• baner www 2

O systemach zarządzania

Opublikowano w Baza wiedzy

Systemy zarządzania ciągłością działania (ang. Business Continuity Management – BCM) oraz zarządzania bezpieczeństwem informacji (ang. Information Security Management – ISM) są częścią całego systemu zarządzania w instytucji. Ich celem jest ustanowienie, wdrożenie a następnie wykorzystanie, monitorowanie, utrzymanie i doskonalenie ciągłego funkcjonowania najważniejszych procesów instytucji (w przypadku BCM) oraz bezpieczeństwa informacji (w przypadku ISM).

Działania w ramach tych systemów wpisują się w cykl Deminga, czyli tzw. schemat PDCA (ang. Plan-Do-Check-Act):

  • Planowanie (ang. Plan) – etap planowania systemu zarządzania obejmuje zgromadzenie podstawowych informacji opisujących organizację oraz procesy biznesowe w niej funkcjonujące, inwentaryzację posiadanych zasobów oraz stosowanych technologii zabezpieczeń, przeprowadzenie dwuetapowej analizy ryzyka obejmującej analizę wpływu incydentów na działanie procesu BIA (ang. Business Impact Analysis) oraz szczegółową analizę zagrożeń i podatności dotyczących ciągłości działania krytycznych procesów oraz bezpieczeństwa informacji, opracowanie wymaganych dokumentów systemowych (np. polityka ciągłości działania, strategia ciągłości działania oraz deklaracja stosowania zabezpieczeń, plany i procedury systemowe),
  • Wykonanie (ang. Do) – etap implementacji systemu zarządzania obejmujący wdrożenie mechanizmów zarządzania incydentami, wdrożenie zabezpieczeń, w tym szczegółowe opracowanie i wdrożenie do stosowania planów utrzymania ciągłości działania – BCP (ang. Business Continuity Plan), przeprowadzenie procesu uświadamiania personelu w zakresie zasad zachowania ciągłości działania, wdrożenie metod obniżenia ryzyka wybranych w strategii zarządzania ciągłością działania, ustanowienie procesów zarządzania operacyjnego systemem, realizacje wewnętrznych i zewnętrznych kanałów komunikacyjnych,
  • Sprawdzenie (ang. Check) – etap dotyczący monitorowania i przeglądu systemu zarządzania obejmujący analizę danych gromadzonych w systemie, realizację audytów wewnętrznych, przeprowadzenie przeglądów działania systemu przez najwyższe kierownictwo, zaplanowanie udoskonaleń systemu,
  • Działanie (ang. Act) – etap utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem/ciągłością działania obejmujący realizację działań korygujących i zapobiegawczych oraz doskonalenie systemu obejmujące aktualizacje obowiązujących procedur, planów BCP oraz analiz ryzyka stosownie do zmieniających się procesów biznesowych opisujących organizację, jak też zmian zachodzących w otoczeniu prawnym i biznesowym.

Proces zarządzania ciągłością działania wymaga więc wdrożenia działań (analiz ryzyka) obejmujących identyfikację potencjalnych zdarzeń stanowiących zagrożenie dla funkcjonowania procesów biznesowych instytucji i określenie ich wpływu na te procesy. Konieczne jest utworzenie struktury zarządzania, która umożliwi zapewnienie odpowiedniej reakcji na te zdarzenia (zarządzania incydentami) i pozwoli utrzymać ciągłość działania procesów, a następnie uruchomienie mechanizmów umożliwiających minimalizację skutków wystąpienia sytuacji kryzysowej (opracowanie i stosowanie planów utrzymania ciągłości działania). W szczególności odtwarzanie przerwanych procesów lub ich kontynuację w lokalizacji zapasowej.

Zarządzanie ciągłością działania jest procesem ciągłego doskonalenia mającego na celu opracowanie, a następnie utrzymanie na właściwym poziomie planów działania w sytuacji potencjalnie kryzysowej, która może spowodować przerwanie realizacji najważniejszych procesów instytucji. W rozbudowanej organizacyjnie instytucji zarządzanie ciągłością działania obejmuje pracowników, miejsca pracy, systemy teleinformatyczne, informacje, systemy techniczne, dostawców mediów, udziałowców. Nagłe zakłócenie działania systemu teleinformatycznego przełoży się na przerwanie ciągłości działania całego organizmu instytucji.

Należy podkreślić, że w ramach systemu OSCAD z systemem zarządzaniem ciągłością działania został zintegrowany pokrewny w sensie zasad zarządzania, system zarządzania bezpieczeństwem informacji (ang. Information Security Management System – ISMS).

Definicje

Opublikowano w Baza wiedzy

  • Działanie (ang. Activity) - proces lub zespół procesów podejmowanych przez instytucję (lub w jej imieniu) tworzący lub wspomagający jeden lub więcej produktów i usług.
  • Ciągłość działania (ang. Business Continuity) - strategiczna i taktyczna zdolność organizacji do przewidywania i reagowania na sytuacje kryzysowe, umożliwiająca kontynuację procesów biznesowych na akceptowalnym, predefiniowanym poziomie.
  • Zarządzanie ciągłością działania (ang. Business continuity management – BCM) - holistyczny proces zarządzania, który identyfikuje potencjalne zagrożenia dla instytucji oraz wpływ na procesy biznesowe, jakie zagrożenia te mogą powodować, jeżeli wystąpią. Proces ten zapewnia strukturę, na której buduje się odporność instytucji ze zdolnością do skutecznej reakcji, i która zabezpiecza interesy kluczowych udziałowców, jak też reputację, markę i działania kreujące wartość instytucji.
  • Cykl życia zarządzania ciągłością działania (ang. business continuity management lifecycle) - seria działań dotyczących ciągłości działania, które wspólnie obejmują wszystkie aspekty i fazy programu zarządzania ciągłością działania.
  • Program zarządzania ciągłością działania (ang.business continuity management programme) - ciągły proces zarządzania, wspomagany przez zarząd instytucji oraz odpowiednie zasoby, mający na celu zapewnienie, że podjęto konieczne kroki aby zidentyfikować skutki potencjalnych strat, utrzymać wykonalne strategie i plany odtwarzania oraz zapewnić ciągłość produktów i usług poprzez szkolenie, ćwiczenia, utrzymanie i przeglądy.
  • Plan ciągłości działania (ang. business continuity plan (BCP)) - udokumentowany zbiór procedur i informacji, który jest tworzony, uzupełniany i gotowy do użycia w przypadku wystąpienia incydentu, tak aby instytucja mogła kontynuować dostarczanie swoich usług krytycznych na akceptowalnym, wcześniej zdefiniowanym poziomie.
  • Strategia ciągłości działania (ang. business continuity strategy) - podejście, które gwarantuje odtworzenie i ciągłość działania instytucji w przypadku katastrofy lub innego poważnego incydentu albo zakłócenia działań biznesowych.
  • Analiza wpływów na procesy biznesowe (ang. business impact analysis) - proces analizy funkcji biznesowych oraz efektów, jakie na te procesy może wywrzeć zakłócenie działań biznesowych.
  • Analiza kosztów i zysków (ang. cost-benefit analysis) - technika finansowa, która mierzy koszt wdrożenia określonego rozwiązania i porównuje je z korzyściami, jakie to rozwiązanie przynosi.
  • Działania krytyczne (ang. critical activities) - działania, które należy przeprowadzić w celu dostarczenia kluczowych produktów i usług, umożliwiających organizacji osiągnięcie jej najważniejszych celów, zwłaszcza tych, które są silnie uwarunkowane czasowo.
  • Zakłócenie (ang. Disruption) - wydarzenie, przewidywane (np. strajk lub huragan) lub nieprzewidziane (np. awaria zasilania lub trzęsienie ziemi), które powoduje nieplanowane, negatywne zmiany w stosunku do spodziewanego dostarczenia produktów lub usług zgodnie z celami instytucji.
  • Plan zarządzania incydentami (ang. incident management plan) - jasno zdefiniowany i udokumentowany plan działań, który ma być używany podczas incydentu, zwykle odnoszący się do kluczowego personelu, zasobów, usług i działań potrzebnych do wdrożenia procesu zarządzania incydentem.
  • System zarządzania (ang. management system) - system(y) do definiowania polityki i celów oraz do osiągania tych celów.
  • Maksymalny tolerowany okres zakłócenia (ang. maximum tolerable period of disruption) - czas trwania zakłócenia, po którego przekroczeniu zdolność instytucji do funkcjonowania będzie nieodwołalnie zagrożona.
  • Odporność (ang. resilience) - zdolność instytucji do przeciwstawienia się skutkom wywołanym przez incydenty.
  • Akceptacja ryzyka (ang. Risk acceptance) - decyzja zarządu instytucji, dopuszczająca pewien zidentyfikowany stopień ryzyka, podejmowana zazwyczaj z przyczyn ekonomicznych (brak środków finansowych) lub technicznych (brak możliwości realizacji).
  • Analiza ryzyka (ang. Risk analysis) - proces identyfikacji ryzyka, określania jego źródeł, wielkości i wyodrębniania obszarów wymagających zabezpieczeń.
  • Dostępność – atrybut bezpieczeństwa (ang. Availability) - właściwość, która powoduje, że coś jest dostępne i możliwe do wykorzystania na żądanie, w założonym czasie przez podmiot (kogoś lub coś), który ma do tego prawo.
