สำหรับวันนี้ผมคงไม่กล่าวอะไรมาก เพราะคิดว่าคงมีท่านผู้สนใจ คอยติดตาม และอยากจะทราบแล้วว่าเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ในหัวข้อถัดไปจะเป็นอย่างไร？

อย่างนั้น เราไปดูกันต่อใน 2 หัวข้อสุดท้ายกันเลยครับ

4. ความพร้อมในการใช้งานของอุปกรณ์และข้อมูล

4.1) ความพร้อมในการใช้งานของอุปกรณ์ โปรแกรม ข้อมูล คู่มือการปฏิบัติงานและแบบฟอร์มที่จำเป็น

– ระดับดี
มีการสำรองระบบงาน ซึ่งรวม Hardware, Software, Data และมีการจัดเตรียมคู่มือการปฏิบัติงานและเอกสารประกอบการทำงานไว้ ณ สถานสำรองอย่างครบถ้วน ซึ่งสามารถใช้งานได้ทันทีเมื่อเกิดเหตุฉุกเฉิน รวมทั้งมีกระบวนการปรับปรุงระบบงานและเอกสารให้เป็นปัจจุบันอย่างชัดเจนและต่อเนื่อง ควบคู่กับการดูแลสภาพแวดล้อมที่ดี มีมาตรฐานที่ศูนย์คอมพิวเตอร์หลัก

– ระดับอ่อน
ไม่มีการจัดเตรียมความพร้อมด้านทรัพยากร ระบบงานเพื่อรองรับเหตุการณ์ฉุกเฉินตามข้อ 4.1

4.2) ความพร้อมของสถานที่และ Facilities ต่างๆ

– ระดับดี
มีการจัดเตรียมสถานที่สำรองและสิ่งอำนวยความสะดวกอย่างครบถ้วน ซึ่งสามารถรองรับการปฏิบัติงานของทุกหน่วยงานหลักขององค์กรหรือ องค์กรมีแนวทางอื่นรองรับในกรณีที่ไม่สามารถเข้าใช้สถานที่สำรองได้ โดยพิจารณามิติและมุมมองของเหตุการณ์ร้ายแรงที่ครบถ้วน ตรวจสอบได้ เชื่อถือได้

– ระดับอ่อน
ไม่มีการจัดเตรียมสถานที่สำรองหรือแนวทางอื่นใดไว้

4.3) ความพร้อมในกรณีใช้บริการจากภายนอก (Outsourcing)

– ระดับดี
สัญญาว่าจ้างผู้ให้บริการภายนอกยังมีผลบังคับใช้ในปัจจุบัน มีการจัดทำ Service Level Agreement : SLA เป็นลายลักษณ์อักษรอย่างครอบคลุมและชัดเจน สามารถใช้ในการติดตามและวัดผลการดำเนินงานของผู้ให้บริการภายนอกได้ อีกทั้งมีความชัดเจนว่าจะพร้อมให้บริการแก่องค์กรได้ทันทีที่ต้องการ และมีการทดสอบอย่างน้อยปีละ 1 ครั้ง

– ระดับอ่อน
องค์กรมีการใช้บริการจากผู้ให้บริการภายนอก แต่ไม่มีการจัดทำสัญญาหรือข้อตกลงใด ๆ ที่จะสามารถมีผลบังคับทางกฎหมายกับผู้ให้บริการภายนอกได้ หรือใช้ถ้อยคำกำกวมที่ต้องตีความกันอีก

4.4) การทบทวนและปรับปรุงแผนให้เป็นปัจจุบัน

– ระดับดี
มีกระบวนการและผู้ดำเนินการทบทวนและปรับปรุงแผนให้เป็นปัจจุบันอย่างครบถ้วน ชัดเจนและต่อเนื่อง โดยมีผู้บริหารของฝ่าย IT ฝ่ายธุรกิจ ฝ่ายอื่น ๆ ที่เกี่ยวข้อง รวมทั้งหน่วยงานอิสระทำหน้าที่สอบทานแผนฯ (BCP)

