ПРОЦЕДУРЫ ЭКСПЛУАТАЦИИ СЕРВЕРНЫХ ПОМЕЩЕНИЙ

СПИСОК ОТВЕТСТВЕННЫХ ЗА ПРИКЛАДНЫЕ СИСТЕМЫ

Приведите здесь список всех систем, находящихся в эксплуатации, и имена лиц, ответственных за них, указав номера их телефонов и почтовые адреса.

ПРОЦЕДУРЫ ВКЛЮЧЕНИЯ ПИТАНИЯ

Приведите здесь текст установленных процедур или укажите, где их можно найти.

ПРОЦЕДУРЫ НАЧАЛЬНОЙ ЗАГРУЗКИ

Приведите здесь текст установленных процедур или укажите, где их можно найти.

ПРОЦЕДУРЫ ВЫКЛЮЧЕНИЯ ПИТАНИЯ

Приведите здесь текст установленных процедур или укажите, где их можно найти.

ГРАФИКИ

Приведите здесь текст установленных процедур или укажите, где их можно найти.

РЕГИСТРАЦИЯ ВЫЧИСЛИТЕЛЬНЫХ РАБОТ

Приведите здесь текст установленных процедур или укажите, где их можно найти.

НАКОПИТЕЛИ НА ДИСКАХ И РАЗМЕЩЕНИЕ ФАЙЛОВ

Если тип и (или) количество накопителей на дисках, имеющихся в резервном помещении, отличаются от используемых в основном вычислительном центре, составьте заранее схему размещения на них постоянных файлов.

ОПЕРАЦИОННАЯ СРЕДА

Оптимальным является использование в резервном помещении тех же операционных систем, что и в основном вычислительном центре.

СПИСОК СИСТЕМНЫХ ПРОГРАММНЫХ ПАКЕТОВ

Приведите здесь список используемого программного обеспечения или дайте на него ссылку.

ФИЗИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ ДОСТУПОМ

Физическое обеспечение безопасности начинается с ограничения доступа к имуществу организации. Защищенные компании содержат охрану, которая контролирует все пути доступа к офису. Дополнительная безопасность при этом обеспечивается персоналом, находящимся в приемной каждого здания, каждого этажа или отдела. Дальнейший доступ к различным зонам здания обычно контролируется системой управления доступом. Система управления доступом предотвращает доступ неуполномоченных на это лиц в защищенные зоны.

Системы управления доступом бывают:

механические (блокировки);электронные (обычно электронный блок управления с ключом);электромеханические (типа кнопочных устройств, которые работают с электронными устройствами считывания пропусков);цифровые (устройства, которые дают возможность пользователям устанавливать любую комбинацию);компьютерные (также системы, которые могут включать сигнал тревоги, регистрировать посещаемость сотрудников, контролировать местонахождение сотрудников и формировать отчеты об оперативном контроле).

Права доступа должны быть разграничены для следующих категорий персонала:

Персонал, обслуживающий компьютеры.Персонал отдела информационных технологий.Специалисты по техническому обслуживанию и сопровождению.Персонал других компаний.

ПАРОЛИ ДОСТУПА К СИСТЕМАМ

Как правило, покупное программное обеспечение, равно как и хост-компьютер, защищены паролями. При входе в систему проводится внутренняя проверка паролей по таблицам. Если пароль верен, на экран выводится меню. Когда оператор выбирает элемент меню, система проверяет по таблице паролей имеет ли оператор право доступа к выбранному элементу. Права доступа могут ограничиваться возможностью совершать любые действия с информацией или только считывать ее. Можно маскировать данные на экране так, чтобы была видна только информация, которую оператор имеет право видеть. Если оператор выбирает в главном меню другой покупной пакет программ, ему, вероятно, придется вводить новый пароль, чтобы получить доступ к вновь выбранному пакету.

СОПРОВОЖДЕНИЕ ПРИКЛАДНЫХ СИСТЕМ

Если исходными текстами прикладных систем заведует система ведения библиотеки, некоторые прикладные программы могут быть защищены паролем, ограничивающим доступ к исходному тексту. Во многих организациях, которые не изготавливают продукцию для конфиденциального использования, единственными программами, которые защищены паролем, являются программы для распределения денежных средств, например, расчета заработной платы и дебиторской задолженности. Защита с использованием пароля поможет предотвратить несанкционированное внесение изменений в программное обеспечение.

ВЕДЕНИЕ ПАРОЛЕЙ

Каждая организация должна иметь формальную процедуру ведения паролей. В начале процедуры устанавливается порядок задания паролей для новых сотрудников. Перед выдачей паролей документы должны быть утверждены руководством. При этом должны быть указаны все полномочия на доступ, которые предоставляются сотруднику. Ввод паролей обычно является обязанностью лица, ответственного за безопасность, или сотрудника Отдела технического обслуживания. Независимо от того, кто отвечает за ввод данных, за проверку паролей отвечает другой, наделенный только правами просмотра сотрудник, который осуществляет контроль паролей, по крайней мере, один раз в месяц. Процедура ведения паролей должна также предусматривать обязательный ввод нового пароля всеми операторами терминалов по крайней мере один раз в квартал.

Формальная процедура также предусматривает обязательную ликвидацию пароля, когда сотрудник покидает организацию.

АБОНИРОВАНИЕ РЕЗЕРВНОГО ЦОД

На западном рынке существует широкий выбор полностью оборудованных резервных ЦОД. Помещения могут отличаться по предлагаемой площади, типу и размерам установленного оборудования, средствам обеспечения физической защиты помещения или географическому положению, но во всех случаях предлагается основное - работающие компьютеры, готовые к использованию клиентами.

