Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Процедура по серьезным инцидентам

На приведенном ниже рисунке показана блок-схема процедуры по серьезным инцидентам.

Подписи к рисунку: New major incident? - Новый серьезный инцидент? Existing major incident - Существующий серьезный инцидент? Yes - Да No - Нет Restoration team review due? - Необходима проверка группой восстановления? Perform management review - Выполнение управлением проверки Perform management escalation - Выполнение управлением эскалации Issue agreed progress statements - Составление согласованных заявлений по прогрессу Management team review due? - Необходима проверка группой управления? Management escalation? - Эскалация управления? Update communications plan and agree progress statements - Обновление плана связей и согласование заявлений по прогрессу Change allocated resources? - Изменение назначенных ресурсов? Investigation and Diagnosis - Исследование и диагностика Restoration team review meeting - Обзорное собрание группы восстановления Review and update restoration plan - Обзор и обновление плана восстановления Issue restoration team progress report - Составление отчета о прогрессе группы восстановления Allocate /direct required resources - Распределение требуемых ресурсов и управление ими Flag to duty Incident Manager - Уведомление дежурного менеджера по инцидентам Assess suspected major incident - Оценка сомнительного серьезного инцидента Is this a major incident - Это серьезный инцидент? Issue initial notifications - Выдача начальных уведомлений Assign major incident manager - Назначение менеджера по серьезным инцидентам Agree communication plan - Согласование плана связей Agree restoration plan - Согласование плана восстановления Duty Incident Manager to monitor situation at regular intervals - Менеджер по инцидентам должен регулярно контролировать ситуацию Investigation and Diagnosis - Исследование и диагностика Confirm facts and build team - Подтверждение фактов и создание группы Hold planning meeting - Проведение собрания по планированию

Рисунок 20. Блок-схема процедуры по серьезным инцидентам

Процедура по серьезным инцидентам предлагает дополнительно координацию по всей компании, ресурсы, вовлечение управления и связь в тех случаях, когда воздействие или потенциальное воздействие инцидента требует реакции, выходящей за рамки той, которая обеспечивается процедурами управления обычными инцидентами.

Решение о том, гарантирует ли инцидент инициирование процедуры по серьезным инцидентам, принимает менеджер по инциденту, хотя до принятия решения должна быть проведена консультация со всеми вовлеченными сторонами. Возможно, необходимо обратиться к персоналу поддержки, сервисным менеджерам, бизнес-менеджерам, партнерам и другим ИТ менеджерам, вовлеченным в инцидент, для гарантии того, что менеджер инцидента полностью понимает ситуацию и потенциальные последствия.

Организации следует задокументировать ряд критериев, играющих роль рекомендации для вынесения решения о том, что должно считаться главным инцидентом. Критерии будут зависеть от конкретного бизнеса, но могут включать в себя:

· Финансовое воздействие. Любой инцидент, при котором потенциальное воздействие может превысить установленную цифру.

· Основанные на сервисе. Любой простой ключевых сервисов, критических для бизнеса, когда быстрое разрешение не кажется вероятным.

· Основанные на месте или пользователе. Любой инцидент, затрагивающий больше установленного числа мест или пользователей, когда быстрое разрешение не кажется вероятным.

· Основанные на адресатах. Любой инцидент, который, вероятно, приведет к нарушениям в отношении определенных адресатов уровня сервиса, в особенности, когда могут налагаться существенные финансовые штрафы.

· Основанные на здоровье и безопасности. Любой инцидент, при котором считается, что здоровье и безопасность будут находиться в непосредственной опасности до достижения разрешения.

· Основанные на безопасности. Любой инцидент, связанный с безопасностью, при котором считается, что имеются серьезные ущерб или воздействие, или при котором возникает серьезная проблема, связанная с безопасностью.

· Основанные на репутации. Любой инцидент, на который нужно отреагировать очень быстро и/или эффективно, для того чтобы сдержать или минимизировать воздействие на репутацию организации или ее брэнда.

Критерии должны гарантировать, что процедура по серьезным инцидентам инициируется при существенном воздействии на бизнес, предотвращая слишком много ненужных и дорогостоящих процедур, в которых ситуации не гарантируют такого уровня реакции. Данные критерии должны использоваться только в качестве рекомендаций. Решение о необходимости инициализации процесса всегда принимается по усмотрению дежурного менеджера по инцидентам. Дежурный менеджер по инцидентам должен основывать решение на гибком подходе здравого смысла, рассматривая индивидуальные характеристики инцидента и гарантируя, что критерии, характеризующие инцидент как серьезный, были не слишком строгими. Инициализация процедуры по серьезным инцидентам обычно будет иметь воздействие в терминах нарушений и стоимости мобилизации дополнительных ресурсов, поэтому необходимо соблюдать осторожность и использовать ее только тогда, когда это строго необходимо.

Любое лицо организации должно обладать возможностью связи с дежурным менеджером по инцидентам в отношении инцидента, который, как оно считает, должен рассматриваться серьезным инцидентом. Несмотря на то, что во многих случаях такой контакт будет исходить из службы поддержки или группы решения, не должно существовать никаких препятствий для связи с дежурным менеджером по инциденту у другого персонала, типа сервисных менеджеров или бизнес-менеджеров, которые зачастую обладают большим пониманием потенциальных воздействий. Для обеспечения такой возможности необходимо оговорить процедуру по серьезным инцидентам, а также способы контакта с дежурным менеджером по инцидентам.

Если дежурный менеджер по инцидентам решает, что инцидент не гарантирует инициализацию процедуры по серьезным инцидентам в настоящее время, то вовлеченным сторонам нужно объяснить причины этого, после чего должна быть проверена ситуация, а прогресс инцидента происходил обычным образом. После того, как об инциденте было сообщено дежурному менеджеру по инцидентам, даже если он в настоящее время не считает этот инцидент серьезным, дежурный менеджер по инцидентам должен регулярно контролировать инцидент на случай, если ситуация изменится.

Если инцидент был идентифицирован как серьезный, то дежурный менеджер по инцидентам должен немедленно уведомить все заинтересованные стороны: управление проблемами, управление доступностью, управление уровнем сервиса, управление непрерывностью ИТ сервиса, ИТ управление, менеджеров затронутого бизнеса, а также дежурного менеджера службы поддержки.

Кто-то должен взять на себя функцию менеджера по серьезным инцидентам, ответственного за координацию планирования, ресурсы и связь в течение серьезного инцидента. В зависимости от размера организации, потенциальных угроз и воздействий, а также числа произошедших серьезных инцидентов, эта должность может быть постоянной или же занимаемой соответствующим персоналом когда это требуется. В сервисных организациях, обеспечивающих поддержку многочисленным клиентам, может потребоваться ряд постоянных менеджеров по серьезным инцидентам. Если по инциденту необходимо работать круглосуточно, то для отдельного инцидента, возможно, необходимо назначить нескольких менеджеров по серьезным инцидентам.

Если должность менеджера по серьезным инцидентам должна будет должностью с частичной занятостью, то, в зависимости от организации, эту функцию может взять на себя менеджер по проблемам, менеджер по доступности или сервисный менеджер.

Персонал, выполняющий функции менеджера по серьезным инцидентам, должен соответствовать следующим критериям:

· Должен обладать способностью совладать со стрессом, возникающим во время серьезных инцидентов.

· Старший менеджер, обладающий полномочиями делать вещи выполнимыми.

· Хороший коммуникатор, способный общаться с техническим ИТ персоналом, представителями бизнеса и клиентами на всех уровнях в пределах организации.

· Признанная личность со всесторонним знанием организации, включая знание о том, как работают вещи и с кем следует общаться.

· Готов к сверхурочной работе, часто незамедлительно.

· Готов к поездкам и присутствию на местах клиента, если это требуется, и снова незамедлительно.

После назначения менеджера по серьезным инцидентам, он должен собрать всю доступную в настоящее время информацию и подтвердить текущую ситуацию. Затем менеджер по серьезным инцидентам должен сформировать группу восстановления.

Технический персонал, вовлеченный в исследование и разрешение серьезного инцидента, носит название группы восстановления. Эта группа обычно состоит из одного или более технических специалистов. В зависимости от размера и характера организации, может быть сформирован постоянно действующий технический персонал для реакции на серьезные инциденты. В такой ситуации это должны быть опытные сотрудники, обученные техническим навыкам и методике решения задач. Данная основная группа должна обучаться по всем используемым ключевым стратегическим технологиям и дополняться другим персоналом поддержки, если для конкретного инцидента требуется другой профиль навыков. Опытный персонал поддержки должен проходить через основную группу с временным назначением.

Если ресурсы не позволяют основной группе постоянно находиться на месте или же если количество и вероятность серьезных инцидентов не гарантируют таких инвестиций, то менеджером по серьезным инцидентам, когда инцидент признан серьезным, должна формироваться группа восстановления, действующая по мере необходимости.

Менеджер по серьезным инцидентам должен провести собрание по начальному планированию с группой восстановления, любыми сотрудниками, которые уже работали с инцидентом, затронутых менеджеров и любых других соответствующих технических специалистов. Если персонал географически удален друг от друга, то такое собрание может принять форму теле- или видеоконференции. Цель собрания заключается в том, чтобы согласовать план восстановления и план связи.

Цель плана восстановления состоит в том, чтобы обеспечить запланированный и скоординированный подход к восстановлению сервиса. План должен находиться у менеджера по серьезным инцидентам и должен документировать предпринимаемые действия, лиц, которые должны выполнять действия, а также время завершения действий. План должен регулярно обновляться в течение существования серьезного инцидента, гарантируя при этом сохранение старых версий для аудиторского следа.

План восстановления должен содержать следующее:

· Заявление о "проблеме", как она известна в настоящее время.

