11.1 Những khía cạnh quản lý tính liên tục trong kinh doanh
Mục tiêu: Chống lại những gián đoạn trong hoạt động kinh doanh và bảo vệ quy trình kinh doanh trước ảnh hưởng của thảm họa và các sự cố hỏng hóc.
Cần triển khai quy trình quản lý tính liên tục trong kinh doanh nhằm giảm thiểu sự phá hủy do các thảm hoạ hoặc các lỗi bảo mật tới mức có thể chấp nhận được thông qua việc kết hợp các quy tắc ngăn chặn và phục hồi (chẳng hạn các sự phá
hủy có thể do các thảm hoạ thiên nhiên gây nên, tai nạn, hỏng hóc thiết bị và những hành động có chủ tâm).
Cần phân tích hậu quả từ những tai hoạ, các lỗi bảo mật cũng như việc tổn thất từ các dịch vụ.
Cần mở rộng và triển khai các kế hoạch ngắn hạn nhằm đảm bảo rằng các quy trình kinh doanh có thể được phục hồi trong phạm vi thời gian yêu cầu.
Các kế hoạch này cần được duy trì và cải thiện thành một phần không thể thiếu trong mọi quy trình quản lý khác.
Quản lý tính liên tục trong kinh doanh cần có các quy tắc nhằm xác định và giảm thiểu rủi ro, hạn chế hậu quả của các sự cố, đảm bảo tính liên tục của các hoạt động mang tính then chốt.
11.1.1 Quy trình quản lý tính liên tục trong kinh doanh
Cần có một quy trình quản lý đối với quá trình phát triển và duy trì tính liên tục trong kinh doanh thông qua tổ chức. Cần đưa ra một số yếu tố chính của quy trình quản lý tính liên tục trong kinh doanh như sau:
a) nắm được khả năng gặp rủi ro cũng như ảnh hưởng của chúng đối với tổ, bao gồm việc xác định các quy trình kinh doanh mang tính then chốt cũng như quyền ưu tiên của các quy trình này;
b) nắm được sự ảnh hưởng, khả năng xảy ra gián đoạn đối với doanh nghiệp (điều quan trọng là các giải pháp đưa ra sẽ xử lý các sự cố nhỏ cũng như các sự cố có tính nghiêm trọng đe dọa khả năng tồn tại của tổ chức), và thiết lập các mục tiêu kinh doanh của các tài sản tham gia vào quá trình xử lý thông tin;
c) cần tính đến việc mua hợp đồng bảo hiểm sao cho phù hợp, điều này có thể tạo thành một phần của quá trình kinh doanh liên tục trong doanh nghiệp;
d) cần đưa ra một cách chính xác và lập tài liệu về chiến lược kinh doanh mang tính liên tục sao cho phù hợp với mục tiêu, quyền ưu tiên về mặt kinh doanh của doanh nghiệp đã được thỏa thuận từ trước;
e) cần đưa ra một cách chính xác và lập tài liệu về kế hoạch kinh doanh mang tính liên tục theo chiến lược đã được đưa ra từ trước;
f) thường xuyên kiểm tra và cập nhật kế hoạch cũng như các quy trình đã đề ra; g) đảm bảo rằng việc quản lý tính liên tục trong kinh doanh được kết hợp chặt chẽ với cấu trúc cũng như các quy trình trong tổ chức. Trách nhiệm đối với việc phối hợp giữa các quy trình quản lý tính liên tục trong kinh doanh cần đưa ra ở một mức độ thích hợp trong tổ chức, ví dụ, tại các forum về an toàn thông tin (xem 4.1.1).
Kinh doanh mang tính liên tục nên bắt đầu bằng việc xác định những vấn đề mà có thể tạo ra sự gián đoạn cho quá trình kinh doanh, ví dụ, sự hỏng hóc thiết bị, lũ lụt và hoả hoạn. Điều đó được thực hiện bằng việc đánh giá rủi ro để xác định được ảnh hưởng đó (kể cả phạm vi thiệt hại lẫn thời gian phục hồi). Cả hai hành động trên nên được tiến hành với sự tham gia đầy đủ của những người sở hữu các nguồn tài nguyên cũng như quy trình kinh doanh. Sự đánh giá cần chú ý tới tất cả các quy trình kinh doanh, và không nên bị hạn chế bởi các tài sản tham gia vào quá trình xử lí thông tin.
Phụ thuộc vào những kết quả của việc đánh giá rủi ro, kế hoạch chiến lược nên được phát triển để xác định phương pháp mang tính tổng thể cho kinh doanh mang tính liên tục. Một khi kế hoạch đã được tạo ra, nó nên được xác nhận bằng việc quản lí.
11.1.3 Phác thảo và thực hiện những kế hoạch liên tục
Các kế hoạch nên được phát triển để duy trì hay phục hồi những hoạt động kinh doanh trong những phạm vi thời gian yêu cầu sau sự gián đoạn, sự bất thành của các quá trình kinh doanh then chốt. Quá trình lập kế hoạch kinh doanh liên tục nên chú ý những điều sau:
a) xác nhận và thoả thuận tất cả những trách nhiệm và các thủ tục cấp thiết;
b) thực hiện các thủ tục khẩn cấp để cho phép sửa chửa và phục hồi trong phạm vi thời gian yêu cầu. Chú ý đặc biệt là cần đưa ra sự đánh giá những phụ thuộc kinh doanh bên ngoài và các hợp đồng thay thế;
c) lập tài liệu những thủ tục và các quá trình đã thoả thuận;
d) sự đào tạo nhân viên phù hợp trong những thủ tục cấp thiết và các quá trình đã thoả thuận bao gồm sự quản lí khủng hoảng;
e) kiểm tra và cập nhật các kế hoạch;
Quá trình lập kế hoạch nên tập trung vào những mục tiêu kinh doanh cần thiết, ví dụ, phục hồi các dịch vụ khách hàng đặc biệt với lượng thời gian chấp nhận được. Những dịch vụ và nguồn tài nguyên mà sẽ có thể cho phép điều đó nên được chú ý, bao gồm cán bộ, những tài nguyên phi xử lí thông tin, cũng như những sắp xếp dự trữ cho các điều kiện xử lí thông tin.
11.1.4 Cơ cấu lập kế hoạch kinh doanh liên tục
Cơ cấu đơn của các kế hoạch kinh doanh nên được duy trì để đảm bảo rằng tất cả các kế hoạch là phù hợp, và để xác định những ưu tiên cho việc kiểm tra và duy trì. Mỗi kế hoạch kinh doanh nên xác định rõ ràng những điều kiện cho sự hoạt động
của nó, cũng như những cá nhân có trách nhiệm thực hiện mỗi phần của kế hoạch. Khi những yêu cầu mới được xác định, những thủ tục cấp thiết đã thiết lập, ví dụ, các kế hoạch thiếu sót hay bất kì những sắp xếp dự trữ hiện hữu, nên được sửa đổi cho thích hợp.
Cơ cấu lập kế hoạch kinh doanh nên chú ý những điều sau:
a) những điều kiện cho việc kích hoạt các kế hoạch, mô tả quá trình theo sau (làm thế nào để đánh giá tình hình, ai có liên quan …) trước khi mỗi kế hoạch được kích hoạt;
b) các thủ tục cấp thiết, mô tả những hành động được thực hiện tiếp sau việc có liên quan gây nguy hiểm cho các hoạt động kinh doanh và/hoặc cuộc sống con người. Nó nên bao gồm những sắp xếp cho việc quản lí các quan hệ công đồng và cho việc liên lạc hiệu quả với những tổ chức chính quyền thích hợp, ví dụ, cảnh sát, đội phòng cháy và chính quyền địa phương;
c) các thủ tục dự phòng, mô tả những hành động được thực hiện để chuyển những hoạt động kinh doanh thiết yếu hoặc các dịch vụ cung cấp tới những địa điểm tạm thời khác, và để đưa các quá trình kinh doanh hoạt động trở lại trong những phạm vi thời gian yêu cầu;
d) các thủ tục tiếp tục lại, mô tả những hành động được thực hiện để trở về những hoạt động kinh doanh bình thường;
e) kế hoạch duy trì, xác định làm thế nào và khi nào kế hoạch được kiểm tra, và quá trình duy trì kế hoạch;
f) những hoạt động nhận thức và đào tạo, được lập để tạo ra sự hiểu biết về các quá trình kinh doanh và đảm bảo rằng các quá trình tiếp tục tỏ ra có hiệu quả;
g) những trách nhiệm của các cá thể, mô tả ai chịu trách nhiệm thực hiện phần nào trong kế hoạch. Những lựa chọn khác nên được đề nghị nếu cần;
Mỗi kế hoạch nên có một chủ sở hữu riêng biệt. Những thủ tục cấp thiết, những kế hoạch dự phòng phác thảo và các kế hoạch tiếp tục lại nên nằm trong trách nhiệm của những chủ sở hữu những tài nguyên kinh doanh hoặc các quá trình liên quan. Việc sắp xếp các dịch vụ kĩ thuật khác, như là những phương tiện xử lí thông tin và truyền thông, thông thường là trách nhiệm của các nhà cung cấp dịch vụ.
