Üzletmenet-folytonosság és katasztrófa helyzet kezelés · • Közreműködés a BIA, BCP és DRP készítésében • Oktatás megszervezése, tananyag kialakítása • BCP

© Erste Bank Group - Proprietary and Confidential

Üzletmenet-folytonosság és katasztrófa helyzet kezelés

IT kockázatkezelési konferencia2007. Szeptember 19. – PSZÁF, Budapest

2© Erste Bank Group - Proprietary and Confidential

Miről lesz szó?

1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű

folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat

management




management


EBH BCM Projekt Keretei

Jogi keretekHpt. 13§PSZÁF elvárások

Alkalmazott módszertanA BS 25999-1 nemzetközi szabvány, amely a BCM rendszerteljeskörűségét hivatott megteremteni.A COBIT 4 DS4 – Üzletmenet-folytonosság biztosítása pontjábanmegfogalmazottak, amely a felügyeleti szerv (PSZÁF) elvárásait tükröziaz üzletmenet-folytonosság tekintetében. Az AVE (Aris Value Engineering) módszertan, amelynek alapja a teljeskörűség, hatékonyság és a naprakészség az üzleti folyamatokmodellezésében.

Scope10 kritikus üzleti terület – pilot projektként


A projekt célja, menete

A projekt célja, hogy tanácsadói támogatás nyújtásávalmeghatározza és kialakítsa azon eljárásokat, amelyekműködtetik a BCM rendszert az Erste Bank Hungary Nyrt.-nél:

a BCM rendszer szabályozói környezetét;Beépítse a napi üzleti folyamatok tervezésébe, modellezésébe a BCM szemléletetaz egységes, folyamatos, naprakész BCM (BCP és DRP) eljárásrendeket;Támogató eszközök (ARIS, CARISMA) egységeshasználatát;BCM életciklus lépéseinek egyértelmű feladatait, felelőseit;oktatás, tesztelés követelményeit.


A BCM projekt környezete, előfeltételek

Környezet: szoros együttműködés más projektekkelknow-how átadás

Előfeltételek:kritikus területek normál és helyettesítő folyamatainak rendelkezésre állásaBIA elemzések eredményeinek felhasználásameglévő DRP-k beviteletelepített ARIS Toolset szoftverkörnyezet kialakításaCarisma szoftverkörnyezet felállításakapcsolódó oktatások megtartása


BCM Projekt Termékei

BCM SzervezetKrízis Management Csoport struktúraÜzleti folyamatok BCM szemléletű modellezéseBCM működési folyamatokÜzleti hatáselemzés (BIA) módszertanBCM rendszer és működési modell bevezetése

Erőforrások és kapcsolatrendszerük kialakításaBCP – k kialakításaDRP – k elkészítéseFelkészülés a katasztrófáraA rendszer folyamatos monitoringja




management


BCM Szervezet

Statikus: Business Continuity Management (BCM) CsoportFeladatok

• A BCM keretrendszer és életciklus támogatása és fejlesztése• A BCM követelmények beépítésének támogatása a folyamat

modellezésbe• Erőforrás nyilvántartás BCM szempontú kialakítása• Közreműködés a BIA, BCP és DRP készítésében• Oktatás megszervezése, tananyag kialakítása• BCP és DRP tesztelése• Vészhelyzeti működés koordinálása

Dinamikus: Krízis Management Csoport (CMT) ‏„Tervezett” vészhelyzet – van rá BCP„Nem tervezett” vészhelyzet


Krízis Management Csoport struktúra

Gazdaságicsoport

Krízismenedzsment

csoport

Visszaállítási csoport Helyreállítási csoport

Informatikaihelyreállítási

csoport

Üzletihelyreállítási

csoport

Üzletivisszaállítási

csoport

Informatikaivisszaállítási

csoport




management


Üzleti folyamatok BCM szemléletű modellezése

Modellező eszköz: ARISÜzleti folyamatok modellezése – BCM folyamat beépítéseHelyettesítő és manuális eljárások kidolgozása

Feladatmeghatározás

Folyamat-modellezés

Üzletihatáselemzés

Üzletmenet-folytonosság

tervezés


Modell

Áttekintő modellelkészítése

10

Egyeztetés aszakmai felelőssel

Leírás! 30

Hierarchizáltfolyamatmodell

létrehozása

20

Folyamatszervező

Folyamatszervező

Folyamatszervező

Szakmai felelős

VH

VHARIS

ARIS

Modellezés indítása

Módosítás szükséges Szakmai felelősáltal elfogadva

Kockázatok ésBCP eljárások

definiálása,dokumentálása

Leírás! 40

BCM szakértő

Folyamatszervező

KM

KM

Szakmai felelős

BCM szakértőKM

Üzleti hatáselemzésrögzítése

BCP stratégiákés intézkedésekmeghatározása

KM

KM

KM

Folyamatnem teljes

BCP nemteljes


BCM működési folyamatok

Üzletmenetfolytonosság

menedzsment (BCM)

