Баарыңарга салам, менин атым Игорь Тюкачев жана мен бизнес үзгүлтүксүздүгү боюнча кеңешчимин. Бүгүнкү постто биз жалпы чындыктарды узак жана тажатма талкуулайбыз.Мен өз тажрыйбам менен бөлүшкүм келет жана бизнес үзгүлтүксүздүк планын иштеп чыгууда компаниялар кетирген негизги каталар жөнүндө айткым келет.
1. RTO жана RPO туш келди
Мен көргөн эң негизги ката - бул калыбына келтирүү убактысы (RTO) абадан алынып салынат. Маселен, эки жыл мурун SLAдан кимдир бирөө мурунку иштеген жеринен алып келген сандар бар. Эмне үчүн алар муну кылышат? Анткени, бардык ыкмалар боюнча, сиз адегенде бизнес-процесстердин кесепеттерин талдап, ушул анализдин негизинде максаттуу калыбына келтирүү убактысын жана алгылыктуу маалымат жоготууларын эсептеп чыгышыңыз керек. Бирок мындай анализди жасоо кээде көп убакытты талап кылат, кээде кымбатка турат, кээде кандайча өтө эле түшүнүктүү эмес — эмне кылуу керек экенин баса белгиле. Жана көпчүлүктүн оюна келген биринчи нерсе: «Биз баарыбыз чоң кишилербиз жана бизнес кандайча иштээрин түшүнөбүз. Убакытты жана акчаны текке кетирбейли! Келгиле, плюс же минус болушу керек деп алалы. Пролетардык тапкычтык менен башыңыздан чыгып! РТО эки саат болсун».
Бул эмнеге алып келет? Сиз белгилүү бир сандар менен талап кылынган RTO/RPO камсыз кылуу үчүн иш-чаралар үчүн акча үчүн башкарууга келгенде, ал ар дайым негиздеме талап кылат. Эгерде эч кандай негиз жок болсо, анда суроо туулат: аны кайдан алдыңыз? Жана жооп бере турган эч нерсе жок. Натыйжада, жумушуңузга болгон ишеним жоголот.
Анын үстүнө, кээде ошол эки сааттык калыбына келтирүүгө бир миллион доллар кетет. Ал эми РТОнун мөөнөтүн актоо - бул акча маселеси, ал эми өтө чоң.
Акыр-аягы, сиз BCP жана/же DR планыңызды аткаруучуларга (кырсык болгон учурда чуркап, колдорун булгалап турган) алып келгенде, алар ушундай суроону беришет: бул эки саат кайдан келди? Эгер сиз муну так түшүндүрө албасаңыз, анда алар сизге да, сиздин документиңизге да ишенишпейт.
Бул бир барак үчүн кагаз болуп чыгат, жазылуу. Айтмакчы, айрымдар муну жөн гана жөнгө салуучунун талаптарын канааттандыруу үчүн атайылап жасашат.
Жакшы түшүнөсүң
2. Баардык нерсеге даба
Кээ бир адамдар BCP планы бардык бизнес процесстерин ар кандай коркунучтардан коргоо үчүн иштелип чыккан деп эсептешет. Жакында эле "биз өзүбүздү эмнеден коргогубуз келет?" Мен жооп уктум: "Баары жана дагы."
Бирок, план коргоо үчүн гана арналганы чындык конкреттүү компаниянын негизги бизнес-процесстери конкреттүү коркутуулар. Ошондуктан, планды иштеп чыгуудан мурун, тобокелдиктердин пайда болушуна баа берүү жана бизнес үчүн алардын кесепеттерин талдоо зарыл. Компания кандай коркунучтардан коркуп жатканын түшүнүү үчүн тобокелдикти баалоо керек. Имарат бузулган учурда бир үзгүлтүксүздүк планы, санкциялык басым болгон учурда - башка, суу ташкыны болгон учурда - үчүнчү план болот. Ар кайсы шаарлардагы эки окшош сайттардын да пландары бир кыйла айырмаланып турушу мүмкүн.
Бүтүндөй бир компанияны бир BCP менен коргоо мүмкүн эмес, өзгөчө ири. Мисалы, ири X5 Retail Group эки негизги бизнес процесстери менен үзгүлтүксүздүктү камсыз кыла баштады (биз бул тууралуу жазганбыз ). Ал эми бүтүндөй компанияны бир план менен курчоо жөн эле чындыкка коошпойт, бул “жамааттык жоопкерчилик” категориясынан, ал эми бардыгы жоопкерчиликтүү жана эч ким жооп бербейт.
ISO 22301 стандарты саясаттын концепциясын камтыйт, аны менен компанияда үзгүлтүксүздүк процесси башталат. Ал эмнеден жана эмнеден коргой турганыбызды сүрөттөйт. Эгер адамдар чуркап келип, тигини-муну кошууну суранышса, мисалы:
— BCP-ге хакердик коркунучту кошолу?
же
— Жакында эле жамгыр жааганда үстүнкү кабатыбызды суу каптап кетти – суу каптаганда эмне кылуу керек деген сценарийди кошолу?
Анан дароо аларды бул саясатка кайрылыңыз жана биз компаниянын конкреттүү активдерин жана конкреттүү, алдын ала макулдашылган коркунучтардан гана коргойбуз деп айтыңыз, анткени алар азыр артыкчылыктуу.
Жана өзгөртүүлөр боюнча сунуштар чындап эле ылайыктуу болсо да, саясаттын кийинки вариантында аларды эске алууну сунуш кылыңыз. Анткени компанияны коргоо чоң каражатты талап кылат. Ошентип, BCP планына бардык өзгөртүүлөр бюджеттик комитет жана пландаштыруу аркылуу өтүшү керек. Биз жылына бир жолу же компаниянын түзүмүндө же тышкы шарттарда олуттуу өзгөрүүлөр болгондон кийин компаниянын үзгүлтүксүздүк саясатын карап чыгууну сунуштайбыз (айтканым үчүн окурмандар мени кечирсин).
3. Фантазиялар жана чындык
Көп учурда BCP планын түзүп жатканда, авторлор дүйнөнүн кандайдыр бир идеалдуу сүрөтүн сүрөттөшөт. Мисалы, "бизде экинчи маалымат борбору жок, бирок биз пландагандай жазабыз." Же бизнестин инфраструктурасынын кандайдыр бир бөлүгү али жок, бирок кызматкерлер келечекте пайда болот деген үмүт менен аны планга кошуп коюшат. Андан кийин компания реалдуулукту планга киргизет: экинчи маалымат борборун куруп, башка өзгөртүүлөрдү сүрөттөйт.
Сол жакта BCPге туура келген инфраструктура, оң жакта реалдуу инфраструктура
Мунун баары ката. BCP планын жазуу акча коротууну билдирет. Эгерде сиз азыр иштебеген планды жазсаңыз, анда сиз өтө кымбат кагазга төлөйсүз. Андан айыгуу мүмкүн эмес, сынап көрүү мүмкүн эмес. Иш үчүн болгон иш болуп чыгат.
Сиз планды тез жаза аласыз, бирок резервдик инфраструктураны куруу жана бардык коргоо чечимдерине акча сарптоо узак жана кымбат. Бул бир жылдан ашык убакыт талап кылынышы мүмкүн. Ал эми сизде план бар экени белгилүү болушу мүмкүн жана анын инфраструктурасы эки жылдан кийин пайда болот. Мындай план эмне үчүн керек? Ал сени эмнеден коргойт?
BCP иштеп чыгуу тобу эксперттерге эмнени жана кайсы убакта кылышы керектигин аныктай баштаганда, бул фантазия. Бул категориядан келип чыккан: «Тайгада аюуну көргөндө аюудан карама-каршы тарапка бурулуп, аюунун ылдамдыгынан ашкан ылдамдыкта чуркоо керек. Кыш айларында изиңди жабуу керек».
4. Чокусу жана тамыры
Төртүнчү эң маанилүү жаңылыштык - бул планды өтө үстүртөн же өтө деталдуу кылуу. Бизге алтын орто керек. План акмактар үчүн өтө деталдуу болбошу керек, бирок мындай нерсе бүтүшү үчүн өтө жалпы болбошу керек:
Жалпысынан жеңил
5. Цезарьга - Цезардыкы эмне, механикке - механиктики эмне.
Кийинки ката мурункудан келип чыгат: бир план башкаруунун бардык деңгээлдери үчүн бардык аракеттерди камтый албайт. BCP пландары, адатта, ири каржылык агымы бар ири компаниялар үчүн иштелип чыккан (айтмакчы, биздин , орто эсеп менен ири россиялык компаниялардын 48% олуттуу каржылык жоготууларды алып келген өзгөчө кырдаалдарга туш болгон) жана көп баскычтуу башкаруу системасы. Мындай компаниялар үчүн бардыгын бир документке батырууга аракет кылуунун кереги жок. Эгерде компания чоң жана структуралуу болсо, анда пландын үч өзүнчө деңгээли болушу керек:
- стратегиялык деңгээл - жогорку жетекчилик үчүн;
- тактикалык деңгээл - орто звенодогу жетекчилер үчүн;
- жана оперативдүү деңгээли – талаага түздөн-түз катышкандар үчүн.
Мисалы, эгерде биз иштебей калган инфраструктураны калыбына келтирүү жөнүндө сөз кылсак, анда стратегиялык деңгээлде калыбына келтирүү планын активдештирүү чечими кабыл алынат, тактикалык деңгээлде процесстин жол-жоболору сүрөттөлүшү мүмкүн, ал эми оперативдүү деңгээлде конкреттүү инфраструктураны ишке киргизүү боюнча көрсөтмөлөр бар. жабдуулардын даанасы.
Бюджетсиз BCP
Ар бир адам өзүнүн жоопкерчилигин жана башка кызматкерлер менен байланышын көрөт. Кырсык болгон учурда ар ким планын ачып, бат эле өз бөлүгүн таап, анын артынан ээрчийт. Идеалында, кайсы барактарды ачууну жатка эстеп турушуңуз керек, анткени кээде мүнөттөр эсептелет.
6. Ролдук оюн
BCP планын түзүүдө дагы бир ката: планга конкреттүү ысымдарды, электрондук почта даректерин жана башка байланыш маалыматтарын кошуунун кажети жок. Документтин текстинин өзүндө жеке эмес ролдор гана көрсөтүлүшү керек, ал эми бул ролдорго конкреттүү тапшырмалар үчүн жооптуу адамдардын аты-жөнү жана алардын байланыштары пландын тиркемесинде көрсөтүлүшү керек.
Эмне үчүн?
Бүгүнкү күндө адамдардын көбү эки-үч жылда бир жумуш алмаштырышат. Ал эми пландын текстине бардык жооптууларды жана алардын байланыштарын жазсаңыз, анда ал дайыма өзгөрүп турууга туура келет. Ал эми ири компанияларда, өзгөчө мамлекеттик компанияларда, кандайдыр бир документке ар бир өзгөртүү бир тонна макулдуктарды талап кылат.
Башкасын айтпаганда да, эгер өзгөчө кырдаал болуп, планды барактап, туура байланышты издөөгө туура келсе, баалуу убакытты жоготосуз.
Лайфхак: тиркемени өзгөрткөндө, көбүнчө аны жактыруунун да кереги жок. Дагы бир кеңеш: сиз планды жаңыртуу автоматташтыруу системаларын колдоно аласыз.
7. Версиялоонун жоктугу
Адатта, алар пландын 1.0 версиясын түзүшөт, андан кийин бардык өзгөртүүлөрдү түзөтүү режими жок жана файлдын атын өзгөртпөстөн жасашат. Ошол эле учурда мурунку версияга салыштырмалуу эмне өзгөргөнүн көп учурда түшүнүксүз. Версия жок болгон учурда, план эч кандай жол менен байкалбаган өз жашоосун жашайт. Кандайдыр бир BCP планынын экинчи бетинде версия, өзгөртүүлөрдүн автору жана өзгөртүүлөрдүн тизмеси көрсөтүлүшү керек.
Эми аны эч ким түшүнө албайт
8. Кимден сурашым керек?
Көп учурда компанияларда BCP планы үчүн жооптуу адам жок жана бизнес үзгүлтүксүздүгү үчүн жооптуу өзүнчө бөлүм жок. Бул ардактуу жоопкерчилик ЦИОго, анын орун басарына же «сен маалымат коопсуздугу менен алектенесиң, демек, бул жерде дагы BCP» деген принцип боюнча жүктөлөт. Жыйынтыгында план жогорудан ылдыйга чейин түзүлүп, макулдашылып, бекитилет.
Пландын сакталышы, андагы маалыматтарды жаңыртуу жана кайра карап чыгуу үчүн ким жооптуу? Бул белгиленген болушу мүмкүн эмес. Бул үчүн өзүнчө кызматкер жалдоо ысырапкорчулук, бирок учурдагылардын бирине кошумча милдеттерди жүктөө, албетте, мүмкүн, анткени азыр бардыгы натыйжалуулукка умтулуп жатышат: «Келгиле, ага чырак илип коёлу, ал түнкүсүн чөп чаап алсын», бирок. зарылбы?
Биз BCP түзүлгөндөн эки жылдан кийин жооптууларды издеп жатабыз
Ошондуктан, бул көп учурда мындай болот: план иштелип чыгып, чаң басып калыш үчүн узун кутуга салынган. Аны эч ким сынабайт жана актуалдуулугун сактабайт. Кардарга келгенде эң көп уккан сөз: “План бар, бирок ал эчак эле иштелип чыккан, текшерилгенби белгисиз, иштебей жатат деген шектенүү жаралат”.
9. Өтө көп суу
Киришүү беш барактан турган пландар бар, анын ичинде алгылыктуу шарттардын сыпаттамасы жана долбоордун бардык катышуучуларына ыраазычылык, компания эмне кылганы тууралуу маалымат. Пайдалуу маалымат бар онунчу бетке ылдый жылганыңызда, сиздин маалымат борборуңуз суу астында калган.
Ушул убакка чейин окууга аракет кылып жатканыңызда, маалымат борборуңуз суу астында калса, эмне кылышыңыз керек?
