Download - Business Continuity Management
Business Business Continuity Continuity
ManagementManagementโดยโดยดรดร..ธนิ�ต โสร�ตนิ�ธนิ�ต โสร�ตนิ�
รองประธานิสภาอ�ตสาหกรรมแห�งรองประธานิสภาอ�ตสาหกรรมแห�งประเทศไทยประเทศไทย
วั�นิท�� วั�นิท�� 22 22 พฤษภาคม พฤษภาคม 2555 2555 ณ รอย�ล พาราณ รอย�ล พารากอนิฮอล�กอนิฮอล�Business Continuity-1/2012
1
““ป'จจ�ยควัามเส��ยงทางธ�รก�จม�ผลโดยตรงต�อป'จจ�ยควัามเส��ยงทางธ�รก�จม�ผลโดยตรงต�อควัามต�อเนิ*�องของธ�รก�จ”ควัามต�อเนิ*�องของธ�รก�จ”
““Business risk factor effect Business risk factor effect directly to business continuity” directly to business continuity”
2
นิ�ยามการบร�หารควัามต�อเนิ*�องทางธ�รก�จBusiness Continuity Management (BCM)
“การบร�หารและประเมิ�น โอกาสที่��อาจมิ�ความิเส��ยงที่��เก�ดจากป�จจ�ยภายในและป�จจ�ยภายนอก รวมิถึ ง
ป�จจ�ยจากภ�ยธรรมิชาติ� ซึ่ �งอาจมิ�ผลกระที่บที่&าให'การด&าเน�นธ(รก�จเก�ดความิไมิ*สะดวกหร+อที่&าให'ธ(รก�จติ'องหย(ดชะง�กเก�ดความิเส�ยหาย ที่�,งช��วคราวหร+อที่&าให'
ธ(รก�จติ'องป-ดก�จการโดยส�,นเช�ง ”
3
4
บร�หารควัามเส��ยงบร�หารควัามเส��ยง......เก��ยวัข-องโดยตรงก�บเก��ยวัข-องโดยตรงก�บควัามต�อเนิ*�องทางธ�รก�จควัามต�อเนิ*�องทางธ�รก�จ
ระบบบร�หารควัามเส��ยง หมิายถึ ง ระบบการบร�หารป�จจ�ยและควบค(มิก�จกรรมิ รวมิที่�,งกระบวนการด&าเน�นงานติ*างๆ
โดยลดมิ/ลเหติ(แติ*ละโอกาสที่��จะที่&าให'เก�ดความิหาย เพื่+�อให'การด&าเน�นงานขององค2กรมิ�ความิติ*อเน+�องและเก�ดความิ
มิ��นคงในการด&าเน�นธ(รก�จพ�นิธะก�จของการบร�หารควัามเส��ยง เป3นการบร�หารป�จจ�ยความิเส��ยงและผลกระที่บที่��จะเก�ดข ,นในอนาคติอย/*ในระด�บที่��สามิารถึร�บได'โดยมิ�การประเมิ�นป�จจ�ยความิเส��ยง ประเมิ�นการจ�ดการให'มิ�ระบบควบค(มิความิเส��ยง และมิ�การติรวจสอบได'อย*างมิ�ระบบ โดยค&าน งถึ งการบรรล(ว�ติถึ(ประสงค2
หร+อเป4าหมิายของหน*วยงานเป3นส&าค�ญ
5
วั�ตถุ�ประสงค�ในิการบร�หารควัามวั�ตถุ�ประสงค�ในิการบร�หารควัามเส��ยงเส��ยง
• Risk Protection ก&าหนดแนวที่างป4องก�นความิเส��ยงติ*างๆ ซึ่ �งอาจเก�ดข ,นก�บองค2กรและส*งผลกระที่บที่�,งที่างติรงและที่างอ'อมิติ*อความิเส�ยหายและความิติ*อเน+�องในการด&าเน�นธ(รก�จขององค2กร
• Risk Awareness เพื่+�อให'เก�ดการร�บร/ ' ติระหน�ก และเข'าใจถึ งความิเส��ยง ด'านติ*างๆที่��เก�ด ข ,นก�บองค2กร และหาว�ธ�จ�ดการที่��เหมิาะสมิในการลด ความิเส��ยงให'อย/*ในระด�บที่��องค2กรยอมิร�บได'• Inspection กระบวนการในการติรวจสอบในองค2กรเพื่+�อให'สามิารถึ บร�หารจ�ดการความิไมิ*แน*นอนจากป�จจ�ยที่��คาดไมิ*ถึ งที่��อาจเก�ดข ,นก�บ องค2กรได'อย*างเป3นระบบและมิ�ประส�ที่ธ�ภาพื่