Felmérés,információgyűjtés

BCP stratégiákés intézkedésekmeghatározása

DRP stratégiákés intézkedésekmeghatározása

Oktatás, tesztelés,ellenőrzés

Krízis menedzsmentcsoport működése

Üzleti hatáselemzésrögzítéseModellezés BCM oktatás BCM tesztelés BCM rendszer

ellenőrzése

CMT összehívása CMT működése CMT feloszlatása

CMT vészműködése




management


Üzleti hatáselemzés (BIA)

Üzleti hatáselemzés elkészítéseInput

• Folyamatmodell• BIA módszertan

Output• Sebezhetőségi ablak• Sebezhetőségi ablak visszakényszerítése• BIA jegyzőkönyv


Business Continuity Management 1.

Modellező eszköz: CARISMAErőforrás Leltár – folyamatok, rendszerek, hardver elemek, HR, szállítók



Erőforrás elemek közötti kapcsolatok



Üzletmenet-folytonossági terv (BCM)

BCM célja a katasztrófa esemény bekövetkezése nyomán a legfontosabbtevékenységek, folyamatok működésének megfelelő sorrendben történővisszaállítása, illetve az erre való előzetes felkészülés, elemzés, tervezés.BCP megközelítés

• Stratégia• Felkészülés - esemény előtt• Azonnali intézkedés• Elhárítás (a funkcionális és a fizikai infrastruktúra

működőképességének biztosítása) – részleges visszaállítás• Teljes helyreállítás


Üzletmenet – folytonossági terv



Katasztrófa elhárítási terv (DRP)

DRP célja felkészíteni a szervezetet az IT szolgáltatások, erőforrásokkatasztrófa miatti átfogó sérülése, kiesése után a visszaállítási feladatokelvégzésére és a szervezet számára elfogadható szolgáltatási szintekbiztosítására.DRP megközelítés

• Stratégia• Felkészülés - esemény előtt• Azonnali intézkedés• Elhárítás (a funkcionális és a fizikai infrastruktúra

működőképességének biztosítása) – részleges visszaállítás• Teljes helyreállítás


Katasztrófa elhárítási terv



Felkészülés a katasztrófára 1.

BCM rendszer oktatása• Az érintett szerepköröket és üzemeltetőket rendszeresen – új belépőket

belépésükkor – oktatni kell, ezért a BCM Csoport vezetője felel• A BCM Csoport és a Szakterületi csoportok tagjainak évente egyszer.

Az újonnan kinevezett tagok részére, külön rendkívüli oktatást kell szervezni.

BCM rendszer tesztelése• A terveket rendszeresen tesztelni kell, ezért a BCM Csoport vezetője

felel• Évente minimum egy alkalommal a terveket tesztelni kell, a tesztelés

lehet teljes, vagy részleges• Teszt típusai: szóbeli, helyzet-szimulációs



Felkészülés a katasztrófára 2.

BCM rendszer karbantartása, kiegészítése• Évente egy alkalommal a BCM Csoport vezetője által kijelölt

munkatársnak el kell végeznie a tervek karbantartását. • Eseti felülvizsgálatokat, frissítéseket kell végrehajtani szükség esetén:

– Katasztrófa eseményt követően– Üzleti folyamatokban vagy IT környezetben változás áll be

BCM rendszer ellenőrzése• A CIBI vonatkozó szabályozása alapján kétévente köteles a BCM

működés egészét felülvizsgálni. • A BEI vonatkozó szabályozása alapján kétévente köteles a BCM

működés egészét felülvizsgálni. • A vizsgálatok elsődleges célja a BCM működés hatékonysága,

eredményessége, valamint a vonatkozó jogszabályoknak valómegfelelőség vizsgálata.


A BCM életciklus




management


Hogyan tovább?

Kockázatok és a kockázatcsökkentő

intézkedésekkialakítása

Utólagos ellenőrzés, visszajelzés

Kockázat monitoring,

Intézkedésekértékelése

A kockázatok teljes körűfeltárása

A kockázat mértékének

meghatározása


Kérdések, válaszok

Documents

Üzletmenet-folytonosság és katasztrófa helyzet kezelés · • Közreműködés a BIA, BCP és DRP készítésében • Oktatás megszervezése, tananyag kialakítása • BCP