SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE

1. SVEUČILIŠTE U ZAGREBUFAKULTET ORGANIZACIJE I INFORMATIKE MODELIRANJE UPRAVLJANJA KONTINUITETOM POSLOVANJA (BCM) Prof.dr.sc. Zdravko Krakar

2. Tematske cjeline: UVOD U UPRAVLJANJE KONTINUITETOM POSLOVANJA (BUSINESS CONTINUITY MANAGEMENT – BCM) 2. MOGUĆI PRISTUPI RAZVOJU BCM-a 3. RAZVOJ i PRAKSA BCM SUSTAVA

3. UVOD u BCM1.1. Čimbenici današnjeg poslovanja Globalizacija i integracija ekonomija Sve veća ovisnost o ICT Međuovisnosti tvrtki kroz snažno povezivanje (E2E, npr. B2B poslovni lanci) Ubrzavanje poslovnog takta Sve veća kompleksnost poslovanja

4. 1.2. Prijetnje poslovanju PRIRODA Poplave Potresi itd ČOVJEK Namjera Nenamjerni utjecaj TEHNOLOGIJA Požar, eksplozija Prekid energije Pogreške u opremi Gubitci u komunikacijama Gubitci podataka itd

5. 1.2.1. ICT kao prijetnja poslovanju Štete zbog IT opreme Vandalizam Prodori u IS Terorizam Uništenje BP Kontaminacija Prirodne katastrofe Pogrešne procedure Kvar opreme Gubitak servisa Požar Loše procedure Poplava Neautorizirani pristupi Krađa informacija Korisničke pogreške Gubitak servisaNepoštivanje zakona …

6. 1.2.2. Statistika bojazni u praksi

7. 1.3. Zašto i što je BCM?

8. 1.4. Motivi za BCM Regulativa Sarbanes – Oxley Act Basel II Hrvatski propisi COSO Ugovori Poslovni instikt Odgovornost za moguće situacije i posljedice na poslovanje koje iz toga proizlaze Primjena najbolje prakse ITIL CobIT Norme / standardi

9. 2. PRISTUPI USPOSTAVI BCM - a Mogući su različiti pristupi: Kroz informacijsku sigurnost (ISO/IEC 27000) Kroz ITIL, CobIT (Najbolja praksa) Kroz IT DR (Disaster Recovery) Kroz norme za cjeloviti BCM

10. 2.1. BCM i informacijska sigurnost Politika sigurnosti Organizacija informacijske sigurnosti Upravljanje imovinom Sigurnost ljudskog potencijala Fizička sigurnost i sigurnost okoline Upravljanje komunikacijama i operacijama Kontrola pristupa Nabava, razvoj i održavanje informacijskih sustava Upravljanje sigurnosnim incidentima Upravljanje kontinuitetom poslovanja Sukladnosti

11. 2.2. BCM i najbolja praksa2.2.1. ITIL V2

12. 2.2. BCM i najbolja praksa 2.2.2. BCM i COBIT INFORMATION C O B I T F R A M E W O R K ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. Integrity Efficiency Effectiveness Availability Compliance Confidentiality PLAN AND ORGANISE MONITOR AND EVALUATE Reliability IT RESOURCES DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Applications Information Infrastructure People DELIVER AND SUPPORT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. ACQUIRE AND IMPLEMENT

13. 2.2.2. BCM i COBITKontrole u DS4 DS4.1 Pristup kontinuitetu IT-a DS4.2 Plan kontinuiteta IT-a DS4.3 Kritični IT resursi DS4.4 Održavanje plana kontinuiteta IT-a DS4.5 Testiranje plana kontinuiteta IT-a DS4.6 Treninzi za postupanje po planu DS4.7 Prenošenje plana na sudionike DS4.8 Oporavak i obnova IT usluga DS4.9 Rezervna udaljena pohrana podataka DS4.10 Provjere nakon oporavka

14. 2.3. BCM kroz DR

15. 2.4. Norme za cjeloviti BCM BS 25999:2006 Business continuity management- Part 1: Code of practice /2006 Part 2: Specifications /2007 BCI Business Continuity Institute DRI Disaster Recovery Institute Itd.

16. 2.5. Životni ciklus BCM-a

17. 3. RAZVOJ BCM SUSTAVA 3.0. Inicijalizacija i upravljanje BCM-om: Politika i ciljevi BCM-a Područje primjene Osiguranje resursa za BCM Plan BCM projekta BCM dokumentacija Način upravljanja projektom i odgovornosti Smjernice za daljnji rad

18. 3.1. Razumijevanje vlastitog poslovanja BIA (Business Impact Analysis) Određivanje kritičnih zahtjeva Procjene rizika (RA) Odlučivanje o postupanju s rizicima (Varijante odgovora)

19. 3.2. Određivanje BCM strategije 3 razine BCM strategija: Strategija organizacije – korporativna strategija Strategija procesa Strategija oporavka resursa

20. 3.2. Određivanje BCM strategijeRazine zahtjeva prema organizaciji Share Razina 7 Razina 6 Izdaci Razina 5 Razina 4 Razina 3 Razina 2 Razina 1 15 Min. 1-4 H.. 4 -8 H.. 8-12 Hr.. 12-16 Hr.. 24 Hr.. Dani Vrijeme za nastavak rada (RTO)

21. 3.2. Određivanje BCM strategijeOdabir BCM rješenja

22. 3.3. Razvoj odgovora / planova BCM-aEskalacija intervencije

23. 3.4. Testiranje, održavanje i procjena BCM-a Definirati opseg, ciljeve i resurse potrebne za izvođenje testa Pripremiti BC scenarij/e za provedbu testiranja Provesti testiranje plana kontinuiteta poslovanja u skladu sa prihvaćenim scenarijem Analizirati rezultate testiranja plana kontinuiteta poslovanja

24. 3.5. Razvoj BCM kulture Promicanje svijesti o BCM - u Potrebno je osigurati razvoj vještina potrebnih za učinkovito razvijanje, implementaciju, izvršavanje, testiranje i održavanje plana kontinuiteta poslovanja “Awareness” radionice

25. 3.6. Iskustva u BCM-u NASDAQ Bank of England Mađarska narodna banka Banke HNB Telekom tvrtke FINA HZMO HEP, CURH, CO, Zračna luka,…. Itd.

26. HVALA NA POZORNOSTI Kontakti: zkrakar@zih.hr zkrakar@foi.hr