Gestion de la continuité des activités et ISO 22301 - Guide complet

1. Introduction - Pourquoi la gestion de la continuité d'entreprise est essentielle ?: Bonjour et bienvenue à l'un des meilleurs cours de gestion de la continuité d'activité. Cela vous permettra non seulement de développer une compétence très demandée d'aujourd'hui, mais aussi d' aider les organisations à survivre et à devenir plus résilientes. Je suis Hassham Idris et je fais partie de l'équipe de direction dans un formulaire de conseil Fortune 100. Au cours des 15 dernières années, j'ai aidé plus de 50 organisations, mais c'est pourquoi j'ai répondu aux perturbations majeures et j'en ai émergé plus fort. À l'échelle mondiale, les entreprises sont confrontées à d'innombrables menaces d'événements perturbateurs potentiels et elles constituent un environnement opérationnel. Y compris les pandémies telles que le Koweït 19, les catastrophes naturelles. Qu' il s'agisse de cyberattaques, de coupure de courant à long terme , de l' indisponibilité des principaux fournisseurs, etc. Récemment, nous avons commencé à constater une augmentation significative du nombre de perturbations. En fait, 2020 peut être appelé un air de perturbation. Soit son feu de brousse secrète de 19 Australiens , l' ouragan Sandy, les tornades en Oklahoma, ou les récentes cyberattaques en Nouvelle-Zélande. Ensuite, les stocks changent. Les entreprises qui réfléchissent de façon proactive à la façon de réagir à ces événements sont les premières à reprendre leurs activités, souvent au détriment des comparateurs. Si vous examinez les tendances les plus importantes en matière de risques d'entreprise en 20202021, risque limité de résilience de l' entreprise sera tout de même là. Par exemple, trois des dix principaux risques commerciaux mondiaux de KPMG, parmi les cinq principaux risques commerciaux de Forbes, et trois des cinq principales menaces étant donné que MAIS aligne le baromètre des risques, y compris les deux principaux enjeux, sont tous liées à la résilience de l'entreprise. La prochaine crise qui pourrait menacer votre organisation est peut-être déjà en train de prendre forme. Et avec tant d'enjeux, les organisations ne peuvent tout simplement pas se permettre de ne pas avoir de plan. Il suffit de poser à vous-même ou à votre organisation quelques questions simples. Pensez-vous être prêt à faire face à une nouvelle crise ? Êtes-vous en mesure de récupérer vos fonctions clés en temps opportun ? Si votre réponse est non ou pas sûre, ne vous inquiétez pas, vous êtes sur un bon départ parce que vous êtes ici avec moi, conscient du risque et prêt à apprendre va commencer ce cours en comprenant la résilience fondamentale de l'organisation et de l'entreprise concepts de continuité. Ce qu'est la gestion de la continuité d'activité et ce qu'elle n'est pas. Je vais clarifier les idées fausses et les confusions courantes au sujet la continuité des activités et expliquer les avantages qu' elle apporte à une organisation de différents points de vue. Examinera également la continuité d'activité mondiale sans norme, c' est-à-dire la norme ISO W3 0-1 et ses exigences. Une fois que nous aurons compris les concepts clés et les éléments de la BC MS, nous allons plonger profondément dans chacun des principaux domaines de la continuité des activités. Maintenant, ce cours ne suppose aucune expérience en matière de continuité d'activité. Donc, si vous êtes un débutant complet, ce n'est pas un problème. Nous commençons tous quelque part. Je serai avec vous à chaque étape et je vous conduirai à travers les concepts fondamentaux de continuité d'activité, jusqu'à certaines des approches les plus intermédiaires et avancées. Mais tout ce que j'ai besoin de toi, c'est d'un vif désir apprendre au cas où tu serais l'une des rares personnes expérimentées dans ce domaine. Ce sera toujours un très bon rafraîchissement. J' ai travaillé sur ces approches pour un certain nombre de clients sur différents continents. Rappelez-vous donc, les stratégies que nous allons étudier, travailler et mettre en pratique, pas seulement sur papier. Il y a beaucoup à apprendre et à pratiquer. Alors commençons notre voyage et j'ai hâte de vous avoir sur ce parcours. 2. 1.1 Que vous apprendrez dans ce cours ?: Bonjour et bienvenue à cette gestion de la continuité d'activité va. Dans ce cours, vous allez découvrir ce qu' est vraiment la continuité d'activité et ce qu'elle n'est pas. Pourquoi la continuité des activités est la clé de la survie de n'importe quelle organisation aujourd'hui. Et quels sont les concepts fondamentaux et les éléments clés du cycle de vie complet de la gestion de la continuité des activités et quelques approches pratiques pour les mettre en œuvre. Cela vous permettra de développer une compétence très demandée d' aujourd'hui et d' aider toutes les organisations à survivre et à devenir plus résilientes. Je fais partie de l' équipe de direction d'une réforme du conseil Fortune 100 bien connue. Au cours des 15 dernières années. J' ai aidé plusieurs organisations de différents pays à être disposées à réagir et à émerger plus fort des perturbations majeures. Plus précisément du point de vue de la continuité des activités et de la reprise technologique. Permettez-moi de vous présenter brièvement la structure de ce cours. J' ai divisé ce cours en 11 sections et plus de 40 conférences de haute qualité. Il y a un bref aperçu de ce que nous aborderons dans chaque section. Nous commencerons par briser certains mythes courants et idées fausses sur la gestion de la continuité des activités. Ensuite, nous passerons en revue les aspects clés de la résilience plus large de l'entreprise. Les différences entre les installations associées, telles que les interventions d'urgence, la gestion des crises, la gestion des incidents, la planification de la continuité des activités et la reprise après sinistre informatique. Et comprendre comment ils se rapportent les uns avec les autres d'une manière très facile à comprendre. Dans le chapitre suivant, nous examinerons ce qu'est la norme ISO W3C et ce qu'est ISOS PDCA, planifier, faire vérifier, agir, cycle de vie. Examinera ensuite les dix clauses ISO, ce qu'elles signifient et quels sont les principaux avantages de la mise en œuvre et du maintien d'un système de gestion de la continuité des opérations sous différents angles, tels que les avantages du point de vue des activités, Perspectives financières, perspective des processus internes et perspective des intervenants. Ensuite, nous passerons au chapitre sur la gouvernance. Nous allons commencer par discuter de l'importance d'avoir une reddition de comptes claire, l'appropriation et la responsabilité. Récupérer les aspects relatifs aux politiques et au cadre de gestion de la continuité des opérations et discuter des raisons pour lesquelles il est essentiel d'avoir une politique et un cadre pour la gouvernance du système de gestion de la continuité des opérations. Dans le domaine de la gestion des risques, nous étudierons comment une gestion efficace des risques est importante pour le système de gestion de la continuité des activités. Quelle est la différence entre la gestion des risques d'entreprise et la gestion de la continuité des opérations ? Et quelles sont certaines des options courantes de traitement des risques qui peuvent être appliquées aux risques de continuité des activités ? Dans le chapitre suivant, nous allons examiner ce que la norme ISO W2 trois 0-1 est et ce qui est ISOS, PDCA ou plan faire vérifier, agir cycle de vie est alors examiner les dix clauses ISO, ce qu'elles signifient et quels sont quelques-uns des avantages de mettre en place et maintenir un système de gestion de la continuité des opérations ? De divers points de vue, tels que le bénéfice. Dans le domaine de la gestion des risques, nous étudierons comment une gestion efficace des risques est importante pour le système de gestion de la continuité des opérations. Quelle est la différence entre la gestion des risques d'entreprise et la gestion de la continuité des opérations ? Et quelles sont certaines des options courantes de traitement des risques qui peuvent être appliquées au risque de continuité des activités ? Ensuite, nous étudierons ce qu'est l'analyse d'impact sur les affaires ou la BIA. Pourquoi faisons-nous cette analyse ? Et comment BIA vous aide à mieux comprendre votre organisation ? Nous apprenons quels sont les objectifs de rétablissement. Et les termes clés de l'audio, c' est-à-dire les objectifs de temps de récupération et ARPU, c'est les objectifs de point de récupération. Une fois que nous avons compris ces bases, examinerons les six étapes de la réalisation d'une analyse d'impact sur l'entreprise. Après analyse de l'impact sur les activités, nous examinons l'élaboration du plan de continuité des activités. Will étude serait Cp est pourquoi il est important et quelles sont les exigences et les stratégies pour la planification de la continuité des activités. Ensuite, nous examinons en détail comment nous pouvons développer un PCP en tenant compte divers aspects tels que les personnes, la communication, les installations, systèmes et les applications, les télécommunications, les dépendances internes et externes , les exigences et le contenu connexe à inclure dans les plans de continuité des opérations. Dans la section suivante est le lien avec la reprise après sinistre informatique et les usines connexes commenceront par étudier plus en détail le plan de reprise après sinistre informatique, y compris la planification de reprise après sinistre Y IT est nécessaire. Et quelles sont les composantes de l'élaboration d'une DTI, notre plan ? Ensuite, nous discuterons de la raison pour laquelle il est essentiel que le plan de continuité des activités ne soit pas un document autonome. Au contraire, comment nous pouvons le connecter de manière transparente aux installations connexes telles que la gestion des crises, les interventions d'urgence, la gestion des incidents et le plan de reprise après sinistre informatique. Dans le chapitre sur les facteurs humains, nous étudierons pourquoi la formation et la sensibilisation sont l'un des aspects les plus cruciaux pour que les PPC soient utilisables et efficaces. Nous apprenons quels sont les éléments clés de l'éducation et de la sensibilisation dans le système de gestion de la continuité des opérations. Nous allons également discuter façon dont la continuité des opérations et s'intégrer dans la culture organisationnelle à l'aide d'un processus et participation de l'équipe de direction. Le chapitre suivant porte sur les exercices de continuité des activités, où nous étudierons l'importance d'effectuer les tests et les exercices de la C.-B . afin de s'assurer que les plans fonctionnent dans la pratique et pas seulement sur le papier. Et s'ils sont en mesure d'atteindre les objectifs requis. Nous examinerons plusieurs tests et types d'exercices et ceux qui seront appropriés et différents scénarios. Nous traiterons également de l'importance des séances de compte rendu et de la façon dont elles devraient se dérouler. Ensuite, nous examinerons comment les plans de continuité des opérations et le système de gestion de la continuité des opérations devraient être maintenus et tenus à jour. Et quels sont les principaux aspects de la réalisation de la surveillance périodique et de l'assurance. Enfin, dans la section de conclusion, aura un bref résumé de ce que nous avons appris et discutera des prochaines étapes. Veuillez garder à l'esprit que la plupart de ces domaines, comme la gouvernance, l'exécution de la LFI, l' élaboration du PCP et les exercices, sont des sujets très détaillés en soi. Et cela dit, nous couvrirons chacun de ces éléments avec un niveau de détail raisonnable afin que vous compreniez l'essentiel de tous ces éléments et soyez en mesure de commencer votre parcours de continuité d'activité. Vous pouvez également télécharger le programme complet du cours. J' ai également inclus des quiz, des devoirs, des articles et du matériel téléchargeable dans ce cours qui vous aideront à pratiquer et à obtenir des conseils supplémentaires tout au long de ce parcours. À la fin de ce cours, vous serez en mesure d'apprendre comment les organisations résilientes ont rapidement rebondi après les perturbations. Maintenir un même croissant leur avantage comparatif. Apprenez, développez et mettez en œuvre les stratégies éprouvées de continuité d'activité et comprenez que la résilience ne se limite pas à avoir un plan. Par conséquent, l'apprentissage de ces compétences permettra non seulement d'accroître la stabilité de votre marché, mais aussi d'ouvrir des portes à un transporteur et à une gestion de la continuité d'activité. Il y a beaucoup à apprendre et à pratiquer. Alors commençons notre voyage et commençons. 3. 1.2 Mythes et de fausses idées communes sur la continuité des activités: La planification de la continuité des activités est l'un des aspects les plus importants de toute stratégie de rétablissement. Malheureusement, beaucoup d'organisations ne sont pas proactives dans l'élaboration de leurs stratégies et plans de continuité. D' après mon expérience, un facteur clé de l'absence de préparation des organisations est dû certains mythes et idées fausses courantes au sujet de la continuité des opérations. Voici quelques-unes d'entre elles. Nous avons une petite équipe ne savait pas quoi faire lors d'une perturbation majeure. En fait, ne peut s'attendre à ce que même les meilleurs employés sachent quoi faire en cas de catastrophe. Laisser chaque employé au frai à sa manière ne fait qu'ajouter à la confusion au cours d'un événement. Donc, avoir un plan de continuité des activités bien pensé et documenté à l'avance et nettoyer vos employés pour le suivre permet à tout le monde de mieux se préparer à réagir à un événement. Le suivant est la continuité d'activité, est identique à la planification de reprise après sinistre de l'ID. Il est important de comprendre cette différence. Comme son nom l'indique, un plan de continuité des activités est un processus axé sur les activités qui permet aux entreprises de continuer à fonctionner en cas de perturbation majeure ou si un milieu de travail devient inaccessible. Le PCT fournit des détails sur les mesures à prendre avant, pendant et après une interruption afin de maintenir la viabilité financière d'une organisation. D' autre part, j'ai fait un plan de reprise après sinistre ou DRP informatique entre en jeu lorsque votre entreprise perd l'accès, tord les systèmes informatiques et l'infrastructure technologique. DRP informatique se concentre donc sur la réponse et la récupération des systèmes et des actifs informatiques en cas de panne ou de défaillance importante. Parfois, il dégage une perturbation majeure. Est-ce que le bcb et le Dr. B. pourraient être activés ensemble. Cependant, selon l'événement, un seul peut également être activé. Par exemple, si une organisation héberge un certain nombre de son système sur un centre de données et qu'il y a une panne importante sur ce centre de données , seul un ID DOB doit être activé et non pas le ABCP. Par conséquent, bien que différent mais acheté le bcb et le DARP ID, sont essentiels pour aider une organisation assurée et organisée, toute sécurité et en temps opportun de récupération. Ensuite, il faut beaucoup de temps pour élaborer un plan de continuité des activités. une certaine mesure, c'est le cas. Cependant, nous devons nous rendre compte que le sou consacré à l'élaboration et à l'entretien des plans de continuité des activités est un investissement dans votre entreprise. Si une perturbation majeure survient, votre coût fixe continuera. Même si vous êtes ouvert pour les affaires ou non. Plus vite vous pouvez retourner aux affaires comme d'habitude, ce que nous appelons BAU, plus vous aurez de chances et rapidement de récupérer de la perturbation de papa. Nous avons vu plusieurs exemples récemment, soit avec 19 incendies de brousse australiens pandémiques ou tornades en Oklahoma. Les entreprises qui réfléchissent de façon proactive à la façon de réagir aux perturbations sont les premières à reprendre leurs activités. Souvent au détriment des concurrents. Mais vu le bâton marmonné, votre organisation ne peut se permettre de suivre aucune de ces idées fausses et de ne pas avoir de plan. 4. 1.3 Comprendre la différence - Crise, accident, continuité des activités et de la reprise des désast: Il est important pour nous de comprendre que la résilience des entreprises est un concept plus large. Et ce n'est pas une technologie, un système isolé, ou un processus unique. Il s'agit d'un programme qui exige la coordination des personnes, des processus, des installations et de la technologie avec un système de gouvernance efficace pour le maintenir et gérer efficacement le système essentiel en cas de perturbation majeure. Gérer efficacement les moments critiques pendant une perturbation majeure signifie réunir une gamme de compétences et de disciplines distinctes pour aider les cadres à prendre des décisions et à gérer leur problème. Ces capacités comprennent la gestion des interventions d'urgence et des crises, la gestion des incidents, la gestion de la continuité des activités, la reprise technologique ou la reprise après sinistre informatique. Avant de plonger en profondeur dans ce cours, il est important de comprendre les bases de ces concepts et comment ces capacités s'inscrivent dans un délai de perturbation de l'activité. Si nous les cartographions dans une zone de perturbation des affaires, voici à quoi ça ressemble. Nous avons quatre phases principales de cette chronologie. Pour la bière, répondez, récupérez et restaurez. Rebelle ou phase où vous êtes en cours d'exécution comme BAU, c'est comme d'habitude. C' est là que la planification doit avoir lieu et que tous les plans connexes devraient être élaborés. Voyons voir. Votre entreprise se déroule comme d'habitude et puis un incident frappe. Votre entreprise doit maintenant répondre. Selon le type d'incident. La première chose qui peut être activée est votre intervention d'urgence. intervention d'urgence met l'accent sur les mesures immédiates à prendre en cas d'incident pour gérer les menaces critiques à la vie et à la sécurité de la personne. La production d'actifs menacés et le risque d'impacts environnementaux plus larges. Par exemple, s'il y a un incendie dans le bâtiment, l'action immédiate est d'évacuer le bâtiment. La façon dont cette évacuation aura lieu fait partie de l'intervention d'urgence. Dans le cadre de ces phases d'intervention et de rétablissement. L' autre élément qui est important est votre gestion de crise. gestion des crises met l'accent sur la gestion des impacts stratégiques d'incidents, tels que des pertes financières graves, des dommages à la réputation ou des compromis sur la capacité de l'organisation d' atteindre ses objectifs stratégiques ou d'atteindre ses objectifs stratégiques mission. Par exemple, toute la gestion des communications internes et externes en cas de crise, comme la communication avec les employés, les clients, les médias, les autorités réglementaires, les fournisseurs et les parties prenantes, joue un rôle essentiel dans la gestion des crises. gestion des incidents de Ramirez met l'accent sur l'escalade et la gestion des événements qui ne relèvent pas des processus ou des systèmes existants ou qui sont considérés par l'organisation comme justifiant l'attention de la gestion spatiale. Par exemple, s'il y a un incident lié à la cybercriminalité, le démon de gestion des incidents analysera la situation, déterminera le pain du compromis, et nous prendrons des mesures correctives et préventives. Habituellement, la continuité d'activité vient dans la récupération, la restauration, le gel. gestion de la continuité des activités met l'accent sur la capacité de l'organisation de continuer à fournir des produits ou des services et sur des niveaux prédéfinis acceptables malgré l'incidence perturbatrice. Et pour récupérer ces services grâce à notre position d'affaires comme d'habitude. Nous en parlerons plusieurs exemples tout au long de ce cours. La reprise technologique, ou la reprise après sinistre informatique , comme son nom l'indique, fait partie de la phase de récupération et se concentre sur la réponse et la récupération des systèmes et des actifs informatiques à la suite de pannes, de pannes ou de services importants perturbations. Par exemple, l'un de vos systèmes critiques dans un centre de données principal est panne et vous ou votre fournisseur de services cloud activez l'ID DR., pour reprendre les services à partir d'un centre de données secondaire. Il est donc important de comprendre qu'un programme de résilience efficace doit comprendre une approche intégrée et coordonnée entre tous les aspects du calendrier des événements de rétablissement. Étant donné que ce cours est axé sur la continuité d'activité, nous allons approfondir aspects complets du cycle de vie de la gestion de la continuité afin de remettre votre entreprise en service après un événement important. Cependant, je pense qu'il est assez important de comprendre d'abord ces différences, comme je l'ai vu, beaucoup de gens confondent ces décharges ou les utilisent de façon interchangeable. Comme Dennis l'a dit facilement, attendez-vous à la meilleure terre pour le pire et prêt à être surpris. Dans les prochaines conférences, discutons de la façon dont nous pouvons nous préparer et planifier la continuité des activités. 5. 2.1 Qu'est-ce que l'ISO 22301 ?: Iso W2 301 est la norme de renommée internationale en matière de gestion de la continuité d'activité. Iso W3 0-1 spécifie les exigences pour un système de gestion pour protéger contre, réduire la probabilité d'une assurance, votre entreprise récupère l'incidence perturbatrice. Iso double 23012019 est la publication la plus récente. Iso W3 0-1 s'applique à toutes les organisations, indépendamment de leur taille, secteur d'activité ou de la nature de l'entreprise. Et basé sur la structure de haut niveau des ISO, il s'aligne avec de nombreux autres systèmes de gestion internationalement reconnus et avec des normes telles que ISO 9,001, c' est-à-dire le système de gestion de la qualité, ISO 27,001, c'est-à-dire l'information système de gestion de la sécurité, et ISO 14,001, c'est - à - dire système de gestion de l'environnement. À ce titre, il est conçu pour être intégré aux processus de gestion existants d'une organisation. C' est une norme certifiable. Des moyens similaires à des normes comme huit ou 9,001 et ISO 27,001. Une fois que vous répondez aux exigences de la norme, vous pouvez opter pour un organisme d' acidification indépendant et obtenir la certification de votre organisation selon la norme ISO W3 0-1, un BC MS ou un système de gestion de la continuité des activités. Comme tout autre système de gestion, comprend les composants suivants. Une politique, et les gens définiraient les responsabilités, habituellement dans un cadre défini. Système de gestion ou processus de gestion liés aux politiques, à la planification, à la mise en œuvre et aux opérations. L' évaluation de la performance, la gestion vous a attiré et l'amélioration continue. Tous les processus de continuité des activités pertinents pour l'organisation, tels que la façon d'effectuer une évaluation de l'impact sur l'activité, et les informations documentées à l'appui de ces processus, conditionnent et fournissent des preuves vérifiables. 6. 2.2 Le cycle de PDCA (Plan-Do-Check-Act): À l'instar d'autres normes ISO, la norme ISO W3 0-1 applique également le cycle PDCA. Nous étudierons ces phases plus en détail dans les chapitres suivants. Mais pour vous donner un concept global du cycle PDCA, Sa parole, cela signifie que P est pour planifier ou établir. C' est là que nous définissons le contexte organisationnel, définissons la portée, élaborons une politique, réalisons une analyse d'impact sur les activités et documentons le plan de continuité des activités. D est pour faire ou mettre en œuvre et fonctionner. C' est là que nous mettons en œuvre la politique et les stratégies de continuité des activités décrites dans les plans de continuité des activités. Par exemple, PCP parle d'avoir un site alternatif. Nous finalisons l'emplacement et, si nécessaire, continuons à établir un contrat avec eux. Ou nous avons acheté les systèmes acquis, les dispositifs que nous dirigeons lorsque les PCP activé ou établir un processus de leur acquisition. C est destiné à la vérification ou à la surveillance et à l'examen. C' est là que nous effectuons les exercices de test ou des exercices comme documenté dans le plan de continuité des activités, que nous vérifions les travaux du plan. Et si les objectifs de rétablissement prévus ont été atteints ou non, il faut agir ou maintenir et améliorer. Une fois ces tests effectués, identifier les problèmes ou les domaines nécessitant des améliorations et mettre à jour les plans en conséquence. Des choses comme la réalisation d'une assurance ou d'audits, prise de mesures correctives et préventives et l'amélioration continue du système complet de gestion de la continuité font également partie de cette phase. Par conséquent, le cycle PDCA permet d'établir, de mettre en œuvre, de maintenir et d'améliorer continuellement l'efficacité du système de gestion de la continuité des opérations de l'organisation. 