Контракт на услуги должен содержать следующие сведения: условия и дату вступления в силу, определение терминологии контракта, условия использования помещения, суммы и график платежа, условия, касающиеся нескольких одновременных бедствий, ответственность, изменения аппаратных средств, конфиденциальность и условия расторжение контракта.

Имитация бедствий

Несмотря на наличие плана испытаний в резервном помещении, руководство должно спланировать проведение неожиданных внеплановых испытаний с использованием имитации бедствий. При имитации бедствия, когда персонал заранее не знает, когда и какой вид испытаний должен быть проведен, можно лучше оценить эффективность своего Плана.

Испытание критически важных прикладных систем

Все критически важные прикладные системы должны тестироваться. Это единственный способ убедиться, что они будут работать в резервном помещении. Подготовьте график проведения испытаний всех критически важных прикладных систем и зафиксируйте все успехи и неудачи.

Испытание систем связи

При испытании некоторых прикладных систем может потребоваться система связи. Испытание системы связи должно быть проведено как можно скорее, чтобы заранее определить потребности в каналах связи.

ИСПЫТАНИЯ

Для уверенности в действенности Плана в случае бедствия он должен регулярно испытываться. Основной и резервный ЦОДы как правило непрерывно обновляются. Добавляется новое программное обеспечение, модернизируется оборудование и возможно появление проблем с прикладными системами, которые ранее успешно прошли испытания. Испытания - единственный способ обеспечить гарантированный и относительно безболезненный перенос деятельности в резервный ЦОД.

Испытания должны регулярно документироваться. Нельзя полагаться на знания ключевого специалиста, который отвечает за восстановление операционной системы, необходимых библиотек и файлов. В момент бедствия ключевой специалист наверняка будет отсутствовать.

Испытания компиляции программ

Обеспечение возможности работы программистов в резервном помещении - существенная часть Плана восстановления после бедствия. Программисты должны иметь доступ к исходным текстам программ, перетранслировать их, редактировать связи. Они также нуждаются в доступе к средствам программирования и отладки. Необходимо проверить возможность трансляции для всех используемых языков.

Первоначальное испытание

Первоначальное испытание должно касаться восстановления операционной системы, тестирования языка управления заданиями (JCL), восстановления файлов на специфических дисковых системах, проверки системы связи и проверки простого пакетного задания, запускающего приобретенное программное обеспечение. Потребуются испытания критических прикладных систем. Первоначальные испытания порой оказываются неудачными. Ключ к успеху - регистрация успехов и неудач с последующей корректировкой Плана, учитывающей результаты предыдущих испытаний.

ПЛАН ПОМЕЩЕНИЯ

Компания, с которой заключен контракт, должна предоставить план помещений, включая компьютерный зал, приемную, зал заседаний и т.п.

РЕЗЕРВНЫЕ ЦЕНТРЫ ОБРАБОТКИ ДАННЫХ (ЦОД)

Наличие "горячего" резервного центра обработки данных (ЦОД) с установленным оборудованием, протестированной операционной средой и критически важными приложениями минимизирует отрицательные последствия для организации при возникновении бедствия.

"Холодный" резервный ЦОД - пустое помещение, оборудованное, как минимум, фальшполом, кондиционерами, гарантированным электроснабжением, противопожарными средствами и освещением, которое готово к установке вычислительного оборудования.

При возникновении чрезвычайной ситуации поставщики технических средств будут максимально помогать вам, но, тем не менее, поставка оборудования займет от 6 до 10 дней. Поставленное оборудование должно быть установлено и протестировано. Эти задержки необходимо учитывать при оценке последствий чрезвычайных ситуаций для бизнеса.

Наличие полностью оборудованного основного ЦОД и "холодного" резервного помещения, вкупе с разработанными в "Плане восстановления после бедствия (DRP)" процедурами его перевода в "горячий" режим, как правило, экономически наиболее целесообразное решение. Основным недостатком при этом является неизбежная задержка, связанная с переводом "холодного" резервного помещения в "горячий" режим.

Восстановление файлов и библиотек

Удачное восстановление части библиотек и файлов на диске при первой попытке испытаний - уже успех. При последующих испытаниях проверяется восстановление файлов по резервным копиям, заархивированным в удаленном хранилище. Если дисковые массивы в резервном помещении отличаются от основных, заранее запланируйте, как на них переписывать файлы, сколько места отвести под рабочие области и т.д.

ОБЪЕМ СТРАХОВОЙ ОТВЕТСТВЕННОСТИ

Информация - это собственность организации, которая требует такой же защиты, как и другие формы собственности. Руководство несет ответственность перед акционерами по защите всей собственности. Компьютеры так же важны для организации, как электроэнергия. Компания не сможет выжить, если из-за бедствия нельзя будет использовать компьютеры.

Страхование может покрывать стоимость замены/восстановления оборудования и помещений, которым нанесен ущерб в результате бедствия. Страхование от прерывания деятельности служит защитой от дополнительных издержек в течение периода восстановления.

Некоторые большие организации имеют "зонтичное" страхование, которое охватывает несколько компаний, расположенных в различных местах. Любой тип страхования организации должен быть согласован с положениями Плана. Наличие хорошо документированного и регулярно испытываемого Плана снижает размеры страховых взносов.

СТРАХОВАНИЕ ОБРАБОТКИ ДАННЫХ

Укажите, что покрывается страхованием (или приведите ссылку на источник этой информации).

СТРАХОВАНИЕ АППАРАТНОГО ОБЕСПЕЧЕНИЯ КОМПЬЮТЕРОВ

Укажите, что покрывается страхованием (или приведите ссылку на источник этой информации).