6
ควัามเส��ยงของธ�รก�จควัามเส��ยงของธ�รก�จ......ม�อะไรม�อะไรบ-างบ-าง
What is ... Business What is ... Business Risk ?Risk ?ควัามเส��ยงของธ�รก�จประกอบด-วัย
–Reliability ควัามนิ�าเชื่*�อถุ*อ–Responsibility ควัามร�บผ�ดชื่อบ–Liability การชื่ดใชื่-ค�าเส�ยหาย–Opportunity ควัามเส�ยโอกาส– Business Termination การป1ดก�จการโดยส�2นิ
เชื่�ง– Legal Offense ควัามผ�ดตามกฎหมาย
ควัามเส��ยงท��ส4าค�ญและจะต-องให-ม�ควัามเส��ยงท��ส4าค�ญและจะต-องให-ม�การบร�หารควัามเส��ยงการบร�หารควัามเส��ยง
ควัามเส��ยงท��ส4าค�ญและจะต-องให-ม�ควัามเส��ยงท��ส4าค�ญและจะต-องให-ม�การบร�หารควัามเส��ยงการบร�หารควัามเส��ยง
ควัามเส��ยงด-านิกลย�ทธ� (Strategic Risk)ควัามเส��ยงด-านิการปฏิ�บ�ต�งานิ (Operational Risk) ควัามเส��ยงด-านิการเง�นิ(Financial Risk) ควัามเส��ยงด-านิกฎหมายและกฎระเบ�ยบทางราชื่การ(Law
Compliance Risk) ควัามเส��ยงด-านิ ITและระบบการส*�อสาร (IT
&Communication Risk) ควัามเส��ยงจากภ�ยพ�บ�ต�ทางธรรมชื่าต� และสภาวัะแวัดล-อม
(Natural & Environmental Disasters) ควัามเส��ยงด-านิการเม*องท�2งในิประเทศและต�างประเทศ
(Political Risk)7
8
ควัามเส��ยงในิธ�รก�จเก�ดจากคนิเป7นิส�วันิใหญ�
ควัามเส��ยงในิธ�รก�จเก�ดจากคนิเป7นิส�วันิใหญ�
ควัามเส��ยงจากการควัามเส��ยงจากการไม�ปฏิ�บ�ต�ตามระบบงานิท��ก4าหนิดไวั- เชื่�นิ การไม�ผ�านิระบบควับค�มค�ณภาพและหร*อไม�ปฏิ�บ�ต�ตามค8�ม*อการท4างานิ รวัมถุ9งควัามเส��ยงท��เก�ดจากการกระท4าโดยควัามประมาทเล�นิเล�อ หร*อจากการม�ระบบงานิท��ไม�ด� หร*อไม�ปฏิ�บ�ต�ตามกฎหมาย กฎระเบ�ยบทางราชื่การท��เก��ยวัข-องท�2งท��
ต�2งใจและไม�ต�2งใจ
9
Law Compliance RiskLaw Compliance Riskควัามเส��ยงด-านิกฎหมายม�ผลโดยตรงต�อควัามเส��ยงด-านิกฎหมายม�ผลโดยตรงต�อ
ควัามต�อเนิ*�องของธ�รก�จควัามต�อเนิ*�องของธ�รก�จควัามต�อเนิ*�องของธ�รก�จท��เก�ดจาก ควัามเส��ยงประเภทควัามเส��ยงประเภท
ท��เก�ดจากการไม�ปฏิ�บ�ต�ตามกฎหมาย ท��เก�ดจากการไม�ปฏิ�บ�ต�ตามกฎหมาย ((Law Compliant) ท�2งกฎหมายธ�รกรรม, ภาษ�, กฎหมายแรงงานิ, ประก�นิส�งคม, รวัมถุ9งกฎหมายท��เก��ยวัก�บส��ง
แวัดล-อม-ส�ขอนิาม�ยท�2งของล8กจ-างและผ8-บร�โภครวัมท�2งควัามปลอดภ�ยของพนิ�กงานิและชื่�มชื่นิ
การบร�หารควัามต�อเนิ*�องทางธ�รก�จต-องม�การบร�หารควัามเส��ยง
It is necessary to apply risk management to manage business
continuity1 .การประเม�นิควัามเส��ยงและโอกาส ที่��งานส&าค�ญจะหย(ดชะง�กจากเหติ(
ฉุ(กเฉุ�นที่��อาจเก�ดข ,น 2. ประเม�นิควัามเส�ยหาย จากการหย(ดชะง�กของการด&าเน�นงานที่��ส&าค�ญ
(Major operational disruptions)3. ก4าหนิดนิโยบายการบร�หารควัามต�อเนิ*�องทางธ�รก�จ ให-อย8�ในิ
ย�ทธศาสตร�ขององค�กร (Business continuity Strategy Plan) 4. วั�ธ�การปฏิ�บ�ต�การต�ดตามและการตรวัจสอบ การปฏิ�บ�ติ�ให'เป3นไปติามิ
นโยบายและแผนรองร�บการด&าเน�นธ(รก�จอย*างติ*อเน+�อง (Business continuity plan : BCP)
5. การก4าหนิดคณะท4างานิและผ8-ร�บผ�ดชื่อบ ด'านปฏิ�บ�ติ�การได'แติ*จะติ'องติ�ดติามิด/แลการด&าเน�นการเพื่+�อให'องค2กรมิ�ความิติ*อเน+�องในการด&าเน�นธ(รก�จ 10
Business Continuity Business Continuity Plan (BCP)Plan (BCP)
Business Continuity Business Continuity Plan (BCP)Plan (BCP)
1. Emergency Plan การจ�ดท4าแผนิปฏิ�บ�ต�การฉุ�กเฉุ�นิเพ*�อให-ธ�รก�จต�อเนิ*�อง (BCP) เพื่+�อการรองร�บการด&าเน�นการอย*างติ*อเน+�องจากเหติ(ฉุ(กเฉุ�น
2. Business Continuity Committee การจ�ดต�2งคณะกรรมการและศ8นิย�ปฏิ�บ�ต�งานิ BCM ควัรม�ควัามพร-อมท��จะปฏิ�บ�ต�งานิท�นิท�ท��เก�ดเหต�ฉุ�กเฉุ�นิหร+อภายในระยะเวลาที่��ก&าหนดไว' (Recovery Time Objectives)
3. Business Continuity Manual การจ�ดท4าค8�ม*อและประชื่าส�มพ�นิธ� ให'ล/กค'าหร+อผ/'เก��ยวข'องที่ราบถึ งเหติ(ฉุ(กเฉุ�น ผลกระที่บที่��เก�ดข ,น ช*องที่างที่��ล/กค'าหร+อผ/'เก��ยวข'องจะสามิารถึติ�ดติ*อขอใช'บร�การหร+อส+�อสารก�บบร�ษั�ที่ได'ติลอดระยะเวลาที่��เก�ดเหติ(ฉุ(กเฉุ�น
4. Business Continuity Strategy ติ'องมิ�การก&าหนดแผนจ�ดการธ(รก�จติ*อเน+�องไว'ในแผนย(ที่ธศาสติร2ขององค2กร
5. Supply Chain Risk Management (SCR) ต-องนิ4าระบบซั�บพลายเชื่นิเข-ามาม�ส�วันิร�วัม ควรมิ�แนวที่างการปฏิ�บ�ติ�งานฉุ(กเฉุ�นร*วมิก�บซึ่�บพื่ลายเออร2 เอาที่2ซึ่อร2สและผ/'ให'บร�การโลจ�สติ�กส2และกระบวนการซึ่�บพื่ลายเชนภายนอกที่��สามิารถึรองร�บการด&าเน�นงานอย*างติ*อเน+�องได'
11
ด-านิการจ�ดการควัามเส��ยงรายล8กค-า(ค�ณป'ทมา)
ด-านิควัามปลอดภ�ยและอ�บ�ต�เหต�(ค�ณส�ร�ยา)
ด-านิเทคโนิโลย�สารสนิเทศ
(ค�ณชื่�ยมงคล)
ด-านิควัามปลอดภ�ยในิส4านิ�กงานิและส�ข
อนิาม�ย(ค�ณธนิะภ�ทท�)
ด-านิท�จร�ตและคอร�ร�ปชื่��นิ (ค�ณส�จาร�)
ด-านิบ�คคล(ค�ณดวัง
ร�ตนิ�)
คณะกรรมการย�ทธศาสตร�บร�หารควัามเส��ยง
Risk Management
12
13
ต-องม�ประกาศจ�ดต�2งคณะกรรมการควัามเส��ยงฯ (Risk Management)ต-องม�ประกาศจ�ดต�2งคณะกรรมการควัามเส��ยงฯ (Risk Management)
จ�ดท4าแผนิการบร�หารควัามต�อเนิ*�องทางจ�ดท4าแผนิการบร�หารควัามต�อเนิ*�องทางธ�รก�จธ�รก�จ(BCP)(BCP)
จะต-องม�การการประเม�นิควัามเส��ยง จะต-องม�การการประเม�นิควัามเส��ยง ((Risk Risk AssessmentAssessment ) )
จ�ดท4าแผนิการบร�หารควัามต�อเนิ*�องทางจ�ดท4าแผนิการบร�หารควัามต�อเนิ*�องทางธ�รก�จธ�รก�จ(BCP)(BCP)
