Domain 1.0 Chapter 3 Flashcards
Business continuity planning (BCP) involves assessing the risks to organizational processes and creating policies, plans, and procedures to minimize the impact those risks might have on the organization if they were to occur.
The difference between business continuity planning (BCP) and disaster recovery planning (DRP).
The perspective difference is that business continuity activities are typically strategically focused at a high level and center themselves on business processes and operations.
Disaster recovery plans tend to be more tactical and describe technical activities such as recovery sites, backups, and fault tolerance.
Разница с точки зрения заключается в том, что деятельность по обеспечению непрерывности бизнеса обычно стратегически ориентирована на высоком уровне и сосредоточена на бизнес-процессах и операциях. Планы аварийного восстановления, как правило, носят более тактический характер и описывают технические действия, такие как места восстановления, резервное копирование и отказоустойчивость.
The BCP process has four main steps:
- Project scope and planning
- Business impact analysis
- Continuity planning
- Approval and implementation
- Project scope and planning
1.1 Perform a structured review of the business’s organization from a crisis planning point of view.
1.2 Create a BCP team with the approval of senior management.
1.3 Assess the resources available to participate in business continuity activities.
1.4 Analyze the legal and regulatory landscape that governs an organization’s response to a catastrophic event.
1.1 One of the first responsibilities of the individuals responsible for business continuity planning is to perform an analysis of the business organization to identify all departments and individuals who have a stake in the BCP process.
- Operational departments that are responsible for the core service
- Critical support services, such as the IT department, facilities and maintenance personnel
- Corporate security teams responsible for physical security
- Senior executives and other key individuals
This identification process is critical for two reasons. First, it provides the groundwork necessary to help identify potential members of the BCP team
1.2
The team should include, at a minimum, the following individuals:
-Representatives from each of the organization’s departments responsible for the core services performed by the business
-Business unit team members from the functional areas identified by the organizational analysis
-IT subject-matter experts with technical expertise in areas covered by the BCP
-Cybersecurity team members with knowledge of the BCP process
-Physical security and facility management teams responsible for the physical plant
-Attorneys familiar with corporate legal, regulatory, and contractual responsibilities
-Human resources team members who can address staffing issues and the impact on individual employees
-Public relations team members who need to conduct similar planning for how they will communicate with stakeholders and the public in the event of a disruption
-Senior management representatives with the ability to set the vision, define priorities, and allocate resources
В состав команды должны входить, как минимум, следующие люди:
Представители каждого из отделов организации, отвечающие за основные услуги, предоставляемые бизнесом.
Члены команды бизнес-подразделений из функциональных областей, определенных в результате организационного анализа.
Эксперты в области ИТ, обладающие техническими знаниями в областях, охватываемых BCP.
Члены команды кибербезопасности, знающие процесс BCP Группы физической безопасности и управления объектом, отвечающие за физический объект
Юристы, знакомые с корпоративными юридическими, нормативными и договорными обязанностями. Члены отдела кадров, которые могут решать кадровые вопросы и их влияние на отдельных сотрудников.
Члены группы по связям с общественностью, которым необходимо провести аналогичное планирование того, как они будут общаться с заинтересованными сторонами и общественностью в случае сбоя.
Представители высшего руководства, способные формулировать видение, определять приоритеты и распределять ресурсы.
1.3 After the team validates the organizational review, it should turn to an assessment of the resources required by the BCP effort. This assessment involves the resources needed by three distinct BCP phases:
- BCP Development The BCP team will require some resources to perform the four elements of the BCP process (project scope and planning, business impact analysis, continuity planning, and approval and implementation). It’s more than likely that the major resource consumed by this BCP phase will be effort expended by members of the BCP team and the support staff they call on to assist in the development of the plan.
- BCP Testing, Training, and Maintenance The testing, training, and maintenance phases of BCP will require some hardware and software commitments. Still, once again, the major commitment in this phase will be the effort of the employees involved in those activities.
- BCP Implementation When a disaster strikes and the BCP team deems it necessary to conduct a full-scale implementation of the business continuity plan, the implementation will require significant resources. Those resources include a large amount of effort (BCP will likely become the focus of a large part, if not all, of the organization) as well as direct financial expenses. For this reason, the team must use its BCP implementation powers judiciously yet decisively.
