1/18/2013

1

مديريت تداوم كسب و كار سرويس هاي بانكيISO 22301:2012بر مبناي استاندارد بين المللي

بيژن ده موبدb_dehmoubed@isc.iranet.net

فهرست مطالبمفاهيم و تعاريف•)مروري بر آمارهاي بين المللي(ضرورت مديريت تداوم كسب و كار •اهداف اصلي سيستم مديريت تداوم كسب و كار•مروري بر استانداردهاي بين المللي مديريت تداوم كسب و كار •گام هاي پياده سازي سيستم مديريت تداوم كسب و كار•گام هاي تهيه طرح تداوم كسب و كار•مديريت بحران در بانك اندونزي: مطالعه موردي•

2 of 40

1/18/2013

2

مفاهيم و تعاريف Business Continuity Management)-مديريت تداوم كسب وكار •

)BCM در تهديدات اين كه را اثراتي همچنين و سازمان بالقوه تهديدات كه باشد، مي نگر كل مديريتي فرايند يك–

يك ديگر سوي از و كند، مي شناسايي بگذارند، كار و كسب عمليات بر است ممكن تحقق صورت سود از حفاظت جهت موثر پاسخگويي قابليت با همراه سازمان ارتجاع قابليت ايجاد براي چارچوب

.دهد مي ارائه كنند، مي ايجاد ارزش كه هايي فعاليت همچنين و سازمان برند و اعتبار نفعان، ذي (Business Continuity Strategy) استراتژي تداوم كسب و كار•

يا وقايع با مواجهه زمان در را آن كار كسب تداوم و بازيابي كه سازمان يك در شده بكارگرفته رويكرد–.كند مي تضمين كار، و كسب هاي وقفه يا و مهم هاي بحران ديگر

BCP-(Business Continuity Plan(طرح تداوم كسب وكار • بحران وقوع زمان در استفاده منظور به سازمان يك كه ها رويه و اطلاعات از مستند اي مجموعه–

قابل سطح يك در حياتي هاي فعاليت تداوم قابليت تا كند، مي نگهداري آماده حالت در و تهيه گردآوري،.باشد دارا را شده تعريف پيش از و قبول

3 of 40

)ادامه(مفاهيم و تعاريف

: BIA-(Business Impact Analysis(تحليل اثر بر كسب و كار •.باشد داشته ها آن روي بر وقفه يك است ممكن كه اثري و كار و كسب عمليات تحليل فرآيند–

Maximum Tolerable Period)زمان قابل تحمل وقفه حداكثر •)MTPD-of Disruption

سازمان حيات كند، پيدا ادامه نتواند خدمات و محصولات تحويل كه صورتي در آن، از پس كه زماني مدت–.گيرد مي قرار تهديد مورد ناپذيري برگشت صورت به

RTO-(Recovery Time Objective(زمان بازيابي مورد هدف • انجام ازسرگيري يا بحران؛ يك از پس خدمت يا و محصول تحويل سرگيري از براي موردهدف زمان مدت–

يك از پس كامپيوتري برنامه يا و اطلاعات فناوري سيستم يك بازيابي يا بحران؛ يك از پس فعاليت يك.بحران

RPO-(Recovery Point Objective(نقطه بازيابي مورد هدف •حادثه بازيابي از پس آن به بازگشت براي هدف مورد حالت يا مرحله نقطه،–

4 of 40

1/18/2013

3

ضرورت مديريت تداوم كسب و كارمروري بر آمارهاي بين المللي

(485 companies, 49 countries, ٢٠12)

5 of 40

بحران هاي سال هاي گذشته

6 of 40

1/18/2013

4

طبقه بندي تهديدات بر اساس نوع كسب و كار

7 of 40

طبقه بندي تهديدات بر اساس كشورها

8 of 40

1/18/2013

5

:از عبارتند ها سازمان متوجه تهديدات مهمترين•74( ارتباطات و اطلاعات فناوري هاي سرويس در وقفه%(68( محرمانه اطلاعات افشاي%( 65( سايبري حملات%(59( زلزله و سيل مانند طبيعي وقايع%(

كسب اند، شده روبرو عظيم بحران يك با كه كار و كسب تداوم طرح فاقد هاي سازمان %80 از بيش•.اند داده دست از كامل طور به را خود كار و

اند، داده دست از ها بحران در را خود هاي داده كه كار و كسب تداوم طرح فاقد هاي سازمان 90%•.اند شده حذف رقابتي بازار از بعد سال دو در

به را ها بحران اثرات اند توانسته داشتند، كار و كسب تداوم مديريت سيستم كه هايي سازمان 82%•.است نداشته تاثيري ها سازمان اين از %55 درآمد روي بر ها بحران و دهند كاهش جدي صورت

مروري بر آمارهاي بين المللي

9 of 40

Business Continuity Management Goals

10 of 40

1/18/2013

6

اهداف اصلي سيستم مديريت تداوم كسب و كارو بحران مديريت ها، سرويس عملياتي هاي وقفه از ناشي اثرات تحليل و شناسايي توانايي ايجاد

سازمان به وارده خسارت كاهش نتيجه درسازماندهي و المللي بين و استاندارد مبناي يك بر ها سرويس كار و كسب تداوم طرح سازي پياده

مربوطه فرآيندهاي بهينهو غيرعامل پدافند كميته افتا،( قراردادي و قانوني الزامات به پاسخگويي ...(عملي و مدون هاي طرح مشخص، اهداف مبناي بر پشتيبان هاي سايت توسعه ريزي برنامه،از اطمينان جهت مشخص زماني هاي دوره در كار و كسب تداوم طرح آزمايش و تست تمرين

ها آن صحيح كاركردسازمان اعتبار و ها توانمندي ها، سرويس به مشتريان اطمينان و عمومي اعتماد افزايش•...

11 of 40

مروري بر استانداردهاي بين المللي

تداوم كسب و كار

12 of 40

1/18/2013

7

13 of 20

BS 25999استاندارد :منتشر شده در دو نسخه•

• BS 25999-1:2006 (Code of Practice)• BS 25999-2:2007 (Specifications)

2012شناخته شده ترين استاندارد بين المللي تداوم كسب و كار تا سال •كشور دنيا 100خريد نسخه استاندارد در بيش از •كشور دنيا 43سازمان در 800دريافت گواهينامه در بيش از •كشور جديد 15سازمان ديگر از جمله 400درخواست دريافت گواهينامه توسط •

)ISO 22301انتقال به (

14 of 40

1/18/2013

8

15 of 20

؟

16 of 20

1/18/2013

9

برخي از سازمان هاي دريافت كننده BS 25999گواهينامه انطباق با

17 of 20

ISO 22301:2012استاندارد

توسط اولين استاندارد بين المللي مديريت تداوم كسب و كار تهيه و تاييدشده •ISOموسسه بين المللي

BS 25999بر پايه استاندارد •:تدوين در دو بخش•

– ISO 22301:2012 (Requirements)

– ISO 22313 (Guidelines)

18 of 40

1/18/2013

10

ISO 22301:2012استاندارد

هاي Best Practiceتهيه شده بر اساس تجربه متخصصين و •كشور مختلف 16تداوم كسب و كار در

19 of 40

استاندارد مديريت تداوم كسب و كار PDCAچرخه

20 of 40

1/18/2013

11

چرخه حيات مديريت تداوم كسب و كار

21 of 40

را خود كار و كسب تداوم قابليت تا سازد مي قادر را سازمان برنامه، مديريت– جهت در و نموده سازي پياده سازمان، پيچيدگي و اندازه با متناسب

.بردارد گام آن نگهداشت مديريت فرآيند قلب منزله به كار و كسب تداوم برنامه مديريت حقيقت در–

.باشد مي كار و كسب تداوم

:كار و كسب تداوم برنامه مديريت مرحله سه–ها مسئوليت انتصاب -1سازمان در كار و كسب تداوم سازي پياده -2كار و كسب تداوم مستمر مديريت -3

مديريت برنامه تداوم كسب و كار -1

22 of 40

1/18/2013

12

كه آورند مي فراهم را اطلاعاتي ،"سازمان شناخت" با مرتبط هاي فعاليت– ضرورت و خود كليدي خدمات و محصولات تا سازد مي قادر را سازمان را، است نياز مورد خدمات و محصولات آن تحويل براي كه هايي فعاليت .نمايد بندي اولويت

شناخت سازمان -2

23 of 40

استراتژي از اي دسته ارزيابي منجربه كار و كسب تداوم استراتژي تعيين– براي مناسب واكنش يك انتخاب باعث عمل اين .شود مي مختلف هاي كه اي گونه به شود، مي خدمات يا محصولات از هريك در وقفه وقوع

:آن از بعد و وقفه زمان در را خدمات و محصولات آن تواند مي سازمانقبول قابل عملياتي سطح يك تا قبول قابل زماني بازه يك در .دهد تحويل

كار و كسب تداوم استراتژي تعيين -3

24 of 40

1/18/2013

13

...!!!سايت هاي پشتيبان 25 of 40

IBM Disaster recovery tiers

26 of 40

1/18/2013

14

انواع سايت هاي پشتيبان

Cost

Ava

ilabi

lity,

con

figur

atio

n

Cold site

Warm site

Hot site

27 of 40

ايجاد به منتج كار، و كسب تداوم مديريت واكنش يك سازي پياده و توسعه– تداوم و بازيابي و بحران مديريت براي ساختار يك و مديريتي چارچوب يك

.شد خواهد كار و كسببحران مديريت طرح•كار و كسب تداوم طرح•

توسعه و پياده سازي يك پاسخ مديريت تداوم -4كسب و كار

28 of 40

1/18/2013

15

سازمان به كار و كسب تداوم مديريت مميزي و بازبيني نگهداشت، تمرين،–:كه بخشد مي را توانايي ايندقيق و جاري كامل، هايش طرح و ها استراتژي كه دهد نمايش را اي محدوده

و هستند،نمايد مشخص را ارتقا هاي فرصت.

تمرين، نگهداري و بازبيني ساختار مديريت -5تداوم كسب و كار

29 of 40

تلاش يك نتيجه آخرين نمايد، پشتيباني كار و كسب تداوم از كه فرهنگي– .باشد مي ريزي برنامه فرآيند در كار و كسب صاحبان براي موفق

تا گردد مي موجب سازماني فرهنگ در كار و كسب تداوم مديريت تعبيه– بخشي به تبديل كار و كسب تداوم مديريت

مورد در و گردد سازمان محوري هاي ارزش از اطمينان ها، وقفه بر تسلط براي سازمان توانايي.كند مي القاء ذينفعان تمامي به را لازم

نهادينه سازي مديريت تداوم كسب و كار در -6فرهنگ سازماني

30 of 40

1/18/2013

16

Roadmap استانداردISO 22301

31 of 40

Business Continuity Plan Steps

“Better to have the business continuity plan and not need it, than to need the plan and not have it.”32 of 40

1/18/2013

17

تداوم كسب و كار در سرويس هاي بانكي

33 of 40

34 of 20

1/18/2013

18

Tsunami Banda Aceh –2004

35 of 40

Jakarta Flood –2007

36 of 40

1/18/2013

19

عواقب و نتايج بحران ها.مركز داده اصلي بانك در اثر سيل و طوفان به طور جدي آسيب ديد•كليه تجهيزات داخل مركز داده از كار افتادند و قابليت سرويس دهي •

.نداشتند.ارتباطات، الكتريسيته و شبكه هاي ارتباطي قطع شدند•.ارتباطات تنها از طريق تلفن هاي ماهواره اي امكان پذير بود•كليه داده هاي ذخيره شده در پايگاه داده بانك به طور كامل از بين •

.رفتند...و در نتيجه كل سرويس هاي بانكي از مدار خارج شدند... •

37 of 40

اقدامات مديريت بحرانتماس سريع با تيم هاي مدريت بحران•:تشكيل دو تيم اصلي براي مديريت بحران•

هماهنگي انتقال سرويس ها به سايت پشتيبان و مديريت بحران : تيم اصلي–سايت اصلي براي بازگشت به وضعيت عادي

راه اندازي سرويس ها در سايت پشتيبان و تامين نيروي متخصص : تيم دوم–مورد نياز

(KBI)هماهنگي براي انتقال ارتباطات شبكه اي به سايت پشتيبان •راه اندازي سرورهاي پشتيبان مستقر در سايت پشتيبان•بازگرداني داده هاي ذخيره شده روي نسخه هاي پشتيبان•

38 of 40

1/18/2013

20

"The only thing harder than planning for an emergency is explaining why you didn't“

Any questions…?39 of 40