СТРАХОВАНИЕ ОБРАБОТКИ ДАННЫХ ИНЫМИ СРЕДСТВАМИ И ОФИСНОГО ОБОРУДОВАНИЯ

Укажите, что покрывается страхованием (или приведите ссылку на источник этой информации).

СТРАХОВАНИЕ ОТ ПРЕРЫВАНИЯ ДЕЯТЕЛЬНОСТИ

Укажите, что покрывается страхованием (или приведите ссылку на источник этой информации).

ВЕДЕНИЕ И ВЫПОЛНЕНИЕ ПЛАНА

После разработки Плана запускается процесс его регулярного обновления и совершенствования, что гарантирует его актуальность и эффективность. Ответственность за ведение Плана несет Координатор планирования на случай бедствий. Выполнение Плана - обязанность каждого сотрудника. Руководитель Отдела информационных систем несет ответственность за выполнение Плана в целом, но весь персонал должен знать содержание Плана и уведомлять руководителя о выполнении или невыполнении любого действия, предусмотренного в Плане.

Одним из "церберов" организации является Отдел внутреннего аудита. Отдел отвечает за проверку того, что все отделы следуют стратегии, которую установило руководство. Во многих случаях именно Отдел внутреннего аудита одталкиваетуководство Отдела Информационных технологий к формализации Плана и доведению его до каждого сотрудника.

ОБЯЗАННОСТИ КООРДИНАТОРА ПЛАНИРОВАНИЯ НА СЛУЧАЙ БЕДСТВИЙ

Для того, чтобы предотвратить устаревание Плана, устанавливается график его официального обновления (см. форму ниже). Наряду с плановыми обновлениями проводятся и промежуточные обновления для учета возникших изменений (например, изменения адресов, обновления аппаратных средств, закупки программного обеспечения и т.д.). Плановые обновления проводятся с интервалом в шесть месяцев.

Плановая дата

Координатор планирования на случай бедствий

Дата выполнения

ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ ГРУППЫ

Каждый Руководитель группы обязан также просматривать и обновлять свой раздел Плана по крайней мере каждые шесть месяцев (см. форму ниже).

Руководители групп

Дата

ФИО

Группа эксплуатации вычислительных систем

________

________________________

Группа ввода и контроля ввода-вывода данных

________

________________________

Группа специальных проектов

________

________________________

Группа технической поддержки

________

________________________

Группа систем и программного обеспечения

________

________________________

Группа Отдела страхования

________

________________________

Группа Отдела внутреннего аудита

________

________________________

АДМИНИСТРИРОВАНИЕ БАЗЫ ДАННЫХ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Идентифицированы ли все базы данных?

2. Идентифицированы ли все программы, которые обновляют данные в каждой базе?

3. Проводится ли непрерывная регистрация всех действий, которые обновляют базы данных?

4. Идентифицированы ли все программы, которые обращаются к каждой базе данных?

5. Создаются ли резервные копии баз данных, которые направляются в удаленное хранилище?

6. Имеются ли контрольные следы, идентифицирующие базы данных, которые архивируются, и формируются ли эти отчеты ежедневно?

7. Имеются ли задокументированные процедуры проверки правильности информации в каждой базе данных после ее восстановления?

8. Имеется ли документация, идентифицирующая несколько баз данных, которые должны быть синхронизированы друг с другом?

БИБЛИОТЕКА РЕЗЕРВНЫХ КОПИЙ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Защищена ли библиотека галогенным, углекислым газом или спринклерными системами?

2. Имеются ли в библиотеке датчики дыма?

3. Имеется ли на входе в библиотеку противопожарная дверь?

4. Имеется ли в библиотеке аварийное освещение?

5. Ограничен ли доступ к библиотеке благодаря использованию карточек или других средств ограничения доступа?

6. Установлен ли снаружи входа в библиотеку огнетушитель?

7. Хранятся ли в библиотеке другие материалы, кроме резервных носителей?

8. Имеет ли удаленное хранилище резервных носителей средства обеспечения безопасности, защиту от пожара, 24-часовый доступ, систему вывоза и доставки?

КОНТРОЛЬ ДАННЫХ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Ограничен ли доступ в Отдел контроля данных?

2. Проходят ли все исходные документы и компьютерные отчеты через этот отдел для контроля и устранения несоответствий?

3. Имеется ли альтернативный способ передачи отчетов пользователям при отказе системы связи?

4. Отвечает ли этот отдел за контроль бланков чеков?

5. Имеется ли письменная процедура для выдачи запаса незаполненных чеков вне помещения, в котором находятся компьютеры?

6. Разные ли люди подписывают чеки, балансируют и распределяют их?

7. Можно ли заменить подписанта чеков в течение ночи?

8. Имеется ли какое-либо специальное офисное оборудование, которое имеет критически важное значение для работы вычислительного центра и меры по резервированию которого не были приняты?

9. Хранятся ли в организации резервные факсимиле подписей в удаленном хранилище?

10. Имеется ли формальная система для заказных форм, в которой хранятся идентификаторы всех форм, даты их повторного заказа, данные об их поставщиках и альтернативных поставщиках?

11. Хранится ли небольшое число всех критически важных заказных форм в удаленном хранилище?

12. Хранятся ли экземпляры всех спецификаций форм и экземпляры окончательно утвержденных форм в удаленном хранилище?

13. Хранится ли адресный список для всех поставщиков офисного оборудования и форм?

14. Запланирован ли альтернативный способ вывоза и доставки на тот случай, если нельзя будет использовать основной способ?

