Оценка поставщиков, или памяти сгоревшего датацентра посвящается

02.04.2010

Поговорим немного о такой теме, как оценка готовности ваших поставщиков (товаров, услуг, связи и т.п.) противостоять чрезвычайным ситуациям. На эту тему меня натолкнули два случившихся почти одновременно события. На прошлой неделе случился серьезный пожар у украинского хостинг-провайдера hosting.ua, и примерно тогда же SunGard объявил о выходе нового продукта из семейства Continuity Management SolutionVendor Assessment. Основной интерес заключается не столько в самом продукте, сколько в заложенной в нем методологии — как надо оценивать своих поставщиков с тем, чтобы они не стали узким местом в вашей системе обеспечения непрерывности бизнеса.

Но сначала — небольшой экскурс в события недавних  дней — пожар у украинского хостинг-провайдера hosting.ua. Как правило, выбирая внешний хостинг, мы подразумеваем, что наш провайдер уделяет серьезное внимание безопасности своей (и нашей) инфраструктуры, обеспечивает надежное резервное копирование и т.п. — волшебная формула  «аутсорсинг — теперь ваши проблемы становятся нашими». Человеку вообще по природе своей свойственно надеяться на лучшее и верить в сказки :).  27 марта случилось то, чего точно не ожидали клиенты провайдера — ЦОД сгорел. Не дотла, но сильно.  При этом система газового пожаротушения не сработала (оставим этот факт на совести строителей ЦОДа), а приехавшие пожарные водой довершили то, что не успел сделать огонь.

Информация о происшедшем имеется крайне обрывочная. Вечером 27 марта в ЦОДе случился «крупный пожар и серьезные повреждения».  Фотографии с места пожара можно посмотреть тут. С 31 марта на сайте провайдера стали появляться отрывочные сообщения о происходящем, в которых произошедший пожар был объявлен форс-мажором, по поводу наличия резервных копий была дана довольно противоречивая информация — от «все данные виртуального хостинга остались на не поврежденных бэкап серверах» до «Информация с серверов, индексы которых начинаются на E и F восстановлению не подлежит».

Это еще одна тема, достойная отдельного обсуждения — как коммуницировать с внешним миром после ЧС, оставим ее пока за кадром.

А поговорим мы о том, как добавить уровень обеспечения непрерывности бизнеса ваших поставщиков в перечень критериев выбора поставщиков, чтобы не оказаться потом у разбитого корыта по чужой вине.  Ведь является абсолютно нормальной, и почти повсеместной для крупных компаний, практика контроля надежности поставщиков службами экономической безопасности, так почему же непрерывность бизнеса остается в стороне? Давайте посмотрим, какой подход практикуется крупными западными компаниями.

1. Оценка системы обеспечения непрерывности бизнеса поставщика.

На этом этапе поставщиков просят предоставить необходимые материалы, касающиеся обеспечения непрерывности бизнеса. В зависимости от глубины анализа может запрашиваться различный объем материалов из следующих областей:

  • Общая информация о системе обеспечения непрерывности бизнеса
  • Управление рисками в организации
  • Кризисное управление/оповещение
  • Основные бизнес-процессы
  • Основные технологии
  • Тестирование системы обеспечения непрерывности бизнеса/учения
  • Возможность доступа к документации системы обеспечения непрерывности бизнеса/участия в тестах.

Полученная информация оценивается, и на ее основе определяется уровень обеспечения НБ в организации. Как строить скоринговую модель — дело тонкое. Можно разработать свою систему оценки в зависимости от важности определенных параметров, можно взять готовую систему, как например SunGard Vendor Assessment, можно выбрать компромиссный вариант — подстроить существующую скоринговую модель под себя.

При анализе данных важно  обращать внимание на два момента.

1. Верификация данных. У вас должна быть возможность и процедура верификации предоставляемых вам данных, полностью (что вряд ли целесообразно), либо выборочно.

2. Периодическое обновление информации. Высокий уровень обеспечения НБ год назад еще не означает, что это качество автоматически перенеслось и на новые услуги организации.

2. Документально закрепленный перенос рисков на сторону поставщика.

Одна из привлекательных сторон аутсорсинга заключается как раз в том, что вместе с бизнес-функциями вы передаете вовне и все ассоциированные с ними риски. Логично ожидать, что в случае внезапной неспособности самостоятельно выполнять возложенные на него функции, ваш поставщик либо сможет в кратчайшие сроки привлечь дополнительные ресурсы для выполнения этих функций (с соблюдением требований безопасности и конфиденциальности, что достаточно важно), либо будет вынужден выплачивать вам серьезную неустойку. Соответственно, в ваших договорах вы должны очень четко ограничивать круг «форс-мажорных ситуаций», и во всех остальных ситуациях требовать выполнения своих обязательств.

Резюме:  как правило, если ваша организация достаточно велика, чтобы быть важным клиентом для поставщиков, то получить от поставщиков все то, о чем говорилось выше — вполне реально, а выстроить процесс оценки поставщиков в области непрерывности бизнеса — не такая уж неподъемная задача.

Реклама

комментария 2 to “Оценка поставщиков, или памяти сгоревшего датацентра посвящается”

  1. Илья Says:

    Всё правильно написано. Однако в случае проведения тендера в проекте на аутсорсинг и очень жёстких сроков проведения тендера, часто бывает так, что эти «параметры» просто отбрасывают, ибо получить по ним ответ ASAP(as soon as possible). В результате BC-аспекты при выборе поставщика не учитываются серьёзно, и в результате получается, что решение снизить риск само оказывается ещё большим риском для организации и её сервисов/услуг.

  2. Илья Says:

    (поторопился)… Фразу «часто бывает так, что эти «параметры» просто отбрасывают, ибо получить по ним ответ ASAP(as soon as possible)»
    читать как «часто бывает так, что эти «параметры» просто отбрасывают, ибо получить по ним ответ ASAP(as soon as possible) просто НЕРЕАЛЬНО.»

    Прошу прощения… 😉


Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s

%d такие блоггеры, как: