Telefoane: 0314 20 53 48 (RDS)
0727 867 246 (Vodafone)
0311 02 24 08 (UPC)
Fax: 0314 20 53 48 (RDS)
Email: info@intermanagement.eu
Sistemul de management al securităţii informaţiei. Cerinţe ISO 27001:2013 comentate. Aspectele privind managementul continuităţii activităţii.
Adaugat la data de 24.04.2015

Motivul dezvoltării unui plan de continuitate al activităţii este de a asigura continuitatea unei activităţi în timpul şi după oricare incident critic care rezultă în urma întreruperii capacităţii operaţionale normale.

- Stabilirea legăturilor de comunicare internă şi externă.

- Colectarea şi evaluarea informaţiilor privind gravitatea distrugerilor şi a pagubelor.

- Identificarea resurselor disponibile pentre reluarea activităţii.

 

Terminologie:

Incident - întâmplare neaşteptată şi neplăcută care apare în desfăşurarea unei acţiuni, activităţi;

Avarie - deteriorare însemnată asupra unui bun (construcţie, infrastructura, echipament etc. );

Dezastru - incident sever (tragedie, calamitate,catastrofa ) care influenţează activitatea unei organizaţii (în contextul prezenţei lucrări ) astfel, pentru reluarea activităţii, punerea în aplicare a unui plan de acţiune fiind de maximă necesitate;

Reluarea activităţii - set de proceduri, strategii, acţiuni având ca obiectiv minimizarea influenţelor unei întreruperi a activităţii şi restabilirea condiţiilor iniţiale;

Echipele de acţiune în caz de incident/ avarie/ dezastru – echipele (totalitatea echipelor) cărora le revine responsabilitatea implementării şi executării planului de continuitate a activităţii;

Echipa de coordonare a crizei - această echipă coordonează activitatea celorlalte echipe pe parcursul

procesului de redresare a activităţii

Activităţi cheie - activităţi esenţiale pentru a oferi rezultate şi realizarea obiectivelor de afaceri.

Plan de Continuitate a Activităţii / Business Continuity Plan – PCA/ BCP  - un proces care ajuta la dezvoltarea unui document plan pentru gestiunea riscurilor ale unei afaceri, asigurându-se că aceasta poate funcţiona în  caz de criză / dezastru.

Plan de Continuitate a Activităţii / Business Continuity Plan - document care conţine toate informaţiile necesare pentru a se asigura reluarea activităţilor în urma unor incidente.

Analiza de impact - procesul de colectare a informaţiilor pentru determinarea cerinţelor de recuperare de bază pentru activităţile de afaceri cheie în caz de criză / dezastru.

Timp de recuperare obiectiv (TRO) - timpul de la care se declară o criză / dezastru până la momentul în care funcţiile critice trebuie să fie pe deplin operaţionale, în scopul de a evita pierderi financiare grave.

 

În organizaţie trebuie implementat un proces de management al continuităţii activităţii pentru a reduce la un nivel acceptabil timpul de întreruperea al proceselor critice cauzat de dezastre şi de căderi ale sistemelor (care pot fi rezultatul, dezastrelor naturale, accidentelor, defectării echipamentelor sau al acţiunile voluntare/ involuntare).

Consecinţele întreruperilor trebuie trebuie analizate, pentru a se asigura că procesele pot fi repuse în funcţiune, în acest scop trebuie implementate planuri de continuitate a activitaii. Astfel de planuri trebuie menţinute şi exersate pentru a deveni o parte integrantă a tuturor celorlalte procese de management.

Managementul continuităţii activităţii să includă controale pentru identificarea şi reducerea riscurilor, limitarea consecinţelor incidentelor şi asigurarea reluării în timp util a proceselor critice.

 

Obiective urmărite prin implementarea planurilor de continuitate a activităţii. Contracararea întreruperii proceselor critice, protecţia proceselor critice ale activităţii, repunerea într-un timp definit a proceselor critice

împotriva efectelor căderilor sistemelor sau dezastrelor.

 

Planificarea continuităţii activităţii

Este implementat un proces managerial pentru dezvoltarea şi menţinerea continuităţii activităţii.

Continuitatea activităţii inceape prin identificarea evenimentelor care pot cauza întreruperi ale proceselor critice, de exemplu disfuncţionalităţi ale echipamentelor, incendii, persobal indisponibil, întreruperea unor servicii suport.

