Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© Erste Bank Group - Proprietary and Confidential
Üzletmenet-folytonosság és katasztrófa helyzet kezelés
IT kockázatkezelési konferencia2007. Szeptember 19. – PSZÁF, Budapest
2© Erste Bank Group - Proprietary and Confidential
Miről lesz szó?
1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű
folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat
management
3© Erste Bank Group - Proprietary and Confidential
1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű
folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat
management
4© Erste Bank Group - Proprietary and Confidential
EBH BCM Projekt Keretei
Jogi keretekHpt. 13§PSZÁF elvárások
Alkalmazott módszertanA BS 25999-1 nemzetközi szabvány, amely a BCM rendszerteljeskörűségét hivatott megteremteni.A COBIT 4 DS4 – Üzletmenet-folytonosság biztosítása pontjábanmegfogalmazottak, amely a felügyeleti szerv (PSZÁF) elvárásait tükröziaz üzletmenet-folytonosság tekintetében. Az AVE (Aris Value Engineering) módszertan, amelynek alapja a teljeskörűség, hatékonyság és a naprakészség az üzleti folyamatokmodellezésében.
Scope10 kritikus üzleti terület – pilot projektként
5© Erste Bank Group - Proprietary and Confidential
A projekt célja, menete
A projekt célja, hogy tanácsadói támogatás nyújtásávalmeghatározza és kialakítsa azon eljárásokat, amelyekműködtetik a BCM rendszert az Erste Bank Hungary Nyrt.-nél:
a BCM rendszer szabályozói környezetét;Beépítse a napi üzleti folyamatok tervezésébe, modellezésébe a BCM szemléletetaz egységes, folyamatos, naprakész BCM (BCP és DRP) eljárásrendeket;Támogató eszközök (ARIS, CARISMA) egységeshasználatát;BCM életciklus lépéseinek egyértelmű feladatait, felelőseit;oktatás, tesztelés követelményeit.
© Erste Bank Group - Proprietary and Confidential
A BCM projekt környezete, előfeltételek
Környezet: szoros együttműködés más projektekkelknow-how átadás
Előfeltételek:kritikus területek normál és helyettesítő folyamatainak rendelkezésre állásaBIA elemzések eredményeinek felhasználásameglévő DRP-k beviteletelepített ARIS Toolset szoftverkörnyezet kialakításaCarisma szoftverkörnyezet felállításakapcsolódó oktatások megtartása
7© Erste Bank Group - Proprietary and Confidential
BCM Projekt Termékei
BCM SzervezetKrízis Management Csoport struktúraÜzleti folyamatok BCM szemléletű modellezéseBCM működési folyamatokÜzleti hatáselemzés (BIA) módszertanBCM rendszer és működési modell bevezetése
Erőforrások és kapcsolatrendszerük kialakításaBCP – k kialakításaDRP – k elkészítéseFelkészülés a katasztrófáraA rendszer folyamatos monitoringja
8© Erste Bank Group - Proprietary and Confidential
1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű
folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat
management
9© Erste Bank Group - Proprietary and Confidential
BCM Szervezet
Statikus: Business Continuity Management (BCM) CsoportFeladatok
• A BCM keretrendszer és életciklus támogatása és fejlesztése• A BCM követelmények beépítésének támogatása a folyamat
modellezésbe• Erőforrás nyilvántartás BCM szempontú kialakítása• Közreműködés a BIA, BCP és DRP készítésében• Oktatás megszervezése, tananyag kialakítása• BCP és DRP tesztelése• Vészhelyzeti működés koordinálása
Dinamikus: Krízis Management Csoport (CMT) „Tervezett” vészhelyzet – van rá BCP„Nem tervezett” vészhelyzet
10© Erste Bank Group - Proprietary and Confidential
Krízis Management Csoport struktúra
Gazdaságicsoport
Krízismenedzsment
csoport
Visszaállítási csoport Helyreállítási csoport
Informatikaihelyreállítási
csoport
Üzletihelyreállítási
csoport
Üzletivisszaállítási
csoport
Informatikaivisszaállítási
csoport
11© Erste Bank Group - Proprietary and Confidential
1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű
folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat
management
12© Erste Bank Group - Proprietary and Confidential
Üzleti folyamatok BCM szemléletű modellezése
Modellező eszköz: ARISÜzleti folyamatok modellezése – BCM folyamat beépítéseHelyettesítő és manuális eljárások kidolgozása
Feladatmeghatározás
Folyamat-modellezés
Üzletihatáselemzés
Üzletmenet-folytonosság
tervezés
13© Erste Bank Group - Proprietary and Confidential
Modell
Áttekintő modellelkészítése
10
Egyeztetés aszakmai felelőssel
Leírás! 30
Hierarchizáltfolyamatmodell
létrehozása
20
Folyamatszervező
Folyamatszervező
Folyamatszervező
Szakmai felelős
VH
VHARIS
ARIS
Modellezés indítása
Módosítás szükséges Szakmai felelősáltal elfogadva
Kockázatok ésBCP eljárások
definiálása,dokumentálása
Leírás! 40
BCM szakértő
Folyamatszervező
KM
KM
Szakmai felelős
BCM szakértőKM
Üzleti hatáselemzésrögzítése
BCP stratégiákés intézkedésekmeghatározása
KM
KM
KM
Folyamatnem teljes
BCP nemteljes
14© Erste Bank Group - Proprietary and Confidential
BCM működési folyamatok
Üzletmenetfolytonosság
menedzsment (BCM)
Felmérés,információgyűjtés
BCP stratégiákés intézkedésekmeghatározása
DRP stratégiákés intézkedésekmeghatározása
Oktatás, tesztelés,ellenőrzés
Krízis menedzsmentcsoport működése
Üzleti hatáselemzésrögzítéseModellezés BCM oktatás BCM tesztelés BCM rendszer
ellenőrzése
CMT összehívása CMT működése CMT feloszlatása
CMT vészműködése
15© Erste Bank Group - Proprietary and Confidential
1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű
folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat
management
16© Erste Bank Group - Proprietary and Confidential
Üzleti hatáselemzés (BIA)
Üzleti hatáselemzés elkészítéseInput
• Folyamatmodell• BIA módszertan
Output• Sebezhetőségi ablak• Sebezhetőségi ablak visszakényszerítése• BIA jegyzőkönyv
17© Erste Bank Group - Proprietary and Confidential
Business Continuity Management 1.
