Сайн байцгаана уу, намайг Игорь Тюкачев гэдэг, би бизнесийн тасралтгүй байдлын зөвлөх хүн. Өнөөдрийн нийтлэлд бид нийтлэг үнэнүүдийн талаар урт бөгөөд уйтгартай ярилцах болно.Би өөрийн туршлагаасаа хуваалцаж, бизнесийн тасралтгүй байдлын төлөвлөгөө боловсруулахдаа компаниудын гаргадаг гол алдаануудын талаар ярихыг хүсч байна.
1. RTO болон RPO санамсаргүй байдлаар
Миний харсан хамгийн чухал алдаа бол нөхөн сэргээх хугацааг (RTO) агаараас гаргаж авдаг явдал юм. Яахав дээ, жишээлбэл, хоёр жилийн өмнөх SLA-аас хэн нэгэн өмнөх ажлын газраасаа авчирсан тоонууд бий. Тэд яагаад үүнийг хийдэг вэ? Эцсийн эцэст, бүх аргуудын дагуу та эхлээд бизнесийн үйл явцын үр дагаврыг шинжлэх ёстой бөгөөд энэ дүн шинжилгээнд үндэслэн зорилтот сэргээх хугацаа, хүлээн зөвшөөрөгдөх мэдээллийн алдагдлыг тооцоолох хэрэгтэй. Гэхдээ ийм дүн шинжилгээ хийх нь заримдаа удаан хугацаа шаарддаг, заримдаа үнэтэй байдаг, заримдаа яаж хийх нь тодорхойгүй байдаг - юу хийх хэрэгтэйг онцлон тэмдэглэ. Олон хүний санаанд орж ирдэг хамгийн эхний зүйл бол: “Бид бүгд насанд хүрсэн хүмүүс бөгөөд бизнес хэрхэн явагддагийг ойлгодог. Цаг хугацаа, мөнгөө дэмий үрэхгүй байцгаая! Нэмэх, хасах хоёрыг байх ёстойгоор нь авч үзье. Пролетар ур чадвар ашиглан толгойноосоо зайлуул! RTO хоёр цаг байг."
Энэ нь юунд хүргэдэг вэ? Шаардлагатай RTO/RPO-г тодорхой тоогоор баталгаажуулахын тулд үйл ажиллагааны мөнгө авахаар удирдлагад ирэхэд энэ нь үргэлж үндэслэл шаарддаг. Хэрэв ямар ч үндэслэл байхгүй бол та үүнийг хаанаас авсан бэ гэсэн асуулт гарч ирнэ. Тэгээд хариулах зүйл алга. Үүний үр дүнд таны ажилд итгэх итгэл алдагдана.
Түүнээс гадна заримдаа эдгээр хоёр цагийн нөхөн сэргээхэд нэг сая доллар зарцуулдаг. RTO-ийн үргэлжлэх хугацааг зөвтгөх нь мөнгөний асуудал бөгөөд энэ нь маш том асуудал юм.
Эцэст нь, та BCP ба/эсвэл DR төлөвлөгөөгөө жүжигчдэд (осол гарах үед гүйж, гараа даллаж байх болно) авчрахад тэд ижил төстэй асуултыг асуух болно: энэ хоёр цаг хаанаас ирсэн бэ? Хэрэв та үүнийг тодорхой тайлбарлаж чадахгүй бол тэд танд болон таны баримт бичигт итгэхгүй байх болно.
Энэ нь нэг цаасны төлөө цаас болж хувирдаг, бүртгэлээс хасагдсан. Дашрамд хэлэхэд зарим нь зохицуулагчийн шаардлагыг хангахын тулд үүнийг санаатайгаар хийдэг.
За ойлголоо
2. Бүхнийг эмчлэх эм
Зарим хүмүүс бизнесийн бүх үйл явцыг аливаа аюул заналаас хамгаалахын тулд BCP төлөвлөгөөг боловсруулсан гэж үздэг. Сүүлийн үед "Бид өөрсдийгөө юунаас хамгаалахыг хүсч байна вэ?" Би "Бүх зүйл ба түүнээс дээш" гэсэн хариултыг сонссон.
Гэхдээ үнэндээ төлөвлөгөө нь зөвхөн хамгаалах зорилготой юм тодорхой -аас компанийн бизнесийн гол үйл явц тодорхой аюул занал. Тиймээс төлөвлөгөө боловсруулахаасаа өмнө эрсдэл үүсэхийг үнэлж, бизнест үзүүлэх үр дагаварт дүн шинжилгээ хийх шаардлагатай. Компани ямар аюул заналхийлж байгааг ойлгохын тулд эрсдлийн үнэлгээ хийх шаардлагатай. Барилга эвдэрсэн тохиолдолд тасралтгүй ажиллагааны нэг төлөвлөгөө, хориг арга хэмжээ авсан тохиолдолд - өөр, үерийн үед - гурав дахь нь байх болно. Өөр өөр хотуудын хоёр ижил газар ч гэсэн өөр өөр төлөвлөгөөтэй байж болно.
Нэг BCP, ялангуяа том компаниар бүхэл бүтэн компанийг хамгаалах боломжгүй юм. Жишээлбэл, асар том X5 Retail Group нь хоёр үндсэн бизнесийн үйл явцын тасралтгүй байдлыг хангаж эхэлсэн (бид энэ талаар бичсэн. ). Бүхэл бүтэн компанийг нэг төлөвлөгөөнд багтаах нь бодитой бус бөгөөд энэ нь хүн бүр хариуцлага хүлээдэг, хэн ч хариуцлага хүлээхгүй "хамтын хариуцлага" гэсэн ангилалд багтдаг.
ISO 22301 стандарт нь бодлогын үзэл баримтлалыг агуулдаг бөгөөд үнэн хэрэгтээ компанийн тасралтгүй үйл явц эхэлдэг. Энэ нь бид юунаас хамгаалах, юунаас хамгаалахыг тодорхойлсон. Хүмүүс гүйж ирээд энийг, тэрийг нэмэхийг гуйвал, жишээ нь:
— Биднийг хакердуулах эрсдэлийг BCP-д нэмчихье?
Эсвэл
— Саяхан борооны үеэр манай дээд давхар үерт автсан - үерийн үед юу хийх талаар нэг хувилбар оруулъя?
Дараа нь тэдгээрийг нэн даруй энэ бодлогод шилжүүлж, бид компанийн тодорхой хөрөнгийг зөвхөн урьдчилан тохиролцсон аюулаас хамгаалдаг гэж хэлээрэй, учир нь эдгээр нь одоо нэн тэргүүний асуудал юм.
Өөрчлөлт хийх санал үнэхээр тохиромжтой байсан ч бодлогын дараагийн хувилбарт тэдгээрийг харгалзан үзэхийг санал болго. Учир нь компанийг хамгаалахад асар их зардал гардаг. Тиймээс BCP-ийн төлөвлөгөөнд гарсан бүх өөрчлөлтийг төсвийн хороо, төлөвлөлтөөр дамжуулан хийх ёстой. Бид компанийн үйл ажиллагааг тасралтгүй явуулах бодлогыг жилд нэг удаа эсвэл компанийн бүтэц, гадаад нөхцөл байдалд мэдэгдэхүйц өөрчлөлт гарсны дараа шууд хянаж үзэхийг зөвлөж байна (үүнийг хэлснийг уншигчид уучлаарай).
3. Уран зөгнөл ба бодит байдал
BCP төлөвлөгөөг боловсруулахдаа зохиогчид дэлхийн хамгийн тохиромжтой дүр зургийг дүрсэлсэн байдаг. Жишээлбэл, "Бидэнд хоёрдахь дата төв байхгүй, гэхдээ бид байгаа юм шиг төлөвлөгөө бичих болно." Эсвэл бизнест дэд бүтцийн зарим хэсэг хараахан байхгүй байгаа ч ажилчид үүнийг ирээдүйд гарч ирнэ гэж найдаж төлөвлөгөөнд нэмж оруулах болно. Дараа нь компани бодит байдлыг төлөвлөгөөнд тусгах болно: хоёр дахь дата төв барих, бусад өөрчлөлтүүдийг тайлбарлах.