15. Имеется ли для каждого напечатанного отчета список рассылки, в котором указывается: количество экземпляров, сортировка, разбивка на части, способ доставки, наименования получателя и номер телефона получателя?

КОНТРОЛЬНЫЙ ПЕРЕЧЕНЬ ДЛЯ ПЛАНИРОВАНИЯ НА СЛУЧАЙ БЕДСТВИЙ

После того, как организация выполнила анализ рисков, необходимо провести инвентаризацию существующей среды и запланированных улучшений. Элементы контрольного перечня отражают передовой опыт ведения деятельности, который может быть внедрен в вашу практику.

Подготовка к составлению Плана требует участие специалистов во многих областях деятельности. Это не только дает точное представление о состоянии организации, но и создает чувство ответственности у всего персонала. Любой план, хороший или плохой, будет иметь больший успех, если к нему будут стремиться все участники.

Контрольный перечень разделен на следующие основные категории:

Общие сведения. Вычислительный центр.Ввод данных. Контроль данных.Помещение, в котором находятся компьютеры.Библиотека резервных копий. Передача данных.Системы и программирование.Техническая поддержка. Администрирование базы данных.Внутренний аудит.Страхование. Резервное помещение.Взаимные соглашения.

Многие из категорий непосредственно соответствуют разделам Плана действий в непредвиденных обстоятельствах для Отдела информационных технологий. После каждого вопроса имеется место для ответа: "Да", "Нет" и "Выполняется". Обязательно должен быть ответственный за выполнение действия. Контрольный перечень представляет собой рабочий документ, который может модифицироваться с течением времени.

ОБЩИЕ СВЕДЕНИЯ

Да

Нет

Выполняется

Ответственный / Мероприятие1. Если бы сегодня в вашем вычислительном центре произошло крупное бедствие, смогла бы ваша организация выжить?

>2. Проводился ли в последнее время анализ риска и последствий бедствия?

>3. Известна ли общая стоимость возможных потерь в связи с вашей незащищенностью от внешнего воздействия?

>4. Установлены ли приоритеты всех ваших программ?

>5. Определено ли максимально допустимое время бездействия для всех ваших систем?

>6. Установлены ли цели плана на случай бедствий и допущения, на которых он основан?

>7. Имеется ли план на случай бедствий и регулярно ли он в обновляется?

>8. Указаны ли в плане резервные помещения:

"Горячее" резервное помещение, "Холодное" резервное помещение, Предусмотрены ли взаимные соглашения?

>9. Поступают ли из резервного помещения уведомления об изменениях в аппаратных средствах или программном обеспечении?

>10. Определена ли стоимость планирования на случай бедствий, включая:

Первоначальные затраты,Стоимость разработки плана,Стоимость ведения плана?

>11. Утвержден ли План высшим руководством?

>12. Назначен ли Координатор планирования на случай бедствий?

>13. Назначен ли ответственный за корректировку плана?

>14. Используется ли в плане концепция групп?

>15. Назначен ли руководитель каждой группы?

>16. Руководит ли одно и то же лицо несколькими группами?

>17. Обновляются ли регулярно имена и номера телефонов?

>18. Был ли План рассмотрен отделами внутреннего аудита, защиты информации и страхования?

>19. Обеспечивает ли План восстановление деятельности после крупного бедствия и может ли быть скорректирован на случай менее серьезного события?
> > > >20. Прошел ли план испытания с использованием только материалов, хранящихся вне основного производственного помещения? > > > >21. Проверяется ли план по крайней мере каждые 6 месяцев? > > > >22. Был ли скорректирован План по результатам испытания? > > > >23. Проводилось ли когда-либо внезапное испытание плана? > > > >24. Имеются ли в плане инструкции, касающиеся:

Процедур действий в чрезвычайной ситуации,Организационной структуры, которая начинает функционировать после бедствия,Хранения всех материалов, используемых для восстановления деятельности после бедствия, вне основного производственного помещения? > > > >25. Обеспечены ли для хранилища вне основного производственного помещения: 24-часовый доступ, физический контроль доступа, наличие сейфов, защита от пожара, курьерская служба, время перемещения по замкнутому маршруту менее 1 часа, доступ в него только уполномоченных лиц? > > > >26. Хранятся ли резервные копии в отдельно контролируемом помещении внутри контролируемой зоны? > > > >27. Вся ли системная документация, за исключением распечаток программ, хранится в несгораемом шкафу, когда она не используется? > > > >28. Имеются ли письменные инструкции, которые определяют обязанности пользователей персональных компьютеров (ПК) по резервному копированию и защите своих файлов? > > > >29. Доведены ли эти инструкции до сведения всех пользователей ПК? > > > >30. Проинформирован ли весь персонал вычислительного центра относительно конфиденциальности всей информации, с которой он работает? > > > >

ПОМЕЩЕНИЕ, В КОТОРОМ НАХОДЯТСЯ КОМПЬЮТЕРЫ

Да

Нет

Выполняется

Ответственный / Мероприятие1. Ограничен ли доступ в помещение, в котором находятся компьютеры?

>2. Разрешено ли пользоваться компьютерами только операторам?

>3.Защищена ли комната галогенным, углекислым газом или спринклерными системами?

>4. Размещаются ли датчики дыма:

На потолке, Под фальшполом,В трубопроводах кондиционеров воздуха?

>5. Будут датчики дыма функционировать даже в случае отключения электрического питания?

>6. Размещены ли огнетушители у всех выходов?

>7. Размещены ли под полом датчики воды?

>8. Хранятся ли в помещении, в котором находятся компьютеры, водонепроницаемые покрывала на случай чрезвычайных ситуаций?