จะต-องม�การการประเม�นิควัามเส��ยง จะต-องม�การการประเม�นิควัามเส��ยง ((Risk Risk AssessmentAssessment ) )1. Emergency Case Model จ4าลองเหต�การณ�ฉุ�กเฉุ�นิ ที่��ที่&าให'เก�ดการ
หย(ดชะง�กและก*อให'เก�ดความิเส�ยหายและส*งผลกระที่บที่างธ(รก�จที่�,งในระยะส�,น ระยะปานกลาง และระยะยาว
2. Worst-Case Evaluation ประเม�นิควัามเส�ยหายจากการหย�ดชื่ะง�ก ของงานส&าค�ญ ที่�,งด'านการผล�ติระบบซึ่�บพื่ลายเชน,ระบบโลจ�สติ�กส2 รวมิที่�,งระบบเที่คโนโลย�สารสนเที่ศที่�,งซึ่อฟแวร2และฮาดร2แวร2
3. Recovery point objective การประเม�นิแนิวัทางวั�ธ�การและระยะเวัลาจะก8-ค*นิได- เพื่+�อให'บร�ษั�ที่สามิารถึด&าเน�นงานได'อย*างติ*อเน+�อง และไมิ*ส*งผลกระที่บอย*างมิ�น�ยส&าค�ญติ*อล/กค'า การด&าเน�นธ(รก�จ
4. Risk Damage Evaluation ประเม�นิผลกระทบท�2งในิร8ปของต�วัเง�นิและไม�ใชื่�ต�วัเง�นิ ที่��มิ�ติ*อล/กค'า พื่น�กงาน บร�ษั�ที่ในเคร+อ อ(ปกรณ์2 ที่ร�พื่ย2ส�นและที่��ที่&าการของบร�ษั�ที่ สถึานะการเง�น ความิเช+�อมิ��นของล/กค'าและช+�อเส�ยงของบร�ษั�ที่ รวมิถึ งการปฏิ�บ�ติ�ติามิกฎระเบ�ยบของที่างการ
14
การอบรมและการทดสอบ เพ*�อทบทวันิ การอบรมและการทดสอบ เพ*�อทบทวันิ แผนิรองร�บเหต�ฉุ�กเฉุ�นิและควัามต�อเนิ*�องแผนิรองร�บเหต�ฉุ�กเฉุ�นิและควัามต�อเนิ*�อง
ทางธ�รก�จทางธ�รก�จ
การอบรมและการทดสอบ เพ*�อทบทวันิ การอบรมและการทดสอบ เพ*�อทบทวันิ แผนิรองร�บเหต�ฉุ�กเฉุ�นิและควัามต�อเนิ*�องแผนิรองร�บเหต�ฉุ�กเฉุ�นิและควัามต�อเนิ*�อง
ทางธ�รก�จทางธ�รก�จ1 .การจ�ดท4าค8�ม*อ การที่&างานภายใติ'สถึานะการณ์2ฉุ(นเฉุ�น ติ'องสอดคล'องก�บ
แผนธ(รก�จติ*อเน+�อง (BCP) สามิารถึปฏิ�บ�ติ�งานได'จร�ง และปร�บปร(งให'เข'าก�บย(คสมิ�ย
2. ก4าหนิดการซั-อมและให-ม�กระบวันิการ ที่ดสอบ ปร�บปร(ง ที่บที่วน แผนรองร�บเหติ(ฉุ(กเฉุ�นและภ�ยพื่�บ�ติ�อย*างสมิ&�าเสมิอป>ละ 1-2 คร�,ง
3. คณะกรรมการ BCM ต-องม�การประชื่�มอย�างต�อเนิ*�อง เพื่+�อเติร�ยมิความิพื่ร'อมิ และซึ่�กซึ่'อมิ ที่&าความิเข'าใจก�บที่(กฝ่@ายที่��เก��ยวข'อง
4. จ�ดให-ม�การอบรม แผนธ(รก�จติ*อเน+�อง (BCM) ให'ก�บพื่น�กงานที่��เข'ามิาใหมิ*อย*างเป3นระบบ
5. กระบวันิการตรวัจสอบอย�างเป7นิระบบ โดยมิ�หน*วยงานการติรวจสอบค/*มิ+อ ,การซึ่'อมิ,การประช(มิและการปฏิ�บ�ติ�การด'านความิปลอดภ�ยและการปฏิ�บ�ติ�ติามิกฎหมิาย
15
การทดสอบและการประเม�นิต-องครอบคล�มการทดสอบและการประเม�นิต-องครอบคล�มอย�างนิ-อยในิเร*�องด�งต�อไปนิ�2อย�างนิ-อยในิเร*�องด�งต�อไปนิ�2
การทดสอบและการประเม�นิต-องครอบคล�มการทดสอบและการประเม�นิต-องครอบคล�มอย�างนิ-อยในิเร*�องด�งต�อไปนิ�2อย�างนิ-อยในิเร*�องด�งต�อไปนิ�2
1 .ควัามพร-อมของระบบการจ�ดการบร�หารควัามเส��ยง เคร+อข*าย อ(ปกรณ์2ติ*างๆ และการส&ารองและก/'ค+นข'อมิ/ลส&าค�ญ โดยสามิารถึก/'ค+นข'อมิ/ลล*าส(ดติามิที่��ก&าหนดไว'จากอ(ปกรณ์2หร+อสถึานที่��จ�ดเกAบได'