Зүүн талд BCP-д тохирох дэд бүтэц, баруун талд бодит дэд бүтэц байна
Энэ бүхэн алдаа юм. BCP төлөвлөгөө бичих нь мөнгө зарцуулах гэсэн үг юм. Хэрэв та яг одоо ажиллахгүй байгаа төлөвлөгөө бичвэл маш үнэтэй цаас төлөх болно. Түүнээс эдгэх боломжгүй, шалгах боломжгүй. Энэ нь ажлын төлөөх ажил болж хувирдаг.
Та төлөвлөгөөгөө маш хурдан бичиж чадна, гэхдээ нөөц дэд бүтцийг бий болгох, хамгаалалтын бүх шийдэлд мөнгө зарцуулах нь урт бөгөөд үнэтэй байдаг. Үүнд нэг жилээс илүү хугацаа шаардагдана. Танд аль хэдийн төлөвлөгөө байгаа бөгөөд үүний дэд бүтэц хоёр жилийн дараа гарч ирэх болно. Яагаад ийм төлөвлөгөө хэрэгтэй байна вэ? Энэ нь таныг юунаас хамгаалах вэ?
BCP-ийн хөгжүүлэлтийн баг мэргэжилтнүүдэд юу хийх, ямар хугацаанд хийх ёстойг тодорхойлж эхлэх нь бас уран зөгнөл юм. Энэ нь "Тайгад баавгайг харвал баавгайн эсрэг чиглэлд эргэж, баавгайн хурдаас илүү хурдтай гүйх хэрэгтэй. Өвлийн саруудад мөрийг нь дарах хэрэгтэй” гэж хэлсэн.
4. Орой болон үндэс
Дөрөв дэх хамгийн чухал алдаа бол төлөвлөгөөг хэт өнгөц эсвэл хэт нарийвчилсан болгох явдал юм. Бидэнд алтан дундаж хэрэгтэй. Төлөвлөгөө нь тэнэг хүмүүсийн хувьд хэтэрхий нарийвчилсан байх ёсгүй, гэхдээ ийм зүйл дуусахын тулд хэт ерөнхий байх ёсгүй.
Ерөнхийдөө амархан
5. Цезарь - Цезарийнх гэж юу вэ, механикч - механикч гэж юу вэ.
Дараагийн алдаа нь өмнөх алдаанаас үүдэлтэй: нэг төлөвлөгөө нь удирдлагын бүх түвшний бүх үйл ажиллагааг багтааж чадахгүй. BCP төлөвлөгөөг ихэвчлэн санхүүгийн томоохон урсгалтай томоохон компаниудад зориулж боловсруулдаг (дашрамд хэлэхэд бидний хэлснээр , дунджаар Оросын томоохон компаниудын 48% нь санхүүгийн томоохон алдагдалд хүргэсэн онцгой нөхцөл байдалтай тулгарсан) болон олон түвшний удирдлагын тогтолцоотой. Ийм компаниудын хувьд бүх зүйлийг нэг баримт бичигт багтаахыг оролдох нь үнэ цэнэтэй зүйл биш юм. Хэрэв компани том, бүтэцтэй бол төлөвлөгөө нь гурван тусдаа түвшинтэй байх ёстой.
- стратегийн түвшин - дээд удирдлагад;
- тактикийн түвшин - дунд шатны менежерүүдэд;
- болон үйл ажиллагааны түвшин - энэ салбарт шууд хамааралтай хүмүүст.
Жишээлбэл, хэрэв бид бүтэлгүйтсэн дэд бүтцийг сэргээх тухай ярьж байгаа бол стратегийн түвшинд нөхөн сэргээх төлөвлөгөөг идэвхжүүлэх шийдвэр гаргаж, тактикийн түвшинд үйл явцын үйл явцыг тайлбарлаж, үйл ажиллагааны түвшинд тусгайлан ашиглалтад оруулах заавар байдаг. тоног төхөөрөмжийн хэсэг.
Төсөвгүй BCP
Хүн бүр өөрийн хариуцлагын хүрээ, бусад ажилтнуудтай харилцах харилцааг хардаг. Осол гарах мөчид хүн бүр төлөвлөгөөгөө нээж, өөрийнхөө хэсгийг хурдан олж, түүнийг дагаж мөрддөг. Хамгийн тохиромжтой нь та аль хуудсыг нээхээ цээжээр санах хэрэгтэй, учир нь заримдаа минут тоологдох болно.
6. Дүрд тоглох
BCP төлөвлөгөө боловсруулахад гарсан өөр нэг алдаа: төлөвлөгөөнд тодорхой нэр, имэйл хаяг болон бусад холбоо барих мэдээллийг оруулах шаардлагагүй. Баримт бичгийн текстэд зөвхөн хувийн бус үүргийг зааж өгөх ёстой бөгөөд эдгээр үүрэгт тодорхой үүрэг хариуцлагыг хариуцах хүмүүсийн нэрсийг зааж өгөх ёстой бөгөөд тэдгээрийн холбоо барих хүмүүсийг төлөвлөгөөний хавсралтад жагсаасан байх ёстой.
Яагаад?
Өнөөдөр ихэнх хүмүүс хоёроос гурван жил тутамд ажлаа сольж байна. Хэрэв та төлөвлөгөөний текстэд бүх хариуцлагатай хүмүүс болон тэдний холбоо барих хаягийг бичвэл үүнийг байнга өөрчлөх шаардлагатай болно. Томоохон компаниуд, ялангуяа засгийн газрын аливаа баримт бичигт өөрчлөлт оруулахад олон тооны зөвшөөрөл шаардлагатай байдаг.
Тэр ч бүү хэл, гэнэтийн зүйл тохиолдоход та төлөвлөгөөгөө эргэлзэж, зөв холбоо барихыг эрэлхийлэх шаардлагатай бол та үнэт цагаа алдах болно.
Lifehack: Та аппликешныг өөрчлөхдөө үүнийг батлах шаардлагагүй байдаг. Өөр нэг зөвлөгөө: та төлөвлөгөөг шинэчлэх автоматжуулалтын системийг ашиглаж болно.
7. Хувилбарын дутагдал
Ихэвчлэн тэд төлөвлөгөөний 1.0 хувилбарыг бүтээдэг бөгөөд дараа нь засварлах горим, файлын нэрийг өөрчлөхгүйгээр бүх өөрчлөлтийг хийдэг. Үүний зэрэгцээ өмнөх хувилбартай харьцуулахад юу өөрчлөгдсөн нь ихэвчлэн тодорхойгүй байдаг. Хувилбар байхгүй тохиолдолд төлөвлөгөө нь өөрийн гэсэн амьдралаар амьдардаг бөгөөд үүнийг ямар ч байдлаар дагаж мөрддөггүй. Аливаа BCP төлөвлөгөөний хоёр дахь хуудсанд хувилбар, өөрчлөлтийн зохиогч, өөрчлөлтийн жагсаалтыг өөрөө зааж өгөх ёстой.
Үүнийг дахиж хэн ч олж чадахгүй
8. Би хэнээс асуух ёстой вэ?
Ихэнхдээ компаниудад BCP төлөвлөгөөг хариуцдаг хүн байдаггүй бөгөөд бизнесийн тасралтгүй байдлыг хариуцдаг тусдаа хэлтэс байдаггүй. Энэхүү хүндтэй үүрэг хариуцлагыг ТТГ, түүний орлогч эсвэл "та мэдээллийн аюулгүй байдлын асуудал эрхэлдэг тул энд BCP энд байна" гэсэн зарчмын дагуу оногддог. Үүний үр дүнд төлөвлөгөөг дээрээс нь доош нь хүртэл боловсруулж, тохиролцож, баталдаг.
Төлөвлөгөөг хадгалах, түүнд агуулагдах мэдээллийг шинэчлэх, засварлах ажлыг хэн хариуцах вэ? Үүнийг зааж өгөөгүй байж болно. Үүний тулд тусдаа ажилтан хөлслөх нь үрэлгэн ажил боловч одоо байгаа ажилтнуудын аль нэгийг нь нэмэлт үүрэг хариуцлагаар ачаалах нь мэдээжийн хэрэг, учир нь хүн бүр үр ашигтай байхыг эрмэлзэж байгаа тул "Түүнд шөнө хадаж байхын тулд дэнлүү өлгөцгөөе" гэж хичээж байна. шаардлагатай юу?
Бид BCP байгуулагдсанаас хойш хоёр жилийн дараа хариуцлага хүлээх хүмүүсийг хайж байна
Тиймээс ийм зүйл ихэвчлэн тохиолддог: төлөвлөгөө боловсруулж, тоос шороонд дарагдахын тулд урт хайрцагт хийсэн. Хэн ч үүнийг туршиж үзээгүй эсвэл хамаарлыг нь хадгалдаггүй. Үйлчлүүлэгч дээрээ очиход хамгийн их сонсдог хэллэг бол “Төлөвлөгөө байгаа ч эртнээс боловсруулсан, туршиж үзсэн эсэх нь тодорхойгүй, бүтэхгүй байна гэсэн хардлага төрдөг” гэсэн үг.
9. Хэт их ус
Танилцуулга нь урьдчилсан нөхцөлийн тодорхойлолт, төслийн бүх оролцогчдод талархал, компани юу хийдэг талаар мэдээлэл агуулсан таван хуудастай байхаар төлөвлөж байна. Хэрэгтэй мэдээлэл байгаа арав дахь хуудас руу гүйлгэх үед таны дата төв аль хэдийн усанд автсан байна.
Та яг одоо хүртэл унших гэж байгаа бол дата төв чинь усанд автсан бол яах ёстой вэ?
Бүх корпорацийн "ус" -ыг тусдаа баримт бичигт байрлуул. Төлөвлөгөө нь өөрөө маш тодорхой байх ёстой: энэ ажлыг хариуцах хүн үүнийг хийдэг гэх мэт.
10. Хүлээн авалтыг хэний зардлаар хийх вэ?
Төлөвлөгөө бүтээгчид ихэвчлэн компанийн дээд удирдлагын дэмжлэггүй байдаг. Гэвч бизнесийн тасралтгүй байдлыг удирдахад шаардлагатай төсөв, нөөц бололцоогүй эсвэл удирддаггүй дунд шатны удирдлагын дэмжлэг байдаг. Жишээлбэл, мэдээллийн технологийн хэлтэс нь төсөвтөө багтаан BCP төлөвлөгөөгөө гаргадаг боловч CIO нь компанийн дүр төрхийг бүхэлд нь хардаггүй. Миний хамгийн дуртай жишээ бол видео хурал юм. Гүйцэтгэх захирлын видео хурал ажиллахгүй бол хэнийг хөөн зайлуулах вэ? "Өгөгдөөгүй" CIO. Тиймээс CIO-ийн үүднээс компанид хамгийн чухал зүйл юу вэ? Хүмүүс түүнд үргэлж "хайрладаг" зүйл: видео хурал, тэр даруй бизнесийн чухал систем болж хувирдаг. Бизнесийн үүднээс авч үзвэл, VKS байхгүй, зүгээр л бодоорой, бид Брежневийн үеийнх шиг утсаар ярих болно ...