7. 2.3 Avantages d'un système de gestion de la continuité d'entreprise: Il peut y avoir plusieurs avantages à gérer la capacité globale d'une organisation de continuer à fonctionner pendant les interruptions. Cela peut comprendre, du point de vue opérationnel, parce que l'organisation peut évaluer les répercussions potentielles des perturbations opérationnelles, déployer des plans de continuité des activités efficaces et minimiser les répercussions orales. Il aide l'organisation de plusieurs façons, notamment en appuyant ses objectifs stratégiques, en créant un avantage concurrentiel, créant un avantage concurrentiel protégeant et en améliorant sa réputation et sa crédibilité, et en contribuant à l'organisation résilience. D' un point de vue financier. La continuité des services essentiels assure la protection des revenus et actifs et réduit le risque de pertes supplémentaires résultant de l'interruption des activités. Il contribue également à réduire l' exposition juridique et financière et à réduire les coûts directs et indirects des interruptions. De plus, avoir de meilleures connaissances sur les impacts permet une évaluation plus efficace des options d'assurance. Du point de vue des corps intrigués. Il améliore la confiance de toutes les parties prenantes. Par exemple, les clients dans les employés déciles, les parties prenantes, etc., dans les organisations, leur capacité à réagir et opérations commerciales banales en cas de perturbation de l'entreprise. disposer d'un programme de résilience robuste contribue également à protéger la vie, les biens et l'environnement. Puis étouffer les attentes de toutes les parties intéressées et fournir un niveau d'assurance quant à la capacité de l'organisation à réussir. Du point de vue des processus internes. Il fournit une plate-forme pour dépoussiérer et mettre à jour les plans de continuité d'activité. Utiliser les capacités et les imprévus ainsi que les besoins de l'entreprise et identifier les inefficacités en fonction des événements. Il contribue également à améliorer la capacité de rester efficace pendant les interruptions. Démontrer un contrôle proactif des risques de manière efficace et efficiente, ainsi que le traitement ou Princeton ou les responsabilités. La liste est donc longue, mais ce sont là quelques-uns des principaux avantages et système efficace de gestion de la continuité des activités apporte à votre organisation et aux parties prenantes. 8. 2.4 Clauses standard ISO 22301 (1-3): La norme internationale ISO W2 3012019 est divisée en dix clauses. Voyons ce qu'ils sont. Et les exigences clés de toutes ces clauses. Les trois premières clauses sont des clauses ISO très brèves et standard. Vous trouverez donc les mêmes trois clauses dans d'autres normes ISO telles que neuf mille, cent vingt sept mille, et cetera. La portée précise que la présente norme s'applique à tous les types et toutes les tailles d'organisations. Numéro deux, les références normatives font référence à des documents connexes. Dans ce cas, c'est seulement iso W2 300. Il s'agit de vocabulaire de sécurité et de résilience. Troisièmement, les termes et les définitions. Il explique certains des termes et définitions standard tels que la définition de la continuité des activités, objectif de temps de récupération, c'est-à-dire le RTO, le système de gestion, etc. 9. 2.5 ISO 22301 Clause standard 4 : Contexte: gloses de quatre à dix ou plus sont détaillées et comprennent exigences précises pour établir et maintenir un système de gestion de la continuité des activités occupé, c'est-à-dire système de gestion de la continuité des activités. la clause de contexte, il y a quatre exigences principales. Tout d'abord, la compréhension de l'organisation et de son contexte. Il comprend la détermination des questions internes et externes et les objectifs généraux des organisations. Ensuite, comprendre les besoins et les attentes des parties intéressées au sein de parties de confiance signifie des parties internes et externes. Et aussi quelles sont les exigences légales et réglementaires ? Déterminer la portée du système de gestion de la continuité des opérations ? portée du SMGC comprend deux éléments principaux. Premièrement, quelles parties de l'organisation doivent être incluses dans la SP de la Colombie-Britannique, compte tenu de son emplacement, de sa taille, de sa nature et de sa complexité. Et d'autre part, quels sont les produits et services seront inclus dans le champ d'application de BI CMS. Toute exclusion doit également être clairement documentée et expliquée ici. Port est un système de gestion de la continuité des activités. C' est là que le cycle PDCA, c'est-à-dire planifier, faire, vérifier, agir que nous avons discuté lors de la conférence précédente entre en jeu. L' organisation doit établir, mettre en œuvre, maintenir et améliorer continuellement une SP de la C.-B. 10. 2.6 ISO Clause standard 5, « Leadership: Le brillant numéro cinq est le leadership. Clause de leadership. Il y a trois exigences principales qui doivent être remplies par la haute direction. Le leadership et l'engagement exigent que la gestion de la dette fasse preuve leadership et d'engagement à l'égard du système de gestion de la continuité des opérations. Cela se fait généralement par la mise en place de la responsabilité, définition des objectifs, la mise en place et le suivi des indicateurs de performance clés, également appelés indicateurs de performance clés. Ensuite, la gestion des politiques devrait établir une politique de continuité des opérations. La troisième exigence porte sur les rôles, les responsabilités et les pouvoirs. Et cela exige que la direction veille à ce que les responsabilités et les pouvoirs pour les rôles pertinents et assignés et communiqués au sein de l'organisation. 11. 2.7 ISO Clause standard 6, de la planification: Applaudissements numéro six est prévu. Et les principales exigences de cette clause comprennent, numéro un, les mesures visant à gérer les risques et les possibilités. C' est là que nous déterminons les risques et les possibilités liés au Système de gestion de la continuité des opérations et comment nous les abordons. Nous avons une section complète à venir sur la gestion mammaire que nous étudierons. Numéro deux, ces objectifs de gestion de la discontinuité et la planification. Pour les atteindre. L' organisation doit d'abord établir la GCA comme objectifs. Et un conseil sur une note de côté est chaque fois que vous définissez des objectifs, essayé de vous assurer que ces objectifs sont intelligents. Autrement dit, PME ART S signifie spécifique. M0 est mesurable. Il est pour réalisable, R pour réaliste et D4 limité dans le temps. Alors essayez de fixer des objectifs intelligents. Ces objectifs devraient également être liés à la politique de continuité des opérations. Une fois les objectifs établis, vous devriez élaborer un plan pour déterminer comment ces objectifs seront atteints. Ensuite, on planifie des changements au système de gestion de la continuité des activités. Lorsque l'organisation détermine la nécessité d'apporter des changements à la MS BC, ces changements doivent être effectués de manière planifiée. Par exemple, connaître l'impact d'un changement sur les plans de continuité des activités, l'affectation des ressources, etc. 12. 2.8 2.8 de Clauses standard de 22301 7 : Soutien: L' article 7 est un appui. Et les principales exigences de cette clause comprennent, numéro un, les ressources. L' organisation doit déterminer et fournir les ressources nécessaires à l'établissement, à la mise en œuvre, à la maintenance et à l'amélioration continue du système de gestion de la continuité des opérations. Le second est la compétence. Déterminez si vous avez la compétence nécessaire des personnes qui font du travail. Ont-ils la formation et l'expérience nécessaires ? Le suivant, c'est la sensibilisation. personnes qui font du travail doivent connaître le système de gestion de la continuité des opérations, la politique et leurs rôles et responsabilités. Il en discutera plus en détail dans la section sur les facteurs humains. La prochaine est la communication. L' organisation doit déterminer et contrôler les communications internes et externes pertinentes à la GCA S. Et la dernière, mais non la moindre, est l'information documentée. L' organisation tient à jour la documentation pertinente relative au système de gestion de la continuité des opérations. Avec contrôle de document. 13. 2.9 Normalde clause: Fermez, ce sont les opérations qui comprennent certaines des exigences essentielles pour la gestion de la continuité des activités. Le premier est la planification et le contrôle opérationnels. Signifie que l'organisation doit planifier, mettre en œuvre et contrôler les processus nécessaires pour satisfaire aux exigences de la norme ISO double 2301 et pour mettre en œuvre les actions. Voici l'analyse de l'impact sur les activités. Évaluation des risques. Il améliore l'exécution d'un BIA, c' est-à-dire l'analyse de l'impact sur l'entreprise. Et l'évaluation des risques. Nous étudierons plus en détail la LFI et l'évaluation des risques plus tard dans ce cours. Ensuite, vous trouverez des stratégies et des solutions de continuité d'activité. D' après les résultats de l'analyse d'impact sur les activités et de l'évaluation des risques. Cependant, message essentiel, identifier et sélectionner des stratégies de continuité d'activité pour atteindre les objectifs de récupération. Ensuite, il plans et procédures de continuité des activités. Eh bien, le musicien devrait élaborer des plans et des procédures pour gérer l'organisation pendant une interruption. Les plans et procédures devraient être utilisés au besoin pour activer des solutions de continuité des activités. Nous étudierons plus en détail dans la section sur la planification de la continuité des activités de ce cours. Le suivant est le programme d'exercice. L' organisation devrait mettre en œuvre et maintenir un programme d'exercices et de mise à l'essai pour valider au fil du temps leur efficacité offre des stratégies et des solutions de continuité des activités. Nous étudierons cette question plus en détail dans la section sur les exercices de planification de la continuité des activités de ce cours. La prochaine est l'évaluation de la documentation et des capacités relatives à la continuité des activités. C' est là que vous évaluez la pertinence, la pertinence et l'efficacité de son analyse d'impact sur l'entreprise, de ses stratégies d'évaluation des risques, de ses solutions, plans et des procédures que vous avez documentées. ce faire, n'oubliez pas de procéder à évaluation de la continuité des activités des partenaires concernés et de vos fournisseurs. 14. 2.10 ISO 22301 Clause standard 9 : Évaluation des performances: L' article neuf porte sur l'évaluation du rendement. Examinons les principales exigences de cette clause. Le premier est le suivi, la mesure, l'analyse et l'évaluation. Il s'agit de déterminer ce qui doit être surveillé et comment le surveiller et l'analyser. Nous en avons discuté lors de l'établissement des objectifs et des indicateurs de performance clés, c'est-à-dire des indicateurs de performance clés. Et nous aurons un chapitre complet à venir qui est la surveillance, la maintenance et l'assurance. Nous le sommes, nous allons discuter de cela plus en détail. Ensuite, l'audit interne. L' organisation doit planifier et mettre en œuvre un programme de vérification pour évaluer l'efficacité de l'ensemble du système de gestion de la continuité des opérations. Il faut également respecter un certain nombre d'exigences en matière de vérification, y compris la définition, les critères d'audit , la sélection des vérificateurs, etc. Ensuite, c'est la punition à voir. haute direction doit examiner le système de gestion de la continuité des opérations de l'organisation à intervalles réguliers du Plan pour s'assurer qu'il est adéquat, adéquat et efficace. 15. 2.11 Norde ISO 22301 - Clause 10 : Improvement: L' article numéro dix est l'amélioration. Et il y a deux exigences principales dans cet article. Le numéro un est la non-conformité et les mesures correctives. L' organisation doit déterminer les possibilités d'amélioration et mettre en œuvre les mesures nécessaires pour atteindre les résultats escomptés du système de gestion de la continuité des opérations. Un exemple de cela peut être lorsque vous effectuez un exercice PCP. Habituellement, il y a beaucoup de leçons apprises où des mesures correctives peuvent être appliquées. Nous étudierons cela plus en détail plus tard dans le cours. Le prochain est l'amélioration continue. Ainsi, sur la base de divers extrants, tels que les exercices, gestion de l' audit au point de vue, l'organisation devrait continuellement améliorer l'efficacité du système de gestion de la continuité des opérations. L' idée est qu'à mesure que le système de gestion de la continuité des opérations vieillit, il devrait s'améliorer. 16. 3.1 Propriétaire et responsabilité: Lorsque nous parlons de gouvernance de la gestion de la continuité des opérations, la première des choses les plus importantes est d'avoir adhésion de la direction obscure et appropriation claire qui s'harmonise avec la structure organisationnelle actuelle. Cela peut sembler surprenant, mais en réalité, un certain nombre d'organisations ont lutté contre cela. Bien qu'ils aient peu de choses en place. Mais il n'est pas clair qui, de l'équipe de direction ou de la haute direction veut le programme de continuité des opérations ou le système de gestion dans l'organisation. Je l'appelle aussi programme de continuité d'activité parce que dans le cas où vous n'avez pas de système de gestion de la continuité d'activité en place, le mettre en place est un grand projet ou un programme. Une fois qu'il est établi, il devient une partie des opérations. Par conséquent, la mise en place de la propriété est vitale parce qu' avec la propriété vient des responsabilités et de la responsabilité Une fois la propriété établie, la prochaine chose à prendre en considération est la dotation en ressources et la budgétisation de l'ensemble du programme de continuité des opérations. Le manque de ressources et de budget risque d' entraîner un programme de continuité des activités inefficace. En particulier parce que le personnel doit s'occuper des tâches liées à la continuité des opérations en plus de ses responsabilités habituelles. Cela peut également nécessiter beaucoup de temps pour mettre en œuvre des processus de résilience efficaces. De plus, en ne disposant pas de ressources dédiées à la gestion du système de gestion de la continuité des opérations, il est probable que des cadres supérieurs plus expérimentés s'acquittent et plus expérimentés s'acquittentde tâches administratives de peu de valeur par rapport à la matière expertise. Une fois que la propriété et les sources sont triées, il est important d'établir une gouvernance sur le Programme de gestion de la continuité des activités. A n choisi rapport régulier à l'équipe de direction et l'escalade de toutes les préoccupations. Cela peut être fait de différentes manières. Par exemple, la création d'un comité de gouvernance composé de représentants de différents groupes d' affaires ou d'un programme lié à la continuité des activités peut faire partie de tout comité de gouvernance existant connexe. Comme nous en avons discuté. Il devrait s'agir là d'un point central de responsabilité pour mise en œuvre, la production de rapports et la surveillance continus du SMGC. Je ne peux pas insister assez sur ce point. Cela devrait assurer le contrôle et la fourniture de ressources adéquates. De plus, selon la taille et la nature de l'organisation, on peut se concentrer sur l'embauche d'un expert supérieur à temps plein pour établir et gérer le système de gestion de la continuité des activités. S' il n'y en a pas déjà. 17. 3.2 Politique de continuité des activités: Après la mise en place de la gouvernance initiale et l'organisation devrait élaborer une politique officielle de continuité des activités. La politique devrait être fondée sur les normes de l'industrie et bonnes pratiques telles que la norme ISO double 2301 ou le guide de pratique BCI. À tout le moins, la politique devrait inclure les éléments suivants. Le but et les objectifs de la gestion de la continuité des opérations dans l'organisation. portée de la gestion de la continuité des opérations signifie quelle partie de la gestion de la continuité des opérations est requise. Par exemple, sont les fonctions critiques de l'entreprise, actifs ou les usines critiques , les sites ou les emplacements, etc. Et les exclusions de la portée devraient également être mentionnées ici. Les responsabilités et les responsabilités comprennent la propriété au sein de l'organisation, responsabilités des groupes, des équipes rôles au sein de l'organisation. Le cadre de haut niveau tel que planifier, vérifier, agir, par lequel la gestion de la continuité des opérations sera mise en œuvre et gérée. Enfin, les exigences clés telles que la réalisation d'analyses d'impact sur les activités, l' élaboration de plans de continuité des activités, essai et la maintenance des plans, la formation et la sensibilisation, ainsi que la prise en compte de toute loi ou réglementation applicable exigences. Il est donc important que les organisations établissent et maintiennent une politique de gestion de la continuité des activités. Parce que sans cela, il y aura un manque de clarté quant l'orientation stratégique et à la gouvernance du système de gestion de la continuité des opérations. 18. 3.3 Cadre de gestion de la continuité d'entreprise (BCMF): En tant que politique, est un document de haut niveau qui définit leur orientation et définit principes clés du cadre de gestion de la continuité des opérations est un document beaucoup plus détaillé, ou il peut être un ensemble de documents qui fournit le des détails et des processus spécifiques pour régir, planifier, gérer et améliorer continuellement le système de gestion de la continuité des opérations. Le cadre BCM comprend généralement les sections suivantes. La vue d'ensemble comprend des aspects tels que les exigences et les obligations finales, la méthodologie et les normes et lignes directrices utilisées dans le cadre. gouvernance et la gestion comprennent les rôles et les responsabilités, la surveillance et la production de rapports, formation et la formation, ainsi que la façon dont vous pouvez intégrer les attentes et les exigences en matière de continuité des activités dans l'organisation. L' analyse d'impact sur l'activité comprend les exigences nécessaires à l'exécution d'une méthodologie, d'un processus et de modèles BIA pour effectuer l'analyse d'impact sur l'activité du groupe d'activités et la façon dont le BIA du groupe d'activités est consolidé et reconstitué pour former une vue d'entreprise. La planification de la continuité des activités comprend les exigences, la méthodologie les modèles de processus pour documenter les plans de continuité des activités. Section de la mise en œuvre. Une fois que les PCP sont élaborés, ils doivent être mis en œuvre et tenus à jour, ainsi qu' une série d'autres documents ou arrangements à l'appui. Cette section explique les activités en cours nécessaires pour s'assurer que les plans sont fonctionnels et qu'ils peuvent être utilisés le jour où ils sont requis. La section suivante est habituellement la section de validation qui comprend des détails sur la façon dont tests ou les exercices de continuité des activités doivent être effectués pour assurer l'efficacité des plans de continuité des activités. De plus, quels différents types d'exercices que nous étudierons dans le chapitre suivant peuvent être effectués et comment des examens postérieurs à l'exercice ou des séances de compte rendu devraient être effectués pour améliorer continuellement. De plus, les exigences liées à la vérification ou à l' assurance du système de gestion de la continuité des opérations sont également incluses dans cette section ou cela peut être les deux. L' audit interne que vous devez effectuer périodiquement ou les audits de certification externe ou de surveillance si votre organisation prévoit d'opter pour la certification ISO double 2301 ou a déjà une certification et veut le maintenir. Par conséquent, un cadre de GCA bien documenté et maintenu guide et régit le cycle de vie de la gestion de la continuité des activités, tant au niveau de l'entreprise qu'au niveau de l'organisation. 19. 4.1 Gestion du risque de continuité d'activité: cadre de la gestion de la continuité des activités, évaluation des risques devrait être effectuée afin déterminer la gamme des scénarios de perturbation possibles. Les sources de risques détermineront les capacités, les lacunes dans les plans de préparation actuels et le niveau de risque Le poste est également important pour déterminer ce qu'est l'appétit au risque des organisations. Pour ceux d'entre vous qui ne comprennent pas le concept de l'appétit au risque. Selon ISO 31 000, il s'agit d'une norme mondiale de gestion des risques. L' appétit au risque est la quantité de risques qu'une organisation est prête à prendre. En d'autres termes, c'est le niveau de risque qui est jugé acceptable pour l'entreprise. Une façon éprouvée d'y parvenir consiste à élaborer un processus officiel de gestion des risques qui décrit les étapes à suivre pour identifier, évaluer et évaluer les risques de perturbation des activités. Décider de la façon de gérer un risque d'acceptation. C' est là que l'appétit au risque entre en jeu. Identifier des stratégies d'atténuation des risques qui tiennent compte des objectifs de continuité des activités et de l'appétit au risque. si l'évaluation des risques n'est pas effectuée, il n'y a pas de clarté quant à ce que les processus de gestion des risques de continuité des activités tentent de traiter. Par conséquent, l'organisation peut être préparée à seulement une gamme étroite de perturbations. Alors qu'ils pourraient être des vulnérabilités de cratère alors réalisées, ou pourraient manquer des lacunes dans les processus de continuité d'activité sur lesquels on s'appuie actuellement. 20. Gestion du risque 4.2 et 4.3 avec BCM: Bien que la gestion du risque et la gestion de la continuité des opérations soient étroitement liées l'une à l'autre, la différence est que la gestion du risque aborde le risque lié à la conduite des activités, alors que la gestion de la continuité des activités traite des risques à l'entreprise qui continue de fonctionner en raison d'une perturbation. Ainsi, par exemple, la gestion des risques, peut-être en examinant les risques au niveau de l'entreprise tels que le manque de ressources qualifiées, une cyberattaque ou une non-conformité réglementaire. Alors que la gestion de la continuité des opérations, peut-être en examinant les risques liés aux scénarios de perturbation possibles ou aux lacunes et à l'indisponibilité des systèmes et ressources clés. Par conséquent, bien que les deux se chevauchent partiellement et sont liés, ils sont néanmoins différents les uns des autres. Si vous souhaitez en savoir plus sur la gestion des risques organisationnels, celles-ci se réfèrent à la norme ISO 311000 qui fournit des détails sur la façon d'établir et de maintenir un système de gestion des risques. Comme nous l'avons étudié lors de la conférence précédente, votre organisation devrait mettre en place un processus de gestion des risques et des contrôles. Qui a d'abord identifié les risques connexes. Deuxièmement, appliquer des options de traitement pertinentes aux stratégies d'atténuation. Ces options comprennent généralement que vous évitez, atténuez, transférez ou sauf les effets des menaces et vulnérabilités clés. Une fois qu'un risque est identifié, selon l'appétit au risque organisationnel. Et nous avons étudié dans la conférence précédente ce qu'est l'appétit au risque. Il existe quatre options principales de traitement des risques qui peuvent être appliquées. Traiter ou réduire la moyenne de risque, en appliquant des contrôles pertinents pour réduire l'effet des risques. Par exemple, si les données ne sont pas sauvegardées, vous implémentez une solution de sauvegarde pour atténuer ou réduire le risque de perte de données. Deuxièmement est dit taux ou accepter. Ceci est utilisé lorsque le niveau de risque est déterminé dans l'appétit au risque de l'organisation. Par exemple, s'il y a un risque lié à l'un des nombreux immeubles à bureaux qui deviennent indisponibles, le risque peut être accepté si c'est au sein des organisations, l'appétit au risque. Le troisième est résilier ou éviter, signifie que vous éliminez cette source de menace. Par exemple, si un système critique présente un risque d'infection par des logiciels malveillants via Internet, vous décidez de connecter le système de dette à partir d'Internet signifie que vous avez mis fin ou évité le risque. Le transfert ou l'ombrage des risques est généralement effectué lorsque vous externalisez ou transférez le risque à un tiers, par exemple en obtenant une assurance. Par conséquent, une évaluation des risques devrait être effectuée afin de cerner toute une gamme de scénarios et de menaces potentiels liés à la continuité des activités. Vous êtes donc en mesure de décider des options de traitement appropriées et des mesures d'atténuation. 