2. การอพยพพนิ�กงานิหร*อการเคล*�อนิย-ายพนิ�กงานิไปย�งสถุานิท��ท��ส4านิ�กงานิหร*อโรงงานิก4าหนิดไวั-
3. การต�ดต�อส*�อสารก�บผ8-เก��ยวัข-อง ความิถึ/กติ'องและที่�นสมิ�ยของรายช+�อและข'อมิ/ลที่��ใช'ในการติ�ดติ*อ
4. การซั-อมแผนิ BCP ด'วยการจ&าลองการผจญภ�ยพื่�บ�ติ�ติ*างๆ อย*างน'อยป>ละ 1 คร�,ง เช*น สถึานการณ์2การเก�ดน&,าที่*วมิ แผ*นด�นไหว การลอบวางระเบ�ด การเด�นขบวนประที่'วง เพื่+�อให'มิ��นใจว*าบร�ษั�ที่สามิารถึด&าเน�นงานติามิ BCP ได'อย*างถึ/กติ'อง
5. การประเม�นิควัามพร-อมของแผนิปฏิ�บ�ต�การ BCM รวัมท�2งโซั�อ�ปทานิท��เก��ยวัข-องวั�าม�ประส�ที่ธ�ภาพื่เพื่�ยงใด โดยผ/'ประเมิ�นอาจเป3นบ(คคลภายในหร+อภายนอกบร�ษั�ที่
6. การทบทวันิระบบ BCP ที่�,งข�,นติอนการปฏิ�บ�ติ�และค/*มิ+อความิเส��ยงย�งคงมิ�ความิที่�นสมิ�ยและมิ�ช*องโหว*หร+อคอขวดในระบบอย*างไร
16
การส*�อสารและการประชื่าส�มพ�นิธ�1 .การส*�อสารในิองค�กร การด&าเน�นการส+�อสารประชาส�มิพื่�นธ2ระบบปฏิ�บ�ติ�
BCP และการเผยแพื่ร*ค/*มิ+อแผนปฏิ�บ�ติ�การให'พื่น�กงานมิ�ความิเข'าใจอย*างที่��วถึ ง โดยก&าหนดระยะเวลาในการซึ่'อมิอย*างน'อยป>ละ 1 คร�,ง
2. ให-ทางฝ่?ายการตลาดประชื่าส�มพ�นิธ�ระบบ BCM โดยอาจใส*ไว'ในWEBSITE ของธ(รก�จหร+อจ�ดที่&าเป3นแผ*น CD แจกจ*ายล/กค'าและแจ'งแผนการซึ่'อมิระบบ
3. จ�ดให-ล8กค-ามาเย��ยมชื่มระบบ BCM และระบบส4ารองหร*อ Remote Office โดยจ�ดเป3นติารางการเช�ญล/กค'าเข'ามิาเย��ยมิชมิติามิกล(*มิล/กค'า
4. จ�ดป@ายแสดงระบบการใชื่-ระบบ BCMโดยการข ,นที่ะเบ�ยนรายช+�อ การด&าเน�นการติ*างๆ เมิ+�อถึ งเวลาฉุ(กเฉุ�นพื่น�กงานสามิารถึเคล+�อนย'ายได'ติามิจ(ดเป4าหมิายที่��ตินเองร�บผ�ดชอบ และจ�ดที่&าให'ที่�นสมิ�ยโดยติรวจสอบความิที่�นสมิ�ยของที่ะเบ�ยนติ*างๆ ที่(ก 3 เด+อน โดยผ/'มิ�หน'าที่��ควบค(มิเป3นผ/'เซึ่Aนร�บรอง
17
ควัามล-มเหลวัของการจ�ดการ ควัามล-มเหลวัของการจ�ดการ BCM BCM
ควัามล-มเหลวัของการจ�ดการ ควัามล-มเหลวัของการจ�ดการ BCM BCM
1 .ผ/'บร�หารระด�บส/งขาดว�ส�ยที่�ศน2และไมิ*ได'ให'ความิส&าค�ญ2. แผน BCP และค/*มิ+อบร�หารความิเส��ยง-ความิติ*อ
เน+�องจากธ(รก�จไมิ*ครอบคล(มิถึ งป�จจ�ยความิเส��ยงติ*างๆ 3. ไมิ*มิ�การติ�,งคณ์ะกรรมิการหร+อคณ์ะที่&างานที่��เก��ยวข'อง
ก�บ BCM4. ขาดกลไกในการสน�บสน(นที่�,งด'านการเง�นและการ
จ�ดการเพื่+�อให'เก�ด BCM ได'อย*างมิ�ประส�ที่ธ�ภาพื่5. ไมิ*ได'ร�บความิร*วมิมิ+อจากพื่น�กงานหร+อว�ฒนธรรมิของ
องค2กรไมิ*เอ+,อติ*อกระบวนการจ�ดการ (BCM)
18
“ค�ณแนิ�ใจหร*อไม�วั�า ค�ณและธ�รก�จย�งม�ควัามปลอดภ�ยและย��งย*นิภายใต-ควัามเส��ยงท��ไม�สามารถุคาดเดา
ได-???”
