiks, kas nepieciešams sistēmas, pakalpojuma vai procesa atjaunošanai pēc atteices.
  2. Noteikt risku scenārijus
    Izvērtēt iespējamos traucējumu scenārijus, kas var ietekmēt organizācijas darbību, piemēram, dabas katastrofas, kiberuzbrukumus, datu zudumu, personāla nepieejamību, piegādātāju problēmas vai kritiskās infrastruktūras atteices.
  3. Izstrādāt reaģēšanas un atjaunošanas stratēģijas
    Definēt praktiskus risinājumus darbības nepārtrauktības nodrošināšanai, piemēram, alternatīvas darba vietas, rezerves sistēmas, datu rezerves kopijas, manuālās darba procedūras un krīzes komunikācijas kārtību. Stratēģijām jābūt saskaņotām ar noteiktajiem MTD, RTO, RPO un MTTR rādītājiem.
  4. Sagatavot BCP dokumentāciju
    Dokumentēt kontaktpersonu sarakstus, atbildības, eskalācijas kārtību, atjaunošanas procedūras, sistēmu un procesu atkarību kartes, kā arī rīcības plānus dažādiem incidentu scenārijiem.
  5. Veikt regulāru testēšanu
    Pārbaudīt BCP efektivitāti ar dažādām metodēm, piemēram, galda mācībām, simulācijām vai pilna mēroga testiem. Testēšanā jāvērtē, vai faktiskie atjaunošanas laiki atbilst noteiktajiem RTO un MTTR mērķiem. Testēšana jāveic vismaz reizi gadā vai pēc būtiskām izmaiņām organizācijas procesos, sistēmās vai infrastruktūrā.
  6. Nodrošināt apmācības un regulāru pārskatīšanu
    Iesaistītajiem darbiniekiem jābūt informētiem par savām lomām un pienākumiem incidenta laikā. BCP regulāri jāpārskata un jāatjaunina, lai tas atbilstu aktuālajai organizācijas struktūrai, tehnoloģijām, riskiem un darbības vajadzībām.