– ระดับอ่อน
ไม่มีการทบทวนและปรับปรุงแผนฯ

5. ความสามารถในการนำไปปฏิบัติงานได้

– ระดับดี
การทดสอบครอบคลุมการดำเนินธุรกิจทุกประเภทหลัก ๆ ขององค์กร โดยมีการจำลองเหตุการณ์ต่าง ๆ ที่สามารถปฏิบัติงานทดแทนการปฏิบัติงานจริงได้อย่างสมบูรณ์ โดยการทดสอบระบบคอมพิวเตอร์และระบบเครือข่ายสำรองอย่างครบถ้วน ประกอบกับมีฝ่ายงานที่เกี่ยวข้องทั้งภายในและภายนอกเข้ามาร่วมในการทดสอบ และมีหน่วยงานอิสระเข้ามาร่วมสังเกตการณ์ทดสอบ โดยผลการทดสอบการกู้คืนระบบใช้เวลาสั้น และมีการรายงานผลการทดสอบให้ฝ่ายงานที่เกี่ยวข้อง ผู้บริหารระดับสูงขององค์กร และหน่วยงานอิสระได้รับทราบด้วย

– ระดับอ่อน
ไม่มีการทดสอบ และไม่มีหลักฐานการทดสอบโดยเฉพาะการทำ Stress Test ที่น่าเชื่อถือได้อย่างเป็นระบบ ผู้บริหารขาดการติดตามความสามารถของแผนฯ ในการนำไปสู่การปฏิบัติงานได้จริง

การประเมินตนเองเพื่อวัดระดับศักยภาพการบริหาร BCP/BCM ตามที่กล่าวย่อ ๆ ข้างต้นจะมีประโยชน์ต่อทุกองค์กร ในฐานะ Operators และมีประโยชน์ต่อหน่วยงานกำกับในฐานะ Regulators ซึ่งควรจะเข้าใจตรงกัน การคุยสำหรับเรื่องนี้ในวันนี้ผมจะขอจบลงด้วยภาพที่เกี่ยวข้องกับ BCP/BCM ส่งท้ายเพื่อให้ท่านพิจารณาและทำความเข้าใจต่อไปคือ

PRO vs RTO & BCM

จากที่ครั้งก่อนผมได้พูดถึง แนวทางการบริหารและการพิจารณาระดับการบริหาร การจัดการ BCM ขององค์กรทั่วไป รวมถึงเกณฑ์เบื้องต้นของการมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCM-Business Continuity Management) ซึ่งมีเกณฑ์และกรอบของงานให้ไว้เป็นแนวทางปฏิบัติ 5 ข้อ โดยกล่าวถึงความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่องเป็นข้อแรกทิ้งท้ายเอาไว้

วันนี้ ผมจะพูดถึงระดับความเกี่ยวข้องสัมพันธ์กันของ BCP/BCM กับบทบาทของคณะกรรมการและผู้บริหารระดับสูง และความสมบูรณ์ครบถ้วนของแผน BCP/BCM ที่เกี่ยวเนื่องกับหน่วยงาน IT และ Non – IT ซึ่งเป็นหัวข้อถัดไปครับ

2. บทบาทของคณะกรรมการและผู้บริหารระดับสูงเป็นสิ่งสำคัญยิ่ง เนื่องจากสะท้อนถึงวิสัยทัศน์ นโยบาย กลยุทธ์และแผนงานที่เกี่ยวเนื่องกับความมั่นคง และ/หรือ การให้บริการที่มีผลกระทบต่อเศรษฐกิจและประชาชนในวงกว้าง ในภาวะฉุกเฉินและไม่ปกติที่เกิดจากปัจจัยภายในและภายนอก

2.1) ระดับดี
คณะกรรมการฯ ผู้บริหารระดับสูงขององค์กรได้เข้ามามีส่วนร่วมในการดำเนินงานด้าน BCP/BCM ในเรื่องต่าง ๆ ได้แก่ การจัดสรรทรัพยากร บุคลากรและงบประมาณที่เพียงพอ การกำหนดนโยบาย การอนุมัติแผน ตลอดจนเข้ามาควบคุมดูแลการดำเนินงานตามแผน การสอบทานผลการทดสอบและการกำกับดูแล และให้มีการปรับ BCP /BCM ให้เป็นปัจจุบันอยู่เสมอ รวมทั้งการทำให้พนักงานมีความเข้าใจและตระหนักถึงบทบาทหน้าที่ของตนในการปฏิบัติตามแผนได้ในทางปฏิบัติ

2.2) ระดับอ่อนหรือไม่ผ่าน BCP/BCM
ผู้บริหารระดับสูงไม่ได้ตระหนักถึงความสำคัญของการเตรียมความพร้อมรองรับเหตุการณ์ฉุกเฉิน โดยไม่มีส่วนร่วมและไม่ได้มอบหมายผู้ปฏิบัติงานแทนในการกำหนดนโยบาย ควบคุมดูแลและการดำเนินงาน BCP/BCM เมื่อเทียบกับ ข้อ 2.1 เป็นต้น

3. ความครบถ้วนสมบูรณ์ของแผน BCP/BCM ที่เกี่ยวกับหน่วยงาน IT และ Non-IT ที่เกี่ยวเนื่องกันโดยรวมทั้งมุมมอง การบูรณาการตั้งแต่ความคิด ความเข้าใจ การวางแผนฯ ที่สอดประสานกันในระดับองค์กรและระหว่างองค์กร

3.1) ระดับดี
มีการจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) เป็นลายลักษณ์อักษรที่ครอบคลุมหน่วยงานธุรกิจและหน่วยงานด้าน IT รวมทั้งครอบคลุมทุกระบบงานหลัก ๆ แผนสามารถรองรับปัญหาที่ส่งผลกระทบในระดับความรุนแรงต่าง ๆ ตั้งแต่น้อยจนถึงมาก จนไม่สามารถดำเนินงานต่อไปได้ อีกทั้งรองรับเหตุการณ์ความเสียหายในหลายรูปแบบ โดยคำนึงถึงปัจจัยที่เป็นอุปสรรคภายนอก มีการกำหนดเกณฑ์ที่ใช้พิจารณาในการเริ่มปฏิบัติตามแผนฯ โดยเป็นเกณฑ์ทั้งเชิงธุรกิจและ IT ซึ่งส่วนใหญ่จะมีปัญหาด้านบูรณาการ ประสานงานและการปฏิบัติ

กระบวนการจัดทำแผนฯ ครอบคลุมขั้นตอน การวิเคราะห์ผลกระทบต่อธุรกิจ การประเมินความเสี่ยงของทุกธุรกิจ โดยมีผู้บริหารที่เกี่ยวข้องเข้ามามีส่วนร่วมในการจัดทำแผน รวมทั้งมีหน่วยงานกลางมาสอบทานกระบวนการจัดทำแผนด้วย มีการกำหนดภัย สมมติฐานไว้อย่างครอบคลุมและทันสมัย รวมทั้งคำนึงถึงสานการณ์จำลองที่เลวร้ายที่สุด อีกทั้งมีการวิเคราะห์โอกาสและความรุนแรงของภัย รวมทั้งผลกระทบที่เกี่ยวข้อง (BIA-Business Impact Analysis) เพื่อจัดลำดับความสำคัญของธุรกิจ และระบบงานในการกู้คืนสู่สภาพปกติ

3.2) ระดับอ่อน หรือไม่มี BCP/BCM
ไม่มีการจัดทำ BCP/BCM เป็นลายลักษณ์อักษรและไม่มีแนวทางปฏิบัติเพื่อเตรียมพร้อมรองรับเหตุการณ์ฉุกเฉินตามหลักการ BCP/BCM

สำหรับเนื้อหาในส่วนที่เหลือ คงต้องติดตามกันต่อในตอนหน้านะครับ