19
20
END
ข'อมิ/ลเพื่��มิเติ�มิwww.tanitsorat.com
V-SERVE V-SERVE Case-Case-Study Study
“REMOTE “REMOTE OFFICEOFFICE””
21
V-SERVE V-SERVE Case-Study Case-Study “REMOTE OFFICE”“REMOTE OFFICE”
V-SERVE V-SERVE Case-Study Case-Study “REMOTE OFFICE”“REMOTE OFFICE”
1 .ว�ติถึ(ประสงค2เพื่+�อใช'เป3น “ส4านิ�กงานิส4ารอง” (Backup Office) และ “ส4านิ�กงานิส4าหร�บก8-ค*นิระบบและข-อม8ล” (Disaster Recovery Site : DR. Site) เพ*�อให-ธ�รก�จสามารถุด4าเนิ�นิก�จกรรมต�างๆ ต�อไปได-อย�างต�อเนิ*�อง (Business Process Continuity)
2 .การบร�หารควัามไม�แนิ�นิอนิด-านิสารสนิเทศ และการเปล��ยนแปลงของสภาวะการณ์2ติ*างๆ ที่��ก*อให'เก�ดความิเส��ยง (RISK) ก�บระบบเที่คโนโลย�สารสนเที่ศและการส+�อสาร (ICT. )และกระบวนการที่&างาน (Business Process ) ติ*างๆที่�,งที่��เก�ดจากธรรมิชาติ� เช*น ภ�ยพื่�บ�ติ� , ภ�ยธรรมิชาติ�ติ*างๆ และที่��เก�ดจากการกระที่&าของมิน(ษัย2 เช*น อ�คค�ภ�ย , โจรกรรมิ , ไวร�ส ,Hacker, ว�นาศภ�ย , จลาจล , การประที่'วงที่างการเมิ+อง เป3นติ'น
22
ควัามเส��ยงอะไรบ-างท��เก�ดจากการท4างานิของไอท�ท��ม�ผลต�อ
การท4าธ�รก�จขององค�กร
ควัามเส��ยงอะไรบ-างท��เก�ดจากการท4างานิของไอท�ท��ม�ผลต�อ
การท4าธ�รก�จขององค�กร1 )การหย(ดชะง�กของระบบ และการด งเอาข'อมิ/ล
ข ,นมิาใช'งานจากระบบงานไอที่� ที่�,งจากอ(บ�ติ�ภ�ยธรรมิชาติ�หร+อภ�ยธรรมิชาติ�ติ*างๆ
2) ข'อมิ/ลที่��เป3นความิล�บเก�ดการร��วไหลออกไปส/*บ(คคลภายนอก โดยเฉุพื่าะค/*แข*งที่างการค'า
3) การโจมิติ�จากไวร�สหร+อการถึ/กแฮกเกอร24) การเข'าถึ งข'อมิ/ลจากบ(คคลที่��ไมิ*ได'ร�บอน(ญาติ
23
REMOTE OFFICE ประกอบด-วัยกระบวันิการ
/ แผนิงานิ อย8� 2 ด-านิใหญ�ๆ1. DISASTER RECOVERY PLANNING :
DRP. (แผนการก/'ค+นระบบ และข'อมิ/ล จากเหติ(ฉุ(กเฉุ�นและภ�ยพื่�บ�ติ� เพื่+�อให'ธ(รก�จสามิารถึด&าเน�นงานติ*อไปได'อย*างติ*อเน+�อง)
2. BUSINESS CONTINUITY PLANNING : BCP. (แผนการจ�ดการก�จกรรมิและกระบวนการที่างธ(รก�จ เมิ+�อเก�ดเหติ(ฉุ(กเฉุ�นและภ�ยพื่�บ�ติ� เพื่+�อให'ธ(รก�จสามิารถึด&าเน�นงานติ*อไปได'อย*างติ*อเน+�อง)
24
นิโยบายเร*�อง ระยะเวัลาในิการก8-ค*นิระบบและนิโยบายเร*�อง ระยะเวัลาในิการก8-ค*นิระบบและข-อม8ล ข-อม8ล (RTO.) (RTO.)