Нэмж дурдахад мэдээллийн технологийн хэлтэс нь гамшгийн үед гол үүрэг нь корпорацийн мэдээллийн технологийн системийн ажиллагааг сэргээх явдал гэж боддог. Гэхдээ заримдаа та үүнийг хийх шаардлагагүй болно! Хэрэв маш үнэтэй принтер дээр цаас хэвлэх бизнесийн үйл явц байгаа бол та хоёр дахь ийм принтерийг нөөц болгон худалдаж аваад эвдэрсэн тохиолдолд хажууд нь байрлуулах ёсгүй. Цаасыг гараар түр зуур будахад хангалттай байж магадгүй юм.
Хэрэв бид мэдээллийн технологийн хүрээнд тасралтгүй хамгаалалтыг бий болгож байгаа бол ахлах удирдлага, бизнесийн төлөөлөгчдөөс дэмжлэг авах ёстой. Үгүй бол мэдээллийн технологийн хэлтэст орсноор та тодорхой хэмжээний асуудлыг шийдэж чадна, гэхдээ шаардлагатай бүх асуудлыг шийдэж чадахгүй.
Зөвхөн мэдээллийн технологийн хэлтэс л DR төлөвлөгөөтэй байхад нөхцөл байдал ийм харагдаж байна
10. Туршилт хийхгүй
Төлөвлөгөө байгаа бол түүнийг шалгах хэрэгтэй. Стандартыг мэдэхгүй хүмүүсийн хувьд энэ нь тийм ч тодорхой биш юм. Жишээлбэл, та хаа сайгүй "яаралтай гарах" тэмдэг өлгөөтэй байдаг. Гэхдээ надад хэлээч, чиний галын хувин, дэгээ, хүрз хаана байна? Галын цорго хаана байдаг вэ? Гал унтраагчийг хаана байрлуулах ёстой вэ? Гэхдээ хүн бүр үүнийг мэддэг байх ёстой. Оффис руу орохдоо гал унтраагч олох нь бидэнд логик биш юм шиг санагддаг.
Төлөвлөгөөг турших хэрэгцээг төлөвлөгөөнд өөрөө дурдах хэрэгтэй байж болох ч энэ нь маргаантай шийдвэр юм. Ямар ч тохиолдолд төлөвлөгөөг дор хаяж нэг удаа туршиж үзсэн тохиолдолд л ажилласан гэж үзэж болно. Дээр хэлсэнчлэн “Төлөвлөгөө бий, бүх дэд бүтэц нь бэлэн болсон ч төлөвлөгөөнд бичсэн шиг бүх зүйл бүтнэ гэдэг үнэн биш. Учир нь тэд үүнийг туршиж үзээгүй. Хэзээ ч үгүй".
Эцэст нь хэлэхэд
Зарим компаниуд ямар бэрхшээл тохиолдож болох, хэр магадлалтайг ойлгохын тулд түүхээ шинжилж болно. Судалгаа, туршлагаас харахад бид өөрсдийгөө бүх зүйлээс хамгаалж чадахгүй. Новш, эрт орой хэзээ нэгэн цагт ямар ч компанид тохиолддог. Өөр нэг зүйл бол та энэ эсвэл үүнтэй төстэй нөхцөл байдалд хэр бэлтгэлтэй байх, бизнесээ цаг тухайд нь сэргээж чадах эсэх юм.
Тасралтгүй байдал гэдэг нь бүх төрлийн эрсдэлийг хэрхэн арилгах вэ, тэгвэл тэдгээр нь хэрэгжихгүй байх ёстой гэж зарим хүмүүс боддог. Үгүй ээ, гол нь эрсдэл биелэх болно, бид үүнд бэлэн байх болно. Цэргүүд тулалдаанд сэтгэх биш, харин үйлдлээр сургадаг. BCP төлөвлөгөөний хувьд ч мөн адил: энэ нь танд бизнесээ аль болох хурдан сэргээх боломжийг олгоно.
BCP шаарддаггүй цорын ганц төхөөрөмж
Игорь Тюкачев,
Бизнесийн тасралтгүй байдлын зөвлөх
Тооцооллын системийн дизайны төв
"Jet Infosystems"
Эх сурвалж: www.habr.com