>9. Установлена ли система бесперебойного электрического питания на случай кратковременных отключений питания?

>10. Имеется ли генератор на случай длительного отключения питания?

>11. Имеется ли аварийное освещение в помещении, где находятся компьютеры?

>12. Установлен ли у выходов аварийный выключатель электрического питания?

>13. Имеется ли более одной системы охлаждения, чтобы обеспечить работоспособность компьютеров, если одна из систем откажет?

>14. Будет ли подан сигнал тревоги при отключении системы кондиционирования воздуха?

>15. Осуществляется ли контроль температуры и влажности?

>16. Сработает ли какая-либо визуальная или звуковая аварийная сигнализация, если будут превышены предельно допустимые значения?

>17. Установлены ли противопожарные двери на всех входах в помещение, в котором находятся компьютеры?

>18. Хранятся ли бланки чеков в защищенном месте?

>19. Имеются ли письменные инструкции для включения и выключения питания системы?
> > > >35. Анализирует ли руководство службы эксплуатации все простои? > > > >36. Анализирует ли Отдел эксплуатации все управление заданиями, после того как испытания завершены и прежде чем программы будут введены в эксплуатацию? > > > >37. Имеются ли Руководства по выполнению заданий для всех производственных прикладных систем? > > > >38. Имеют ли операторы легкий доступ к Руководствам по выполнению заданий? > > > >39. Хранятся ли копии Руководств по выполнению заданий в удаленном хранилище? > > > >40. Задокументирована ли вся специальная обработка данных в конце каждого квартала и года? > > > >41. Планируется ли выполнение пакетных заданий для каждой смены? > > > >42. Имеется ли автоматизированная система учета заданий? > > > >43. Анализируются ли отчеты о выполнении заданий, чтобы обнаружить необычный ход их выполнения? > > > >44. Проводится ли анализ всех новых систем, чтобы проверить, что копии файлов должным образом направляются в удаленное хранилище? > > > >45. Имеется ли список всех аппаратных средств компьютеров с указанием серийных номеров, средств и линий связи, требований к электрическому питанию, требований к охлаждению, требований к площади и список допустимого оборудования для замены всего перечисленного выше и хранится ли копия этого списка в удаленном хранилище? > > > >46. Имеется ли схема размещения кабелей и описание разъемов для имеющегося оборудования и хранятся ли их копии в удаленном хранилище? > > > >47. Ведется ли список данных о всех поставщиках компьютерного оборудования и материалов? > > > >48. Запросили ли вы у поставщика технических средств, бывших в употреблении, список имеющегося оборудования, чтобы подготовиться к чрезвычайной ситуации? > > > >49. Осуществляется ли ежедневное создание резервных копий и их передача в удаленное хранилище для следующего:

библиотека процедур;система ведения библиотеки резервных копий;график выполнения заданий? > > > >50. Имеется ли формальная процедура вывода программ из употребления? > > > >51. Задокументированы ли процедуры для работы с микрофишами и хранятся ли их копии в удаленном хранилище? > > > >52. Имеются ли водопроводные трубы вблизи или над помещением, в котором находятся компьютеры? > > > >53. Имеется ли угроза утечки воды из близлежащих помещений: кухни, комнат для отдыха и т.п.? > > > >

РЕЗЕРВНОЕ ПОМЕЩЕНИЕ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Абонируете ли вы в настоящее время полностью оборудованное резервное помещение?

2. Расположено ли резервное помещение на таком расстоянии, которое гарантирует, что это помещение не будет затронуто крупномасштабным бедствием?

3. Обеспечена ли безопасность резервного помещения, по крайней мере настолько же хорошо, как вашего нынешнего помещения?

4. Использовали ли вы когда-либо резервное помещение при имитации бедствия?

5. Имеется ли возможность доступа в резервное помещение в течение времени, достаточного для проведения испытаний?

СИСТЕМЫ И ПРОГРАММИРОВАНИЕ

Да

Нет

Выполняется

Ответственный / Мероприятие1. Создаются ли резервные копии всего прикладного программного обеспечения, которые направляются в удаленное хранилище?

>2. Требуется ли утверждение всех изменений в программах?

>3. Имеются ли контрольные следы, идентифицирующие любую программу, которая была скопирована для изменения, или новую разрабатываемую программу?

>4. Защищено ли паролями все прикладное программное обеспечение, ответственное за распределение денежных средств, например, подготовку расчетной ведомости и счетов к оплате?

>5. Имеют ли вышеупомянутые системы адекватные средства контроля, например, подсчет итоговых величин для пакета, подсчет контрольных сумм и др.?

>6. Делаются ли в отчете отметки о контрольном следе контрольные величины, значения которых выходят за пределы нормального диапазона?

>7. Указаны ли в контрольном следе счетов к оплате список получателей платежа для всех проверок?

>8. Для всех ли финансовых прикладных программ составляются полные отчеты о контрольных следах?

>9. Хранится ли вся документация для систем, функционирующих в основном производственном помещении, в несгораемых шкафах?

>10. Просят ли пользователей помочь в подготовке данных для испытаний?

>11. Имеется ли формальная методика для проектирования и программирования?

>12. Завершается ли этап проектирования до начала этапа программирования?

>13. Имеются ли письменные стандарты проектирования и программирования?

>14. Классифицированы ли постоянные файлы как критически важные, важные, полезные и несущественные?

>15. Требуется ли в соответствии со стандартами создание резервных копий всех критически важных файлов?

