Plan de continuitate a activităților și recuperare după dezastre
SEAPIDStare
DA30806090
Data14 Iunie 2022
Valoare92.000 RON
Oferta acceptata
Autoritatea contractantaLocalitateBucuresti, Bucuresti
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Conform oferta
Achizitii92.000 RON
Cantitate: 1
Unitate masura: serv
Plan de continuitate a activităților și recuperare după dezastre
Metodologia EM@N
Analiza GAP
Analiza diferențială (tip Gap Assessment) pentru identificarea nivelului de conformare cu cerințele standardului ISO 22301 se realizează prin interviuri cu managerii de business unit, adminii, facilities etc. și completarea de chestionare specifice.
Umare acestor activități se va realiza un raport de analiză privind situația curentă față de cerințele standardului, respectiv un roadmap de implementare cu focus pe problemele importante identificate.
Managementul riscurilor - evaluarea riscurilor la care sunt expuse cele mai importante procese care susțin activitatea organizatiei.
Analiza riscurilor de securitate pentru locațiile și sistemele informatice și de comunicaţii care aparțin organizatiei se va elabora în baza următoarelor documente:
• Standardul ISO 27001 - managementul securității informațiilor;
• Standardul ISO 27002 - cod de bune practici pentru managementul securității informațiilor;
• Metodologia privind managementul riscului de securitate pentru sistemele informatice și de comunicaţii care stocheazǎ, proceseazǎ sau transmit informaţii sensibile;
Obiectivele urmărite prin efectuarea analizei riscurilor de securitate :
identificarea ameninţărilor la adresa funcţionalităţii şi securităţii organizatiei;
identificarea vulnerabilităţilor;
determinarea nivelului riscurilor de securitate;
fundamentarea şi proiectarea măsurilor de securitate necesare diminuării nivelului de risc.
Raportul de analiză a riscurilor va reprezenta sinteza analizei efectuate în cadrul organizatiei, pentru sistemele informatice și de comunicații care gestionează (stochează, procesează sau transmit) documente, date și informaţii confidențiale sau nu, pentru determinarea probabilitǎţii în care, ameninţările posibile, prin exploatarea vulnerabilităţilor, pot afecta obiectivele organizatiei.
EM@N propune o abordare a analizei riscurilor atât din punct de vedere cantitativ cât și calitativ, astfel:
1. Pentru analiza cantitativă a riscului sevor parcurge următorii paşi:
• Identificarea şi evaluarea bunurilor materiale și echipamentelor informatice
• Determinarea vulnerabilităţilor
• Estimarea probabilităţii de producere
• Calculul pierderilor estimate
• Analiza măsurilor de control
• Estimarea Rentabilităţii Investiţiei.
2. Algoritmul parcurs pentru analiza calitativă constă în:
• Identificarea şi evaluarea bunurilor materiale şi echipamentelor informatice
• Identificarea ameninţărilor
• Identificarea vulnerabilităţilor
• Analiza măsurilor de securitate
• Determinarea probabilităţii de producere a unui eveniment nedorit şi impactul acestuia asupra sistemului
• Analiza impactului producerii unui eveniment nedorit
• Determinarea riscurilor
• Recomandări privind măsurile de securitate
• Elaborarea raportului privind analiza riscului.
Analiza impactului asupra afacerii - identificarea evenimentelor care pot afecta continuitatea operațională a organizatiei
Desfăşurarea acestei faze presupune o bună cunoaştere a organizaţiei, a proceselor cheie şi a resurselor IT necesare susţinerii acestor procese. De aceea este necesară identificarea aplicaţiilor şi datelor critice, reţelelor, sistemelor software, facilităţilor proces realizat cu aprobarea managementului.
În desfăşurarea BIA vor fi utilizate mai multe abordări:
utilizarea de chestionare detaliate destinate utilizatorilor IT cheie şi utilizatorilor finali
prezentarea și dezbaterea unor scenarii în cadrul reuniunilor interne, cu participarea conducătorilor de departamente și a responsabililor IT nominalizați;
vizite de evaluare și interviuri, efectuate la locațiile ce aparțin organizatiei.
Realizarea BIA presupune soluţionarea a patru probleme majore:
identificarea proceselor critice pentru organizatiei
identificarea resurselor informaţionale specifice proceselor critice identificate
determinarea timpului critic de refacere a resurselor informaţionale în care procesele afacerii trebuie reluate înainte să se înregistreze pierderi semnificative sau inacceptabile
Planul de continuitate al afacerii
BCP/DR trebuie să privească toate funcţiile şi activele organizatiei, iar fiecare entitate/departament trebuie să asigure un nivel minim de funcţionalitate imediat ce se produce întreruperea activităţii din cauza unui eveniment distructiv.
În abordarea EM@N procesul BCP/DR se desfăşoară în următoarele faze ale ciclului de viaţă:
Crearea unei politici privind continuitatea activităţii şi refacerea după dezastru;
Analiza impactului asupra activităţii (Business Impact Analysis – BIA);
Clasificara operaţiilor şi analiza critică;
Elaborarea BCP/DR;
Instruirea cu privire la BCP/DR şi conştientizarea importanţei lui;
Testarea şi implementara planului;
Monitorizarea.
Metodologia EM@N oferă servicii de continuitate a afacerii și de reluare a activității în caz de dezastru prin evaluare, dezvoltare, implementare și monitorizare.
Integrarea BCP/DR în procesele de testare, evaluare a riscului sau actualizare BIA, furnizează un model de guvernanță a afacerii capabil să asigure continuitatea operațiunilor în ciuda apariției unui eveniment nedorit.