BCI Good Practices Guidelines, Edition 7.0 — детальный разбор новой версии

Итак, обещанные впечатления от прочтения новых BCI Good Practices Guidelines. Общее ощущение — документ стал более современным, и по стилю, и по оформлению. Читается довольно легко, периодически задевает за определенные струны в душе, вызывая воспоминания в духе «да-да, именно с этими проблемами мы тоже сталкивались на таком-то проекте».

Давайте посмотрим на документ более подробно. Новые GPG по-прежнему разбиты на 6 профессиональных практик (PP), у которых, впрочем, опять поменялись все названия.

PP1: Establishing a BCMS

Уже с первого раздела возникает ощущение более практической направленности документа. Из нововведений — был добавлен блок “Coordinating the Activities needed to Establish a BCMS”, посвященный взаимодействию с основными стейкхолдерами.

PP2: Embracing Business Continuity

А вот здесь с первых строк чувствуется боль в душе авторов, вызванная противодействием организаций внедрению систем непрерывности бизнеса. Поэтому сильный акцент делается на смещении от формального внедрения (“embedding”) к полноценной интеграции (“embracing”), сопровождающейся реальной вовлеченностью и заинтересованностью людей. В разделе можно найти таблицу с примерами типичных ошибок, приводящих к системе управления непрерывностью бизнеса, формально внедренной, но не обладающей надлежащим качеством.

PP3: Analysis

Раздел про анализ организации, включающий в себя блоки про анализ воздействия на бизнес (Business Impact Analysis) и оценку рисков (Risk Assesment), существенных изменений не претерпел, и закончился даже на 2 страницы раньше, чем в предыдущей версии GPG, а значит – впереди еще 15 страниц чего-то нового….

PP4: Solutions Design

В разделе про разработку решений появилась интересная методология разбивки стратегий восстановления по временным отрезкам – выглядит достаточно наглядно и удобно для понимания.

Кроме того, приведены образцы таких стратегий для всех основных типов ресурсов. Например, для обеспечения ликвидности стратегия выглядит вот так.

PP5: Enabling Solutions

В разделе появился выделенный блок, посвященный коммуникации (учитывая важность вопроса, странно, что его не было раньше). Все по делу, собрано в одном месте, в комментариях не нуждается.

В части, посвященной планам непрерывности бизнеса, можно найти много конкретных рекомендаций. Например, в сегодняшних реалиях будет нелишним задуматься об оснащении помещений, где смогут собираться члены команд восстановления. Удаленка – конечно хорошо, но могут быть ситуации, когда без сбора всех ключевых игроков в одном месте не обойтись.

К трем типам планов, которые были и раньше (по уровням – стратегический, тактический и операционный) были добавлены рекомендации создавать планы для специфических ситуаций, с разбором на примерах плана отзыва продукта, плана реагирования на киберинцидент и плана действий в случае инфекционного заболевания. Идея хорошая, гармонирует как с практическим опытом, так и с некоторыми требованиями регуляторов нашего рынка.

PP6: Validation

Ожидаемо, к концу документа сил у авторов оставалось все меньше и меньше, однако и здесь нашлось место новому модулю — Post-Incident Review. Модуль небольшой, но полезный, особенно в части акцента на то, что приоритет в postmortem должен делаться не на наказании виноватых, а на выявлении причин, которые можно устранить для улучшения ситуации в дальнейшем.

Резюмируя все сказанное — документ хороший, «надо брать».

Использованные стандарты

В процессе подготовки новой версии обновились почти все ключевые стандарты 223 серии, что было отражено в GPG.

Среди них два ключевых стандарта:

  • ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements
    (см. также ГОСТ Р ИСО 22301:2021 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования)
  • ISO 22313:2020 Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301
    (см. также ГОСТ Р ИСО 22313:2021 Надежность в технике. Системы менеджмента непрерывности деятельности. Руководство)

И четыре спецификации:

  • ISO/TS 22317:2021 Security and resilience — Business continuity management systems — Guidelines for business impact analysis
  • ISO/TS 22318:2021 Security and resilience — Business continuity management systems — Guidelines for supply chain continuity management
  • ISO/TS 22331:2018 Security and resilience — Business continuity management systems — Guidelines for business continuity strategy
  • ISO/TS 22332:2021 Security and resilience — Business continuity management systems — Guidelines for developing business continuity plans and procedures

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *