Итак, предлагается 5 основных вопроса, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса:
Скорость развития и изменения бизнес процессов во многих компаниях очень велика, что не может не сказываться на актуальности разработанных ранее планов непрерывности. Поэтому, при очередном пересмотре планов просто обязательно необходимо учитывать произошедшие изменения в деятельности компании и всегда иметь актуальный перечень наиболее критичных процессов, в отношении которых следует дорабатывать текущие планы непрерывности.
Как мы знаем, критичные бизнес процессы мы определяем в ходе проведения анализа влияния на бизнес (BIA – Business Impact Analysis). При этом, чтобы упростить задачу в части актуализации бизнес процесс, может помочь некий журнал всех значительных изменений, произошедших в компании с момента предыдущего пересмотра планов непрерывности.
2. Актуальна ли приложенная в планах контактная информация лиц, задействованных в их реализации (в том числе и третьих сторон)?
Тут говорится о важности того, чтобы в плане непрерывности присутствовала актуальная контактная информация лиц, которые задействованы в ликвидации чрезвычайных ситуаций и восстановлении деятельности, что обеспечит успешную реализацию планов в случае возникновения реальных нештатных ситуаций.
Кроме того, важно обеспечивать актуальность контактной информации и в различных справочниках и адресных книгах, которые присутствуют в компании, так как зачастую люди, ответственные за их актуализацию, просто отсутствуют в компании, что в конечном итоге ведет к полной или почти полной бесполезности таких справочников.
Аналогично и с контактной информацией по представителям третьих стороны (особенно провайдеров, предоставляющих услуги и сервисы компании). С актуализацией этих данные порой обстоит все еще хуже, так как тут еще накладывается граница между организациями.
В связи со всем этим, проверка корректности указанной в планах непрерывности контактной информации должна являться неотъемлемой частью каждого пересмотра или тестирования плана непрерывности.
Кроме того, хорошей практикой является проверка доступности основных ответственных за реализацию плана непрерывности лиц в нерабочее время и выходные дни, так как в реальности чрезвычайная ситуация может произойти в любое время, как рабочее так и не рабочее.
3. Готовы и хотят ли основные ответственные лица участвовать в реализации планов непрерывности?
Часто недооцениваемым, но весьма важным фактором реализации любого плана непрерывности является доступности и готовность/желание участвовать в мероприятиях по восстановлению основных ответственных лиц. После разработки и внедрения плана, лица, которые ранее согласились участвовать в реализации мероприятий плана в случае возникновения непредвиденных обстоятельств, со временем, ввиду происходящих изменений, могут потерять интерес к участию в реализации мероприятий плана непрерывности.
Поэтому важно при очередном пересмотре плана непрерывности подтверждать готовность и способность участников плана, участвовать в его реализации. Кроме того, необходимо напоминать им об их обязанностях и ответственности по реализации мероприятий плана, чтобы гарантироваться, что в случае необходимости они будут должным образом подготовлены (некое постоянное обучение и повышение осведомленности участников плана непрерывности).
Кроме того, у участников плана всегда должна быть возможность отказаться от своего привлечения к реализации мероприятий плана непрерывности (т.е. не должно оказываться давления со стороны на участие в плане), если они считают, что такое привлечение не является необходимым.
Этот пункт мне, конечно, показался не совсем соответствующим российским реалиям, так как у нас все-таки распределение обязанностей больше осуществляется в добровольно-принудительном порядке.
4. Проводится ли обучение и инструктажи участников планов непрерывности?
Все лица, участвующие в реализации плана непрерывности, должны проходить периодическое обучения и повышение осведомленности по тематике реализации планов непрерывности, что позволит обеспечить их способность действовать правильным образом в случае возникновения реальной нештатной ситуации. При этом необходимо применять не только базовое обучение, но и тестирование планов непрерывности, когда отрабатываются действия участников плана в условиях, приближенных к реальным нештатным ситуациям.
5. Актуальны ли определенные ранее значения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для процессов и ресурсов, их обеспечивающих?
RTO и RPO определяются на этапе разработке планов непрерывности в ходе реализации BIA, при этом для каждого процесса, а также ресурса, который обеспечивает реализацию бизнес-процесса, определяются свои значения RTO и RPO, исходя из потребностей бизнеса и реальных возможностей по восстановлению.
Но, ввиду постоянных изменений в организации, а также ее приоритетах, со временем меняются и значения RTO и RPO, которые необходимо обеспечивать в рамках плана непрерывности. При этом, надо понимать, что чем меньше значения RTO и RPO, тем выше затраты компании на фактическое достижение этих значений.
В связи с этим, при пересмотре планов непрерывности необходимо актуализировать значения определенных ранее RTO и RPO, чтобы с одной стороны не тратить излишние средства на достижение не актуальных требований, а с другой реализовывать дополнительные мероприятия в случае повышения требований к RTO и RPO.