21. 5.1 Qu'est-ce que l'analyse d'impact d'entreprise (BIA) ?: L' analyse d'impact sur les activités, ou BIA, est la première étape de votre planification de la continuité des activités. Alors, qu'est-ce que BIA ? L' analyse d'impact sur les activités, ou BIA, est un processus d'analyse de l'impact d'une période de perturbation. Fondamentalement, BIA est un examen de vos activités comme d'habitude. Il compartimente l'information pour permettre une meilleure compréhension et aide à la planification de la continuité des activités. Pourquoi avons-nous besoin d'effectuer un BIA ? Cela est dû au fait que BIA vous aide à comprendre votre entreprise. Il prédit les conséquences d'une perturbation de la fonction et processus opérationnels et recueille l'information nécessaire à l'élaboration de stratégies de rétablissement. Si une LFI n'est pas exécutée, plans de continuité ne seront pas suffisamment informés des ressources, des exigences ou de l'incidence sur l'entreprise de ne pas atteindre l'objectif de temps de rétablissement, c'est-à-dire le RTO, et l'objectif de point de récupération, c'est-à-dire l'arpège. Nous examinerons ces termes dans la prochaine conférence. 22. 5.2 et 5.3 Recouper les objectifs et RTO vs RPO: Avant de commencer à effectuer l'analyse d'impact sur l'entreprise, il est important de comprendre certains termes clés et la différence. Le premier est RTO ou objectif de temps de récupération. C' est une cible. Vous avez dit que la rapidité avec laquelle vous devez récupérer vos services ou systèmes à la suite d'une perturbation majeure. En termes simples, vous pouvez également penser que notre DIO signifie combien de temps votre entreprise peut survivre à une catastrophe avant que les opérations ne soient rétablies à la normale. Par exemple, si votre audio est de 24 heures, cela signifie que vous avez déterminé au sein de l'entreprise peut maintenir les opérations pendant cette période sans avoir ses données et son infrastructure normales disponibles. Si les données et l'infrastructure ne sont pas récupérées dans les 24 heures, l'entreprise pourrait subir un préjudice irréparable. Le terme suivant qui est important à comprendre est arpège ou objectif de point de récupération. Arpu concerne la quantité de données perdues à la suite d'un événement d'échec. Arpu remonte au moment où vos données ont été conservées pour la dernière fois dans un format utilisable. Généralement la sauvegarde la plus récente. Il peut également être appelé tolérance à la perte de données d'une organisation. Selon le type de services, il peut s'agir de certains services que nous sommes ARPU ou récupération de données n'est pas pertinente et vous êtes seulement préoccupé par RTO. C' est un objectif de temps de récupération. Donc arpeggio est combien de données vous pouvez vous permettre de perdre. Le terme suivant est le PD vide, ou la période maximale tolérable de perturbation. Certaines organisations et normes telles que la norme ISO W3 0-1 exigent également un autre calcul appelé smtp d. Cela signifie déterminer le délai dans lequel les répercussions de la non-reprise des activités deviendraient inacceptables pour la organisation. Lorsque vous avez défini le PD vide, RTO, c' est-à-dire l'objectif de temps de récupération fixé un délai privatisé dans le PD vide pour la reprise activités perturbatrices à une capacité minimale acceptable spécifiée. Donc, juste pour clarifier, à titre d'exemple, si vous êtes PD vide de votre organisation est système de chaîne d'approvisionnement est de sept jours. Le RTO peut être dans cette période de sept jours comme période de trois jours. Nous avons étudié les définitions de RTO, c' est-à-dire objectif de temps de récupération, et arpège, c'est-à-dire objectif de point de récupération. Dans la conférence précédente. Ces deux concepts sont essentiels au maintien de la continuité des activités. Et la fonction de matrice métier pour calculer la fréquence à laquelle votre entreprise a besoin d' effectuer des sauvegardes de données et la rapidité avec laquelle vous avez besoin d'une sauvegarde et d'une exécution. Comme vous pouvez le voir sur ce diagramme, ARPU remonte dans le temps pour évaluer la quantité de perte de données acceptable à partir du moment où un sinistre survient. Attendu que RTO, objectif de temps de récupération, représentant le temps nécessaire à un système pour passer de la perte à la récupération. Et ce qu'il faut faire pour remettre l'entreprise à son état d'avant le désastre ou à ses affaires comme d'habitude. État de Bau. 23. 5.4 Réaliser l'analyse d'impact d'entreprise - 1ère partie: L' analyse de l'impact sur l'entreprise est généralement effectuée en quelques étapes. La première consiste à identifier les services clés au niveau d'un groupe d'activités ou d'un ministère. Identifiez les services ou activités clés fournis par votre entité professionnelle. Par exemple, s'il s'agit d'une entité financière, vous pouvez avoir des services clés tels que la paie, l' approvisionnement, les paiements, les expériences, etc. Mais cette étape, vous devez également identifier l'équipe ou les personnes qui effectuent ces services. La suivante est d'identifier les objectifs de temps de récupération, comme nous l'avons discuté dans les conférences précédentes. Imaginez que si vous ne pouviez pas fournir le service, quelles en seraient les conséquences sur une période donnée ? Sur la base de cet impact ? Identifier le DP vide et sa période maximale tolérable de perturbation. Rto, objectif de temps de récupération et, le cas échéant, objectif de point de récupération arpéggio pour chacun de ces services. Par exemple, pour la paie, la DP vide, peut-être 48 heures, et la RTO est de 24 heures. La suivante est identifiée ressources connexes. Pour chaque service. Répertorier les ressources que vous utilisez dans votre entité professionnelle. Pensez au personnel clé, aux fournisseurs, tout équipement spécial, aux sites, au transport, etc. 24. 5.5 Réaliser l'analyse d'impact d'entreprise - 2e partie: quatrième étape consiste à identifier les principaux systèmes et les objectifs de points de récupération. Pour chaque service. Identifiez quels sont les systèmes et applications clés. Et pour chaque application, identifiez l'objectif du point de récupération. Pour un rappel sur l'arpège. Imaginez que l'application vient de s'écraser, en pensant à l'envers du crash, quand la dernière sauvegarde de données devrait-elle avoir été effectuée ? Donnez votre réponse en quelques heures. L' ARPU concerne donc votre tolérance à la perte de données. On a également examiné la criticité du volume et la vitesse de saisie des données pour décider de cet ARPU. L' étape suivante consiste à dresser la liste des principaux intervenants et des documents. Encore une fois, pour chaque service, liste, tous les intervenants clés tels que les clients, personnel, le conseil d'administration. C' est un service lié au gouvernement, peut être des ministres, et cetera. Énumérez également tous les documents clés que j'ai utilisés pour informer ou piloter le service, tels que les stratégies, les processus sont des enregistrements et l'endroit où ces documents sont stockés. La prochaine et la sixième étape consistent à résumer l'analyse d'impact sur les entreprises. Une fois que vous avez effectué et documenté toutes les analyses dans les cinq étapes ci-dessus, analysez, hiérarchisez et catégorisez tous les services de votre entité professionnelle. 25. 5.6 Réaliser l'analyse d'impact d'entreprise - Partie 3: À la fin de cet exercice d'analyse d'impact sur l'activité, vous devriez être en mesure de hiérarchiser la liste des services en fonction de leurs objectifs de récupération. C' est RTO et ARPU, ce qui signifie le service qui doit être sauvegardé et exécuté le plus rapidement, peut-être votre service privatisé le plus élevé et ainsi de suite. Documentez également toutes les dépendances clés liées aux personnes, aux processus et à la technologie. Les ressources qui sont le raccourci concernaient un ou plusieurs de vos services, tels que les ordinateurs, Internet, les personnes qui connaissent le système et les processus, les applications KID et les parties prenantes associées telles que les fournisseurs, les fournisseurs et les clients. Une fois que vous avez développé, le BIA est au niveau fonctionnel ou du groupe d'affaires. Vous devez également consolider le BIA au niveau de l'organisation pour fournir une vue au niveau de l'entreprise de vos services et objectifs essentiels. Par conséquent, l'analyse d'impact sur les activités pour s'assurer que toutes les fonctions, processus, interdépendances, risques et besoins en ressources essentiels interdépendances, risques sont identifiés et documentés avec précision. Une fois que vous avez terminé l'exercice de la LFI, vous avez recueilli les renseignements clés dont vous avez besoin pour la planification de la continuité des activités. Et vous pouvez être assuré que le plan PCP et ID DR sera créé avec une compréhension précise des exigences de l'entreprise. 26. 6.1 Planification et stratégies de continuité d'entreprise: Dans cette section, nous discuterons de la façon d'élaborer des plans de continuité des activités. Mais comprenons d'abord le but du PCP. Le BCB se concentre sur le maintien des fonctions opérationnelles d' une organisation pendant et après une interruption. Un exemple de fonction d'entreprise peut être processus de paie d'une organisation ou le processus de soutien à la clientèle, etc. Un PCP peut être élaboré pour un groupe d'activités particulier, ou il peut traiter de tous les processus opérationnels au sein de l'organisation. systèmes et les applications sont généralement pris en compte dans le PCP pour ce qui est de leur soutien aux processus opérationnels. Comme vous avez déjà effectué le BIA, vous disposez des données et de l'information nécessaires pour travailler sur vos programmes de rétablissement. Ce sont là quelques-unes des exigences et des considérations clés pour les programmes de rétablissement. Nous en discuterons plus en détail dans les prochaines conférences. Quand nous parlons du développement du PCP. C' est là que je répondrai à certaines des questions dont nous discutons ici. Coordonnées. Comment pouvez-vous protéger votre personnel et d'autres intervenants clés ? Vous avez un arbre d'appel ? Comment les coordonnées sont-elles mises à jour ? des installations où le personnel et les activités commerciales seront liées du point de vue de nos installations, dans quel délai et combien de temps l'arrangement temporaire peut-il être pris en compte ? Si cela n'est pas connu à l'avance, le coût pourrait être important. Bien que parfois une assurance appropriée peut aider à couvrir une partie du coût. Technologie et télécommunications. Quelle technologie doit être récupérée et quand, quelles méthodes de communication doivent être utilisées et quelles sont les solutions de rechange si nécessaire. Du point de vue des gens, qui commence à contacter le personnel pour vérifier leur bien-être et leur sécurité et fournit des mises à jour sur l'état d'avancement. Comment ce rapport est-il rendu à l'entreprise ? Quels sont les rôles essentiels ? Et quelle est la règle du processus de récupération ? Quelles ressources peuvent être déployées ailleurs ? Quelles règles peuvent être transférées à d'autres employés et lieux d'affectation ? Toutes ces choses font partie de l'aspect des peuples. Ensuite, nous examinons également l'aspect des fournisseurs. Quelles options de rechange peuvent, pouvez-vous employer si un fournisseur clé est touché ? Quel effet cela a-t-il sur votre chaîne d'approvisionnement ? Nous considérons également les interdépendances. Quelles dépendances internes et externes sont essentielles à la récupération ? Comment ces équipes ou personnes doivent-elles être contactées et gérées pendant le rétablissement ? Et quelles solutions de rechange sont en place si nécessaire. Quelles sont les parties internes et externes qui doivent être avisées de l'incident, dans quel délai et qui gère cet incident. Toutes ces choses sont considérées comme faisant partie des interdépendances. Nous avons également d'autres exigences, telles que le processus d'escalade et le protocole. Les rôles et responsabilités comprenaient les délégations et les autres propriétaires de règles. Par conséquent, afin de rendre vos PCP réalistes et pragmatiques, il est essentiel que les options de rétablissement pour les processus clés soient évaluées et que les programmes de rétablissement soient déterminés en fonction des résultats de la LFI. Ces stratégies devraient porter sur toutes les personnes, installations, les ressources et l'approvisionnement ou tous les aspects du rétablissement. Une fois que les programmes de rétablissement sont élaborés, ils devraient être approuvés par la haute direction puis mis en œuvre. 