>16. Хранятся ли 3 самых последних версии всех важных и критически важных файлов?
> > > >17. Требуют ли стандарты, чтобы все программы имели должные средства контроля и контрольные суммы для аудита, обнаружения и исправления ошибок? > > > >18. Сохраняются ли данные для испытаний с требуемыми результатами испытаний и используются ли они для усиленно сопровождаемых систем типа систем для подготовки расчетной ведомости? > > > >19. Вносятся ли изменения всегда в исходный текст программ? > > > >20. Хранится ли исходный текст программ в библиотеке, резервная копия которой создается и направляется в удаленное хранилище? > > > >21. Анализируются ли отчеты о редактировании связей программ на наличие ошибок и сохраняются ли они с распечаткой исходного текста? > > > >22. Всегда ли тестируются программы даже тогда, когда в них вносятся незначительные изменения? > > > >23. Анализирует ли руководство время от времени изменения в программах и результаты испытаний? > > > >24. Утверждают ли отделы пользователей изменения программ и анализируют ли они результаты испытаний? > > > >25. Имеется ли формальная процедура для ввода разрабатываемой программы в эксплуатацию? > > > >26. Необходимо ли наличие Руководства по эксплуатации для ввода программы в эксплуатацию? > > > >27. Задокументированы и запрограммированы ли все изменения приобретенного программного обеспечения таким образом, что это не нарушает поставленного текста программ? > > > >28. Имеется ли список всех имеющихся систем с указанием ответственных лиц? > > > >29. Имеется ли список всех программ системы? > > > >30. Имеется ли для каждой системы лицо, ответственное за резервное копирование? > > > >31. Обновляется ли документация? > > > >32. Ведется ли документация в компьютере, создается ли ее резервная копия и направляется ли она в удаленное хранилище? > > > >33. Имеется ли список всех технических руководств, чтобы они могли быть заменены в случае необходимости? > > > >34. Устанавливает ли политика вашей компании период хранения файлов информации о фондах компании, об акционерах, данных о налогообложении, информации о персонале и других жизненно важных данных? > > > >35. Хранится ли информация о размещении данных в течение периода хранения вместе с носителями файлов? > > > >36. Была ли идентифицирована исходная информация, на основе которой созданы сохраняемые данные? > > > >

СТРАХОВАНИЕ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Было ли проинформировано руководство вычислительного центра относительно того, что покрывается страхованием?

2. Предусматривает ли страховой полис покрытие прерывания деятельности?

3. Имеется ли в организации отдел, ответственный за страховую защиту?

4. Есть ли у вас экземпляр страхового полиса?

5. Проводили ли вы анализ страховой защиты в прошлом году?

6. Проводите ли вы ежегодно анализ вашего страхования со страхователем?

7. Охватывает ли страховое покрытие аппаратные средства обработки данных и программное обеспечение?

8. Проводили ли Вы анализ риска или последствий для вычислительного центра?

ТЕХНИЧЕСКАЯ ПОДДЕРЖКА

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Создаются ли резервные копии операционных систем, которые направляются в удаленное хранилище?

2. Ведется ли список всего программного обеспечения операционной системы?

3. Прошел ли персонал Отдела обучение смежным специальностям, чтобы каждый мог осуществлять резервное копирование?

4. Задокументированы ли все ответственности, обязанности и процедуры и хранятся ли копии этих документов в удаленном хранилище?

5. Ведется ли список данных о всех поставщиках программного обеспечения?

6. Приняты ли меры для того, чтобы приобретенное программное обеспечение могло функционировать на другой системе в случае чрезвычайной ситуации?

7. Хранится ли копия параметров SYSGEN в удаленном хранилище?

8. Имеется ли полная версия документации, объясняющая как восстановить операционную систему в резервном помещении?

9. Документируется ли использование всех дисковых устройств?

10. Составлен ли план использования дополнительных дисковых устройств?

11. Имеется ли документация, объясняющая как изменить язык управления заданиями для их выполнения в резервном помещении?

ВНУТРЕННИЙ АУДИТ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Проводили ли вы анализ Плана действий в непредвиденных обстоятельствах для Отдела Информационных технологий?

2. Наблюдали ли вы за выполнением испытаний по восстановлению, при которых использовались только материалы, хранящиеся вне основного производственного помещения?

3. Анализируете ли вы периодически работу вычислительного центра и делаете ли письменные рекомендации по совершенствованию процедур, обеспечения безопасности и контроля?

4. Требуется ли отделам пользователей сверять выходные данные компьютеров с полученными вручную итогами в целях аудита и обеспечения безопасности?

5. Сохраняете ли вы тестовые данные, которые обрабатываются системами выплаты денежных средств, чтобы убедиться, что эта обработка дает требуемые результаты?

ВВОД ДАННЫХ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Существуют ли иные варианты ввода данных, которые обычно вводятся в оперативном режиме?

2. Обеспечены ли возможности для ввода данных во внешнем помещении при чрезвычайных ситуациях?

3. Хранится ли копия инструкций по вводу данных в удаленном хранилище?

4. Если для ввода данных используется пакет программ, доступен ли он для внешних служб?

5. Приняты ли меры для того, чтобы ввод данных могли осуществлять дочерние предприятия или филиалы?

6. Задокументированы ли все ручные процедуры, выполняемые при вводе данных, и хранятся ли копии этих документов в удаленном хранилище?

7. Собраны ли исходные документы в пакеты и контролируются ли они другим отделом?

8. Регистрируется ли на исходных документах после ввода дата и время ввода и оператор?

9. Хранятся ли в течение непродолжительного времени исходные документы в их первоначальных пакетах, чтобы в случае необходимости их можно было ввести заново?

10. Возвращаются ли исходные документы после ввода данных в Отдел контроля данных?