După identificarea proceselor critice trebuie realizată o analiză a riscului pentru determinarea impactului acestor întreruperi (din punct de vedere al nivelului daunelor şi al timpului de re[punere în funcţiune a activităţii).

Activităţi trebuie îndeplinite cu implicarea partea responsabilior cu activităţile critice.

În funcţie de rezultatele analizei de risc se dezvolta un plan pentru a determina etapele, resursele necesare tratării continuităţii activităţii. Planul este aprobat de conducere.

 

Punere în acţiune a planului de continuitate a activităţii

Procesul managerial pentru dezvoltarea şi menţinerea continuităţii activităţii tine seamănă de următoarele elementele:

- înţelegerea riscurilor pe care organizaţia le înfruntă, considerând probabilitatea şi impactul acestora, incluzând  identificare şi prioritizarea proceselor critice pentru afacere;

- înţelegerea impactului pe care întreruperile le pot produce asupra activităţii (este important să fie găsite soluţii care să rezolve incidentele serioase care pot afecta functionea organizaţiei)

- luarea în considerare a încheierii unei poliţe de asigurare adecvate care poate face parte din procesul de continuitate a activităţii;

- formularea şi documentarea unui plan de continuitate a activităţii, în acord cu obiectivele şi priorităţile organizaţiei;

- formularea şi documentarea planurilor de continuitate a activităţii în concordanţă cu strategia organizaţiei;

- instruirea personalului, testarea şi actualizarea periodică a planurilor.

 

Verificarea, analizarea şi evaluarea continuităţii

Testarea planurilor de continuare a activităţii se desfăşoară la intervale de timp planificate pentru a fi actualizate. Astfel de teste, de asemenea, asigura că toţi membrii echipei de recuperare şi alţi membri relevanţi ai personalului sunt conştienţi de importanţă acestor planuri.

Calendarul de testare pentru planulul de continuitate a activităţii indica cum şi când va fi testat fiecare element al planului.

Tehnicile de testare includ:

- testarea teoretică a diferitelor scenarii;

- simulări (pentru instruirea personalului pentru rolurile lor de management în situaţii post-incident);

- testarea recuperării tehnice (asigurarea faptului că sistemele informatice pot fi repuse efectiv în funcţiune);

- testarea recuperării într-o locaţie alternativă (rulând procesele activităţii în paralel cu operaţiunile de repunere în funcţiune într-un loc depărtat de locaţia principală);

- testarea furnizării de echipamente tehnice şi a serviciilor (asigurându-se că serviciile şi produsele furnizate din exterior îndeplinesc obligaţiile contractuale);

- testarea faptului că organizaţia, personalul, echipamentele tehnice pot face faţă întreruperilor.

Exemple de situaţii care pot necesita actualizări ale planurilor includ achiziţia de noi echipamente sau

actualizarea sistemelor operaţionale, precum şi schimbările de:

- personal;

- adrese sau numere de telefon;

- strategie a activităţii;

- locaţie, echipamente tehnice şi resurse;

- legislaţie;

- contractanţi, furnizori şi clienţi cheie;

- procese, fie procese noi, fie procese la care s-a renunţat;

- riscuri (operaţionale şi financiare).

 

Componentele planului de continuitate a activităţii:

 

1. Scop:

2. Rezumat planului de continuitate a activităţii

Rezumatul este planul pe scurt, o pagină sau mai scurt. Ar trebui să conţină cantitatea de informaţie care să determine un cititor să fie familiarizat cu planul fără ca acesta să citească întreg documentul.

În funcţie de proporţia activităţii şi dimensiunea documentului, includerea rezumatului este opţionala.

3. Obiectivele planului de continuitate a activităţii

Obiectivele au rolul de a clarifica motivul planului şi ar trebui să prezinte rezultatele urmărite.

4 Lista de distribuţie

Pentru implementare, actualizarea şi revizuirea planuluise va realiza o listă a tuturor funtiilor/ persoanele cărora li să  furnizat o copie a planului.

 

Tabel nr. 1

5. Documente de reglementare şi documente conexe

În acesta lista listă se vor include toate documentele care au impact asupra planului de continuitate a activităţii.

