Управление проектами.РУ

Управление проектами.РУ
Сообщество тех, кто умеет или хочет научиться
хорошо управлять проектами
29 марта 2022 Все для начинающего РМа
0

BCP или Business Continuity Plan – что это и зачем нужно

Юлия Бажанова
Редактор проекта, РМР, ICP-PPM
-->




На злобу дня, но про управление проектами.

Что такое Business Continuity Plan

Есть такая незаслуженно часто забываемая вещь, как Business Continuity Plan (кратко – BCP) или План обеспечения непрерывности бизнеса. Сам инструмент пришел из антикризисного менеджмента и прижился в управлении ИТ-проектами, так как при любом внедрении более-менее значимой системы  вопрос, который должен задать себе как руководитель проекта, так и тот, кто принимает эту систему – “а что, если?!!!”.  Прямо так, с тремя восклицательными знаками. Если система будет недоступна – какое влияние это окажет на бизнес? От ответа на этот вопрос будет зависеть серьезность и стоимость мер, которые необходимо предпринять как для того, чтобы а) катастрофа не произошла б) в случае, если она произойдет, был нанесен наименьший урон в) бизнес не остановился из-за катастрофы.

Вот ответ на пункт в) – это и есть Business Continuity Plan.

К слову, само понятие BCP неразрывно связано с DRP (Disaster Recovery Plan, или План восстановления после катастрофы), но про DRP подробнее как-нибудь в другой раз.

Пример из сегодняшней жизни

Сейчас отовсюду мы слышим новости о том, что сайты и ресурсы ведомств “легли” под DDos-атакой. Из вчерашнего – по всему интернету разлеталась новость о том, что якобы была взломана система электронного документооборота Росавиации, уничтожены все файлы и вообще произошел тот самый Disaster с большой буквы. Что делает Росавиация? Правильно, идет в инструкцию по делопроизводству, где написано, что вообще-то Росавиция использует электронный документооборот, но где обязательно есть раздел “А чего мы будем делать, если?!” (называется он, конечно, по-другому, но смысл такой). Вот там и написано, при каких условиях происходит переход – по решению генерального директора, при недоступности системы ЭДО более 4 часов, при уведомлении от госорганов о внешней киберугрозе и т.д.

Соответственно, Росавиация находит в реестре возможных катастроф ту, которая происходит сейчас (что бы это ни было – реальный взлом, угроза, перестраховка, сгоревший сервер и т.д.), читает там, что нужно сделать и делает – направляет во все российские авиакомпании и аэропорты уведомление через сеть АФТН о переходе на бумажный документооборот через телеграммы, курьеров и почту.

Все понятно, все прописано, скорость реакции мгновенная, не тратится время на совещания, принятие решений и т.д. Умные люди продумали все заранее и зафиксировали, исполнителям осталось сделать как написано.

Кстати, кто не знает, АФТН – это специализированная российская телеграфная сетка для передачи сообщений гражданской авиации. Дорогая, медленная, но своя. Мне тут по долгу работы последнее время пришлось погрузиться в тематику авиации, пока ничего непонятно, но очень интересно. Телеграмма точно подлинная, подлинный ли взлом – так и непонятно.

Как разработать план обеспечения непрерывности

Вообще BCP все оформляют в меру своих талантов, какого-то универсального общепринятого шаблона нет. В минимальной “комплектации” BCP обычно следующие блоки:

  1. Сценарии катастрофы (описание, степень влияния, триггеры и т.д.) – что теоретически может произойти, так как в зависимости от типа катастрофы способ обеспечения непрерывности бизнеса может отличаться. Если сгорел сервер – бежим поднимать на соседний из бэкапа, если ломают снаружи – перекрываем сеть и меняем пароли и т.д.
  2. Целевые показатели – сколько бизнес может простаивать при каком из типов катастрофы. Потому что, например, Росавиация не может не отправлять и не принимать данные, но может пару суток протянуть без доступа к историческим данным.
  3. Целевое действие – способ обеспечения непрерывности для каждого типа катастрофы со ссылкой на детальную инструкцию по претворению его в жизнь.
  4. Ответственные – хорошая практика – указать такового как со стороны ИТ, так и со стороны владельца системы.

Это прямо минимум, но он может сэкономить много нервных клеток, если катастрофа все-таки случится. В максимуме в этом же документе могут быть прописаны контрольные точки обеспечения непрерывности, поминутный тайминг, контакты, процесс координации, процесс принятия решения об откате BCP и еще сотня пунктов. Самый большой BCP, который я видела, содержал 226 страниц.

Для особо серьезных систем процесс BCP имеет смысл прописать в нормативных актах компании и зафиксировать приказом, для менее серьезных – достаточно будет документа в прямом доступе владельца системы и службы поддержки. Ну и при правильно выстроенных процессах проектного управления у руководителя проекта вообще не должно быть опции сдать систему на поддержку без BCP и DRP.

Как и с любым инструментом управления проектами – BCP нужно применять только по показаниям, а именно – для решений, остановка которых несет реальную проблему для бизнеса и будет для него болезненна. Поэтому, например, какая-нибудь системка управления корпоративными рассылками точно не требует BCP на 100+ страниц, а вот любая ERP – точно требует. Причем ERP ERP рознь – представьте, что будет, если, например, SAP перестанет работать у какой-нибудь Северстали на 4 часа? Да ничего не произойдет, ну придется потом нагнать пропущенное время, неприятно, но не смертельно. А теперь – если SAP встанет в X5? И по всей РФ встанут все продажи во всех Перекрестках и Пятерочках (там онлайн все)? Вот поэтому BCP у них будут отличаться, и отличаться сильно.

Ну и напоследок – как и любой инструмент управления проектами, BCP вполне применим в обычной бытовой жизни. Например, сейчас, при угрозе отключения внешних сервисов не самым плохим решением будет сделать бэкап, например, гугл-почты, создать ящик на яндексе и настроить пересылку писем на него. Если случится катастрофа – переключитесь на яндекс временно или постоянно. Это просто пример, ни к чему не призываю.

Более бытовой пример – дети имеют свойство пачкать и мочить одежду, а ходить без куртки в -20 или в мокрой куртке из-за того, что она не успела высохнуть – это вполне тянет на катастрофу с последующим воспалением легких. BCP – иметь второй комплект одежды или сушильную машину дома. У нас есть и то, и другое, двойное резервирование!

Пример плана обеспечения непрерывности или Business Continuity Plan

Скоро будет:)

Делаете BCP и DRP для своих проектов? Расскажите!





комментарии

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Sorry that something went wrong, repeat again!

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: