Gerenciamento de continuidade de negócios e ISO 22301 - Guia completo

1. Introdução - Por que a gestão de continuidade de negócios é essencial?: Olá e bem-vindo a um dos melhores cursos de gerenciamento de continuidade de negócios. Isso vai permitir que você não apenas desenvolva uma habilidade altamente exigente de hoje, mas também ajude as organizações a sobreviver e se tornem mais resilientes. Sou Hassham Idris e faço parte da equipe de liderança sênior em um formulário de assessoria da Fortune 100. Nos últimos 15 anos, ajudei mais de 50 organizações, mas, portanto, respondo e emergi mais fortes de grandes interrupções. Globalmente, as organizações estão enfrentando inúmeras ameaças de possíveis eventos disruptivos e estão em ambiente operacional. Incluindo pandemias como Kuwait 19, desastres naturais. Seja ataques cibernéticos, queda de energia a longo prazo, indisponibilidade dos principais fornecedores, etc. Recentemente, começamos a observar um aumento significativo no número de interrupções. Na verdade, 2020 pode ser chamado de um ar de ruptura. Ou seus 19 fogos australianos, furacão Sandy, tornados em Oklahoma, ou ataques cibernéticos recentes na Nova Zelândia. Em seguida, as ações mudam. As empresas que consideram proativamente como responder a esses eventos são as primeiras a voltar aos negócios, muitas vezes à custa dos comparadores. Se você olhar para as principais tendências de risco de negócios em 20202021, risco limitado de resiliência de negócios estará lá em cima. Por exemplo, três dos dez principais riscos de negócios globais da KPMG para, entre os cinco principais riscos de negócios da Forbes, e três das cinco principais ameaças, como MAS alinha o barômetro de risco, incluindo os dois principais segmentos, são todos relacionadas à resiliência dos negócios. A próxima crise que poderia ameaçar sua organização já pode estar tomando forma. E com tanto em jogo, as organizações simplesmente não podem se dar ao luxo de não ter um plano. Basta fazer a si mesmo ou à sua organização algumas perguntas simples. Acha que está pronto para enfrentar uma nova crise? Você é capaz de recuperar oportunamente suas funções-chave? Se a sua resposta é não ou não tem certeza, não se preocupe, você está começando bem porque você está aqui comigo, ciente do risco e pronto para aprender vai começar este curso, entendendo a resiliência fundamental da organização e negócios conceitos de continuidade. O que é o gerenciamento de continuidade de negócios e o que não é. Vou esclarecer os equívocos e confusões comuns sobre continuidade dos negócios e explicar quais os benefícios que ela traz para uma organização a partir de diferentes perspectivas. Também analisará a continuidade de negócios global pode não ser padrão, ou seja, ISO W3 0-1 e seus requisitos. Uma vez que tenhamos entendido os principais conceitos e os elementos do BC MS, vamos mergulhar profundamente em cada uma das principais áreas de continuidade de negócios. Agora, este curso não pressupõe experiência de continuidade de negócios. Então, se você é um iniciante completo, isso não é um problema. Todos começamos em algum lugar. Estarei com vocês a cada passo do caminho, pois os levarei através dos conceitos fundamentais de continuidade de negócios, até algumas das abordagens mais intermediárias e avançadas. Mas tudo que eu preciso de você é um forte desejo de aprender , caso você seja uma das poucas pessoas que são experientes nesta área. Esta ainda será uma atualização muito boa. Trabalhei nessas abordagens para vários clientes em diferentes continentes. Então lembrem-se, as estratégias que vamos estudar, trabalhar e praticar, não apenas no papel. Há muito o que aprender e praticar. Então vamos começar nossa jornada e estou ansioso para tê-lo neste curso. 2. 1.1 O que você vai aprender neste curso?: Olá e bem-vindo a este gerenciamento de continuidade de negócios vai. Neste curso, você descobrirá o que realmente é continuidade de negócios e o que não é. Por que a continuidade de negócios é fundamental para a sobrevivência de qualquer organização hoje. E quais são os conceitos fundamentais e elementos-chave do ciclo de vida completo do gerenciamento de continuidade de negócios e algumas abordagens práticas para implementá-los. Isso permitirá que você desenvolva uma habilidade altamente exigente de hoje e ajude qualquer organização a sobreviver e se tornar mais resiliente. Sou midrise, e faço parte da equipe de liderança sênior de uma bem conhecida reforma de conselhos da Fortune 100. Nos últimos 15 anos. Ajudei várias organizações em diferentes países a estarem preparadas para responder e emergir mais fortes das principais interrupções. Especificamente a partir de uma perspectiva de continuidade de negócios e recuperação de tecnologia. Permitam-me que vos apresente brevemente a estrutura deste curso. Eu dividi este curso em 11 seções e mais de 40 palestras de alta qualidade. Há uma breve visão geral do que abordaremos em cada seção. Começaremos com a destruição de alguns mitos comuns e equívocos sobre o gerenciamento de continuidade de negócios. Em seguida, analisaremos os principais aspectos da resiliência dos negócios mais ampla. As diferenças entre as plantas relacionadas, como resposta a emergências, gerenciamento de crises, gerenciamento de incidentes, planejamento de continuidade de negócios e recuperação de desastres de TI. E entenda como eles se relacionam uns com os outros de uma maneira muito fácil de entender. No próximo capítulo, vamos olhar para o que é o padrão ISO W3C e o que é ISOs PDCA, planejar, fazer verificar, agir, ciclo de vida. Será então olhar para as dez cláusulas ISO, o que elas significam e quais são alguns dos principais benefícios da implementação e manutenção de um sistema de gerenciamento de continuidade de negócios a partir de diferentes perspectivas, como benefícios da perspectiva de negócios, Perspectiva Financeira, Perspectiva de Processos Internos e perspectiva das partes interessadas. Então passaremos para o capítulo da governança. Vamos começar discutindo a importância de ter uma clara responsabilidade, propriedade e responsabilidade. Recuperar os aspectos da estrutura de gerenciamento de políticas e continuidade de negócios e discutir por que ter uma política e uma estrutura é vital para a governança do sistema de gerenciamento de continuidade de negócios. Na gestão de riscos, estudaremos como uma gestão eficaz de riscos é importante para o sistema de gestão de continuidade de negócios. Qual é a diferença entre risco corporativo e gerenciamento de continuidade de negócios? E quais são algumas das opções comuns de tratamento de risco que podem ser aplicadas aos riscos de continuidade de negócios. No próximo capítulo, vamos olhar para o que ISO W2 três 0-1 padrão é e o que é ISOs, PDCA ou plano de verificar, agir ciclo de vida é, então, olhar para as dez cláusulas ISO, o que eles significam e quais são alguns dos benefícios de implementação e manutenção de um sistema de gerenciamento de continuidade de negócios? De várias perspectivas, como o benefício. Na gestão de riscos, estudaremos como uma gestão eficaz de riscos é importante para o sistema de gestão de continuidade de negócios. Qual é a diferença entre risco corporativo e gerenciamento de continuidade de negócios? E quais são algumas das opções comuns de tratamento de risco que podem ser aplicadas ao risco de continuidade de negócios. Em seguida, vamos estudar o que Business Impact Analysis ou BIA é. Por que fazemos essa análise? E como a BIA ajuda você a entender melhor sua organização? Aprendemos quais são os objetivos de recuperação. E os termos chave de áudio, que são objetivos de tempo de recuperação e ARPU, que são objetivos de ponto de recuperação. Uma vez que entendamos esses conceitos básicos, vai então olhar para as seis etapas de realização de uma análise de impacto nos negócios. Após a análise de impacto nos negócios, analisamos o desenvolvimento do plano de continuidade de negócios. Vai estudar seria Cp é por isso que é importante e quais são os requisitos e estratégias para o planejamento de continuidade de negócios. Em seguida, olhamos em detalhes de como podemos desenvolver um PCP considerando vários aspectos, tais como pessoas, comunicação, instalações, sistemas e aplicações, telecomunicações, dependências internas e externas, especial requisitos e conteúdo relacionado a serem incluídos nos planos de continuidade de negócios. Na próxima seção é a ligação com a recuperação de desastres de TI e as plantas relacionadas começarão com o estudo sobre o plano de recuperação de desastres de TI com mais detalhes, incluindo o planejamento de recuperação de desastres de TI Y é necessário. E quais são os componentes para desenvolver um ITD, nosso plano. Então vamos discutir por que é essencial que o plano de continuidade de negócios não seja um documento autônomo. Em vez disso, como podemos conectá-lo perfeitamente com as plantas relacionadas, como gerenciamento de crises, resposta de emergência, gerenciamento de incidentes e plano de DR de TI. No capítulo do fator humano, vamos estudar por que o treinamento e a conscientização são um dos aspectos mais cruciais para que os PCPs sejam utilizáveis e eficazes. Aprendemos o que alguns dos principais elementos de educação e conscientização são dentro do sistema de gestão de continuidade de negócios também discutirá como a continuidade de negócios e ser imbedded na cultura organizacional com a ajuda de um processo e envolvimento da equipe de liderança sênior. O próximo capítulo é exercícios de continuidade de negócios, onde vamos estudar a importância de realizar os testes e exercícios BC para garantir que os planos funcionem na prática e não apenas no papel. E se eles são capazes de cumprir os objetivos necessários. Vamos olhar para vários testes e tipos de exercícios e qual deles será adequado e diferentes cenários. Também abordaremos a importância das sessões de debriefing e como elas devem ser conduzidas. Em seguida, analisaremos como os planos de continuidade de negócios e o sistema de gerenciamento de continuidade de negócios devem ser mantidos e atualizados. E quais são os principais aspectos da realização do acompanhamento periódico e garantia. Finalmente, na seção de conclusão, terá uma breve recapitulação do que aprendemos e discutir os próximos passos. Por favor, tenha em mente que a maioria dessas áreas, como a governança, a realização do BIA, o desenvolvimento do PCP e os exercícios são assuntos muito detalhados dentro de si mesmos. E isso acontece, cobriremos cada um deles em um nível razoável de detalhes para que você entenda o essencial de todos esses elementos e possa iniciar sua jornada de continuidade de negócios. O currículo completo do curso também está disponível para download. Também incluí testes, tarefas, artigos e material para download neste curso que o ajudarão a praticar e obter orientação adicional ao longo desta jornada. Ao final deste curso, você poderá aprender como as organizações resilientes recuperaram rapidamente da interrupção. Mantendo um mesmo crescente sua vantagem comparativa. Aprenda, desenvolva e implemente as estratégias comprovadas de continuidade de negócios e entenda que a resiliência é mais do que apenas ter um plano. Portanto, aprender essas habilidades não só aumentará sua estabilidade de mercado, mas também abrirá portas para uma operadora e gerenciamento de continuidade de negócios. Há muito o que aprender e praticar. Então vamos começar nossa jornada e vamos começar. 3. 1.2 Mitos e equívocos comuns sobre a continuidade dos negócios: O planejamento de continuidade de negócios é um dos aspectos mais importantes de qualquer estratégia de recuperação. Infelizmente, muitas organizações não são proativas no desenvolvimento de suas estratégias e planos de continuidade. Com base na minha experiência, um fator chave das organizações que não estão sendo preparadas é devido alguns mitos comuns e equívocos sobre continuidade de negócios. Aqui estão alguns desses. Temos uma pequena equipe que não sabia o que fazer durante uma grande interrupção. Na verdade, até mesmo os melhores funcionários não se pode esperar que saibam o que fazer quando ocorrer um desastre. Deixar cada funcionário para a geração sua maneira só aumenta a confusão durante um evento. Portanto, ter um plano de continuidade de negócios bem pensado e documentado com antecedência e limpar seus funcionários para segui-lo deixa todos muito melhor preparados para responder a um evento. O próximo é a continuidade de negócios, é o mesmo que o planejamento de recuperação de desastres de ID. É importante entender essa diferença. Como o nome sugere, um plano de continuidade de negócios é um processo centrado nos negócios que garante que as empresas possam continuar operando no caso de uma grande interrupção ou se um local de trabalho se tornar inacessível. O TCP fornece etapas detalhadas a serem tomadas antes, durante e depois de uma interrupção para manter a viabilidade financeira de uma organização. Por outro lado, fiz um plano de recuperação de desastres ou DRP de TI entra em jogo quando sua organização perde o acesso, distorce os sistemas de TI e a infraestrutura tecnológica. Portanto, o DRP de TI se concentra na resposta e na recuperação de sistemas e ativos de TI devido a uma paralisação ou falha significativa. Às vezes, provoca uma grande perturbação. Será que o BCB e o IT DR. B. podem ser ativados juntos. No entanto, dependendo do evento, apenas um pode ser ativado. Por exemplo, se uma organização hospedar um número de seu sistema em um datacenter e houver uma interrupção significativa nesse datacenter, somente um DOB de ID precisará ser ativado e não o ABCP. Portanto, embora diferente, mas comprou o bcb e o ID DARP, são vitais para ajudar uma organização segurada e organizada, segura e recuperação oportuna. A próxima é, leva muito tempo para desenvolver um plano de continuidade de negócios. Até certo ponto, faz. No entanto, devemos perceber que o centavo gasto desenvolvendo e mantendo os planos de continuidade de negócios é um investimento em sua empresa. Se ocorrer uma grande interrupção, seu custo fixo continuará. Mesmo se você está aberto para negócios ou não. Quanto mais rápido você pode retornar ao negócio como de costume, o que chamamos de BAU, mais provável e rapidamente você vai se recuperar da interrupção do pai. Vimos vários exemplos recentemente, ou com 19 pandêmicos incêndios australianos ou tornados em Oklahoma. As empresas que consideram proativamente como responder a interrupções são as primeiras a voltar aos negócios. Muitas vezes à custa dos concorrentes. Mas viu murmúrio, sua organização não pode se dar ao luxo de seguir qualquer desses equívocos e não ter um plano. 4. 1.3 entenda a diferença - Crise, incidentes, continuidade de negócios e recuperação de desastres de : É importante para nós entender que a resiliência empresarial é um conceito mais amplo. E não é uma tecnologia, um sistema isolado, ou um único processo. É um programa que requer coordenação de pessoas, processos, instalações e tecnologia com um sistema de governança eficaz para sustentá-lo e gerenciar eficazmente o sistema crítico durante uma grande interrupção. Gerenciar de forma eficaz momentos críticos durante uma grande interrupção significa reunir uma variedade de recursos e disciplinas separadas para ajudar os executivos a tomar decisões e gerenciar seu problema. Esses recursos incluem resposta a emergências e gerenciamento de crises, gerenciamento de incidentes, gerenciamento de continuidade de negócios e recuperação de tecnologia ou recuperação de desastres de TI. E antes de aprofundarmos este curso, é importante entender os conceitos básicos desses conceitos e como esses recursos são mapeados em um período de interrupção dos negócios. Se mapearmos isso em uma pista de ruptura de negócios, aqui está como ele parece. Temos quatro fases principais desta linha do tempo. Para cerveja, responda, recupere e restaure. Rebelde ou fase onde você está correndo como BAU, que é negócio como de costume. É aqui que o planejamento precisa ocorrer e todos os planos relacionados devem ser desenvolvidos. Vamos ver. Seu negócio está indo como de costume e, em seguida, um incidente ocorre. Seu negócio agora precisa responder. Dependendo do tipo de incidente. A primeira coisa que pode ser ativada é sua resposta de emergência. A resposta de emergência se concentra na ação imediata de um incidente para gerenciar ameaças críticas à vida e à segurança do indivíduo. A produção de ativos ameaçados e o risco de impactos ambientais mais amplos. Por exemplo, se houver um incêndio no prédio, a ação imediata é evacuar o prédio. forma como esta evacuação ocorrerá faz parte da resposta de emergência. Dentro dessas fases de resposta e recuperação. O outro componente que é importante é a sua gestão de crises. E a gestão de crises concentra-se na gestão de impactos estratégicos de incidentes, tais como perdas financeiras graves, danos à reputação, ou comprometimento da capacidade da organização de atingir seus objetivos estratégicos ou cumprir seus missão. Por exemplo, toda a gestão da comunicação interna e externa durante uma crise, como a comunicação com funcionários, clientes, mídia, autoridades reguladoras, fornecedores e partes interessadas, desempenha um papel vital na gestão de crises. gestão de incidentes Ramirez concentra-se na escalada e gestão de eventos que se enquadram fora dos processos ou sistemas existentes ou são considerados pela organização como merecendo atenção de gestão espacial. Por exemplo, se houver um incidente relacionado a crimes cibernéticos, a deme do Gerenciamento de Incidentes analisaria a situação, determinaria a base do compromisso e tomaremos medidas corretivas e preventivas. Normalmente, a continuidade dos negócios vem na recuperação, restauração, congelamento. gerenciamento de continuidade de negócios concentra-se na capacidade da organização de continuar a entrega de produtos ou serviços e níveis predefinidos aceitáveis apesar da incidência disruptiva. E para recuperar esses serviços através de nossa posição de negócio como de costume. Vamos passar por vários exemplos disso ao longo deste curso. Recuperação de tecnologia, ou TI, recuperação de desastres, como o nome sugere, faz parte da fase de recuperação e se concentra na resposta e recuperação de sistemas e ativos de TI devido a paralisações significativas, falhas ou serviços interrupções. Por exemplo, um de seu sistema crítico de negócios em um datacenter principal está inativo e você ou seu provedor de serviços de nuvem ativa o ID DR. bland, para retomar os serviços de um data center secundário. Portanto, é importante entender que um programa de resiliência eficaz deve incluir uma abordagem integrada e coordenada entre todos os aspectos do cronograma do evento de recuperação. Como este curso se concentra na continuidade de negócios, aprofundaremos aspectos completos do ciclo de vida do gerenciamento de continuidade negócios para colocar seus negócios em funcionamento após um evento significativo. No entanto, eu acho que é muito importante entender essas diferenças primeiro, como eu vi, muitas pessoas confundem essas lixeiras ou as usam de forma intercambiável. Como Dennis prontamente disse, espere a melhor terra para o pior e preparado para ser surpreendido. Então, nas próximas palestras, vamos discutir como podemos preparar e planejar a continuidade dos negócios. 5. 2.1 O que é o ISO 22301?: Iso W2 301 é o padrão de renome internacional para gerenciamento de continuidade de negócios. Iso W3 0-1 especifica os requisitos para um sistema de gerenciamento para proteger contra, reduzir a probabilidade de um seguro, sua empresa recupera a incidência disruptiva. Iso double 23012019 é a publicação mais recente. Iso W3 0-1 é aplicável a todas as organizações, independentemente do seu tamanho , indústria ou natureza do negócio. E com base na estrutura de alto nível ISOs, ele se alinha com muitos outros sistemas de gestão reconhecidos internacionalmente e padrões como a ISO 9.001, ou seja, o Sistema de Gestão da Qualidade, ISO 27.001, ou seja, informação sistema de gestão de segurança, e ISO 14.001, que é o sistema de gestão ambiental. Como tal, ele é projetado para ser integrado aos processos de gestão existentes de uma organização. É um padrão certificável. Meios semelhantes a padrões como oito ou 9.001 e ISO 27.001. Depois de atender aos requisitos para o padrão, você pode ir para um corpo de acidificação independente e obter sua organização certificada em ISO W3 0-1, um BC MS ou um sistema de gerenciamento de continuidade de negócios. Como qualquer outro sistema de gerenciamento, inclui os seguintes componentes. Uma política, e as pessoas definiriam responsabilidades, geralmente dentro de um quadro definido. Sistema de gestão ou processos de gestão relacionados com políticas, planejamento, implementação e operações. Avaliação de desempenho, gestão atraiu você e melhoria contínua. Quaisquer processos de continuidade de negócios relevantes para a organização, como como realizar uma avaliação de impacto nos negócios, e informações documentadas que os suportam, condicionam e fornecem provas auditáveis. 6. 2.2 O ciclo do PDCA (Plan-Do-Check-Act): Semelhante a outras normas ISO, a ISO W3 0-1 também aplica o ciclo PDCA. Vamos estudar essas fases com mais detalhes nos capítulos posteriores. Mas para lhe dar um conceito geral do ciclo PDCA, em Sua palavra, significa que P é para planejar ou estabelecer. É aqui que configuramos o contexto organizacional, definimos o escopo, desenvolvemos uma política, realizamos a Análise de Impacto nos Negócios e documentamos o plano de continuidade dos negócios. D é para fazer ou implementar e operar. É aqui que implementamos as estratégias de política e continuidade de negócios documentadas nos planos de continuidade de negócios. Por exemplo, PCP fala sobre ter um site alternativo. Finalizamos o local e, se necessário, vamos e estabelecemos um contrato com eles. Ou adquirimos sistemas adquiridos, dispositivos que lideramos quando os PCPs ativados ou estabelecemos um processo de como eles serão adquiridos. C é para verificação ou monitoramento e revisão. Este é o lugar onde realizamos os exercícios de teste ou exercícios conforme documentado no plano de continuidade de negócios, não verificar os trabalhos do plano. E se os objetivos de recuperação esperados foram cumpridos ou não é para agir ou manter e melhorar. Após esses testes serem realizados, identificar quaisquer problemas ou áreas que precisam de melhorias e atualizar os planos de acordo. Coisas como realizar garantias ou auditorias, tomar medidas corretivas e preventivas e melhorar continuamente o sistema completo de gerenciamento de continuidade de negócios também fazem parte dessa fase. Portanto, o ciclo PDCA garante estabelecer, implementar, manter e melhorar continuamente a eficácia do sistema de gerenciamento de continuidade de negócios da organização. 7. 2.3 Benefícios de um sistema de gerenciamento de continuidade de negócios: Pode haver vários benefícios de gerenciar capacidade geral de uma organização de continuar operando durante interrupções. Isso pode incluir, do ponto de vista dos negócios, porque a organização pode avaliar potenciais impactos de interrupções operacionais, implantar planos eficazes de continuidade de negócios e minimizar o impacto oral. Ele ajuda a organização de uma série de maneiras, tais como apoiar seus objetivos estratégicos, criar uma vantagem competitiva, proteger e melhorar sua reputação e credibilidade, e contribuir para a organização resiliência. De uma perspectiva financeira. Ter a continuidade de serviços críticos garante a proteção de renda e ativos e reduzindo o risco de perdas adicionais decorrentes do evento de interrupção do negócio. Também ajuda a reduzir exposição jurídica e financeira e a reduzir os custos diretos e indiretos de interrupções. Além disso, ter melhores insights sobre os impactos permite uma avaliação mais eficaz das opções de seguro. Do ponto de vista dos corpos de confiança. Melhora a confiança de todas as partes interessadas. Por exemplo, clientes em funcionários decil, partes interessadas, etc., em organizações, sua capacidade de responder e operações de negócios mundanas em caso de interrupção do negócio. Ter um programa geral de resiliência robusto também ajuda a proteger a vida, a propriedade e o meio ambiente. Em seguida, manchar as expectativas de todas as partes interessadas e fornecer um nível de garantia na capacidade da organização para ter sucesso. A partir de uma perspectiva de processos internos. Ele fornece uma plataforma para limpar e atualizar os planos de continuidade de negócios. Utilizando recursos e contingências junto com as necessidades dos negócios e identifique ineficiências com base nos eventos. Ele também ajuda a melhorar a capacidade de permanecer eficaz durante interrupções. Demonstrar controle proativo dos riscos de forma eficaz e eficiente, bem como abordar ou Princeton ou passivos. Portanto, a lista é longa, mas esses são alguns dos principais benefícios e o sistema eficaz de gerenciamento de continuidade de negócios traz para sua organização e para as partes interessadas. 8. 2.4 ISO 2.3.4 (1.) - 3): O padrão internacional da ISO W2 3012019 está dividido em dez cláusulas. Vamos ver o que são. E os principais requisitos em todas essas cláusulas. As três primeiras cláusulas são muito breves e cláusulas ISO padrão. Então você encontrará as mesmas três cláusulas em outros padrões ISO, como nove mil, cento e vinte e sete mil um, etc. Escopo especifica que esse padrão é aplicável a todos os tipos e tamanhos de organizações. Número dois, referências normativas se referem a documentos relacionados. Neste caso, é apenas iso W2 300. Isso é sobre segurança e resiliência vocabulário. Terceiro é termos e definições. Ele explica alguns dos termos e definições padrão , como definição de continuidade de negócios, objetivo de tempo de recuperação, ou seja, RTO, sistema de gerenciamento, etc. 9. 2.5 ISO 2.5: de contexto: Glosses de quatro a dez ou mais detalhados e incluem requisitos específicos para estabelecer e manter um MS. ocupado Ou seja, sistema de gerenciamento de continuidade de negócios. Na cláusula de contexto, existem quatro requisitos principais. Primeiro é entender a organização e seu contexto. Ele inclui a determinação de questões internas e externas e objetivos gerais das organizações. Em seguida, entender as necessidades e expectativas das partes interessadas em partes confiáveis significa tanto as partes internas quanto as externas. E também quais são os requisitos legais e regulamentares? Determinando o escopo do sistema de gerenciamento de continuidade de negócios? escopo do GCMS inclui duas coisas principais. Um, quais partes da organização devem ser incluídas no BC MS, levando em consideração sua localização, tamanho, natureza e complexidade. E em segundo lugar, quais são os produtos e serviços serão incluídos no escopo do BI CMS. Quaisquer exclusões também devem ser claramente documentadas e explicadas aqui. Porta é um sistema de gerenciamento de continuidade de negócios. É aqui que entra o ciclo PDCA, isto é, planejar, fazer isto é, planejar, fazer, verificar, agir que discutimos na palestra anterior. A organização deve estabelecer, implementar, manter e melhorar continuamente uma MS. 10. 2.6 ISO 2.3.1: liderança: Gloss número cinco é liderança. Cláusula de liderança Existem três requisitos principais que precisam ser cumpridos pela gerência de topo. liderança e o compromisso exigem a gestão da dívida deve demonstrar liderança e compromisso no que diz respeito ao sistema de gestão da continuidade dos negócios. Isso geralmente é feito configurando a responsabilidade, definindo objetivos, configurando e monitorando os principais indicadores de desempenho, também chamados de KPIs. Em seguida, o gerenciamento de políticas deve estabelecer uma política de continuidade de negócios. O terceiro requisito prende-se com papéis, responsabilidades e autoridades. E isso exige que a gestão deve garantir que as responsabilidades e autoridades para funções relevantes e atribuído e comunicado dentro da organização. 11. 2.7 ISO 2.301 - Cláusula padrão 6: planejamento: Aplausos número seis está planejando. E os principais requisitos para esta cláusula incluem, número um, ações para lidar com riscos e oportunidades. É aqui que determinamos quais os riscos e oportunidades relacionados ao Sistema de Gestão de Continuidade de Negócios e como os abordamos. Temos uma seção completa sobre manejo de mama que vamos estudar. Número dois, esse planejamento e objetivos de gerenciamento de descontinuidade. Para alcançá-los. A organização deve, em primeiro lugar, estabelecer o BCM como objectivos. E uma dica em uma nota lateral é sempre que você definir quaisquer objetivos, tentou garantir que esses objetivos são inteligentes. Ou seja, SME ART S significa específico. M0 é mensurável. É para alcançável, R para realista e D4 tempo limitado. Então tente definir objetivos inteligentes. Estes objectivos devem igualmente estar ligados à política de continuidade dos negócios. Uma vez que os objetivos são estabelecidos, você deve desenvolver um plano para determinar como esses objetivos serão atingidos. Em seguida, o planejamento de mudanças no sistema de gerenciamento de continuidade de negócios. Quando a organização determinar a necessidade de alterações no BC MS, essas mudanças devem ser realizadas de forma planejada. Por exemplo, conhecer o impacto de uma mudança nos planos de continuidade de negócios, sua alocação de recursos, etc. 12. 2.8 ISO 2301 Cláusulas padrão 7: suporte: Cláusula sete é apoio. E os principais requisitos para esta cláusula incluem, número um, recursos. A organização deve determinar e fornecer os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão da continuidade dos negócios. A segunda é a competência. Determine se você tem a competência necessária de pessoas que trabalham. Eles têm o treinamento e a experiência necessárias? O próximo é a consciência. As pessoas que trabalham devem estar cientes do sistema de gestão da continuidade das empresas, políticas e das suas funções e responsabilidades. Discutiremos isso com mais detalhes na seção de fatores humanos. A próxima é a comunicação. A organização deve determinar e controlar as comunicações internas e externas relevantes para o BCM S. E o último, mas não menos importante, é informação documentada. A organização deve manter a documentação pertinente relacionada com o sistema de gestão da continuidade das atividades. Com controle de documentos. 13. 2.9 ISO 2301 - Cláusula padrão 8: operações: Fechar, são as operações que incluem alguns dos principais requisitos para o gerenciamento de continuidade de negócios. O primeiro é o planejamento e o controle operacionais. Significa que a organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos da ISO double 2301 e implementar as ações. A seguir é a Análise de Impacto nos Negócios Avaliação de risco. Melhora a realização de um BIA, que é a análise de impacto nos negócios. E realizando avaliação de risco. Iremos estudar tanto a BIA como a avaliação de risco mais detalhadamente mais adiante neste curso. Seguem-se as estratégias e soluções de continuidade de negócios. Com base nos resultados da análise de impacto nos negócios e da avaliação de riscos. No entanto, mensagem essencial, identifique e selecione estratégias de continuidade de negócios para atender aos objetivos de recuperação. Em seguida, planos e procedimentos de continuidade de negócios. Bem, o músico deve desenvolver planos e procedimentos para gerenciar a organização durante uma interrupção. Os planos e procedimentos devem ser usados quando necessário para ativar soluções de continuidade de negócios. Vamos estudar mais detalhadamente na seção de planejamento de continuidade de negócios deste curso. O próximo é o programa de exercícios. Organização deve implementar e manter um programa de exercício e teste para validar ao longo do tempo sua eficácia oferece estratégias e soluções de continuidade de negócios. Vamos estudar isso com mais detalhes na seção de exercícios de planejamento de continuidade de negócios deste curso. A próxima é a avaliação da documentação e dos recursos de continuidade de negócios. É aqui que você avalia a adequação, adequação e eficácia de sua análise de impacto nos negócios, estratégias de avaliação de risco, soluções , planos e os procedimentos documentados. Apenas uma dica aqui é quando você está fazendo isso, não se esqueça de realizar a avaliação de continuidade de negócios de parceiros relevantes e seus fornecedores. 14. 2.10 ISO 2.10 2.10 2.1: avaliação de desempenho: A cláusula nove é sobre avaliação de desempenho. Vejamos os principais requisitos desta cláusula. número um é o monitoramento, medição, a análise e a avaliação. Trata-se de determinar o que precisa ser monitorado e como você o monitora e analisa. Discutimos sobre isso durante os objetivos e a configuração do KPI, ou seja, indicadores-chave de desempenho. E teremos um capítulo completo chegando que é monitoramento, manutenção e garantia. Estamos, vamos discutir isso com mais detalhes. Em seguida, a auditoria interna. A organização planeja e implementa um programa de auditoria para avaliar a eficácia do sistema completo de gestão da continuidade dos negócios. Há também uma série de requisitos de auditoria que devem ser seguidos, incluindo definição, critérios de auditoria, selecção de auditores, etc. O próximo é o castigo para ver. alta gerência deve revisar o sistema de gerenciamento de continuidade de negócios da organização em intervalos do Plano para garantir sua adequação, adequação e eficácia contínuas. 15. 2.11 ISO 2.11 2.11: Cláusula número dez é melhoria. E há dois requisitos principais nesta cláusula. O número um é a não-conformidade e as ações corretivas. A organização deve determinar as oportunidades de melhoria e implementar as ações necessárias para alcançar os resultados pretendidos do sistema de gestão da continuidade dos negócios. Um exemplo disso pode ser quando você realiza um exercício de PCP. Normalmente, há muitas lições aprendidas onde ações corretivas podem ser aplicadas. Vamos estudar isso com mais detalhes mais tarde no curso. A próxima é a melhoria contínua. Assim, com base em vários resultados, tais como exercícios, por sua vez, gestão de auditoria para pontos de vista, a organização deve melhorar continuamente a eficácia do sistema de gestão de continuidade de negócios. A ideia é que, à medida que o sistema de gerenciamento de continuidade de negócios está ficando mais velho, ele deve estar ficando melhor. 16. 3.1 de propriedade e prestação de contas: Quando falamos sobre governança do gerenciamento de continuidade de negócios, a primeira das coisas mais importantes é ter buy-in da gestão escura e propriedade clara que se alinha com a estrutura organizacional atual. Pode parecer surpreendente, mas na realidade, várias organizações têm lutado com isso. Embora eles tenham poucas coisas no lugar. Mas não há clareza sobre quem da equipe executiva ou gestão de topo quer o programa de continuidade de negócios ou sistema de gestão na organização. Eu também estou chamando de programa de continuidade de negócios porque no caso de você não ter um sistema de gerenciamento de continuidade de negócios no lugar, configurá-lo é um grande projeto ou um programa. Uma vez estabelecido , torna-se parte das operações. Portanto, configurar a propriedade é vital porque com a propriedade vem responsabilidades e responsabilidade. Uma vez estabelecida a propriedade, a próxima coisa que precisa ser considerada é o recurso e o orçamento de todo o programa de continuidade de negócios. A falta de recursos e orçamento provavelmente resultará em um programa ineficaz de continuidade de negócios. Particularmente porque a equipe precisa abordar as tarefas relacionadas à continuidade de negócios em cima de seus negócios como responsabilidades habituais. Isso também pode levar muito tempo para implementar processos de resiliência eficazes. Além disso, ao não ter recursos dedicados para gerenciar o sistema de gerenciamento de continuidade de negócios é provável que resulte em funcionários sênior e mais experientes realizando tarefas administrativas que são de pouco valor em comparação com o assunto perícia. Uma vez que a propriedade e as fontes são classificadas, é importante estabelecer a governança sobre o Programa de Gerenciamento de Continuidade de Negócios. Em n escolheu relatórios regulares para a equipe executiva e escalada de quaisquer preocupações. Isso pode ser feito de maneiras diferentes. Por exemplo, ao criar um comitê de governança com representação de diferentes grupos de negócios ou agenda relacionada à continuidade de negócios pode ser incluída como parte de qualquer comitê de governança existente relacionado. Como discutimos. Este deverá constituir um ponto central de prestação de contas para a implementação e a comunicação e acompanhamento contínuos do GCMS. Não posso enfatizar isso o suficiente. Tal deverá assegurar a supervisão e a disponibilização de recursos adequados. Além disso, dependendo do tamanho e da natureza da organização, a concentração pode ser dada à contratação um especialista sênior em tempo integral para estabelecer e gerenciar o sistema de gerenciamento de continuidade de negócios. Se já não houver um. 17. 3.2 Política de continuidade de negócios: Após a criação da governança inicial e organização deve desenvolver uma política formal de continuidade de negócios. A política deve basear-se em normas da indústria e orientações de boas práticas, tais como a norma ISO double 2301 ou a BCI poderia orientar práticas. No mínimo, a política deve incluir o seguinte. O objetivo e os objetivos para a gestão de continuidade de negócios na organização. escopo de gerenciamento de continuidade de negócios significa qual parte do gerenciamento de continuidade de negócios da organização é necessária. Exemplo, são funções comerciais críticas, ativos críticos ou plantas, locais ou locais, etc E as exclusões do escopo também devem ser mencionadas aqui. As responsabilidades e responsabilidades incluem a propriedade dentro da organização, responsabilidades de grupos, equipes, funções dentro da organização. O quadro de alto nível, como planejar, verificar, agir, pelo qual o gerenciamento de continuidade de negócios será implementado e gerenciado. E, finalmente, os principais requisitos, como a realização de análises de impacto nos negócios, o desenvolvimento de planos de continuidade de negócios, teste e a manutenção dos planos, o treinamento e a conscientização, e também a consideração de qualquer legislação ou regulamentação aplicável requisitos. Por isso, é importante que as organizações estabeleçam e mantenham uma política de gestão da continuidade dos negócios. Porque sem isso, haverá falta de clareza na direção estratégica e na governança do sistema de gestão de continuidade de negócios. 18. Framework de gerenciamento da continuidade de negócios (BCMF): Como uma política, é um documento de alto nível que define a sua direção e define os principais princípios da estrutura de gerenciamento de continuidade de negócios é um documento muito mais detalhado, ou pode ser um conjunto de documentos que fornece o detalhes e processos específicos para governar, planejar, gerenciar e melhorar continuamente o sistema de gerenciamento de continuidade de negócios. A estrutura BCM geralmente inclui as seções a seguir. A visão geral inclui aspectos como requisitos e obrigações finais, metodologia e normas e orientações utilizadas no quadro. governança e o gerenciamento incluem funções e responsabilidades, monitoramento e emissão de relatórios, treinamento e educação, e como você pode incorporar as expectativas e requisitos de continuidade de negócios na organização. A análise de impacto nos negócios inclui requisitos para executar uma metodologia BIA, processo e modelos para executar a análise de impacto nos negócios do grupo funcional e como o BIA do grupo funcional é consolidado e rolado para formar uma visão empresarial. O planejamento de continuidade de negócios inclui requisitos, metodologia modelos de processo para documentar os planos de continuidade de negócios. A seção de implementação. Uma vez que os PCPs são desenvolvidos, eles precisam ser implementados e mantidos juntamente com um conjunto de outras documentações ou arranjos de suporte. Esta seção explica quais atividades em andamento são necessárias para garantir que os planos sejam funcionais e possam ser usados no dia em que forem necessários. próxima seção é geralmente a seção de validação que inclui detalhes de como testes de continuidade de negócios ou exercícios devem ser realizados para garantir a eficácia dos planos de continuidade de negócios. Além disso, que tipo diferente de exercícios que vamos estudar no capítulo posterior podem ser realizados e como revisões pós-exercício ou sessões de interrogatório devem ser realizadas para melhoria contínua. Além disso, os requisitos relacionados à auditoria ou garantia do sistema de gerenciamento de continuidade de negócios também estão incluídos nesta seção ou isso pode ser ambos. A auditoria interna que você deve realizar periodicamente ou as auditorias externas de certificação ou vigilância se sua organização está planejando ir para a certificação ISO double 2301 ou já tem uma certificação e quer mantê-la. Portanto, uma estrutura BCM bem documentada e mantida orienta e governa o ciclo de vida do gerenciamento de continuidade de negócios, tanto no grupo de negócios quanto no nível da organização. 19. 4.1 Gestão de risco de continuidade de negócios: Como parte do gerenciamento de continuidade de negócios, avaliação de riscos deve ser realizada para identificar a gama de possíveis cenários de interrupção. As fontes de riscos irão liderar habilidades, lacunas nos planos de preparação atuais, e o nível de risco Post também é importante para identificar o que as organizações arriscam o apetite. Para aqueles de vocês que não entendem o conceito de apetite de risco. De acordo com a ISO 31 mil, esse é um padrão global de gestão de risco. apetite por risco é a quantidade de riscos que uma organização está preparada para assumir. Em outras palavras, é o nível de risco que é considerado aceitável para o negócio. Uma maneira comprovada de conseguir isso é desenvolver um processo formal de gerenciamento de riscos que descreva as etapas para identificar, avaliar e avaliar os riscos de interrupção dos negócios. Decidir como gerenciar um risco de aceitação. É aqui que entra o apetite do risco. E identificar estratégias de mitigação de riscos que levam em conta os objetivos de continuidade de negócios e o apetite pelo risco. Portanto, se a avaliação de risco não for realizada, há clareza sobre quais processos de risco de continuidade de negócios estão tentando resolver. E, portanto, a organização pode estar preparada para apenas uma estreita gama de interrupções. Considerando que eles poderiam ser vulnerabilidades cratera então percebidos, ou poderia estar faltando lacunas nos processos de continuidade de negócios que estão sendo usados atualmente. 20. 4.2 e o gerenciamento de risco 4.3 de maior segurança em BCM: Embora o gerenciamento de risco e gerenciamento de continuidade de negócios estejam intimamente relacionados entre si, a diferença é que o gerenciamento de risco lida com o risco de conduzir negócios, enquanto o gerenciamento de continuidade de negócios lida com riscos para o negócio continuar a funcionar devido à interrupção. Assim, por exemplo, o gerenciamento de riscos, talvez olhando para os riscos de nível corporativo, como falta de recursos qualificados, um ataque cibernético ou um incumprimento normativo. Considerando o gerenciamento de continuidade de negócios, talvez olhando para os riscos relacionados aos possíveis cenários de interrupção ou lacunas e indisponibilidade dos principais sistemas e recursos. Portanto, embora ambos se sobreponham parcialmente e estejam relacionados, mas eles são diferentes uns dos outros. Se você quiser saber mais sobre o gerenciamento de risco organizacional, eles se referem ao padrão ISO 311000 que fornece detalhes sobre como estabelecer e manter o sistema de gerenciamento de risco. Como estudamos na palestra anterior, sua organização deve introduzir um processo de gerenciamento de risco e controles. Quem primeiro identificou riscos relacionados. E em segundo lugar, aplicou opções de tratamento relevantes em estratégias de mitigação. Essas opções geralmente incluem que você evite, mitigue, transfira ou exceto os efeitos das principais ameaças e vulnerabilidades. Uma vez que um risco é identificado, dependendo do apetite risco organizacional. E nós estudamos na palestra anterior o que é o apetite de risco. Existem quatro opções principais de tratamento de risco que podem ser aplicadas. Tratar ou reduzir a média do risco, aplicando controles relevantes para reduzir o efeito dos riscos. Por exemplo, se o backup dos dados não for feito, você implementa uma solução de backup para mitigar ou reduzir o risco de perda de dados. Segundo é dito taxa ou aceitar. Isso é usado quando o nível de risco é identificado dentro do apetite de risco da organização. Por exemplo, se houver um risco relacionado a um dos muitos edifícios de escritórios se tornar indisponível, o risco pode ser aceito se estiver dentro das organizações, apetite pelo risco. O terceiro é encerrar ou evitar, significa que você elimina essa fonte de ameaça. Por exemplo, se um sistema crítico tiver um risco de infecção por malware através da Internet, você decide conectar o sistema de dívida da Internet significa que você encerrou ou evitou o risco. A transferência ou sombreamento de riscos geralmente é realizada quando você terceiriza ou transfere o risco para terceiros, por exemplo, obtendo seguro. Por conseguinte, deve ser realizada uma avaliação de risco para identificar uma série de potenciais cenários e ameaças relacionadas com a continuidade dos negócios. Então você é capaz de decidir sobre as opções de tratamento e mitigações apropriadas. 21. 5.1 O que é a análise de impacto de negócios (BIA)?: A Análise de Impacto Empresarial, ou BIA, é o primeiro passo no seu planejamento de continuidade de negócios. Então, o que é BIA? Business Impact Analysis, ou BIA, é um processo de análise do impacto de um momento de interrupção. Basicamente, BIA é um exame de seu negócio como atividades habituais. Ele compartimenta as informações para permitir uma compreensão mais profunda e ajuda no planejamento da continuidade dos negócios. Por que precisamos realizar um BIA? Isso ocorre porque a BIA ajuda você a entender seu negócio. Ele prevê as consequências da interrupção de uma função e processos de negócios e reúne as informações necessárias para desenvolver estratégias de recuperação. Se um BIA não for realizado, os planos de continuidade não serão adequadamente informados sobre recursos, requisitos ou impacto para o negócio de não atingir o objetivo de tempo de recuperação, ou seja, RTO, e objetivo de ponto de recuperação, ou seja, arpeggio. Vamos olhar para esses termos na próxima palestra. 22. 5.2 e 5.3 Recover objectos e RTO vs RTO: Antes de começarmos a realizar a análise de impacto nos negócios, é importante entender alguns termos-chave e a diferença. O primeiro é RTO ou objetivo de tempo de recuperação. É um alvo. Você disse que a rapidez com que precisa recuperar seus serviços ou sistemas após uma grande interrupção. Em termos simples, você também pode pensar que nossa DIO significa quanto tempo sua empresa pode sobreviver ao cair de um desastre antes que as operações sejam restauradas ao normal. Por exemplo, se o áudio for de 24 horas, isso significa que você determinou que na empresa pode manter as operações por esse período de tempo sem ter seus dados e infraestrutura normais disponíveis. Se os dados e a infraestrutura não forem recuperados dentro de 24 horas, a empresa poderá sofrer danos irreparáveis. O próximo termo que é importante entender é arpeggio ou objetivo ponto de recuperação. Arpu é sobre a quantidade de dados que é perdida após um evento de falha. Arpu majors volta no tempo para quando seus dados foram preservados pela última vez em um formato utilizável. Normalmente, o backup mais recente. Ele também pode ser chamado de tolerância à perda de dados de uma organização. Dependendo do tipo de serviços, eles podem ser alguns serviços que somos ARPU ou recuperação de dados não é relevante e você só está preocupado com RTO. Esse é o objetivo do tempo de recuperação. Então arpeggio é a quantidade de dados que você pode se dar ao luxo de perder. O próximo termo é PD vazio, ou período máximo tolerável de interrupção. Algumas organizações e padrões, como ISO W3 0-1, também exigem ter um outro cálculo chamado smtp d. Isso significa identificar o período dentro do qual os impactos de não retomar atividades se tornariam inaceitáveis para o organização. Onde você definiu o PD vazio, RTO, ou seja, o período de tempo de recuperação definido privatizado dentro do PD vazio para retomar atividades disruptivas em uma capacidade mínima aceitável especificada. Então, apenas para esclarecer, como um exemplo, se você está vazio PD de sua organização é o sistema de cadeia de suprimentos é de sete dias. O RTO pode estar dentro desses sete dias como período de três dias. Nós estudamos as definições de RTO, que é objetivo de tempo de recuperação, e arpeggio, que é objetivo de ponto de recuperação. Na palestra anterior. Ambos são conceitos-chave para manter a continuidade dos negócios. Além disso, a função como matriz de negócios para calcular a frequência com que sua empresa precisa realizar backups de dados e com que rapidez você precisa fazer o backup e o funcionamento das coisas. Como você pode ver neste diagrama, ARPU está voltando no tempo para avaliar a quantidade de perda de dados aceitável a partir do momento em que um desastre ocorre. Considerando que RTO, objetivo de tempo de recuperação, representando o tempo que leva para um sistema passar de perda para recuperação. E o que deve ser feito para retornar o negócio ao seu pré-desastre ou negócio como de costume. Estado de Bau. 23. 5.4 com a análise de impacto para negócios - Parte 1: A análise de impacto nos negócios geralmente é realizada em algumas etapas. O primeiro é identificar os principais serviços em um grupo de negócios ou nível departamental. Identifique os principais serviços ou atividades que seu grupo funcional fornece. Por exemplo, se for um grupo de negócios financeiro, você pode ter serviços essenciais, como folha de pagamento, fornecimento, pagamentos, experiências, etc. Mas nesta etapa, você também deve identificar qual equipe ou indivíduos executam esses serviços. O próximo é identificar os objetivos do tempo de recuperação, como discutimos nas palestras anteriores. Imagine se você não pudesse entregar o serviço, quais seriam as consequências ordenadas ao longo de um período de tempo? Com base neste impacto? Identifique a DP vazia e seu período máximo tolerável de interrupção. Rto, objetivo de tempo de recuperação e, se aplicável, objetivo de ponto de recuperação arpeggio para cada um desses serviços. Por exemplo, para folha de pagamento, PD vazio, talvez 48 horas, e RTO é de 24 horas. O próximo é identificado recursos relacionados. Para cada serviço. Liste os recursos que você usa em seu grupo funcional. Pense em pessoal-chave, fornecedores, qualquer equipamento especial, locais, transporte, etc. 24. 5.5 com a análise de impacto para negócios - Parte 2: etapa número quatro é identificar os principais sistemas e objetivos de ponto de recuperação. Para cada serviço. Identificar quais são os principais sistemas e aplicativos. E para cada aplicativo, identifique o objetivo do ponto de recuperação. Para um lembrete sobre o arpejo. Imagine que o aplicativo acabou de travar, pensando para trás a partir do acidente, quando o último backup de dados deve ter sido executado? Forneça sua resposta em horas. Então ARPU é sobre sua tolerância à perda de dados. Considerou-se também a criticidade de volume e a velocidade de entrada de dados para decidir este ARPU. O próximo passo é listar as principais partes interessadas e documentos. Novamente, para cada serviço, lista, todos os principais interessados, como clientes, funcionários, conselho de administração. É um serviço relacionado ao governo, pode ser ministros, etc. Liste também todos os documentos-chave que usei para informar ou dirigir o serviço, como políticas, processos são Registros e onde esses documentos estão armazenados. A próxima e a sexta etapa é resumir a análise de impacto nos negócios. Depois de ter realizado e documentado todas as análises nas cinco etapas acima, analise, priorize e categorize todos os serviços do seu grupo funcional. 25. 5.6 com a análise de impacto para negócios - Parte 3: Ao final deste exercício de análise de impacto nos negócios, você deverá ser capaz de priorizar a lista de serviços com base em seus objetivos de recuperação. Isso é RTO e ARPU, significa que o serviço que precisa ser feito de backup e executado o mais rápido, talvez o seu serviço mais alto privatizado e assim por diante. Documente também todas as principais dependências relacionadas a pessoas, processos e tecnologia. Os recursos que são o shortstop foram para um ou mais de seus serviços, como computadores, internet, pessoas que conhecem o sistema e processos, aplicativos KID e partes interessadas relacionadas, como fornecedores, fornecedores e clientes. Depois de ter desenvolvido o BIA está no nível funcional ou de grupo empresarial. Você também deve consolidar o BIA em nível de organização para fornecer uma visão de nível corporativo sobre seus serviços e objetivos críticos. Portanto, a Análise de Impacto Empresarial para garantir que todas as funções essenciais, processos interdependências, riscos e requisitos de recursos sejam identificados e documentados com precisão. Depois de concluir o exercício BIA, você reuniu as principais informações necessárias para o planejamento de continuidade de negócios. E você pode ter certeza de que o plano PCP e ID DR será criado com uma compreensão precisa dos requisitos de negócios. 26. 6.1 Planejamento e estratégias de continuidade de negócios: Nesta seção, vamos discutir como desenvolver planos de continuidade de negócios. Mas primeiro vamos entender o propósito do PCP. O BCB se concentra em manter as funções de negócios de uma organização durante e após uma interrupção. Exemplo de uma função de negócios pode ser folha de pagamento de uma organização ou processo de suporte ao cliente, etc. Um PCP pode ser desenvolvido para um grupo de negócios específico, ou pode abordar todos os processos de negócios dentro da organização. Sistemas e aplicações são geralmente considerados no PCP em termos de seu suporte aos processos de negócios. Como você já realizou o BIA, você tem os dados e informações necessários para trabalhar em suas estratégias de recuperação. Estes são alguns dos requisitos e principais considerações para as estratégias de recuperação. Discutiremos estes mais detalhadamente nas próximas palestras. Quando falamos sobre o desenvolvimento do PCP. É aqui que responderei a algumas das perguntas que aqui estamos a debater. Dados de contacto. Como você pode proteger sua equipe e outras partes interessadas importantes? Você tem uma árvore de chamadas? Como os dados de contato são mantidos atualizados? Para instalações onde a equipe e as operações de negócios se relacionam da perspectiva de nossas instalações, em que período de tempo e quanto tempo o acordo temporário pode ser acomodado? Se isso não for conhecido antecipadamente, custo pode ser significativo. Embora às vezes um seguro adequado pode ajudar a cobrir parte do custo. Tecnologia e telecomunicações. Que tecnologia precisa ser recuperada e quando, que métodos de comunicação devem ser usados e quais são as alternativas, se necessário. Do ponto de vista das pessoas, que inicia contato com a equipe para verificar seu bem-estar e segurança e fornece atualizações de status. Como é que esta reportagem volta ao negócio? Quais funções são críticas? E qual é a regra do processo de recuperação? Quais recursos podem ser implantados em outro lugar? Que regras podem ser transferidas para outros funcionários e locais? Todas estas coisas fazem parte do aspecto dos povos. Em seguida, também olhamos para o aspecto dos fornecedores. Que opções alternativas podem, você pode empregar se um fornecedor chave for afetado? Que efeito isso tem na sua cadeia de suprimentos? Também consideramos interdependências. Quais dependências internas e externas são essenciais para a recuperação? Como essas equipes ou indivíduos devem ser contatados e gerenciados durante a recuperação? E quais alternativas estão em vigor, se necessário. Que partes internas e externas precisam ser notificadas sobre o incidente, em que prazo e quem gerencia isso. Todas essas coisas são consideradas como parte das interdependências. Também temos alguns outros requisitos, como processo de escalonamento e protocolo. Funções e responsabilidades incluíam delegações e proprietários de regras alternativas. Portanto, a fim de tornar seus PCPs realistas e pragmáticos, é vital que as opções de recuperação para os principais processos sejam avaliadas e que as estratégias de recuperação sejam determinadas com base nos resultados do BIA. Essas estratégias devem abordar todas as pessoas, instalações, recursos e oferta ou aspectos da recuperação. Uma vez que as estratégias de recuperação são desenvolvidas, elas devem ser aprovadas pela direção sênior e, em seguida, implementadas. 27. 6.2 desenvolvimento de plano de continuidade de negócios - Parte 1: Como agora trabalhamos nas estratégias de BIA e recuperação, é hora de desenvolver ou finalizar seu plano de continuidade de negócios que se concentra em manter as funções de negócios da organização durante e após a interrupção. Como você já teria entendido, documentação abrangente de continuidade aumentaria sua capacidade executar funções críticas de negócios em caso de desastre ou interrupção. Ao documentar o PCP, você deve identificar os cenários prováveis de interrupção e considerar a inclusão todas as informações relevantes que você considerou durante o BIA e identificar estratégias de recuperação, além de algumas componentes para planejamento de continuidade de negócios. Vamos dar uma olhada neles um por um. Do ponto de vista do povo. Árvore de chamadas onde informações de contato da equipe estão disponíveis Em seguida, temos de analisar o bem-estar e a conformação da segurança dos funcionários e o processo de relatório. Identifique a equipe principal necessária para período de recuperação e os requisitos de fornecimento de recursos adicionais, se necessário. Também precisamos olhar para os protocolos de briefing da equipe. Processo de realocação. Se possível. Ou seja, o processo pode ser alocado para outra equipe ou local? E também olhamos para o processo de escalonamento e protocolos para as pessoas. A próxima coisa que temos de considerar são as comunicações, papéis e as responsabilidades para comunicar mensagens-chave tanto interna como externamente. Analisamos as notificações às principais partes interessadas. E também consideramos uma atualização regular nos prazos. Além da escalada pós-processo e protocolos estão relacionados à comunicação. Do ponto de vista das nossas instalações, analisamos o impacto sobre os negócios. Se o site não estiver disponível. Consideramos locais de recuperação, incluindo disponibilidade de equipamentos e ideias, transporte e acesso para citar feijão, ponto de contato, chaves, alarmes e códigos se o RIME, etc. Nós também olhamos para a conformação da chegada do pessoal no local de recuperação e, obviamente, processo de escalonamento e protocolos relacionados às instalações. 28. 6.3 desenvolvimento de plano de continuidade de negócios - Parte 2: Ao desenvolver um plano de continuidade de negócios, também analisamos os aspectos de aplicativos e sistema. Isso inclui impacto nos negócios se o aplicativo ou o sistema não estiverem disponíveis no prazo exigido. Exemplo, pendências, atrasos de processamento, etc., qualquer tempo de corte crítico, exemplo, processamento de rolo B, quaisquer soluções manuais disponíveis. Analisamos qualquer rebaixamento, possibilidade de recuperação, quaisquer modelos desenvolvidos, lista de verificação ou processos necessários para a galeria. Por exemplo, excelentes modelos, processos de recuperação, etc., e quaisquer backups, restauração, se possível, e processos de escalonamento e protocolos relacionados a sistemas e aplicativos. Você também considera as telecomunicações. Isso inclui impacto nos negócios se as telecomunicações não estiverem disponíveis. Formulário ou número de fax três dirigiu qualquer trabalho manual em torno de telecomunicações, notificação para as principais partes interessadas. Mensagens de correio de voz atualizadas, também se necessário, assinaturas de e-mail. Quaisquer métodos alternativos de comunicação, por exemplo, formulários pessoais, comunicação por e-mail , mensagens de mídia social, etc., e processos de escalonamento e protocolos relacionados às telecomunicações. Também em dependências turbulentas. O impacto para os negócios se dependências internas ou equipes, como a TI, estiverem disponíveis, pode ser devido a atrasos de processamento ou pendências, etc. Qualquer solução manual, se disponível, notificações para as principais partes interessadas. Qualquer processo pode ser adiado, transferido para outra equipe ou local? E também analisamos e consideramos os processos e protocolos de escalonamento ou dependências internas. Do ponto de vista de um fornecedor, o impacto sobre os negócios se o fornecedor não estiver disponível. Exemplo, impacto da cadeia de suprimentos, fluxo para clientes, tempos críticos de corte, etc., qualquer solução alternativa, se disponível, ou quaisquer fornecedores alternativos e processos de escalonamento e protocolos relacionados a fornecedores. Todos os aspectos acima que discutimos são geralmente incluídos no plano de continuidade de negócios sob a forma de possíveis cenários de interrupção. Por exemplo, se você estiver construindo está inacessível devido a qualquer motivo para um número de dias. Como todos estes aspectos que discutimos entram em jogo. 29. 6.4 e 6.5 de desenvolvimento do plano de continuidade de negócios - Parte 3 e como armazenar cópias : Existem alguns requisitos especiais a serem considerados no desenvolvimento do BCB. Estes incluem requisitos de acesso remoto, por exemplo, tokens VPN, quaisquer requisitos de segregação, segurança ou função chinesa a serem considerados em locais de recuperação. Se houver algum equipamento especial. Eles também podem ser coisas como caixa de seleção, cartões de crédito ou tokens de acesso bancário. Além disso, unidades de rede ou armazenamento necessário. Você precisa considerar redirecionamentos masculinos para. Então você pode precisar redirecionar suas refeições físicas. Isso inclui uma cópia do plano de continuidade de negócios, coisas como luvas de segurança, tocha de água, cobertor, primeiros socorros, criança, etc. Há algum outro conteúdo a ser incluído no BGP também. Obrigado. Como os critérios do BCB Activision, como um PCP é ativado? Quem é responsável ou tem autoridade para ativar o BCB? Pontos de localização de recuperação de evacuação. Quais são os pontos de evacuação? E locais de recuperação? E quais são os protocolos de evacuação? Quem são os guardas de incêndio ou os escritórios de primeiros socorros? Principais números de contato para que todos os funcionários estejam cientes. Isto é, além dos serviços de emergência, coisas como linha de informação pessoal. Se você tem um programa de assistência para funcionários chamado EAP, empresa de segurança do proprietário, etc., lista de verificação para locais de recuperação, configuração no local de recuperação e para sair do local de recuperação. Lista de verificação também para retornar ao local principal ou para configurar um novo local primário. Depois de ter documentado o plano de continuidade de negócios, tenha em mente que a execução deles geralmente ocorre em três fases. Fase de continuidade, onde você mencionou o número mínimo de recursos necessários imediatamente para continuar para os serviços essenciais quando ocorre uma interrupção e o BGP é ativado. Assim, por exemplo, arranjos de trabalho remoto são estabelecidos para material chave. Uma vez assegurada a continuidade, você passa para a recuperação. Você recupera todos os serviços importantes para um nível aceitável. E a suposição é onde você retoma as operações normais. Isso é para os negócios, como de costume. Lembre-se, se um BCB não estiver devidamente documentado, há ações claras para que a equipe siga durante e após uma interrupção. Isso pode resultar em uma falha na restauração de funções-chave em um cronograma considerado aceitável pela empresa. A comunicação entre os quadros superiores e as principais partes interessadas, incluindo o pessoal, também será adiada devido à falta de preparação. Assim que os planos de continuidade de negócios forem finalizados e aprovados, distribua os PCPs a todos os principais funcionários e grupos de negócios, garantindo que estejam disponíveis em caso de desastre, incluindo a perda de sistemas de TI com controle virgem adequado. Vi casos em que o BCPL só estava disponível no site da intranet da organização. Aquele local ficou inacessível durante uma interrupção. Assim como o BCB. Certifique-se também de que uma cópia do PCP esteja acessível fora do escritório. Atualize esta cópia à medida que o PCP é atualizado durante todo o ciclo de vida do gerenciamento de continuidade de negócios Já vi isso várias vezes para vários clientes. Às vezes eles fazem um bom trabalho em manter o PCP fora do local e em um local facilmente acessível, como a casa GAR ou em um local alternativo. Mas muitas vezes essas cópias não são as mais recentes ou mais atualizadas. Portanto, certifique-se de ter descoberto como parte do processo de mudança de PCP. Para concluir este capítulo, agora entendemos como um plano de continuidade de negócios predefinido maximiza a chance de uma recuperação bem-sucedida eliminando a tomada de decisões precipitadas em condições estressantes. Você também entende o que alguns dos componentes-chave de um VSEPR. Então, tome um momento aqui e anote, quais são algumas das suas principais aprendizagens deste capítulo? E quais são alguns dos principais aspectos que você consideraria ao desenvolver um plano de continuidade de negócios. 30. 7.1 Plano de recuperação de desastres de TI: Vejamos o plano de recuperação de desastres de TI ou o plano de recuperação de desastres de TI com um pouco mais de detalhes. Como está intimamente relacionado com o PCP. Ele recuperação de desastres pode ser referido como o aspecto técnico do PCP. A DRP deverá incluir medidas coerentes a empreender antes, durante e subsequentemente a uma catástrofe. De ERPs são desenvolvidos usando um processo de planejamento abrangente com base nos PCPs acordados máximos toleráveis tempos de interrupção, RTOs e arpejos. A estrutura de gestão de risco da organização e envolvimento de todas as unidades de negócios. E o plano de TI DR deve abranger aspectos como a definição de um desastre. Quando será chamado de desastre. A ativação do DRP descreve o processo de ativação do DRP. Dependendo do tipo de incidente. O DRP pode ser ativado sozinho ou em conjunto com o BCB. Funções e responsabilidades, define as funções e responsabilidades das equipes de recuperação de desastres. Serviços e componentes críticos. Deve incluir componentes como desktops e sistemas portáteis e dispositivos, servidores, redes locais, redes área ampla, sistemas distribuídos, sites, etc. Essa tradição de funcionalidade de TI, os processos de failover para restaurar a funcionalidade de TI, incluindo a utilização de documentação de suporte, como SOPs, são procedimentos operacionais padrão e coisas como servidor como Bill documentação que pode ser usada para restauração, objetivos de recuperação. Ou seja, os áudios e os arpejos, certificando-se de que sua tradição é conforme os objetivos de recuperação definidos nos PCPs, dependências internas e externas, como serviços de nuvem do fornecedor, dependências de sistemas internos e processos, etc. É importante garantir que dependências do provedor de serviços de ID externo também tenham sido identificadas e documentadas. E estratégias para a continuidade desses serviços foram identificadas. A árvore de metas inclui uma árvore de chamada de recuperação de desastres. Comunicação durante um desastre. Ele lida com os processos de comunicação durante um desastre, inclusive com funcionários, fornecedores, autoridades de mídia e clientes. Os testes e a manutenção descrevem o plano de recuperação de desastres de TI, os requisitos de teste e manutenção. Acessibilidade e certeza de que o plano está acessível em um desastre, incluindo, como discutimos anteriormente no BGP, quando o ambiente de TI não está disponível. E por último, mas muito importante, integração com PCP. O DRP deve integrar-se na estrutura e plantas mais amplas de continuidade de negócios da organização. Portanto, é importante ter um DRP de TI bem documentado e manter. Porque não ter um DRP abrangente resultará em que os sistemas e componentes de TI não sejam restaurados em um período considerado aceitável para os negócios e definido nos PCPs. 31. 7.2 em ligação com a recuperação de desastres de TI e planos relacionados: Para um programa eficaz de gerenciamento de continuidade de negócios, é essencial que ele não seja um documento autônomo. Em vez disso, conecta-se perfeitamente com todos os planos e procedimentos relacionados , tais como o plano de gestão de crises. Como estudamos no primeiro capítulo, gestão de crises se concentra na gestão do impacto estratégico do incidente, como perdas financeiras graves, danos à reputação ou comprometimento da capacidade da organização para atingir seus objetivos. comunicação interna e externa desempenha um papel vital na gestão de crises. Nenhum programa de continuidade de negócios está completo sem um plano de comunicação de crise total e eficaz que garanta que você possa se comunicar rapidamente com funcionários, clientes e outras partes interessadas. resposta de emergência, como tínhamos estudado, concentra-se nas ações imediatas de um incidente. E o gerenciamento de incidentes é sobre o escalonamento e gerenciamento dos eventos e incidentes. Além disso, analisamos ideias sobre o plano de recuperação de desastres que se concentra na resposta e na recuperação de sistemas e ativos de TI devido a interrupções significativas, vídeos ou interrupções de serviço. Todos estes planos têm de ser coordenados e ligados entre si. Normalmente, isso é feito no nível de governança, como se uma organização tem um BCM ou comitê de governança de resiliência organizacional que garante que essas plantas estejam bem integradas e referenciadas entre si. 32. 8.1 Treinamento e consciência de continuidade de negócios: Quais planos de continuidade de negócios para ser utilizável e eficaz? O aspecto mais crucial e importante é o fator humano. As pessoas precisam estar prontas para responder a eventos disruptivos. Melhorar a capacidade do seu pessoal para responder a interrupções é um elemento-chave do sistema de gerenciamento de continuidade de negócios. Os principais elementos de educação e conscientização dentro do CMS, nosso engajamento e envolvimento de grupos empresariais e indivíduos no planejamento e exercícios de continuidade. Quanto mais eles estiverem envolvidos, melhor será a sua compreensão. Em seguida, é a indução e instruções tratadas para novas pessoas, bem como para líderes durante a integração. Consciência de risco Sessões de treinamento que considerem aspectos gerais da continuidade de negócios devem ser fornecidas como parte do processo de indução para todos os funcionários, bem como durante o processo de entrega. E as responsabilidades e as responsabilidades são alteradas. Em seguida, são sessões de treinamento periódico. Isso deve ser sessões periódicas ou contínuas de treinamento e conscientização do BCPL. Um bom momento para fazê-lo é após os exercícios periódicos de BCB, certifique-se de registrar essa tendência dessas sessões. Próximo, especialmente streaming. Além das sessões de treinamento e conscientização mais amplas, alguns detalhes e sessões específicas devem ser realizadas para indivíduos envolvidos no planejamento ou execução da continuidade de negócios. Por exemplo, realizando uma sessão detalhada sobre como executar a Análise de Impacto nos Negócios. Reitor briefings sobre mudanças e modificações. Assim, sempre que os planos de continuidade de negócios são atualizados ou modificados, sessões de debriefing devem ser conduzidas. De acordo com a ISO W2 3-0. O trabalho de uma pessoa deve estar ciente de uma. A política de continuidade de negócios. Faça sua contribuição para a eficácia do BC MS, incluindo os benefícios de um melhor desempenho de continuidade de negócios. Três, as implicações de não conformidade com os requisitos do sistema de gerenciamento de continuidade de negócios. E lutou contra suas próprias regras e responsabilidades antes, durante e depois das interrupções. 33. 8.2 a incorporação do BCM em cultura organizacional: Incorporar o gerenciamento de continuidade de negócios na cultura da organização não é uma atividade única, mas um processo contínuo. Esta integração continuará a ser melhorada à medida que as pessoas se familiarizarem com os conceitos de continuidade de negócios através da participação no planeamento e nos exercícios. E como as práticas de continuidade de negócios são incluídas no negócio como atividades habituais. A gestão de docas tem aqui um papel vital a desempenhar para alcançar esta integração cultural. A gestão de topo deve incentivar continuamente todas as pessoas e líderes a procurar oportunidades para fortalecer a resiliência organizacional a interrupções, incorporando arranjos de continuidade nos negócios como atividades usuais, como trabalho descrições, contratos de fornecimento, estratégias comerciais ou planejamento de negócios. Portanto, gerenciar o fator humano é fundamental para o sucesso do seu sistema de gerenciamento de continuidade de negócios. Sem gerir o aspecto das pessoas. A equipe não terá uma compreensão adequada de suas funções na manutenção do MS BCS ou o que fazer em caso de interrupção. Além disso, sem um programa de treinamento bem pensado, eles podem não ter visibilidade suficiente sobre se as pessoas têm as habilidades e competências necessárias para apoiar o PCP e os processos. Portanto, as organizações precisam garantir que tenham um programa de treinamento formal, especialmente para as pessoas-chave envolvidas nas atividades de planejamento e resposta de continuidade de negócios. Desenvolver também uma cultura de resiliência organizacional, não apenas como um processo contínuo, mas também como parte dos processos de indução e entrega. 34. 9.1 testes e exercícios: Testes e exercícios são essenciais para garantir que os PCPs sejam eficazes. Significa que podem andar na prática, não apenas no papel. Adequado para o propósito. Para entender. Se formos quaisquer ajustes são necessários nos planos de continuidade de negócios e capazes de atingir os objetivos. Meios, somos capazes de alcançar esses objetivos de recuperação ou não? Se não forem realizados testes regulares de planos de continuidade de negócios e componentes de DR. de TI relacionados. Os funcionários podem estar mais ansiosos e nervosos durante uma interrupção como eles serão forçados a pensar em seus pés. Com o estresse e a incerteza aumentados. Como conseqüência, a organização não tem a garantia de que eles serão capazes de recuperar os serviços e processos de negócios em um período que é aceitável para a organização em geral. Estes exercícios também são eventos educacionais vitais, proporcionando excelentes oportunidades para os líderes praticarem a tomada de decisões em condições de crise e se prepararem ou cenários semelhantes. Áreas mais operacionais e críticas de tempo podem desejar realizar exercícios mais frequentes e rigorosos para garantir sua capacidade de responder a interrupções. 35. Métodos de teste 9.2 e 9.3 de continuidade de negócios - Parte 1 e 2: Os métodos de teste variam de preparação mínima e recursos para os mais complexos. Cada um baseia suas próprias características, objetivos e benefícios. O tipo de teste empregado pela organização será determinado dentro do planejamento de continuidade de negócios com base nos recursos, tamanho, complexidade, custo e natureza dos objetivos de teste. Existem vários tipos de metodologias de exercício que podem ser utilizadas para validar o conhecimento da equipe e o uso dos respectivos planos. Eu mencionei os quatro métodos de teste mais comuns aqui. A partir de uma caminhada estruturada. Isso é mais um exercício baseado em discussão todo o caminho até o teste em grande escala. Esse é o tipo mais abrangente de testes realizados. E, como você pode ver, a frequência, o custo, tempo e o esforço variam de acordo com o tipo de exercício selecionado. Nas próximas palestras, discutiremos as diferenças e o que acontece em cada um desses métodos de teste com mais detalhes. Está estruturado. Orientações passo a passo são exercícios baseados em discussão. As discussões são sobre como o plano de continuidade de negócios é executado em uma sala de conferência ou em uma configuração de grupo pequeno. O foco está no treinamento individual e em equipe. E os elementos críticos do plano são esclarecidos ou destacados. O objetivo principal de realizar uma abordagem estruturada é validar o processo de completude e educar os membros da equipe de recuperação interdependentes sobre etapas de teste, tarefas e prazos. Os participantes exploram questões relevantes e percorreram plano de continuidade de negócios em um ambiente solto e sem pressão. Uma vez que é um exercício muito baixo custo e rápido, geralmente pode ser realizado várias vezes em um ar. Em seguida, é um exercício de mesa. Um exercício de mesa é um pouco mais envolvido do que um exercício passo a passo porque os participantes escolhem um cenário de evento específico e aplicam o PCP a ele. Os componentes de um exercício de mesa podem incluir a prática e a validação da capacidade de resposta funcional específica. Foco na demonstração de conhecimentos e habilidades, bem como na interação da equipe e na capacidade de tomada de decisão. Role-playing com resposta simulada em locais alternativos ou instalações para executar etapas críticas, reconhecer dificuldades e resolver problemas em um ambiente não ameaçador. Mobilização de toda ou parte da equipe de gestão de crises ou resposta para a prática de coordenação adequada. Estas são as coisas que geralmente estão envolvidas em um exercício de mesa. teste funcional é o primeiro tipo de teste que envolve a mobilização real de pessoal em outros locais, na tentativa de estabelecer comunicação e coordenação, conforme estabelecido nos planos de continuidade de negócios. O teste funcional ou operacional é realizado em um ou mais componentes do plano e nas condições reais de operação. Os componentes do teste operacional funcional incluem demonstração de recursos de gerenciamento de continuidade de negócios de vários grupos. São o cuspir uma série de funções interativas, tais como ativação in-house em diferentes grupos de negócios, coordenação com fornecedores, lidar com partes interessadas externas, etc. resposta real ou simulada a locais alternativos ou instalações usando capacidades de comunicação reais e grau de leitura de real Em oposição a simulá-lo, notificações e mobilização de recursos. No evento simulado função, espera-se que os participantes estejam familiarizados com os planos que estão sendo exercidos e são obrigados a demonstrar como esses planos funcionam à medida que o cenário se desenrola. teste em grande escala é o tipo de teste mais abrangente. Em um teste integrado em grande escala, a organização implementa todo ou parte de seu plano de continuidade de negócios processando dados e transações usando mídia de backup em um local de recuperação alternativo. Normalmente sob condições operacionais simuladas. Componentes de um teste integrado em grande escala envolvem semelhante ao teste de função, demonstração de conhecimentos e habilidades, bem como resposta de gestão e capacidade de tomada de decisão, validação de funções de resposta a crises. Mas também inclui na cena a execução de funções de coordenação e tomada de decisão. Real Ao contrário de notificações simuladas, mobilização de recursos e comunicação de decisões. Atividades realizadas em locais ou instalações de resposta reais. Participação e interação em toda a empresa de equipes de resposta de gestão interna e externa. Com total envolvimento de organizações externas. O processamento real de dados utilizando mídia de backup significa que a restauração completa dos dados precisa ocorrer. Os exercícios em grande escala geralmente se estendem por um período de tempo mais longo para permitir que as questões evoluam totalmente à medida que votam em uma crise e permitem role-play realista de todas as partes e grupos envolvidos. 