 

Tabel nr. 2

6. Analiza riscurilor şi planul de tratare a riscurilor

 

Este necesară gestionarea riscurilor prin identificarea ameninţărilor şi vulnerabilitailor şi analiza acestora care ar putea avea efecte adverse asupra activităţii, alegând cele mai bine măsuri pentru a diminua riscurile identificate.

 

Întrebările la care trebuie să găsiţi un răspuns sunt:

- Care sunt ameninţările?

- Care sunt vulnerabilităţile ?

- Cat de grav ar putea fi?

- Care este probabilitatea apariţiei incidentului ?

- Poate fi redus riscul?

 

Se va folosi metodologia de analiză şi tratare a riscurilor implementata în firmă.

7. Asigurări

Ca parte a planului de management de risc este necesar să se determine ce tipuri de poliţe de asigurare sunt disponibile şi achiziţionarea celei de care afacerea are nevoie.

Tabel nr. 3

8. Securitatea datelor şi strategia de back-up

Conform procedura de backup.

 

Tabel nr. 4

9. Analiza de impact a activităţii

 

Ca parte a planului de continuitate a activităţii, trebuie să realizeze o analiză de impact care va fi utilă planului de management al riscului pentru a evalua riscurile identificate şi impactul în relaţie cu activităţile critice ale activităţii şi identificarea unor cerinţe de bază pentru recuperare.

 

Activităţile critice trebuie să continue pentru susţinerea activităţii.

 

Trebuie identificate:

- Care sunt activităţile critice;

- Care va fi impactul asupra activităţii în cazul apariţiei unei întreruperi;

- Cat timp poate funcţiona afacerea fără a realiza această activitate.

 

Ca parte a analizei de impact trebuie atribuit timpul de recuperare pentru fiecare funcţie (TRF).

TRO reprezintă timpul de la care se declară o criză până la operarea completă a funcţiei critice pentru evitarea pierderilor financiare importante.

 

Următoarele întrebări ajuta la determinarea activităţilor critice:

 

1. În următorul tabel trebuie listate activităţile care realizate astfel încât afacerea să funcţioneze eficient.

În cazul existenţei unor departamente diferite, tabelul trebuie completat pentru fiecare în parte.

 

Tabel nr. 5

 

2. Pentru fiecare activitate de mai sus, trebuie completate următoarele:

Activitatea: Departament ...........

Descrierea activităţii: .....................................

 

A:        Care sunt pierderile dacă această activitate este întreruptă?

Pierderea veniturilor: ....

Costuri crescute:....

Personal:

Produs/ serviciu:

Amenzi sau penalităţi datorate termenelor ratate:

Răspunderea juridică, daune:

Pierderea de imagine:

Comentarii:

B:        Pentru cât timp activitatea poate fi întreruptă până la apariţia pierderilor?

Ore:

Zile:

Săptămâni:

Luni:

Comentarii:

C:        Activitatea este dependentă de o sursă sau un produs extern pentru realizarea ei?

 Nu    Da – Dacă da, completaţi mai jos: 

 Furnizor singular    Furnizor majoritar    Furnizori alternativi

Comentarii:

 

D:        Pe o scală de la 1 la 10 (1 cel mai important; 10 cel mai puţin important) unde se încadrează această activitate în

cadrul unui departament?

 

 - 1      - 2      - 3      - 4      - 5  - 6  - 7             - 8      - 9      - 10

 

 

 

 

 

 

 

Comentarii:

                                                                                              

Tabel nr. 6

 

10. Planul de răspuns în cazul incidentelor

 

Acest plan este necesar pregătirii un răspuns la timp în cazul incidentelor critice şi reducerea impactului acestor incidente cu privire la operaţiunile identificate anterior.

De asemenea, informează şi conştientizează personalul cheie pentru a oferi un răspuns eficient pentru minimizarea întreruperii operaţiilor în caz de urgenţă.

Lista de verificare în cazul unui răspuns prompt

 

Tabel nr. 7

 

 

11. Programe de formare şi antrenament/ Simularea planului de continuare a activităţii

 

A. Programele de formare şi antrenament
Detalii privind privind program de formare şi antrenament sunt prezentate mai jos:

 

Tabel nr. 8

 

B. Programe de simulare
Detalii privind privind programele de simulare sunt prezentate mai jos:

Tabel nr. 9.