После того, как группа проверит организационный анализ, ей следует перейти к оценке ресурсов, необходимых для работы BCP. Эта оценка включает ресурсы, необходимые для трех отдельных этапов BCP:
- Разработка BCP Команде BCP потребуются некоторые ресурсы для выполнения четырех элементов процесса BCP (содержание и планирование проекта, анализ влияния на бизнес, планирование непрерывности, а также утверждение и реализация). Более чем вероятно, что основным ресурсом, потребляемым на этом этапе BCP, будут усилия, затраченные членами команды BCP и вспомогательным персоналом, к которому они обращаются для помощи в разработке плана.
- Тестирование, обучение и обслуживание BCP Фазы тестирования, обучения и обслуживания BCP потребуют определенных обязательств по оборудованию и программному обеспечению. Тем не менее, опять же, основным обязательством на этом этапе будут усилия сотрудников, участвующих в этой деятельности.
- Реализация BCP Когда случается катастрофа и команда BCP считает необходимым провести полномасштабную реализацию плана обеспечения непрерывности бизнеса, реализация потребует значительных ресурсов. Эти ресурсы включают в себя большой объем усилий (BCP, вероятно, станет центром внимания значительной части, если не всей организации), а также прямые финансовые затраты. По этой причине команда должна использовать свои полномочия по реализации BCP разумно, но решительно.
1.4 Many industries may find themselves bound by federal, state, and local laws or regulations that require them to implement various degrees of BCP.
All of these concerns point to one conclusion—it’s essential to include your organization’s legal counsel in the BCP process. They are intimately familiar with the legal, regulatory, and contractual obligations that apply to your organization.
Все эти опасения приводят к одному выводу: крайне важно включить юрисконсульта вашей организации в процесс BCP. Они хорошо знакомы с юридическими, нормативными и договорными обязательствами, применимыми к вашей организации.
- The BIA identifies the business processes and tasks that are critical to an organization’s ongoing viability and the threats posed to those resources. It also assesses the likelihood that each threat will occur and the impact those occurrences will have on the business. The results of the BIA provide you with quantitative measures that can help you prioritize the commitment of business continuity resources
2.1 Identifying Priorities (list of critical business functions, AV, MTD/MTO, RTO, RPO)
2.2 Risk Identification
2.3 Likelihood Assessment (ARO)
2.4 Impact Analysis (SLE, ALE, or qualitative measures)
2.5Resource Prioritization
Two different types of analyses that business planners use when facing a decision:
Quantitative Impact Assessment Involves the use of numbers and formulas to reach a decision. This type of data often expresses options in terms of the dollar value to the business.
Qualitative Impact Assessment Takes non-numerical factors, such as reputation, investor/customer confidence, workforce stability, and other concerns, into account. This type of data often results in categories of prioritization (such as high, medium, and low).
BIA определяет бизнес-процессы и задачи, которые имеют решающее значение для постоянной жизнеспособности организации, а также угрозы, связанные с этими ресурсами. Он также оценивает вероятность возникновения каждой угрозы и влияние, которое эти события окажут на бизнес. Результаты BIA предоставляют вам количественные показатели, которые могут помочь вам расставить приоритеты в выделении ресурсов для обеспечения непрерывности бизнеса.
два разных типа анализа, которые используют бизнес-планировщики при принятии решения: Количественная оценка воздействия Включает в себя использование чисел и формул для принятия решения. Этот тип данных часто выражает варианты в денежном выражении для бизнеса. Качественная оценка воздействия Принимает во внимание нечисловые факторы, такие как репутация, доверие инвесторов/клиентов, стабильность рабочей силы и другие факторы. Этот тип данных часто приводит к определению категорий приоритета (например, высокий, средний и низкий).
2.1 Identifying Priorities
You should create a comprehensive list of critical business functions and rank them in order of importance. Although this task may seem somewhat daunting, it’s not as hard as it looks.
The BCP team should sit down and draw up a list of organization assets and then assign an asset value (AV) in monetary terms to each asset. These values form the basis of risk calculations performed later in the BIA.
The second quantitative measure that the team must develop is the maximum tolerable downtime (MTD), sometimes also known as maximum tolerable outage (MTO). The MTD is the maximum length of time a business function can tolerate a disruption before suffering irreparable harm
The recovery time objective (RTO) for each business function is the amount of time in which you think you can feasibly recover the function in the event of a disruption.
The recovery point objective (RPO) is the data loss equivalent to the time-focused RTO. The RPO defines the point in time before the incident where the organization should be able to recover data from a critical business process.
Вам следует составить полный список важнейших бизнес-функций и расположить их в порядке важности. Хотя эта задача может показаться несколько сложной, она не так сложна, как кажется.
Команда BCP должна сесть и составить список активов организации, а затем присвоить каждому активу стоимость актива (AV) в денежном выражении. Эти значения составляют основу расчетов риска, выполняемых позже в BIA.
Второй количественный показатель, который должна разработать команда, — это максимально допустимое время простоя (MTD), иногда также известное как максимально допустимое время простоя (MTO). MTD — это максимальный период времени, в течение которого бизнес-функция может выдержать сбой, прежде чем будет нанесен непоправимый ущерб.
Целевое время восстановления (RTO) для каждой бизнес-функции — это количество времени, в течение которого, по вашему мнению, вы сможете реально восстановить функцию в случае сбоя.
Целевая точка восстановления (RPO) — это потеря данных, эквивалентная RTO, ориентированному на время. RPO определяет момент времени перед инцидентом, когда организация должна иметь возможность восстановить данные критического бизнес-процесса.
2.2 Risk Identification
Risks come in two forms: natural risks and person-made risks.
2.3 Likelihood Assessment
First, we determine the annualized rate of occurrence (ARO).
The BCP team should sit down and determine an ARO for each risk identified in the previous section.
2.4 Impact Analysis
In this phase, you analyze the data gathered during risk identification and likelihood assessment and attempt to determine what impact each one of the identified risks would have on the business if it were to occur.
From a quantitative point of view, we will cover three specific metrics: the exposure factor, the single loss expectancy, and the annualized loss expectancy.
From a qualitative point of view, you must consider the nonmonetary impact that interruptions might have on your business. For example, you might want to consider the following:
Loss of goodwill among your client base
Loss of employees to other jobs after prolonged downtime
Social/ethical responsibilities to the community
Negative publicity
На этом этапе вы анализируете данные, собранные в ходе идентификации рисков и оценки вероятности, и пытаетесь определить, какое влияние каждый из выявленных рисков окажет на бизнес, если он произойдет.
С количественной точки зрения мы рассмотрим три конкретных показателя: фактор риска, ожидание единичного убытка и ожидание убытка в годовом исчислении.
С качественной точки зрения вы должны учитывать неденежное влияние, которое перерывы могут оказать на ваш бизнес. Например, вы можете рассмотреть следующее: Потеря репутации среди вашей клиентской базы Потеря сотрудников на другие рабочие места после длительного простоя Социальная/этическая ответственность перед обществом Негативная реклама
2.5 Resource Prioritization
The final step of the BIA is to prioritize the allocation of business continuity resources to the various risks that you identified and assessed in earlier phases of the BIA.
Последним шагом BIA является определение приоритетности распределения ресурсов по обеспечению непрерывности бизнеса для различных рисков, которые вы выявили и оценили на более ранних этапах BIA.
- Continuity planning
The next phase of BCP development, continuity planning, focuses on developing and implementing a continuity strategy to minimize the impact realized risks might have on protected assets.
There are two primary subtasks involved in continuity planning:
3.1 Strategy development
3.2 Provisions and processes
The goal of this process (3.1, 3.2) is to create a continuity of operations plan (COOP).
Следующий этап разработки BCP, планирование непрерывности, фокусируется на разработке и реализации стратегии непрерывности, позволяющей минимизировать влияние реализованных рисков на защищаемые активы.
Планирование непрерывности включает в себя две основные подзадачи:
Разработка стратегии
Положения и процессы
Целью этого процесса является создание плана непрерывности операций (COOP).