  • Udziałowcy (ang. Stakeholders) - osoby, które są żywotnie zainteresowane powodzeniem działań instytucji.
  • Incydent (ang. Continuity incident) - niekorzystne zdarzenie związane z organizacją lub jej częścią, które może spowodować wstrzymanie lub nieefektywne wykonywanie procesów biznesowych.
  • Infrastruktura krytyczna (ang. Critical Infrastructure – CI) - infrastruktura o dużej skali, której degradacja, zniszczenia lub zakłócenia mogłyby mieć poważny wpływ na zdrowie, bezpieczeństwo lub dobro społeczeństw, efektywne funkcjonowanie rządów i/lub gospodarki.
  • Informacyjna infrastruktura krytyczna (ang. Critical Information Infrastructure – CII) - procesy informacyjne wspierane przez technologie informatyczne i komunikacyjne, które same w sobie stanowią infrastruktury krytyczne lub są niezbędne do funkcjonowania innych infrastruktur krytycznych.
  • Ocena ryzyka (ang. Risk evaluation) - ocena ryzyka polega na porównaniu szacowanego ryzyka z założonymi kryteriami ryzyka w celu wyznaczenia powagi ryzyka.
  • Oszacowanie ryzyka (ang. Risk assessment) - proces oceny znanych i postulowanych zagrożeń oraz podatności, przeprowadzony w celu określenia spodziewanych strat i ustalenia stopnia akceptowalności działania systemu.
  • Otoczenie prawne (ang. Legal environment) - otoczenie prawne to ogół przepisów prawnych, statutowych, regulacji kontraktowych, które musi spełniać instytucja, jej partnerzy handlowi, kontrahenci i usługodawcy. Przepisy te nakazują prowadzenie działań zgodnych z prawem oraz ochronę wyspecyfikowanych w przepisach rodzajów informacji wrażliwych.
  • Podatność (ang. Vulnerability) - słabość lub luka w systemie przetwarzania danych, która może być wykorzystana przez zagrożenia.
  • Postępowanie z ryzykiem (traktowanie ryzyka) (ang. Risk treatment) - wybór i wdrożenie środków wpływających na zmianę wielkości ryzyka.
  • Ryzyko (ang. Risk) - prawdopodobieństwo, że określone zagrożenie wykorzysta podatność instytucji lub jej części, aby wstrzymać lub czasowo uniemożliwić kontynuację jej działań.
  • Scenariusz ryzyka (ang. Risk scenario) - scenariusz ryzyka przedstawia, w jaki sposób dane zagrożenie lub grupa zagrożeń może wykorzystywać podatność lub grupę podatności, prowadząc do określonych następstw.
  • Sektor (ang. sector) - obszar gospodarki, którego firmy oferują takie same lub pokrewne produkty lub usługi.
  • SLA (ang. Service Level Agreement) - umowy pomiędzy klientem a dostawcą, zawierające parametry określające poziom świadczonych usług IT.
  • System Zarządzania Bezpieczeństwem Informacji – ISMS (ang. Information Security Management System) - część całościowego systemu zarządzania instytucji, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji
  • Usługa krytyczna (ang. Critical service) - sługa realizowana przez system teleinformatyczny, posiadająca bezpośrednie znaczenie dla funkcjonowania instytucji; wskazana przez gremium odpowiedzialne za bezpieczeństwo w celu zapewnienia jej szczególnej ochrony, zwłaszcza w zakresie dostępności.
  • Zagrożenie (ang. Threat) - potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu teleinformatycznego, a w dalszej konsekwencji dla instytucji.
  • Zarządzanie ryzykiem (ang. Risk management) - całkowity proces identyfikacji, monitorowania oraz eliminacji lub minimalizowania prawdopodobieństwa zaistnienia zdarzeń, które mogą mieć wpływ na zasoby systemu informatycznego.
  • Zasoby, zwane też czasem aktywami (ang. Assets) - wszystko, co posiada wartość dla instytucji i co należy chronić dla jej dobra, aby mogła ona funkcjonować w sposób niezakłócony.

Baza wiedzy

Opublikowano w Baza wiedzy

Baza wiedzy zawiera podstawowe zagadnienia związane z systemami zarządzania ciągłością działania i ochroną informacji. Zebrano w niej następujące informacje:

  • charakterystyka systemów zarządzania,
  • podstawowe słownictwo i definicje,
  • informacje o obowiązujących normach,
  • linki do stron związanych z tematyką zarządzania ciągłością działania i ochroną informacji.

O nas

emag-logo

Instytut Technik Innowacyjnych EMAG jest instytutem badawczym zajmującym się kompleksowym opracowywaniem oraz wdrażaniem nowoczesnych urządzeń, systemów oraz technologii.

Kontakt

Instytut Technik Innowacyjnych EMAG
40-189 Katowice, ul. Leopolda 31

tel. + 48 (32) 2007-805, tel. kom. +48 606 747864
faks + 48 (32) 2007-803, e-mail: oscad@ibemag.pl
http://www.ibemag.pl

 

Mighty Free Joomla Templates by MightyJoomla