11. Можно ли в случае необходимости восстановить деятельность Отдела ввода данных в другом помещении в приемлемо короткое время?

ВЫЧИСЛИТЕЛЬНЫЙ ЦЕНТР

Да

Нет

Выполняется

Ответственный / Мероприятие1. Имеет ли вычислительный центр освещенные наружные указатели?

>2. Защищено ли здание охранниками, оградой, системами сигнализации и (или) системой внутреннего наблюдения?

>3. Помещена ли проводка всех систем контроля и сигнализации в трубопроводы?

>4. Совершают ли охранники регулярный обход здания?

>5. Если охранники не используются, имеются ли лица, ответственные за безопасность, обученные профессионалами?

>6. Назначен ли ответственный за безопасность вычислительного центра, компании или здания?

>7. Находятся ли охранники или персонал помещения, в котором расположены компьютеры, всегда на рабочем месте?

>8. Организован ли доступ в помещение и различным его зонам по карточкам?

>9. Все ли служащие носят идентификационные значки?

>10. Осуществляется ли регистрация входящих и выходящих посетителей?

>11. Имеется ли охрана в приемной?

>12. Опубликована ли информация на случай чрезвычайной ситуации в офисе или здании, которая содержит описание процедур на случай:

Оказания медицинской помощи,Пожара,Эвакуации, Угрозы наличия бомбы,Проникновения посторонних, Отказа электрического питания?

>13. Назначен ли ответственный за обеспечение информацией, обучение и контроль за положениями, указанными в пункте 12?

>14. Имеются ли во всех коридорах схемы эвакуации?

>15. Все ли служащие получили инструктаж и обучение по процедурам действий в чрезвычайных ситуациях?

>16. Проводятся ли регулярные пожарные учения под контролем начальника местной пожарной команды?

>17. Имеется ли письменная процедура увольнения, которая включает контрольный перечень предметов, которые должны быть возвращены компании (например, ключей, идентификационных значков, карточек для доступа и т.д.) в случае увольнения сотрудника?
> > > >18. Выполняют ли обязанности всех служащих, находящихся в отпуске, другие лица? > > > >19. Все ли помещения всех зданий имеют систему пожарной сигнализации? > > > >20. Проводились ли испытания оборудования для обнаружения и тушения пожара в последние 6 месяцев? > > > >21. Проводит ли страховая компания или отдел пожарной охраны ежегодные противопожарные инспекции? > > > >22. Защищено ли хранилище для форм и запасов материалов спринклерными системами? > > > >23. Имеются ли в хранилище датчики дыма? > > > >

ВЗАИМНЫЕ СОГЛАШЕНИЯ

Да

Нет

Выполняется

Ответственный / Мероприятие

1. Имеете ли вы официальное взаимное соглашение, действующее в настоящее время?

2. Имеет ли компьютер другой организации достаточно временных ресурсов, чтобы вы могли использовать его совместно с этой организацией?

3. Имеет ли ваш компьютер организации достаточно временных ресурсов, чтобы другая организация могла использовать его совместно с вашей?

4. Являются ли обе совместимые компьютерные системы совместимыми?

5. Имеют ли обе компьютерных системы пропускную способность, достаточную для одновременного функционирования критически важных прикладных систем обеих организаций?

6. Является ли совместимыми операционные системы?

7. Сможет ли ваша сеть связи быстро соединяться с компьютерами другой организации и имеется ли достаточно памяти?

8. Имеет ли вычислительный центр специализированные аппаратные средства типа лазерных принтеров или накопителей на кассетах?

9. Согласились ли обе организации уведомлять друг друга об изменениях в аппаратных средствах или программном обеспечении?

10. Будет ваше приобретенное программное обеспечение работать в другом вычислительном центре?

11. Протестировали ли вы критически важную прикладную систему в другом вычислительном центре?

12. Имеется ли в другом вычислительном центре временное хранилище для печатных форм?

13. Имеется ли в другом вычислительном центре временное хранилище вашей библиотеке резервных копий?

14. Имеется ли в другом вычислительном центре временное офисное помещение для персонала, обеспечивающего эксплуатацию компьютеров?

Маркетинг MA

MA - Изучение клиентов/рынковMA - Разработка стратегии/планов маркетингаMA - Управление продуктами/услугамиMA - Задание и регулирование ценMA - Планирование и управление каналами продажMA - Рекламирование и продвижение продуктов/услуг

МЕЖОТРАСЛЕВАЯ КЛАССИФИКАЦИЯ БИЗНЕС-ПРОЦЕССОВ НА ПРЕДПРИЯТИЯХ

Концепция цепочки продуктивных процессов предложена профессором Гарвардской школы бизнеса Майклом Портером и широко используется в области консультационных услуг по совершенствованию деятельности компаний для обеспечения их конкурентоспособности.

Компания Прайс Уотерхаус адаптировала данную концепцию для ее использования в системе KnowledgeViewSM в качестве модели для классификации и структуризации бизнес-процессов и разработала на основе этой концепции "Международный язык бизнеса", который позволяет анализировать и сопоставлять на единой основе процессы в различных сферах деятельности. Этот язык охватывает 9 областей цепочек для отдельных сфер деятельности. Продуктивные процессы непосредственно влияют на продукт или услугу, предоставляемую клиенту.

Данная классификация процессов используется в программе KnowledgeView для структуризации информации о лучших практических методах работы и помогает компаниям проводить мероприятия по повышению эффективности своей деятельности.