และจ�ดท��สามารถุก8-ค*นิกล�บมาได-ล�าส�ด และจ�ดท��สามารถุก8-ค*นิกล�บมาได-ล�าส�ด ((RPORPO.).)1. RTO. (Recovery Time Objective) ค+อระยะ
เวัลาท��คาดวั�าจะใชื่-ท��ในิการก8-ค*นิระบบและข-อม8ลกล�บค*นิมาได- หล�งเก�ดเหติ(ฉุ(กเฉุ�นหร+อภ�ยพื่�บ�ติ�
*** โดย V-Serve ได'ติ�,งไว'ที่�� RTO < = 2 ชื่��วัโมง หล�งเก�ดเหต�ฉุ�กเฉุ�นิหร*อภ�ยพ�บ�ต�
2. RPO. (Recovery Point Objective) ค+อ จ�ดส�ดท-าย / ระยะเวัลาล�าส�ด ท��จะย-อนิกล�บไปใชื่-ข-อม8ลส4ารอง (ยอมิให'ข'อมิ/ลล*าส(ดหายได'นานแค*ไหน ) หร+อ จ(ด/ระยะเวลาที่��สามิารถึก/'ค+นกล�บมิาได'ล*าส(ด
*** โดย V-Serve ได'ติ�,งไว'ที่�� RPO < = 1 ชื่��วัโมง หล�งเก�ดเหต�ฉุ�กเฉุ�นิหร*อภ�ยพ�บ�ต�
25
จ�ดต�2งท�มปฏิ�บ�ต�การเพ*�อจ�ดการรองร�บเหต�ฉุ�กเฉุ�นิและภ�ยพ�บ�ต�
(DRO. Team / BPS. Team)
จ�ดต�2งท�มปฏิ�บ�ต�การเพ*�อจ�ดการรองร�บเหต�ฉุ�กเฉุ�นิและภ�ยพ�บ�ต�
(DRO. Team / BPS. Team)เป3นแกนน&าในการปฏิ�บ�ติ�การก/'ค+นระบบและข'อมิ/ล (DRO.) ซึ่ �งเป3นกระบวนการที่างด'านไอที่�เป3นหล�ก โดยมิ�ที่�มิสน�บสน(นก�จกรรมิ และกระบวนการที่&างานหล�กของธ(รก�จ (BPS.)
คอยช*วยประสานงานในกระบวนการที่&างาน และก�จกรรมิหล�กติ*างๆ เพื่+�อให'ส&าน�กงาน Remote Office สามิารถึปฏิ�บ�ติ�งานติ*อไปได'อย*างติ*อเน+�อง
โดยท4าการก8-ค*นิระบบและข-อม8ล เร�ยงตามล4าด�บควัามส4าค�ญของระบบงานิ ด�งน�,1. ก/'ค+นระบบและข'อมิ/ล Integrated ERP. / Plan Loading2. ก/'ค+นระบบและข'อมิ/ล PAPERLESS3. ก/'ค+นระบบและข'อมิ/ลการเง�น-บ�ญช� (ระบบเด�มิ)4. ก/'ค+นระบบและข'อมิ/ล Export Dole System (ระบบเด�มิ)5. ก/'ค+นระบบและข'อมิ/ลค+นอากร/ชดเชยอากร
6. ก/'ค+นระบบและข'อมิ/ลขายส�นค'า M&E7. ก/'ค+นระบบและข'อมิ/ล เอกสารอ�เลAกที่รอน�กส2 (E-Document Filing)8. ก/'ค+นระบบ AD. Server, Terminal Service Server 9. ก/'ค+นระบบ Network, Internet, E-Mail, Security.
26
กระบวันิการร�บม*อภายใต-สภาวัะฉุ�กเฉุ�นิ เพ*�อกระบวันิการร�บม*อภายใต-สภาวัะฉุ�กเฉุ�นิ เพ*�อให-ธ�รก�จสามารถุด4าเนิ�นิงานิต�อไปได-อย�างต�อให-ธ�รก�จสามารถุด4าเนิ�นิงานิต�อไปได-อย�างต�อ
เนิ*�องเนิ*�อง1 .ร�บแจ'งเหติ(จากผ/'พื่บเหAน / รปภ.2. คณ์ะกรรมิการ ROC. ประเมิ�นความิเส�ยหาย และความิเส��ยง
โดยรวมิของบร�ษั�ที่ และประกาศเหติ(ฉุ(กเฉุ�นและภ�ยพื่�บ�ติ� ให'พื่น�กงาน ล/กค'า ค/*ค'า และผ/'ที่��เก��ยวข'องที่ราบ
3. ส��งการให'เป-ดใช' REMOTE OFFICE (RO.) แติ*ละที่��4. ที่�มิก/'ค+นระบบและข'อมิ/ล (Disaster Recovery
Operation) เป-ดการใช'ระบบส&ารองหล�ก (Starting Service) ในฝ่�� ง Remote Office#1 (RO.1/ DR.Site )และ Setup / Starting up Server ที่�,งหมิด ในที่(ก Remote Office ให'พื่ร'อมิใช'งาน
27
กระบวันิการร�บม*อภายใต-สภาวัะฉุ�กเฉุ�นิ เพ*�อกระบวันิการร�บม*อภายใต-สภาวัะฉุ�กเฉุ�นิ เพ*�อให-ธ�รก�จสามารถุด4าเนิ�นิงานิต�อไปได-อย�างต�อให-ธ�รก�จสามารถุด4าเนิ�นิงานิต�อไปได-อย�างต�อ
เนิ*�อง เนิ*�อง ((ต�อต�อ))5 .ท�มสนิ�บสนิ�นิก�จกรรม และกระบวันิการท4างานิหล�กของธ�รก�จ (Business Process Supporting)
- ประสานงาน และส+�อสารองค2กร ให'พื่น�กงาน ล/กค'า ค/*ค'า และผ/'ที่��เก��ยวข'องที่ราบ
- เคล+�อนย'ายคน, เอกสาร, อ(ปกรณ์2 / เคร+�องใช' ที่��จ&าเป3น ไปย�ง RO. ที่��ก&าหนด
- จ�ดเติร�ยมิสถึานที่�� และอ(ปกรณ์2 ในแติ*ละ Remote Office ให'พื่ร'อมิส&าหร�บการด&าเน�นงาน
6 .พื่น�กงานแติ*ละหน*วยงาน เข'าที่&างานติามิ Remote Office ที่��ก&าหนด และหากติ�ดข�ดจ(ดใด ให'ประสานมิาที่��ห�วหน'าที่�� DRO./BPS. หร+อประธาน ROC./ERM./MR.Safety ได'ติลอดเวลา
7. ห�วหน'าที่�มิ DRO./BPS. เฝ่4าระว�ง ติ�ดติามิ ติรวจสอบ ด/แล ความิเร�ยบร'อย การที่&างานในที่(กระบบของ Remote Office และรายงานให'ก�บประธาน ROC./ERM. ที่ราบที่(กว�น. 28
กระบวันิการพ*2นิฟู8หล�งพ-นิภ�ยพ�บ�ต�เพ*�อให-ธ�รก�จสามารถุด4าเนิ�นิการได-เป7นิปรกต�
1 .หากสถุานิการณ�เข-าส8�ภาวัะปกต� พื่ร'อมิปฏิ�บ�ติ�งาน ประธาน ROC . ส��งการให' หน'าที่�มิ DRO. / BPS. กล�บเข'าไปแก'ไข / ปร�บปร(ง / ซึ่*อมิแซึ่มิ / ป4องก�น ระบบงานที่(กระบบ (ที่�,งระบบคอมิพื่�วเติอร2 และกระบวนการที่&างาน ) ให'เร�ยบร'อย และที่ดสอบความิถึ/กติ'อง ครบถึ'วน พื่ร'อมิใช'งาน แล'วรายงานติ*อประธาน ROC.
2. การแจ-งให-ล8กค-าร�บร8- ควรมิ�การแจ'งที่�,งที่างเอกสารและการเข'าไปพื่บกรณ์�ที่��เป3นล/กค'ารายใหมิ*
3. ประธานิ ROC. ประกาศยกเล�ก เหต�ฉุ�กเฉุ�นิและภ�ยพ�บ�ต� ประกาศยกเล�กส&าน�กงาน ROC. และประกาศการเข'าส/*ภาวะปกติ� เพื่+�อให'ที่(กหน*วยงานกล�บเข'ามิาที่&างาน ณ์ . Head Office ได' ในว�นและเวลา ที่��ก&าหนด
4. จ�ดให-ม�การประชื่�มสร�ปป'ญหาและควัามเส�ยหายท��เก�ดข92นิจากอ�บ�ต�ภ�ยหร*อภ�ยธรรมชื่าต� พื่ร'อมิหาแนวที่างปฏิ�บ�ติ� พื่�ฒนากระบวนการให'รวดเรAว ร�ดก(มิ เพื่+�อให'สามิารถึติอบสนองก�บเหติ(การณ์2ได'อย*างอย*างที่�นที่�ที่�นใด และมิ�ข�ดสามิารถึในการให'บร�การได'อย*างติ*อเน+�องในระด�บ High Availability (HA.) มิากย��งข ,น
29
30
END
ข'อมิ/ลเพื่��มิเติ�มิwww.tanitsorat.com