Plán zachování činností

Víte, že Vaše podnikání je z velké části závislé na nepřetržitém fungování informačního systému?

Kolik by Vás stál výpadek informačního systému?

Co budete dělat, pokud je Vaše výpočetní centrum mimo provoz?

Za jak dlouho jste schopni obnovit chod organizace po havárii IS?

Máte připraveno náhradní řešení pro zachování funkcí organizace?

 

Ze zahraničních studií vyplývá, že 70% společností, které podcenily riziko dopadů na fungování společnosti ukončí svou činnost v důsledku rozsáhlé havárie informačního systému, přičemž cca 40% zkrachuje do roka a 30% do dvou let.

 

V současné době mají informační technologie stále větší význam v životě společností a jejich výpadek způsobuje značné škody, ať již se jedná o výpadek systému zásobování potravinami, bankovní sítě , výrobní linky podniku nebo internetového obchodu společnosti. Informační systémy usnadňují práci, ale činí společnost na těchto technologiích závislou a tak ji vystavují různým hrozbám.

 

Plán kontinuity IS připravuje organizaci na potenciální havárie, omezuje jejich dopady na fungování informačního systému a stanoví postupy, jak řešit nestandardní situace. Jednotlivá narušení mohou být nejrůznějšího typu, například:

  • přírodní katastrofy,

  • technologické havárie,

  • cílené útoky na informační systém zvenčí i zevnitř,

  • neúmyslné selhání obsluhy s důsledkem výpadku informačního systému,

  • nedostatek obslužného personálu,

  • výpadek subdodavatele např. elektrické energie, poskytovatele internetového připojení apod.

 

Plán zachování činností (kontinuity) je soubor dokumentovaných postupů, které jsou určeny pro případ takové události…

 

Proč vytvářet plán kontinuity IS?

Plán zachování kontinuity řeší odpovědi na otázku:

Co dělat v případě narušení činnosti organizace, jak zajistit nouzový provoz a jak se rychle a bez obtíží vrátit do původního, běžného stavu…“

 

Postup vytváření plánu kontinuity IS

1. Analýza obchodních dopadů

Analýza obchodních dopadů při výpadku kritických podnikových procesů je zaměřena na aktiva z hlediska předmětu podnikání. Jde tedy zejména o zjištění finančního dopadu při přerušení jednotlivých obchodních činností. Cílem analýzy je sestavit priority činností a služeb pro obnovu, identifikovat čas nutný pro obnovu jednotlivých subsystémů a definovat skupiny dat dle jejich kritičnosti při obnově IS.


2. Analýza rizik IS

Analýza rizik IS je zaměřena na identifikaci hrozeb, zranitelností a rizik, které jsou spojena s provozem a obnovou IS. V této souvislosti je kladen důraz na kritičnost jednotlivých informačních systémů.

3. Havarijní plán a plán obnovy IS

Havarijní plán a plán obnovy IS (plán pro zvládání krizových situací a plán obnovy) stanovuje postupy, které budou uplatněny v případě mimořádné události, jako jsou havárie, živelní pohromy, katastrofy a bezpečnostní incidenty, jež ohrožují provozuschopnost IS. Plány se zabývají požadavky na zachování kontinuity provozu, stanovují kritické lhůty pro obnovu, definují příslušné náhradní řešení, specifikují postupy při zálohování, upřesňují jednotlivé role zaměstnanců při haváriích, jejich pravomoci, odpovědnosti a postupy při obnově dat.

4. Testování

Testy spojené s výsledkem předchozí fáze jsou zaměřeny na trénink a výcvik zaměstnanců zapojených do plánu zachování kontinuity IS. Slouží také pro ověření shody teorie s realitou prostředí; zda je možné a efektivní provádět postupy obnovy IS dle navržené dokumentace.

5. Monitoring

Monitoring zajišťuje udržování shody mezi zdokumentovanými plány obnovy a realitou. Monitorují se především změny v IS, případně nově zavedené subsystémy, změny v organizační struktuře, vyhodnocení bezpečnostních incidentů. Všechny relevantní poznatku jsou pak zahrnuty a zohledněny v Havarijním plánu a plánu obnovy IS.

 

Oblasti pokryté plánem kontinuity IS?

Každá mimořádná událost, která jakýmkoliv způsobem naruší obvyklý chod společnosti, má ve svých důsledcích obdobný průběh. Plán kontinuity by měl pokrývat všechny části.

Prevence

Prevence znamená přípravu plánů a jejich realizačních opatření, přípravu lidí i technických prostředků pro případ havárie. Na kvalitě prevence závisí četnost a doba výpadků a náklady na obnovu funkčnosti.

Reakce na narušení (mimořádnou událost)

Prvořadým zájmem každé společnosti je, aby vzniklé škody byly co nejmenší a co nejméně narušily chod společnosti. Do této fáze spadá také ochrana zdraví a lidských životů. Probíhají činnosti k zastavení, omezení rozsahu či zpomalení události.

Obnova kritických funkcí organizace

Po prvotní reakci následuje obnova kritických procesů. Jde o významnou fázi, neboť zde se rozhoduje o velikosti následných škod, případně o samotné existenci organizace. Činnosti pracovníků se přitom řídí dle havarijních procedur. Jejich součástí je např. přesun provozu do náhradních prostor, obnova provozu v nouzovém, havarijním stavu, atp.

Zotavení z mimořádné události

Další fází procesu obnovy je obnova podpůrných činností a celkové zotavení organizace z narušení. Obnovují se především takové funkce, které z hlediska časové dostupnosti a významu nejsou kritické, ale přesto se značnou měrou podílejí na kvalitě služeb, které organizace poskytuje.

Obnova původního stavu

 

V této fázi se obnovuje původní stav provozu IS, je zjištěn rozsah škod, jsou rekonstruovány budovy místnosti, zajištěna technika, SW prostředky a přechod provozu z havarijního do normálního stavu.