27. 6.2 Développement du plan de continuité des activités - 1ère partie: Comme nous avons maintenant travaillé sur la LFI et les stratégies de rétablissement, il est temps d'élaborer ou de finaliser votre plan de continuité des activités qui met l'accent sur le maintien des fonctions opérationnelles de l'organisation pendant et après la perturbation. Comme vous l'auriez compris, une documentation complète sur la continuité augmenterait votre capacité à exécuter des fonctions critiques en cas de sinistre ou de perturbation. En documentant le PCP, vous devez identifier les scénarios de perturbation probables et envisager d'inclure tous les renseignements pertinents que vous avez pris en compte au cours de la LFI et d'identifier les programmes de rétablissement, ainsi que quelques pour la planification de la continuité des activités. Regardons les un par un. Du point de vue du peuple. Arborescence d'appels où les coordonnées du personnel sont disponibles. Ensuite, nous devons examiner le bien-être du personnel et la conformation de la sécurité ainsi que le processus de rapport. Déterminer le personnel clé requis pour le délai de récupération et les besoins en matière d'approvisionnement en ressources supplémentaires, au besoin. Nous devons également examiner les protocoles d'information du personnel. Processus de réinstallation. Si possible. Autrement dit, le processus peut-il être affecté à une autre équipe ou à un autre emplacement ? Et nous examinons aussi le processus d'escalade et les protocoles pour les personnes. Ensuite, nous devons tenir compte des communications, des rôles et des responsabilités en matière de communication des messages clés tant à l'interne qu'à l'externe. Nous examinons les notifications adressées aux principaux intervenants. Nous envisageons également une mise à jour régulière sur les délais. En dehors de l'escalade post-processus et les protocoles sont liés à la communication. Du point de vue de nos installations, nous examinons l'impact sur les entreprises. Si le site n'est pas disponible. Nous considérons les emplacements de récupération, y compris la disponibilité de l'équipement et des idées , le transport et l'accès pour citer les haricots, le point de contact, les clés, alarmes et les codes si le RIME, et cetera. Nous examinons également la conformation de l'arrivée du personnel au lieu de récupération et, évidemment, le processus d'escalade et les protocoles relatifs aux installations. 28. 6.3 Développement du plan de continuité des activités - 2e partie: Lors de l'élaboration d'un plan de continuité des activités, nous examinons également les aspects relatifs aux applications et au système. Cela inclut l'impact sur l'entreprise si l'application ou le système n'est pas disponible dans les délais prescrits. Par exemple, les arriérés, les retards de traitement, etc., toute heure limite critique, par exemple, le traitement des rouleaux B, toutes les solutions de contournement manuelles disponibles. Nous examinons toute rétrogradation, toute possibilité de récupération, tout modèle développé, liste de vérification ou processus requis pour la galerie. Par exemple, d'excellents modèles, processus de récupération, etc., et toute sauvegarde, restauration, si possible, processus et protocoles d'escalade liés aux systèmes et aux applications. Vous considérez aussi les télécommunications. Cela inclut les répercussions sur les entreprises si les télécommunications ne sont pas disponibles. formulaire ou le numéro de télécopieur no 3 indiquaient tout travail manuel pour les télécommunications, la notification aux principaux intervenants. Messages vocaux mis à jour, également si nécessaire, signatures électroniques. Toutes les méthodes de communication alternatives, par exemple, les formulaires personnels, les communications par courriel , les messages sur les réseaux sociaux, etc., et les processus et protocoles d'escalade liés aux télécommunications. Aussi dans les dépendances turbulentes. L' impact sur l'entreprise si des dépendances internes ou des équipes telles que l'informatique sont disponibles peut être dû à un arriéré ou à des retards de traitement, etc. Tout travail manuel autour, le cas échéant, des notifications aux principaux intervenants. processus peut-il être reporté, transféré à une autre équipe ou à un autre emplacement ? De plus, nous examinons et considérons les processus d'escalade et les protocoles ou les dépendances internes. Du point de vue du fournisseur, l'impact sur l'entreprise si le fournisseur n'est pas disponible. Par exemple, l'impact sur la chaîne d'approvisionnement , le flux vers les clients, les délais d'arrêt critiques , etc., toute solution de contournement, le cas échéant, ou tout autre fournisseur et processus et protocoles d'escalade liés aux fournisseurs. Tous les aspects susmentionnés dont nous avons discuté sont généralement inclus dans le plan de continuité des activités sous la forme de scénarios d'interruption possibles. Par exemple, si vous construisez est inaccessible pour une raison quelconque pendant un certain nombre de jours. Comment tous ces aspects dont nous avons discuté entrent en jeu. 29. 6.4 et 6.5 Développement du plan de continuité des activités - 3e Partie et conserver des copies BCP: Certaines exigences particulières doivent être prises en compte lors de l'élaboration du bcb. Ceux-ci comprennent les exigences d'accès à distance, par exemple, les jetons VPN, les exigences de ségrégation, de sécurité ou de rôle chinois à prendre en compte dans les emplacements de récupération. S' il y a un équipement spécial. Ils peuvent aussi être des choses comme la case à cocher, cartes de crédit ou les jetons d'accès bancaires. En outre, les lecteurs réseau ou le stockage requis. Vous devez considérer les redirections masculines pour. Vous devrez donc peut-être rediriger vos repas physiques. Bcb obtenir qui comprend une copie du plan de continuité des activités, choses comme des gants de sécurité, torche à eau, couverture, premiers soins, enfant, et cetera. Il y a aussi d'autres contenus à inclure dans le BGP. Merci. Comme les critères Activision de bcb, comment un PCP est-il activé ? Qui est responsable ou a le pouvoir d'activer le bcb ? Points de localisation de récupération d'évacuation. Quels sont les points d'évacuation ? Et les sites de localisation de récupération ? Aussi, quels sont les protocoles d'évacuation ? Qui sont les gardes-pompiers ou les bureaux de premiers secours ? Numéros de personnes-ressources clés pour que tous les membres du personnel soient au courant. C' est, en plus des services d'urgence, des choses comme la ligne d'information du personnel. Si vous avez un programme d'aide aux employés appelé EAP, société de sécurité du propriétaire, et cetera, liste de vérification pour les lieux de récupération, mise en place au lieu de récupération et pour quitter le lieu de récupération. Liste de vérification pour revenir à l'emplacement principal ou pour configurer un nouvel emplacement principal. Une fois que vous avez documenté le plan de continuité des activités, gardez à l'esprit que l'exécution de ces plans se déroule généralement en trois phases. Phase de continuité, où vous avez mentionné le nombre minimum de ressources nécessaires immédiatement pour continuer vers les services essentiels lorsqu'une interruption survient et que le BGP est activé. Ainsi, par exemple, des arrangements de travail à distance sont établis pour des choses clés. Une fois la continuité assurée, vous passez à la récupération. Vous récupérez tous les services importants à un niveau acceptable. Et l'hypothèse est l'endroit où vous revenez aux opérations normales. C' est pour les affaires comme d'habitude. N' oubliez pas que si un bcb n'est pas correctement documenté, il n'y a pas de mesures claires que le personnel doit suivre pendant et après une interruption. Cela peut entraîner l'échec de la restauration fonctions clés dans un délai jugé acceptable par l'entreprise. La communication entre la haute direction et les principaux intervenants, y compris le personnel, sera également retardée en raison d'un manque de préparation. Une fois les plans de continuité des activités finalisés et approuvés, distribuez les PCP à tous les membres du personnel et groupes opérationnels clés, veillant à ce qu'ils soient disponibles en cas de sinistre, y compris la perte de systèmes informatiques dotés d'un contrôle vierge adéquat. J' ai vu des cas où BCPL n'était disponible que sur le site intranet de l'organisation. Ce site est devenu inaccessible lors d'une interruption. Et le BCB aussi. Assurez-vous également qu'une copie du PCP est accessible à l'extérieur du bureau. Mettez à jour cette copie à mesure que le PCP est mis à jour tout au long du cycle de vie de la gestion de la continuité d'activité J' ai vu cela un certain nombre de fois pour divers clients. Parfois, ils font du bon travail en gardant le PCP hors site et dans un endroit facilement accessible, comme la maison du GAR ou dans un autre endroit. Mais souvent, ces copies ne sont pas les plus récentes ou les plus récentes. Assurez-vous donc que vous avez découvert dans le cadre du processus de modification du PCP. Pour terminer ce chapitre, nous comprenons maintenant comment un plan prédéfini de continuité des activités maximise les chances d' une reprise réussie en éliminant la prise de décisions hâtives dans des conditions stressantes. Vous comprenez également ce que certains des composants clés d'un VSEPR. Alors prenez un moment ici et notez, quels sont vos principaux enseignements tirés de ce chapitre ? Et quels sont les principaux aspects que vous envisageriez lors de l'élaboration d'un plan de continuité des activités ? 30. Plan de reprise des désastres de l'IT: Examinons un peu plus en détail le plan de reprise après sinistre informatique ou le plan de reprise après sinistre informatique. Comme il est très étroitement lié au PCP. Il reprise après sinistre peut être appelé l'aspect technique du PCP. Le PRD devrait comprendre des mesures cohérentes à prendre avant, pendant et après une catastrophe. ERP sont élaborés à l'aide d'un processus de planification complet basé sur les durées maximales tolérables convenues des PCP, les ORT et les arpèges. Le cadre de gestion des risques organisationnels et la participation de toutes les unités opérationnelles. Et le plan de DR informatique devrait couvrir des aspects tels que la définition d'une catastrophe. Quand il sera appelé un désastre. L' activation du DRP décrit le processus d'activation du DRP. Selon le type d'incident. Le DRP peut être activé seul ou avec le bcb. Rôles et responsabilités, définit les rôles et responsabilités des équipes de reprise après sinistre. Services et composants essentiels. Il devrait inclure des composants tels que les ordinateurs de bureau et les systèmes et appareils portables, les serveurs, les réseaux locaux, les réseaux étendus, les systèmes distribués, les sites Web, etc. Cette tradition de fonctionnalité informatique, les processus de basculement pour restaurer les fonctionnalités informatiques, y compris l'utilisation de documents de support tels que les SOP sont une procédure d'exploitation standard et des choses comme le serveur comme Bill documentation qui peut être utilisée pour la restauration, les objectifs de récupération. Autrement dit, les audios et les arpèges, s' assurant que sa tradition est conforme aux objectifs de récupération définis dans les PCP, les dépendances internes et externes telles que les services cloud du fournisseur, les dépendances sur les systèmes internes et , etc. Il est important de s'assurer que dépendances des fournisseurs de services d'identification externes ont également été identifiées et documentées. Et des stratégies de continuité de ces services ont été définies. L' arborescence des objectifs comprend une arborescence d'appels Communication lors d'un sinistre. Il s'occupe des processus de communication en cas de sinistre, notamment avec le personnel, les fournisseurs, les autorités médiatiques et les clients. Les tests et la maintenance décrivent le plan de reprise après sinistre, exigences en matière de tests et de maintenance. Accessibilité et assurance que le plan est accessible en cas de sinistre, y compris, comme nous l'avons mentionné précédemment dans le BGP lorsque l'environnement informatique n'est pas disponible. Enfin, mais c'est très important, l'intégration avec le PCP. Le PRD devrait s'intégrer dans le cadre et les installations plus larges de l'organisation en matière de continuité des activités. Par conséquent, il est important de disposer d'un DRP informatique bien documenté et de le maintenir. Parce qu'il n'y a pas de PRD complet, les systèmes et les composants de TI ne seront pas restaurés dans un délai jugé acceptable pour l'entreprise et défini dans les PCP. 31. 