Бардык корпоративдик "суу" өзүнчө документке жайгаштырыңыз. Пландын өзү өтө конкреттүү болушу керек: бул милдет үчүн жооптуу адам муну кылат жана башкалар.
10. Банкет кимдин эсебинен болот?
Көп учурда, план түзүүчүлөр компаниянын жогорку жетекчилигинин колдоосуна ээ эмес. Бирок бизнестин үзгүлтүксүздүгүн башкаруу үчүн керектүү бюджетти жана ресурстарды башкара албаган же жок болгон орто башкаруунун колдоосу бар. Мисалы, IT бөлүмү өзүнүн бюджетинин чегинде өзүнүн BCP планын түзөт, бирок CIO компаниянын бардык сүрөтүн көрө албайт. Менин жакшы көргөн мисалым видеоконференция. Башкы директордун видеоконференциясы иштебей калганда, ал кимди кууп чыгат? "Болбогон" CIO. Ошондуктан, CIO көз карашы боюнча, компанияда эң маанилүү нерсе эмне? Адамдар аны эмне үчүн дайыма «сүйүшөт»: видеоконференция, ал дароо бизнес-критикалык системага айланат. Ал эми бизнес көз карашынан алганда, VKS жок, жөн гана ойлонуп көрүңүз, биз Брежневдин тушундагыдай телефон аркылуу сүйлөшөбүз...
Мындан тышкары, IT департаменти, адатта, кырсык болгон учурда анын негизги милдети корпоративдик IT системаларынын ишин калыбына келтирүү деп эсептейт. Бирок кээде муну кылуунун кереги жок! Эгерде өтө кымбат баалуу принтерде кагазды басып чыгаруу түрүндөгү бизнес процесси бар болсо, анда экинчи принтерди запастык катары сатып албай, бузулуп калган учурда анын жанына коюу керек. Кагазды кол менен убактылуу боёп коюу жетиштүү болушу мүмкүн.
Эгерде биз IT ичинде үзгүлтүксүз коргоону куруп жатсак, анда биз жогорку жетекчиликтин жана бизнес өкүлдөрүнүн колдоосуна ээ болушубуз керек. Болбосо, IT департаментинин ичине кирип, сиз бардык зарыл болгон маселелерди эмес, белгилүү бир катар маселелерди чече аласыз.
IT бөлүмүндө гана DR пландары болгондо кырдаал ушундай болот
10. Сыноо жок
Эгер план болсо, аны текшерүү керек. Стандарттар менен тааныш болбогондор үчүн бул такыр эле түшүнүктүү эмес. Мисалы, сизде бардык жерде илинип турган “шашылыш чыгуу” белгилери бар. Бирок айтчы, сенин от чакаң, илгич, күрөгүң кайда? Өрт гидранты кайда? Өрт өчүргүч кайда жайгашуусу керек? Бирок муну ар бир адам билиши керек. Кеңсеге киргенде өрт өчүргүчтү табуу бизге такыр логикалуу көрүнбөйт.
Балким, планды сынап көрүү зарылдыгы пландын өзүндө айтылышы керек, бирок бул талаштуу чечим. Кандай болгон күндө да план жок дегенде бир жолу сыналган болсо гана иштейт деп эсептелиши мүмкүн. Жогоруда айтылгандай, мен абдан көп угам: “План бар, бардык инфраструктура даярдалган, бирок баары планда жазылгандай болот деген чындык эмес. Анткени алар аны сынашкан эмес. Эч качан".
Жыйынтык
Кээ бир компаниялар кандай кыйынчылыктар болушу мүмкүн жана алар канчалык ыктымал экенин түшүнүү үчүн өз тарыхын талдай алышат. Изилдөөлөр жана тажрыйба көрсөткөндөй, биз өзүбүздү бардык нерседен коргой албайбыз. Бок, эртеби-кечпи, кандайдыр бир компанияда болот. Дагы бир нерсе, сиз бул же ушул сыяктуу жагдайга канчалык даяр болосуз жана өз убагында бизнесиңизди калыбына келтире аласызбы.
Кээ бир адамдар тынымсыздык ар кандай тобокелдиктерди кантип жок кылуу керек, алар ишке ашпаш үчүн деп ойлошот. Жок, кеп тобокелдиктер ишке ашат жана биз буга даяр болобуз. Жоокерлер согушта ойлонууга эмес, аракет кылууга үйрөтүлгөн. BCP планы менен бирдей: ал бизнесиңизди мүмкүн болушунча тез калыбына келтирүүгө мүмкүндүк берет.
BCP талап кылбаган жалгыз жабдуулар
Игорь Тюкачев,
Бизнес үзгүлтүксүздүгү боюнча консультант
Эсептөө системаларын долбоорлоо борбору
"Jet Infosystems"
Source: www.habr.com