36. Métodos de teste da continuidade do negócio 9.4 - Parte 3: Portanto, é importante identificar quais exercícios funcionam melhor para o seu grupo de negócios ou organização e, em seguida, executá-los regularmente. Porque se nenhum exercício ou teste for realizado, o cronograma real para recuperar todos os sistemas e processos de negócios não pode ser assegurado. E não há um entendimento claro de que o PCC funcionaria de acordo com as expectativas. Baseado na minha experiência. Uma maneira muito eficaz de abordar isso é desenvolver um plano de exercícios. O cronograma de exercícios, certifique-se de que os exercícios não sejam uma atividade única. E eles são uma série de eventos que permitem que sua organização melhore gradualmente ao longo do tempo. Ao desenvolver este plano de exercícios, considere uma variedade de métodos de exercício como estes que discutimos. Orientações estruturadas, exercícios de mesa, teste funcional e teste em grande escala. Normalmente, um exercício de continuidade de negócios começa com uma caminhada estruturada e avança para um teste funcional e de escala completa à medida o sistema de gerenciamento de continuidade de negócios amadurece ou um período de tempo. 37. 9.5 de exercício no 9.5: Após os exercícios do BCB, as sessões de debriefing são uma parte importante para melhorar a resiliência às interrupções de negócios. Eles permitem que as equipes celebrem o sucesso e identifiquem áreas para melhoria. Na sessão de interrogatório deve ser realizada o mais rapidamente possível após o término de um exercício ou operação de resposta. Esta sessão para capturar o que funcionou bem, áreas para melhoria e o que não correu como planejado e aprendizagens individuais. Esses tópicos devem ser registrados em um relatório de formulário curto e distribuídos aos envolvidos na sessão. melhorias ou ações corretivas devem ter uma honra especificada e devem ser rastreadas para garantir que sejam concluídas em tempo hábil. 38. 10.1 de manutenção dos planos de continuidade de negócios: O objetivo desta etapa é estabelecer os requisitos fundamentais necessários para realizar uma manutenção invalidada do plano de continuidade de negócios e medir a maturidade do CG-MS e dos planos individuais de continuidade de negócios. A manutenção dos PCPs deve ser realizada após uma mudança significativa em nosso processo de negócios, função ou sistema. Nesse caso, uma análise de impacto nos negócios também precisará ser realizada para a função ou sistema do processo de negócios. E as plantas precisarão ser atualizadas em conformidade. Após cada teste de continuidade de negócios. A terra será modificada, aprovada e deve ser lida distribuída em tempo hábil. Periodicamente, pelo menos anualmente. sistema de gestão da continuidade dos negócios e os PCP devem ser revistos. Pode haver mudanças nos detalhes de contato, mudanças nos papéis, etc., com mudanças no emprego. E lembre-se de seguir os procedimentos de controle de alterações para qualquer atualização do plano de continuidade de negócios. 39. 10.2 Monitoramento e garantia de planos de continuidade de negócios: O objetivo desta etapa é examinar a adesão à política, normas e procedimentos estabelecidos pelo sistema de gestão de continuidade de negócios. Auto-avaliações são boas. No entanto, uma revisão imparcial ou independente sob a direcção, digamos, de uma auditoria interna é muitas vezes muito eficaz. monitoramento e a garantia incluem o monitoramento em relação aos objetivos do GCMS estabelecidos no quadro de gerenciamento de políticas ou de continuidade de negócios. Medido centavos desde o último exercício e número de problemas não resolvidos. E medir centavos desde que a última análise de impacto nos negócios foi realizada, um processo de negócios EMI ou alterações de aplicativos ocorreram desde então. E revisão da integridade dos planos e documentação do exercício. Também os planos de exibição para inclusão ou eliminação de processos de negócios novos ou obsoletos ou alterações de aplicativos. Estas auditorias podem ser realizadas periodicamente para avaliar planos individuais ou o quadro de gestão da continuidade dos negócios a nível da empresa. Uma maneira eficaz de realizar isso, como discutimos, é através de auditorias independentes. Que avaliações podem ser realizadas periodicamente para avaliar estes e a maturidade da estrutura BCM e planos individuais de continuidade de negócios. Portanto, essas atividades de monitoramento e garantia de continuidade de negócios para garantir e validar que a organização é resistente a interrupções e pode retomar os serviços críticos e as operações completas da loja em um período e maneira aceitável para o negócio. 40. 11.1 encerramento: Chegámos agora à conclusão deste curso. Para uma recapitulação rápida, estudamos vários conceitos fundamentais e tópicos principais relacionados ao gerenciamento de continuidade de negócios ao longo deste curso que incluíram diferenças importantes entre vários aspectos de resiliência organizacional e plantas como gestão de crises, resposta de emergência, gestão de incidentes, TI, DR. et cetera. Na ISO W2 3012019, capítulo do sistema de gerenciamento de continuidade de negócios, olhamos para o que eu vi o padrão W3 0-1 é que olhamos para o ciclo de vida do PDCA Plan-Do-CheckAct. Quais são as cláusulas ISO den? O que eles significam, e quais são alguns dos principais benefícios da implementação e manutenção de um MS BC a partir de diferentes perspectivas, como benefícios da perspectiva de negócios, Perspectiva Financeira, Perspectivas de Processo Interno e partes interessadas perspectivas. Em seguida, analisamos o capítulo de governança, onde discutimos sobre a importância de ter clara responsabilidade, propriedade e responsabilidades. E por que razão ter uma política e um quadro é importante para a governação de um BCM.” s na gestão de riscos. Onde estudamos como uma gestão eficaz do risco é importante para o CG-MS. Quais são as diferenças entre o gerenciamento de risco corporativo e a resiliência de negócios? E quais são algumas das opções comuns de tratamento de risco que podem ser aplicadas à continuidade de negócios religiosa. Em seguida, analisamos a análise de impacto nos negócios, ou BIA. Falamos sobre o que é BIA. Por que fazemos o BIA? E como a BIA ajuda você a entender melhor sua organização. Estudamos quais são os objetivos de recuperação. Os principais conceitos de RTO, objetivos de tempo de recuperação e objetivo de ponto de recuperação arpeggio. Em seguida, olhamos para os seis passos da realização de um BIA. Após a BIA, analisamos os detalhes do planejamento de continuidade de negócios. Estudamos o que é PCP, quais são os requisitos das estratégias de continuidade de negócios e como podemos desenvolver o PCP considerando vários aspectos como pessoas, comunicação, instalações, sistemas, dependências, etc. E quais são os conteúdos que precisam ser incluídos no plano de continuidade de negócios? Depois de ser Cp, analisamos a ligação que a recuperação de desastres de TI e as plantas relacionadas em ligação com a DR de TI e planos relacionados que estudamos sobre o Plano de TI DR. em mais detalhes, incluindo o planejamento Y IT DR. é necessário. E quais são os componentes do Plano de TI DR.? Em seguida, discutimos por que é essencial que plano de continuidade de negócios não é um documento autônomo. Em vez disso, ele se conecta perfeitamente com os planos relacionados, como resposta de emergência, Gestão de Crises, Gestão de Incidentes, etc. O próximo capítulo que estudamos foi o fator humano. Foi aqui que estudamos por que o treinamento em uma Vênus é o aspecto mais crucial para que os planos de continuidade de negócios sejam utilizáveis e eficazes. Nós olhamos para o que alguns dos principais elementos de educação e conscientização devem ser dentro do BC MS. Também discutimos por que BCM pode ser incorporado e como ele pode ser incorporado na cultura organizacional com a ajuda de um processo contínuo e envolvimento da gestão de topo. Em seguida, analisamos os exercícios de PCP. No capítulo de exercícios do BCB, estudamos a importância de realizar os testes e exercícios de BCB para garantir que as plantas funcionem na prática e não apenas no papel. E se eles são capazes de ser os objetivos necessários. Analisamos vários métodos de teste e exercício e qual deles será adequado em diferentes cenários. Além disso, a importância de realizar as sessões de debriefing e como elas devem ser conduzidas. Em seguida, passamos para o capítulo de monitoramento e garantia de manutenção, onde analisamos como PCPs o CMS B deve ser mantido e mantido atualizado. E quais são os principais aspectos da realização do acompanhamento periódico e garantia. Portanto, com todas essas estratégias, planos, exercícios, conscientização e garantia. Tudo o que estamos tentando alcançar é quando um incidente atinge sua organização e os funcionários não são banir agir como veados misturados por um farol. E em vez disso eles estão prontos e treinados como Artes que se preparam para o dia chuvoso. 41. 11.2 Pensamentos finais e passos próximos: Espero que tenham gostado deste curso e tenham aprendido alguns conceitos muito importantes relacionados ao gerenciamento de continuidade de negócios. Eu realmente encorajaria você a seguir essas diretrizes e implementar um BC MS, ou desenvolver um PCP que permita que você garanta sua organização seja resistente a interrupções e possa retomar serviços críticos, restaurar operações completas dentro de um prazo aceitável. Mesmo se você atualmente não tem esse papel em sua organização ou não estão trabalhando de forma diferente e organização, você sabe bem e tentou aplicar esses conceitos sobre ele. O membro BCM não é um exercício de uma vez e feito. a continuidade dos negócios e a resiliência organizacional exigem um olhar constante sobre ameaças novas e em evolução, garantindo que você esteja ciente e gerenciando o risco. O código que compartilhei com você antes do Dennis resume muito bem o discurso. Espere o melhor, planeje o pior, e prepare-se para ser surpreendido. Muito obrigado por se juntarem a mim nesta jornada. Gostei de ensinar o que tenho feito há vários anos. E espero vê-lo no meu próximo curso. Tenha um ótimo dia.