7.2 Linkage avec le reprise de l'IT et les plans connexes: Pour un programme efficace de gestion de la continuité des opérations, il est essentiel qu'il ne s'agisse pas d'un document autonome. Il est plutôt relié de façon transparente à tous les plans et procédures connexes , comme le plan de gestion des crises. Comme nous l'avons étudié dans le premier chapitre, gestion des crises se concentre sur la gestion de l'impact stratégique de l'incident, comme des pertes financières graves, des dommages à la réputation ou des compromis sur la capacité de l'organisation à atteindre ses objectifs. La communication interne et externe joue un rôle essentiel dans la gestion des crises. Aucun programme de continuité d'activité n'est complet sans un plan de communication de crise complet et efficace qui vous permet de communiquer rapidement avec les employés, les clients et les autres parties prenantes. intervention d'urgence, comme nous l'avions étudié, met l'accent sur les mesures immédiates à prendre en cas d'incident. Et la gestion des incidents concerne l'escalade et la gestion des événements et incidents. En outre, nous avons examiné les idées plan de reprise après sinistre qui met l'accent sur la réponse et la récupération des systèmes et des actifs informatiques en cas de pannes importantes, vidéos ou de perturbations de service. Tous ces plans doivent être coordonnés et reliés entre eux. Habituellement, cela se fait au niveau de la gouvernance, par exemple si une organisation dispose un comité de gouvernance de la capacité de gestion de la résilience organisationnelle qui veille à ce que ces usines soient bien intégrées et référencées les unes dans les autres. 32. 8.1 Formation et sensibilisation à la continuité des activités: Quels plans de continuité des activités pour être utilisable et efficace ? L' aspect le plus crucial et le plus important est le facteur humain. Les gens doivent être prêts à réagir aux événements perturbateurs. L' amélioration de la capacité de votre personnel à réagir aux perturbations est un élément clé du système de gestion de la continuité des activités. Les principaux éléments d'éducation et de sensibilisation au sein de la SGC, notre engagement et notre participation des groupes d'affaires et des particuliers à la planification et aux exercices de continuité. Plus ils seront impliqués, plus leur compréhension deviendra. Ensuite est l'initiation et les briefings gérés pour les nouvelles personnes ainsi que pour les leaders lors de l'intégration. Sensibilisation aux risques. Des séances de formation portant sur les aspects généraux de la continuité des opérations devraient être organisées dans le cadre du processus d'initiation à l'ensemble du personnel, ainsi que pendant le processus de transfert. Et les responsabilités et les obligations redditionnelles sont modifiées. Ensuite, des séances de formation périodiques. Il devrait s'agir de séances périodiques ou continues de formation et de sensibilisation de la BCPL. Un bon moment pour le faire est après les exercices périodiques de bcb, assurez-vous d'enregistrer cette tendance de ces sessions. Suivant, en particulier le streaming. Outre les séances générales de formation et de sensibilisation, des séances détaillées et spécifiques devraient être organisées à l'intention des personnes impliquées dans la planification ou l'exécution de la continuité des activités. Par exemple, effectuer une session détaillée sur la façon d'effectuer une analyse d'impact sur l'entreprise. Doyen des séances d'information sur les changements et les modifications. Par conséquent, chaque fois que les plans de continuité des activités sont mis à jour ou modifiés, des séances de compte rendu devraient être organisées. Selon ISO W2 3-0. Une personne qui fait un travail doit en être au courant. La politique de continuité des activités. Contribuer à l'efficacité de la SP en Colombie-Britannique, y compris les avantages d'un meilleur rendement en matière de continuité des activités. Troisièmement, les conséquences de la non-conformité aux exigences du système de gestion de la continuité des opérations. Ils ont combattu leurs propres règles et responsabilités avant, pendant et après les perturbations. 33. 8.2 Intégrer l'intégration de BCM dans la culture organisationnelle: L' intégration de la gestion de la continuité des activités dans la culture de l'organisation n'est pas une activité ponctuelle, mais un processus continu. Cette intégration continuera d'être améliorée à mesure que les gens se familiarisent davantage avec concepts de continuité des activités grâce à la participation à la planification et aux exercices. Et comme les pratiques de continuité des activités sont incluses dans les activités habituelles de l'entreprise. La gestion des quais a un rôle vital à jouer ici pour réaliser cette intégration culturelle. La haute direction devrait constamment encourager toutes les personnes et tous les dirigeants à chercher des occasions de renforcer résilience organisationnelle face aux perturbations en intégrant arrangements de continuité dans les activités habituelles telles que l'emploi des descriptions, des contrats d'approvisionnement, des stratégies commerciales ou de la planification d'entreprise. La gestion du facteur humain est donc la clé du succès de votre système de gestion de la continuité d'activité. Sans gérer l'aspect du peuple. Le personnel n'aura pas une bonne compréhension de son rôle dans le maintien de la SFP ni de ce qu'il faut faire en cas de perturbation. De plus, sans un programme de formation bien pensé, se peut qu'ils ne soient pas suffisamment visibles pour savoir si les gens possèdent les compétences et les compétences requises pour appuyer le PCP et les processus. Par conséquent, les organisations doivent s'assurer d'avoir un programme de formation officiel, en particulier pour les personnes clés qui participent aux planification de la continuité des activités et d'intervention. Développer également une culture de résilience organisationnelle, non seulement en tant que processus continu, mais aussi dans le cadre des processus d'initiation et de transfert. 34. 9.1 Tests et exercices: Les essais et les exercices sont essentiels pour s'assurer que les PPC sont efficaces. Cela signifie qu'ils peuvent marcher en pratique, pas seulement sur papier. Convient pour le but. Pour comprendre. Si nous sommes des ajustements sont nécessaires dans les plans de continuité des activités et capables d'atteindre les objectifs. Moyens, sommes-nous capables d'atteindre ces objectifs de rétablissement ou non ? Si des tests réguliers des plans de continuité des et des composants de DR TI connexes ne sont pas effectués. Le personnel peut être plus anxieux et nerveux lors d'une perturbation car il sera forcé de réfléchir sur ses pieds. Avec le stress et l'incertitude accrus. Par conséquent, l'organisation n'a pas l'assurance qu'elle sera en mesure de recouvrer les services et les processus opérationnels dans un délai acceptable pour l'ensemble de l'organisation. Ces exercices sont également des événements éducatifs essentiels, offrant aux dirigeants d'excellentes occasions de pratiquer la prise de décisions dans des conditions de crise et de se préparer eux-mêmes ou des scénarios similaires. secteurs plus opérationnels et critiques en matière de temps voudront peut-être mener des exercices plus fréquents et plus rigoureux pour s'assurer qu'ils sont en mesure de réagir aux interruptions. 35. Testing d'essai de continuité des entreprises - 11 et 2: Les méthodes d'essai varient d'un minimum de préparation et de ressources aux plus complexes. Chacun fonde ses propres caractéristiques, objectifs et avantages. Le type de test utilisé par l'organisation sera déterminé dans le cadre de la planification de la continuité des activités en fonction des ressources, taille, de la complexité, du coût et de la nature des objectifs des tests. Il existe plusieurs types de méthodes d'exercice qui peuvent être utilisées pour valider les connaissances de l'équipe et l'utilisation des plans respectifs. J' ai mentionné les quatre méthodes de test les plus courantes ici. À partir de la marche structurée à travers. Il s'agit plutôt d'un exercice axé sur la discussion jusqu'au test à grande échelle. C' est le type le plus complet de tests effectués. Et comme vous pouvez le voir, la fréquence, le coût, temps et l'effort varient en fonction du type d'exercice que vous sélectionnez. Dans les prochaines conférences, nous discuterons plus en détail des différences et de ce qui se passe dans chacune de ces méthodes de test. Est structuré. Les procédures pas à pas sont des exercices basés sur des discussions. Les discussions portent sur la façon dont le plan de continuité des activités est exécuté dans une salle de conférence ou dans un petit groupe. L' accent est mis sur la formation individuelle et en équipe. Et les éléments critiques du plan sont clarifiés ou mis en évidence. L' objectif principal d'une procédure structurée est de valider le processus d'exhaustivité et d' éduquer les membres de l'équipe de récupération interdépendants sur les étapes de test, les tâches et les délais. Les participants explorent les questions pertinentes et ont parcouru le plan de continuité des activités dans un environnement lâche et sans pression. Comme c'est un exercice très peu coûteux et rapide, il peut généralement être effectué plusieurs fois dans un air. Suivant est un exercice de table. Un exercice sur table est un peu plus impliqué qu'un exercice d'étape parce que les participants choisissent un scénario d'événement particulier et y appliquent le PCP. Les éléments d'un exercice sur table peuvent comprendre la pratique et la validation d'une capacité de réponse fonctionnelle spécifique. Mettre l'accent sur la démonstration des connaissances et des compétences, ainsi que sur l'interaction d'équipe et la capacité de prise de décisions. Jouer des rôles avec une réaction simulée à autres endroits ou installations pour réaliser les étapes critiques, reconnaître les difficultés et résoudre les problèmes dans un environnement non menaçant. Mobilisation de la totalité ou d'une partie de l'équipe de gestion des crises ou de l'équipe d'intervention pour assurer une bonne coordination. Ce sont les choses qui sont habituellement impliquées dans un exercice de table. essais fonctionnels sont le premier type d'essai qui consiste à mobiliser du personnel sur d'autres sites pour tenter d'établir la communication et la coordination comme prévu dans les plans de continuité des opérations. L' essai fonctionnel ou opérationnel est effectué sur une ou plusieurs composantes du plan et sur les conditions réelles d'exploitation. Les éléments du test opérationnel fonctionnel comprennent la démonstration des capacités de gestion de la continuité des activités de plusieurs groupes. Est-ce que le crachement d'une série de fonctions interactives, telles que l'activation interne dans différents groupes d'affaires, la coordination avec les fournisseurs, le traitement avec les parties prenantes externes, etc Réaction réelle ou simulée à d'autres emplacements ou les installations utilisant les capacités réelles de communication et degré de lecture des données réelles Par opposition à la simulation, les notifications et la mobilisation des ressources. Dans l'événement simulé de fonction, les participants doivent être familiers avec les plans en cours d' exercice et doivent démontrer comment ces plans fonctionnent au fur et à mesure que le scénario se déroule. Les tests à grande échelle sont le type de test le plus complet. Dans le cadre d'un test complet intégré, l'organisation met en œuvre tout ou partie de son plan de continuité d'activité en traitant les données et les transactions à l'aide d'un support de sauvegarde sur un autre site de récupération. Généralement dans des conditions de fonctionnement simulées. Les composantes d'un test intégré à grande échelle comprennent un test de fonction similaire, démonstration des connaissances et des compétences, ainsi que la capacité de réaction de la direction et de prise de décision, la validation des fonctions d'intervention en cas de crise. Mais il inclut également sur place l'exécution des rôles de coordination et de prise de décisions. Réel Contrairement aux notifications simulées, la mobilisation des ressources et la communication des décisions. Activités menées à des endroits ou des installations d'intervention réels. Participation à l'échelle de l'entreprise et interaction des équipes internes et externes d'intervention de la direction. Avec la pleine participation des organisations externes. Le traitement réel des données à l'aide support de sauvegarde signifie que la restauration complète des données doit avoir lieu. Les exercices à grande échelle s'étendent généralement sur une plus longue période de permettre aux questions d'évoluer pleinement fur et à mesure qu'elles votent en période de crise et de permettre un jeu de rôle réaliste de toutes les parties et groupes concernés. 