Modellező eszköz: CARISMAErőforrás Leltár – folyamatok, rendszerek, hardver elemek, HR, szállítók
18© Erste Bank Group - Proprietary and Confidential
Business Continuity Management 2.
Erőforrás elemek közötti kapcsolatok
19© Erste Bank Group - Proprietary and Confidential
Business Continuity Management 3.
Üzletmenet-folytonossági terv (BCM)
BCM célja a katasztrófa esemény bekövetkezése nyomán a legfontosabbtevékenységek, folyamatok működésének megfelelő sorrendben történővisszaállítása, illetve az erre való előzetes felkészülés, elemzés, tervezés.BCP megközelítés
• Stratégia• Felkészülés - esemény előtt• Azonnali intézkedés• Elhárítás (a funkcionális és a fizikai infrastruktúra
működőképességének biztosítása) – részleges visszaállítás• Teljes helyreállítás
20© Erste Bank Group - Proprietary and Confidential
Üzletmenet – folytonossági terv
21© Erste Bank Group - Proprietary and Confidential
Business Continuity Management 4.
Katasztrófa elhárítási terv (DRP)
DRP célja felkészíteni a szervezetet az IT szolgáltatások, erőforrásokkatasztrófa miatti átfogó sérülése, kiesése után a visszaállítási feladatokelvégzésére és a szervezet számára elfogadható szolgáltatási szintekbiztosítására.DRP megközelítés
• Stratégia• Felkészülés - esemény előtt• Azonnali intézkedés• Elhárítás (a funkcionális és a fizikai infrastruktúra
működőképességének biztosítása) – részleges visszaállítás• Teljes helyreállítás
22© Erste Bank Group - Proprietary and Confidential
Katasztrófa elhárítási terv
© Erste Bank Group - Proprietary and Confidential
Business Continuity Management 5.
Felkészülés a katasztrófára 1.
BCM rendszer oktatása• Az érintett szerepköröket és üzemeltetőket rendszeresen – új belépőket
belépésükkor – oktatni kell, ezért a BCM Csoport vezetője felel• A BCM Csoport és a Szakterületi csoportok tagjainak évente egyszer.
Az újonnan kinevezett tagok részére, külön rendkívüli oktatást kell szervezni.
BCM rendszer tesztelése• A terveket rendszeresen tesztelni kell, ezért a BCM Csoport vezetője
felel• Évente minimum egy alkalommal a terveket tesztelni kell, a tesztelés
lehet teljes, vagy részleges• Teszt típusai: szóbeli, helyzet-szimulációs
© Erste Bank Group - Proprietary and Confidential
Business Continuity Management 5.
Felkészülés a katasztrófára 2.
BCM rendszer karbantartása, kiegészítése• Évente egy alkalommal a BCM Csoport vezetője által kijelölt
munkatársnak el kell végeznie a tervek karbantartását. • Eseti felülvizsgálatokat, frissítéseket kell végrehajtani szükség esetén:
– Katasztrófa eseményt követően– Üzleti folyamatokban vagy IT környezetben változás áll be
BCM rendszer ellenőrzése• A CIBI vonatkozó szabályozása alapján kétévente köteles a BCM
működés egészét felülvizsgálni. • A BEI vonatkozó szabályozása alapján kétévente köteles a BCM
működés egészét felülvizsgálni. • A vizsgálatok elsődleges célja a BCM működés hatékonysága,
eredményessége, valamint a vonatkozó jogszabályoknak valómegfelelőség vizsgálata.
© Erste Bank Group - Proprietary and Confidential
A BCM életciklus
26© Erste Bank Group - Proprietary and Confidential
1. BCM projekt2. BCM szervezet3. Folyamat szemléletű BCM és BCM szemléletű
folyamat4. A BCM működése – BCM életciklus5. Hogyan tovább – Teljes körű kockázat
management
27© Erste Bank Group - Proprietary and Confidential
Hogyan tovább?
Kockázatok és a kockázatcsökkentő
intézkedésekkialakítása
Utólagos ellenőrzés, visszajelzés
Kockázat monitoring,
Intézkedésekértékelése
A kockázatok teljes körűfeltárása
A kockázat mértékének
meghatározása
© Erste Bank Group - Proprietary and Confidential
Kérdések, válaszok