ОБЛАСТИ ОБЕСПЕЧИВАЮЩИХ ПРОЦЕССОВ

(BI) Совершенствование деятельности организации(EM) Управление защитой окружающей среды(EX) Управление внешними связями(FA) Управление корпоративными службами/помещениями(FM) Управление финансами(HR) Управление персоналом(LG) Управление юридическими услугами(PM) Планирование и управление(PO) Снабжение(SY) Разработка и сопровождение систем/технологий

Осуществление продаж, управление обслуживанием клиентов CS

CS - Продажа продуктов/услугCS - Развитие и поддержание взаимоотношений с клиентамиCS - Ввод и обработка заказов, отслеживание их выполненияCS - Выставление счетов клиентамCS - Обработка запросов и предоставление сервисной поддержки клиентамCS - Обработка жалоб/гарантийных обязательств/ претензий/возвратовCS - Оценка степени удовлетворенности клиентов

Планирование и управление PM

PM - Разработка плана капиталовложений и инвестицийPM - Разработка оперативного планаPM - Разработка стратегического планаPM - Разработка и ведение плана налогообложенияPM - Разработка и применение систем управления общей эффективностью деятельности организацииPM - Управление программами/проектамиPM - Контроль выполнения и корректировка планов

Производство продуктов/услуг PR

PR - Разработка и корректировка процедурPR - Планирование и использование производственных мощностейPR - Календарное планирование производстваPR - Производство и упаковка продуктов/услугPR - Управление техническими изменениями PR - Управление качеством продуктов/услугPR - Выбор, получение, установка оборудования и его техническое обслуживание

Разработка и сопровождение систем/технологий SY

SY - Разработка и сопровождение прикладных программSY - Разработка, сопровождение и управление системами защиты информацииSY - Оценка, выбор и приобретение технических средств/ компьютерных платформSY - Оценка, выбор и приобретение пакетов программного обеспеченияSY - Управление ресурсами информационной системыSY - Планирование развития систем и технологийSY - Предоставление информационных отчетов

Разработка продуктов/услуг DP

DP - Исследование продуктов/услугDP - Проектирование и разработка продуктов/услугDP - Создание и испытание прототиповDP - Разработка и реализация процессов изготовленияDP - Разработка и реализация процедур обслуживания

Снабжение PO

PO - Управление взаимоотношениями с поставщиками и субподрядчикамиPO - Приобретение материалов/припасовPO - Оценка и выбор поставщиков/субподрядчиков

Совершенствование деятельности организации BI

BI - Оценка существующей структуры/культуры организацииBI - Проектирование и внедрение новой организационной структурыBI - Разработка и ведение процесса сопоставительного анализаBI - Разработка и ведение процесса непрерывного совершенствования деятельностиBI - Разработка и ведение процесса управления знаниями

Управление финансами FM

FM - Оценка финансовой эффективности и управление ею FM - Управление наличностью FM - Управление финансовыми политиками и процедурамиFM - Управление финансовым рискомFM - Управление внутренним аудитомFM - Управление внутренним контролемFM - Обработка сбора долгов и управление имFM - Обеспечение финансированияFM - Распределение капиталаFM - ЗакрытиеFM - Учет и контроль затратFM - Управление затратамиFM - Учет основных фондов и управление имиFM - Ведение общего бухгалтерского учета FM - Выставление внутренних счетов и управление внутриорганизационными расчетамиFM - Планирование, составление бюджета и прогнозированиеFM - Оценка прибыльностиFM - Обработка счетов к получениюFM - Обработка счетов к оплатеFM - Оценка кредитоспособности клиента FM - Обработка возмещения служебных затрат сотрудникамFM - Обработка заработной платыFM - Обработка налоговFM - Подготовка финансовых отчетов

Управление юридическими услугами LG

LG - Разработка и выполнение программы превентивной юридической грамотностиLG - Обеспечение соблюдения законодательства и инструкцийLG - Управление взаимоотношениями с внешними юрисконсультамиLG - Участие в переговорах и подготовка проектов соглашений/контрактов LG - Защита интеллектуальной собственностиLG - Предоставление юридических рекомендаций/консультацийLG - Разрешение конфликтов и участие в судебных процессах

Управление корпоративными службами/помещениями FA

FA - Разработка и руководство программой ведения учетных документовFA - Управление рабочими помещениями и уход за нимиFA - Организационная работаFA - Планирование и приобретение помещений

Управление персоналом HR

HR - Руководство процессом разбора жалоб сотрудниковHR - Разработка программы вознагражденияHR - Разработка и внедрение системы сбора предложений сотрудниковHR - Управление и руководство предоставлением льготHR - Управление обменом информацией среди сотрудниковHR - Планирование и проведение обучения сотрудниковHR - Оценка эффективности труда и вознаграждение за хорошую работу HR - Набор сотрудников

Управление снабжением, сбытом и доставкой LD

LD - Управление запасамиLD - Получение материалов/припасовLD - Поставка продуктовLD - Установка продуктов, предоставление услуг

Управление внешними связями EX

EX - Управление отношениями с местным населением и общественностьюEX - Управление отношениями с государственными и регулирующими органамиEX - Управление отношениями с инвесторамиEX - Управление взаимоотношениями с потенциальными финансирующими организациямиEX - Управление отношениями с профсоюзами

Управление защитой окружающей среды EM

EM - Обеспечение соблюдения требований постановлений и законовEM - Формулировка стратегии управления защитой окружающей средыEM - Реализация программы реагирования на чрезвычайные происшествияEM - Реализация программы предотвращения загрязнения внешней средыEM - Управление мероприятиями по восстановлению окружающей средыEM - Контроль выполнения программы управления защитой окружающей средыEM - Теоретическое и практическое обучение сотрудников в области защиты окружающей среды