 

12. Istoricul evenimentului

 

Se va realiza un istoric/ jurnal al evenimentului pentru a nota informaţiile, deciziile şi acţiunile din perioada imediată a evenimentului critic

 

Tabel nr. 10

 

13. Înregistrări şi anexe

 

Anexa 1  - Analiza riscurilor şi planul de tratate a ricurilor

Anexa 2 - Lista angajaţilor care acţionează în situatiii de urgen

ALTE STIRI
»  Hotarare nr. 955 din 2010, Monitorul Oficial nr. 661 din 2010 pentru modificarea si completarea Normelor metodologice de aplicare a prevederilor Legii securitatii si sanatatii în munca nr. 319 din 2006
»  Ghid implementare GDPR-Reg. 679 din 2016. Cerinte complementare. Comunicarile comerciale.
»  Despre certificatul de origine a marfii
»  DIRECTIVEI 2002-96-CEE PRIVIND ECHIPAMENTELE ELECTRICE SI ELECTRONICE IN ROMANIA
»  Procedura de emitere a autorizatiei integrate de mediu - Monitorul Oficial, Partea I nr. 800 din 13.11.2003
»  Lege nr. 40 din 2011,pentru modificarea si completarea Legii nr. 53-2003 - Codul muncii. Principalele modificari.
»  Definitii utilizate in domeniul gestionarii deseurilor de echipamente electrice si electronice Conf. Hotarare nr. 1037 din 2010 Monitorul Oficial, nr. 728 din 02-11-2011 privind deseurile de echipamente electrice si electronice
»  Inspectie si certificare produse agricole
»  SR 13547- Dezvoltarea afacerii prin inovare
»  Publicitatea iese din zodia Google si intra in cea a YouTube. De 10 ori mai multi advertiseri pe platforma de videosharing
Produse
» DVD - GHID PRACTIC PENTRU CERTIFICAREA SISTEMULUI DE MANAGEMENT INTEGRAT ISO 9001- ISO 14001 Vers. 2.8
15.05.2020
» DVD- GHID PRACTIC PENTRU PROIECTAREA SISTEMULUI DE MANAGEMENT AL SECURITATII INFORMATIEI ref. SR ISO-CEI 27001: 2013 Vers. 2.8
15.05.2020
» DVD- GHID PRACTIC PRIVIND CERTIFICAREA ISO 9001:2015. Vers. 2.8
15.05.2020
» GHID PRACTIC - modelul de sistem de management integrat calitate - mediu - sanatatea si securitate ocupationala (ISO 9001 - ISO 14001- ISO 45001) Vers 2.8
05.11.2020
» GHIDUL PRACTIC PRIVIND CERTIFICAREA SR EN ISO 14001: 2015. Versiunea 2.8.
15.05.2020
» Sistemul de management al securitatii informatiei. DVD - Ghid practic - Declaratia de aplicabilitate privind controalele sistemului de management al securitatii informatiei (SOA). Model completat. Referinta ISO/ IEC 27001: 2013. Vers. 2.0
15.05.2020
» Sistemul de management al securitatii informatiei. Referinta ISO/ IEC 27001: 2013. DVD - Ghid practic - Metodologie de analiza riscurilor. Registrul riscurilor si plan de tratare a riscurilor. Modele completate.
15.05.2020
Legaturi Sponsorizate

Nicole-Anamaria, ajutor umanitar

Ajuta-l pe David

Asociatia Provita

Alexandru Damian, ajutor umanitar

Stefanut Cristian, ajutor umanitar

Ajutor pentru Alexandra Vasilescu

Info - Interventii chirurgicale pe cord pentru copii, se asigura costurile pentru operatie

Anunturi umanitare

Salveaza vieti

Asociatia "Salveaza o inima"

Legaturi Utile

 

Asociatia Americana pentru Calitate (ASQ), www.asq.org

Organizatia Internationala pentru Standardizare (ISO), www.iso.org

European Foundation for Quality Management, www.efqm.org

Asociatia de Acreditare din Romania, www.renar.ro

Ministerul Cercetarii si Inovarii, www.research.ro

European Accreditation, www.european-accreditation.org

Legislatie Europeana www.eur-lex.europa.eu

Asociatia de Standardizare din Romania, www.asro.ro

 

 

Parteneri

Tehnica si Tehnologie

Pixelfind
© Intermanagement 2020. Realizat de Compania Pixelfind