11.1.5 Thường xuyên kiểm tra, duy trì và đánh giá lại những kế hoạch kinh doanh doanh
11.1.5.1 Kiểm tra các kế hoạch
Các kế hoạch kinh doanh có thể không thành khi được kiểm tra, thường là bởi những giả định không chính xác, những sơ suất, hoặc những thay đổi trong trang
thiết bị hay nhân sự. Vì thế chúng nên được kiểm tra thường xuyên để đảm bảo rằng chúng được cập nhật và hiệu quả. Những kiểm tra như vậy cũng sẽ đảm bảo rằng tất cả các thành viên của đội phục hồi và nhân viên liên quan khác quan tâm tới các kế hoạch.
Lịch kiểm tra kế hoạch kinh doanh nên chỉ định làm thế nào và khi nào mỗi yếu tố trong kế hoạch sẽ được kiểm tra. Có vẻ tốt hơn nếu kiểm tra những thành phần cá thể trong kế hoạch một cách thường xuyên. Nhiều công nghệ nên được dùng để cung cấp sự bảo đảm rằng kế hoạch sẽ hoạt động trong thực tế. Chúng bao gồm: a) kiểm tra các bản thảo khác nhau (thảo luận những sắp xếp phục hồi kinh doanh dùng những gián đoạn ví dụ);
b) những mô phỏng (đặc biệt cho việc đào tạo con người trong những vai trò quản lí khủng hoảng của họ);
c) kiểm tra sửa chữa kĩ thuật (đảm bảo các hệ thống thông tin có thể được phục hồi một cách hiệu quả);
d) kiểm tra việc phục hồi ở vị trí khác (cho hoạt động các quá trình kinh doanh song song với các hoạt động phục hồi ở xa địa bàn chính);
e) các kiểm tra những điều kiện cung cấp và các dịch vụ (đảm bảo các dịch vụ cung cấp bên ngoài và các sản phẩm sẽ đáp ứng đúng bản cam kết đã kí);
f) những diễn tập hoàn chỉnh (kiểm tra rằng tổ chức, nhân sự, trang thiết bị, các phương tiện và các quá trình có thể đương đầu với những gián đoạn);
Các công nghệ có thể được tổ chức dùng và sẽ phản ánh bản chất của kế hoạch phục hồi riêng biệt.
11.1.5.2 Duy trì và đánh giá lại các kế hoạch
Những kế hoạch kinh doanh nên được duy trì bằng những xem xét lại thường xuyên và những cập nhật để đảm bảo tính hiệu quả không ngừng của chúng (xem 11.1.5.1 tới 11.1.5.3). Các thủ tục nên được bao gồm bên trong chương trình quản lí thay đổi của tổ chức để đảm bảo rằng những vấn đề kinh doanh được chú tâm thích hợp. Trách nhiệm nên được ấn định cho việc xem xét thường xuyên mỗi kế hoạch kinh doanh, sự xác định những thay đổi trong sắp xếp kinh doanh mà chưa phản ánh trong những kế hoạch kinh doanh nên được tiếp tục bằng việc cập nhật kế hoạch thích hợp. Quá trình kiểm soát thay đổi chính thức này sẽ đảm bảo rằng những kế hoạch cập nhật được phân bổ và được củng cố bằng những xem xét thường xuyên bản kế hoạch hoàn chỉnh.
Ví dụ về những hoàn cảnh mà có thể cần phải có bản kế hoạch cập nhật, bao gồm sự thu nhận trang thiết bị mới, hoặc việc nâng cấp các hệ thống hoạt động và những thay đổi trong:
a) nhân sự;
b) địa chỉ và số điện thoại; c) chiến lược kinh doanh;
d) địa điểm, phương tiện và tài nguyên; e) pháp luật;
f) người thầu, nhà cung cấp và khách hàng quan trọng; g) các quá trình, hoặc những quá trình mới/huỷ bỏ; h) rủi ro (hoạt động và tài chính);