36. Testing d'essai de 9.4 - 3e partie: Par conséquent, il est important de déterminer quels exercices fonctionnent le mieux pour votre groupe d'activité ou votre organisation, puis de les effectuer régulièrement. Parce que si aucun exercice ou test n'est effectué, le calendrier réel de récupération de tous les systèmes et processus opérationnels ne peut être assuré. Et on ne comprend pas clairement que le PCC répondrait aux attentes. D' après mon expérience. Une façon très efficace d'aborder cette question consiste à élaborer un plan d'exercice. Le calendrier des exercices, assurez-vous que les exercices ne sont pas une activité ponctuelle. Et il s'agit d'une série d'événements qui permettent votre organisation de s'améliorer progressivement au fil du temps. Lors de l'élaboration de ce plan d'exercice, envisagez une variété de méthodes d'exercice comme celles-ci dont nous avons discuté. Des parcours structurés, des exercices de table, des tests fonctionnels et des tests à grande échelle. En règle générale, un exercice de continuité des activités commence par un parcours structuré et passe à un test fonctionnel et complet à mesure que le système de gestion de la continuité des opérations arrive à maturité ou à une certaine période. 37. 9.5 Avis d'exercice dans Poste BCP: Après les exercices de bcb, séances de débriefing sont un élément important de l'amélioration de la résilience aux interruptions d'activité. Ils permettent aux équipes de célébrer le succès et d'identifier les domaines à améliorer. À la séance de compte rendu devrait avoir lieu dès que possible pratiquement après la fin d'un exercice ou d'une opération de réponse. Ces séances ont pour but de saisir ce qui a bien fonctionné, les domaines à améliorer et ce qui ne s'est pas passé comme prévu et les apprentissages individuels. Ces sujets devraient être consignés dans un rapport succinct et distribués aux participants à la session. Les améliorations ou les mesures correctives devraient chacune avoir un honneur précis et doivent être suivies pour s'assurer qu'elles sont effectuées en temps opportun. 38. 10.1 Maintien des plans de continuité: L' objectif de cette étape est d'établir les exigences fondamentales nécessaires pour effectuer une maintenance invalide du plan de continuité des activités et de mesurer la maturité du SG-GC et des plans de continuité des activités individuels. La maintenance des PCP devrait être effectuée après une modification importante de notre processus, de notre fonction ou de notre système opérationnel. Dans ce cas, une analyse de l'impact opérationnel devra également être effectuée pour la fonction ou le système des processus opérationnels. Et les plantes devront être mises à jour en conséquence. Après chaque test de continuité d'activité. Les terres seront modifiées, approuvées et distribuées en temps opportun. Périodiquement, au moins une fois par an. système de gestion de la continuité des opérations et les PCP devraient être revus. Il peut y avoir des changements dans les coordonnées , des changements dans les rôles, etc., avec des changements dans l'emploi. Et n'oubliez pas de suivre les procédures de contrôle des modifications pour toute mise à jour du plan de continuité des activités. 39. 10.2 Suivi et assurance des plans de continuité: L' objectif de cette étape est d'examiner scrupuleusement le respect des politiques, normes et des procédures établies par le système de gestion de la continuité des opérations. auto-évaluations sont bonnes. Cependant, un examen impartial ou indépendant sous la direction, disons, d' une vérification interne est souvent très efficace. surveillance et l'assurance comprennent la surveillance par rapport aux objectifs du SMGC énoncés dans la politique ou le cadre de gestion de la continuité des activités. Dime mesuré depuis le dernier exercice et nombre de problèmes non résolus. Et mesurez les centimes depuis la dernière analyse d'impact sur l'entreprise, un processus métier EMI ou des changements d'application sont intervenus depuis lors. Et l'examen de l'exhaustivité des plans et de la documentation de l'exercice. La vue prévoit également l'inclusion ou l'élimination de processus métier ou de modifications d'application nouveaux ou obsolètes. Ces vérifications peuvent être effectuées périodiquement pour évaluer les plans individuels ou le cadre de gestion de la continuité des opérations au niveau de l'entreprise. Une façon efficace d'y parvenir, comme nous l'avons mentionné, consiste à effectuer des vérifications indépendantes. Quelles évaluations peuvent être effectuées périodiquement pour évaluer ces et la maturité du cadre de GCA et des plans de continuité des activités individuels ? Par conséquent, ces activités de surveillance et d'assurance de la continuité des activités à s'assurer et à valider que l'organisation est résiliente aux interruptions et peut reprendre les services essentiels et les opérations complètes du magasin dans un délai et une manière acceptable pour l'entreprise. 40. 11.1: Nous en sommes maintenant arrivés à la conclusion. Pour un résumé rapide, nous avons étudié plusieurs concepts fondamentaux et sujets clés liés à la gestion de la continuité des activités tout au long de ce cours, qui inclus les différences clés entre les différents aspects de la résilience organisationnelle et des usines telles que la gestion des crises, interventions d'urgence, la gestion des incidents, TI, la DR et cetera. Dans ISO W2 3012019, chapitre du système de gestion de la continuité des activités, nous avons examiné ce que j'ai vu la norme W3 0-1 c'est que nous avons examiné le cycle de vie PDCA Plan-Do-Check-Act. Quelles sont les clauses ISO den ? Ce qu'elles signifient et quels sont les principaux avantages de la mise en œuvre et du maintien d'une SP en Colombie-Britannique selon des perspectives différentes, comme les avantages du point de vue opérationnel, perspectives financières, les perspectives du processus interne et les intervenants perspectives. Ensuite, nous avons examiné le chapitre sur la gouvernance, où nous avons discuté de l'importance d'avoir une reddition de comptes claire, une appropriation et des responsabilités. Et pourquoi il est important d'avoir une politique et un cadre pour la gouvernance d'une GCA. » s dans la gestion des risques. Où nous avons étudié l'importance d'une gestion efficace des risques pour le SG-GC. Quelles sont les différences entre la gestion des risques de l'entreprise et la résilience de l'entreprise ? Et quelles sont quelques-unes des options courantes de traitement des risques qui peuvent être appliquées à la religion de la continuité des affaires ? Ensuite, nous avons examiné l'analyse d'impact sur les activités, ou LFI. Nous avons parlé de ce qu'est BIA. Pourquoi effectuons-nous le BIA ? Et comment BIA vous aide à mieux comprendre votre organisation. Étudier quels sont les objectifs de rétablissement. Les concepts clés de RTO, objectifs de temps de récupération et objectif de point de récupération arpéggio. Ensuite, nous avons examiné les six étapes de la réalisation d'un BIA. Après la LFI, nous avons examiné les détails de la planification de la continuité des activités. Nous avons étudié ce qu'est le PCP, quelles sont les exigences des stratégies de continuité des et comment nous pouvons développer le PCP en tenant compte de divers aspects tels que les personnes, la communication, les installations, les systèmes, les dépendances, etc. Et quel est le contenu qui doit être inclus dans le plan de continuité des activités ? Après avoir été Cp, nous avons examiné le lien entre la reprise après sinistre informatique et lesinstallations connexes en liaison avec la reprise après sinistre informatique etles plans connexes que installations connexes en liaison avec la reprise après sinistre informatique et nous avons étudiés plus en détail sur le plan de DR TI, y compris la planification de la DR informatique Y est nécessaire. Et quels sont les éléments du plan de DR et D en TI ? Nous avons ensuite discuté des raisons pour lesquelles il est essentiel que plan de continuité des activités ne soit pas un document autonome. Au contraire, il se connecte parfaitement aux plans connexes tels que les interventions d'urgence, la gestion des crises, la gestion des incidents, etc. Le chapitre suivant que nous avons étudié était le facteur humain. C' est là que nous avons étudié pourquoi la formation dans un Vénus est aspect le plus crucial pour que les plans de continuité d'activité soient utilisables et efficaces. Nous avons examiné ce que certains des éléments clés de l'éducation et de la sensibilisation devraient être au sein de la SP de la Colombie-Britannique. Nous avons également discuté des raisons pour lesquelles GCA peut être intégrée et de la façon dont elle peut être intégrée à la culture organisationnelle à l'aide d' un processus continu et participation de la haute direction. Nous avons ensuite examiné les exercices du PCP. Dans le chapitre sur les exercices bcb, nous avons étudié l'importance d'effectuer les tests et exercices bcb afin de s'assurer que les usines fonctionnent dans la pratique et pas seulement sur papier. Et si elles sont en mesure d'être les objectifs requis. Nous avons examiné plusieurs méthodes de test et d'exercice et celle qui conviendra à différents scénarios. De plus, l'importance de tenir les séances de compte rendu et la façon dont elles devraient être menées. Ensuite, nous avons passé au chapitre de la surveillance et de l'assurance de l'entretien, où nous avons examiné comment les PCP du CMS B devraient être maintenus et tenus à jour. Et quels sont les principaux aspects de la réalisation de la surveillance périodique et de l'assurance. Par conséquent, avec toutes ces stratégies, plans, exercices, sensibilisation et assurance. Tout ce que nous essayons d'obtenir, c'est quand un incident frappe votre organisation et que les employés ne sont pas interdits agir comme des cerfs mélangés par un phare. Et au lieu de cela, ils sont prêts et formés comme les Arts qui se préparent à la journée de pluie. 41. 11.2 Réfléchissons finales et prochaines étapes: J' espère que vous avez apprécié ce cours et que vous avez appris quelques concepts très importants liés à la gestion de la continuité des opérations. Je vous encourage vraiment à suivre ces lignes directrices et à mettre en œuvre une MS BC, ou à développer un PCP qui vous permettra de vous assurer votre organisation est résiliente aux interruptions et peut reprendre les services essentiels, restaurer l'intégralité des opérations au sein d'un délai acceptable. Même si vous n'avez actuellement pas ce rôle dans votre organisation ou ne travaillez pas dissemblables et l'organisation, vous savez bien et essayé d'appliquer ces concepts sur elle. Le membre BCM n'est pas un exercice une fois et fait. assurer la continuité des activités et la résilience organisationnelle, il faut garder un œil constant sur les menaces nouvelles et en constante évolution et veiller à ce que vous soyez conscient des risques et à les gérer. Le code que j'ai partagé avec vous tout à l'heure de Dennis résume très bien le discours. Attendez-vous au meilleur, planifiez le pire et préparez-vous à être surpris. Merci beaucoup de m'avoir rejoint pour ce voyage. J' ai aimé enseigner ce que je fais depuis plusieurs années. Et j'espère vous voir sur mon prochain cours. Passez une belle journée.