При пересмотре плана непрерывности бизнеса (BCP) аудитор должен удостовериться, что его основные элементы хорошо проработаны в плане. Проверка процедур может включать следующиe действия:
Получить текущую версию BCP или аналогичное руководство.
Получить версию BCP, которая была в действительности разослана и проверить её на актуальность.
Оценить эффективность документированных процедур на случай их применения.
Пересмотреть критерии выбора приложений, определение для них приоритета и планируемой технической поддержки.
Определить для всех приложений время, в течение которых они могут оставаться неработоспособными в случае наступления каких-либо бедствий.
Определить все критичные приложения.
Определить, имеет ли запасная площадка корректные версии необходимых приложений, проверить их на совместимость между собой. В противном случае ИС не будет работоспособной после восстановления.
Получить список членов из группы восстановления.
Получить копию договора или соглашения на использование запасной площадки.
Пересмотреть список персонала, участвующего в BCP, контакты персонала запасной площадки, контакты всех необходимых вендоров с точки зрения полноты и достоверности.
Сделать звонки некоторым сотрудникам, а также другому персоналу, чтобы таким конкретным способом удостовериться в корректности указанной контактной информации.
Проинтервьюировать персонал, чтобы удостовериться в том, что все правильно понимают свои обязанности, а также понимают свою ответственность в случае наступления рисковых событий.
Оценить как документированы процедуры.
Оценить процедуры по актуализации руководств. Все ли обновления руководств производятся и распространяются своевременно? Документирована ли в них специфическая ответственность персонала?
Пересмотреть процедуры бекапа, предназначенные для каждой области BCP.
Определить соответствуют ли процедуры бекапа и восстановления друг другу?
Дополнительные меры:
Оценить полноту, применимость, точность, актуальность и легкость для понимания для всех разработанных процедур.
Удостовериться в том, что все вновь проведенные операции (транзакции), выполненные после процесса восстановления, можно будет отделить от обычных.
Определить, что вся команда восстановления имеет соответствующие инструкции в зависимости от типа бедствия.
Определить, что все подходящие процедуры существуют и они актуализированы.
Определить, что существует план перевода процессов на резервную площадку.
Определить, что существует план восстановления процессов с резервной площадки на основную.
Определить, есть ли необходимость реконструкции (изменения) информационных процессов при их переводе на резервную площадку.
Рассматриваемые вопросы должны включать:
Кто отвечает за администрирование и координацию работ по плану?
Отвечает ли администратор или координатор работ за актуальность плана?
За что конкретно отвечают члены команды восстановления при наступлении бедствия?
Где хранится BCP?
Все ли критичные системы включены в BCP?
Какие системы не включены в BCP и почему?
Какое оборудование не включено в BCP и почему?
Кто управляет BCP в случае вступления его в действие и почему?
Каким образом и кем осуществляется принятие решение о вступлении в действие BCP?
Все ли документированные процедуры восстановления ведут к успешному восстановлению?
Рассчитан ли BCP на разные типы бедствий?
Бекап телекоммуникационного оборудования, а также сетевых и телефонных линий отражен в BCP?
Где расположена запасная площадка?
BCP предусматривает перевод всех основных информационных систем организации с резервной площадки куда-либо еще в случае невозможности восстановления исходной площадки?
BCP предусматривает разделение файлов данных, баз данных, систем управления ими для функционирования на разных площадках?
BCP предусматривает ручную или автоматическую загрузку данных в ИС?
Как проводится обучение персонала как установленным процедурам, так и в части резервного копирования данных?
Процедуры восстановления документированы?
Проводится ли регулярный бекап всех требуемых файлов, информации и приложений?
Кто определяет методы и частоту бекапа для всех критичных данных?
Требуется ли проведение on-line операций на основной площадке, чтобы разместить резервные копии на удаленных площадках и наоборот?
Осведомлены ли сотрудники о том, что в случае бедствий их оборудование (ПК, принтеры и т.д.) могут быть перераспределены между другими площадками?
Существуют ли документированные процедуры на случай потерь данных?
Где находится расписание тестирования и тренировки персонала?
Комментариев нет:
Отправить комментарий