สำหรับวันนี้ผมคงไม่กล่าวอะไรมาก เพราะคิดว่าคงมีท่านผู้สนใจ คอยติดตาม และอยากจะทราบแล้วว่าเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ในหัวข้อถัดไปจะเป็นอย่างไร?
อย่างนั้น เราไปดูกันต่อใน 2 หัวข้อสุดท้ายกันเลยครับ
4. ความพร้อมในการใช้งานของอุปกรณ์และข้อมูล
4.1) ความพร้อมในการใช้งานของอุปกรณ์ โปรแกรม ข้อมูล คู่มือการปฏิบัติงานและแบบฟอร์มที่จำเป็น
– ระดับดี
มีการสำรองระบบงาน ซึ่งรวม Hardware, Software, Data และมีการจัดเตรียมคู่มือการปฏิบัติงานและเอกสารประกอบการทำงานไว้ ณ สถานสำรองอย่างครบถ้วน ซึ่งสามารถใช้งานได้ทันทีเมื่อเกิดเหตุฉุกเฉิน รวมทั้งมีกระบวนการปรับปรุงระบบงานและเอกสารให้เป็นปัจจุบันอย่างชัดเจนและต่อเนื่อง ควบคู่กับการดูแลสภาพแวดล้อมที่ดี มีมาตรฐานที่ศูนย์คอมพิวเตอร์หลัก
– ระดับอ่อน
ไม่มีการจัดเตรียมความพร้อมด้านทรัพยากร ระบบงานเพื่อรองรับเหตุการณ์ฉุกเฉินตามข้อ 4.1
4.2) ความพร้อมของสถานที่และ Facilities ต่างๆ
– ระดับดี
มีการจัดเตรียมสถานที่สำรองและสิ่งอำนวยความสะดวกอย่างครบถ้วน ซึ่งสามารถรองรับการปฏิบัติงานของทุกหน่วยงานหลักขององค์กรหรือ องค์กรมีแนวทางอื่นรองรับในกรณีที่ไม่สามารถเข้าใช้สถานที่สำรองได้ โดยพิจารณามิติและมุมมองของเหตุการณ์ร้ายแรงที่ครบถ้วน ตรวจสอบได้ เชื่อถือได้
– ระดับอ่อน
ไม่มีการจัดเตรียมสถานที่สำรองหรือแนวทางอื่นใดไว้
4.3) ความพร้อมในกรณีใช้บริการจากภายนอก (Outsourcing)
– ระดับดี
สัญญาว่าจ้างผู้ให้บริการภายนอกยังมีผลบังคับใช้ในปัจจุบัน มีการจัดทำ Service Level Agreement : SLA เป็นลายลักษณ์อักษรอย่างครอบคลุมและชัดเจน สามารถใช้ในการติดตามและวัดผลการดำเนินงานของผู้ให้บริการภายนอกได้ อีกทั้งมีความชัดเจนว่าจะพร้อมให้บริการแก่องค์กรได้ทันทีที่ต้องการ และมีการทดสอบอย่างน้อยปีละ 1 ครั้ง
– ระดับอ่อน
องค์กรมีการใช้บริการจากผู้ให้บริการภายนอก แต่ไม่มีการจัดทำสัญญาหรือข้อตกลงใด ๆ ที่จะสามารถมีผลบังคับทางกฎหมายกับผู้ให้บริการภายนอกได้ หรือใช้ถ้อยคำกำกวมที่ต้องตีความกันอีก
4.4) การทบทวนและปรับปรุงแผนให้เป็นปัจจุบัน
– ระดับดี
มีกระบวนการและผู้ดำเนินการทบทวนและปรับปรุงแผนให้เป็นปัจจุบันอย่างครบถ้วน ชัดเจนและต่อเนื่อง โดยมีผู้บริหารของฝ่าย IT ฝ่ายธุรกิจ ฝ่ายอื่น ๆ ที่เกี่ยวข้อง รวมทั้งหน่วยงานอิสระทำหน้าที่สอบทานแผนฯ (BCP)
– ระดับอ่อน
ไม่มีการทบทวนและปรับปรุงแผนฯ
5. ความสามารถในการนำไปปฏิบัติงานได้
– ระดับดี
การทดสอบครอบคลุมการดำเนินธุรกิจทุกประเภทหลัก ๆ ขององค์กร โดยมีการจำลองเหตุการณ์ต่าง ๆ ที่สามารถปฏิบัติงานทดแทนการปฏิบัติงานจริงได้อย่างสมบูรณ์ โดยการทดสอบระบบคอมพิวเตอร์และระบบเครือข่ายสำรองอย่างครบถ้วน ประกอบกับมีฝ่ายงานที่เกี่ยวข้องทั้งภายในและภายนอกเข้ามาร่วมในการทดสอบ และมีหน่วยงานอิสระเข้ามาร่วมสังเกตการณ์ทดสอบ โดยผลการทดสอบการกู้คืนระบบใช้เวลาสั้น และมีการรายงานผลการทดสอบให้ฝ่ายงานที่เกี่ยวข้อง ผู้บริหารระดับสูงขององค์กร และหน่วยงานอิสระได้รับทราบด้วย
– ระดับอ่อน
ไม่มีการทดสอบ และไม่มีหลักฐานการทดสอบโดยเฉพาะการทำ Stress Test ที่น่าเชื่อถือได้อย่างเป็นระบบ ผู้บริหารขาดการติดตามความสามารถของแผนฯ ในการนำไปสู่การปฏิบัติงานได้จริง
การประเมินตนเองเพื่อวัดระดับศักยภาพการบริหาร BCP/BCM ตามที่กล่าวย่อ ๆ ข้างต้นจะมีประโยชน์ต่อทุกองค์กร ในฐานะ Operators และมีประโยชน์ต่อหน่วยงานกำกับในฐานะ Regulators ซึ่งควรจะเข้าใจตรงกัน การคุยสำหรับเรื่องนี้ในวันนี้ผมจะขอจบลงด้วยภาพที่เกี่ยวข้องกับ BCP/BCM ส่งท้ายเพื่อให้ท่านพิจารณาและทำความเข้าใจต่อไปคือ

PRO vs RTO & BCM