Rachunkowość - 1/2005

Bezpieczeństwo informatyczne - plan awaryjny

(fragment)

Poniżej zamieszczamy streszczenie piątego - ostatniego już w serii - poradnika dla małych i średnich przedsiębiorstw, opublikowanego przez Międzynarodową Federację Księgowych (IFAC) we współpracy z PricewaterhouseCoopers. Poradnik dotyczy sporządzenia planu odtworzenia systemów komputerowych zniszczonych na skutek awarii lub działania żywiołu. Autorzy opracowania dowodzą, że posiadanie dobrego planu awaryjnego może uchronić jednostkę przed negatywnymi skutkami przymusowej przerwy w działalności. Tekst tłumaczyła i opracowała p. Agnieszka Ostaszewicz.

Redakcja

A. Uwagi ogólne
1. Wstęp

Jak wynika z badań 80% przedsiębiorstw, które dotknęły jakieś katastrofy lub duże awarie, a nie posiadały planu awaryjnego, utraciły swoją pozycję na rynku w ciągu następnych 18 miesięcy. Ryzyko takiego rozwoju wydarzeń ogranicza opracowanie planu awaryjnego.

Wyróżnia się dwa rodzaje planów awaryjnych:
1. Plan odtworzenia systemu komputerowego (OSK), dotyczący jedynie wpływu awarii/katastrofy na ciągłość działania systemu komputerowego (np. jak odtworzyć system po pożarze w pomieszczeniu, w którym znajdują się komputery).
2. Plan przywrócenia działalności przedsiębiorstwa (ODP), który ma szerszy zakres niż OSK i dotyczy wpływu awarii/katastrofy na dowolne obszary działalności jednostki (np. w drukarni plan ODP będzie określał działania, jakie po pożarze należy podjąć dla ponownego podjęcia działania maszyn drukarskich).

Niniejsze opracowanie poświęcone jest tylko OSK, ale przedstawione w nim zasady dotyczą odpowiednio przywrócenia działalności przedsiębiorstwa.

Na plan awaryjny składa się 10 elementów:
- zaangażowanie kierownictwa,
- powołanie zespołu ds. planu awaryjnego,
- ocena istniejącej infrastruktury,
- analiza ryzyka,
- ustalenie znaczenia poszczególnych systemów komputerowych,
- ustalenie czynności odtwarzania,
- sporządzenie planu czynności odtwarzania,
- szkolenie,
- testowanie (sprawdzanie),
- utrzymanie i aktualizacja planu .

Pięć głównych etapów opracowywania planu awaryjnego ukazuje wykres. Wyjaśnienia do poszczególnych etapów opisują głównie drugi oraz przedostatni z elementów: powołanie zespołu ds. planu awaryjnego oraz testowanie. Warto jednak pamiętać, że bez pierwszego elementu - czyli zaangażowania kierownictwa - nie sposób opracować skutecznego planu.

Podstawowe cele każdego z etapów są następujące:

Etap Cele
Ocena ryzyka Ocenić ryzyko, na jakie narażone są systemy komputerowe w jednostce, rozpoznać czynności służące ograniczeniu ryzyka i wykonać te z nich, które są najmniej kosztowne.
Analiza kluczowych czynników Ocenić finansowe i pozafinansowe skutki, jakie dla jednostki spowoduje czasowa niedostępność systemów komputerowych oraz ustalić, ile czasu zajmie odtwarzanie systemu.
Dobór strategii Wybrać strategię najlepszą dla danej jednostki przy założeniu, że przywrócenie działalności musi nastąpić w "planowanym czasie".
Sporządzenie planu Wypunktowanie działań i zakresów odpowiedzialności niezbędnych do odtworzenia systemu komputerowego po awarii/katastrofie.
Testowanie i weryfikacja planu Udowodnić, że plan awaryjny jest wykonalny i prowadzi do ponownego podjęcia działalności w niezbędnym zakresie i planowanym czasie.
 

Ocena ryzyka jest tym elementem planu awaryjnego, który nie musi być wykonany w jakiejś określonej kolejności. Jeżeli głównym celem jednostki jest opracowanie planu awaryjnego bez wcześniejszego zminimalizowania ryzyka, właściwego dla aktualnego środowiska jednostki, ocena ryzyka może nastąpić później, nawet na etapie testowania i weryfikacji planu.

Przed przystąpieniem do sporządzenia planu awaryjnego należy na to uzyskać akceptację zarządu, gdyż planowanie będzie wymagało jego udziału. Istotne jest również, aby zespół planujący składał się nie tylko z informatyków, ale również z osób zajmujących się główną dziedziną działalności jednostki, co zapewni zespołowi bardziej wszechstronny pogląd na problem.

W początkowym stadium planowania warto niekiedy zatrudnić konsultantów, którzy przekażą pracownikom jednostki wiedzę pozwalającą na samodzielne zbudowanie planu awaryjnego. Plan taki, aby był przydatny, wymaga stałego uaktualniania, które nie może się ograniczać do zmian np. numerów telefonów domowych najważniejszych pracowników. Równie konieczna jest okresowa, obiektywna ocena przydatności planu do ochrony jednostki w aktualnych warunkach.

2. Analiza korzyści i kosztów (...)

3. Ryzyko (...)

B. Jak podejmować decyzje - praktyczne wskazówki (...)
1. Ustalenie zakresu planu (...)

2. Ocena ryzyka (...)

3. Analiza kluczowych czynników (...)

4. Dobór strategii (...)

5. Sporządzenie planu (...)

6. Testowanie i weryfikacja planu (...)

W innnych zeszytach W tym zeszycie
Koszyk
Wydanie elektroniczne
Wskażniki sektorowe

Zamieszczony zestaw finansowych wskaźników sektorowych za lata 2010-2002 pozwala zainteresowanym szerzej i bardziej wnikliwie spojrzeć na wyniki uzyskane przez dane przedsiębiorstwo. Dzięki porównaniom w czasie i przestrzeni uzyskuje się większy obiektywizm oceny, gdyż uzyskany wynik pozwala sprawdzić:

  • w jakim kierunku podąża przedsiębiorstwo i jak szybko,
  • czy następuje to zgodnie z planem,
  • jaką pozycję zapewniło sobie wśród podobnych przedsiębiorstw.

Został on stworzony głównie na potrzeby biegłych rewidentów, ale może być także wykorzystywany przez inne osoby zajmujące się analizą i oceną przedsiębiorstw (kierownictwo, inwestorów, analityków bankowych i finansowych). Wiecej

Partnerzy:
Gadu Gadu
Na pytania dotyczące sposobu i realizacji zamówień na nasze publikacje odpowiedzą:

© Rachunkowość Sp. z o. o. Wszelkie prawa zastrzeżone.
Zamknięcie Roku 2010 Zamknięcie Roku 2011