· Разделение инцидента на категории, детализируя компоненты, интерфейсы и вероятные причины проблемы.

· План высокого уровня относительно того, как подтвердить или исключить каждую возможную непосредственную причину.

· Взвешивание для каждой возможной причины на основании вероятности и простоты подтверждения, позволяя дать приоритет исследованию каждой возможной причины.

· Подробная информация относительно действий по исследованию или решению, которые будут предприняты на данном этапе, основываясь на назначенных приоритетах.

· Информация о том, кто будет выполнять действия по исследованию или решению.

· График выполнения каждого действия и время следующего обзорного собрания группы восстановления.

Пример с шаблоном плана восстановления приведен в Приложении E настоящего документа.

Менеджер по серьезным инцидентам должен регулярно проверять прогресс вместе с группой управления, состоящей из ИТ менеджеров, менеджеров затронутого бизнеса и управления клиентами и партнерами. Цель собрания группы управления должна состоять в том, чтобы поддерживать все стороны информированными, обсуждать прогресс, и обеспечивать эскалацию управления, когда это требуется. После проведения обзорного собрания управления должны быть согласованы и выпущены заявления обновления прогресса.

Обзорные собрания группы управления и группы восстановления обычно должны проводиться отдельно, с тем, чтобы каждая группа могла сконцентрироваться на вопросах, соответствующих их ролям. Группа восстановления должна обсудить технические проблемы и затем предоставить доклад о достигнутых результатах группе управления, которая может затем сконцентрироваться на вопросах ресурсов, эскалации и связи. Проведение этих отдельных собраний экономит время, затрачиваемое людьми на собраниях (а не на фактическую работу по инциденту), позволяя также каждой группе сосредотачиваться на своих обсуждениях.

Во время серьезных инцидентов поддержание связи часто может стать главной трудностью. Цель плана связи состоит в том, чтобы обеспечить координацию связи на протяжении существования инцидента. План связи должен составляться менеджером по серьезным инцидентам и обсуждаться и обновляться на каждом обзорном собрании группы управления. План должен охватывать следующее:

· Кто должен регулярно обновляться.

· Контактная информация для всех сторон, требующих обновлений.

· Различные типы требуемых обновлений. Могут требоваться различные сообщения обновления в зависимости от аудитории, с которой осуществляется связь:

· Обновление старшего управления.

· Обновление для всего персонала.

· Обновление для клиентов.

· Обновление для партнеров.

· Обновление для персонала, работающего по серьезному инциденту.

· Заявление для прессы/СМИ.

· Обновление для чрезвычайных сервисов/органов.

· Насколько часто требуется каждый тип обновления и когда должно выполняться следующее обновление.

· Кто уполномочен согласовывать выпуск каждого заявления об обновлении.

· Механизм, посредством которого будет сообщаться о каждом обновлении.

· Время следующего собрания группы управления.

Для использования во время серьезных инцидентов должны быть составлены шаблон плана связи и соответствующие списки рассылки по электронной почте; однако для определенных сред, например, в случае недоступности электронной почты, должны быть также рассмотрены альтернативные методы связи.

Пример таблицы плана связи включен в Приложение F настоящего документа.

После того, как только план связи и план восстановления будут согласованы, должны быть распределены любые дополнительно требуемые ресурсы. Все ресурсы должны иметь доступ к плану восстановления, с тем, чтобы они могли видеть то, что было до этого, и по каким действия они и другие ресурсы должны воздействовать теперь.

Менеджер по серьезным инцидентам должен гарантировать, что любые необходимые договоренности относительно перемещения разрешены для персонала поддержки.

После того как только процедура по серьезным инцидентам начнет реализовываться, планы будут согласованы, а ресурсы распределены, необходимо выполнить стандартное исследование жизненного цикла инцидента, диагностику, разрешение, восстановление и закрытие. Отличие от главного инцидента состоит в том, что инцидентом владеет менеджер по серьезным инцидентам, который и координирует инцидент, а планы восстановления и координации регулярно проверяются и поддерживаются на всем жизненном цикле инцидента.

Группа восстановления должна регулярно проводить обзорные собрания, с тем, чтобы обсудить прогресс, обновить план восстановления и выпустить отчет о достигнутых результатах группы восстановления. Менеджер по серьезным инцидентам может посещать некоторые, но не обязательно все, обзорные собрания. Интервал между обзорными собраниями должен меняться в зависимости от объема деятельности. Например, в течение интенсивной фазы исследования собрания должны проводиться чаще, чем в течение более позднего периода, когда персонал просто ожидает подтверждения того, что действия по разрешению оказались успешными.

Также должны проводиться регулярные собрания группы управления, для того чтобы держать все стороны информированными, обсуждать прогресс и решать, когда требуется эскалация управления. Менеджер по серьезным инцидентам должен способствовать проведению всех собраний группы управления по прогрессу. И снова, интервал между обзорными собраниями должен меняться согласно уровню деятельности.

В течение серьезного инцидента может возникнуть необходимость выполнения эскалации управления. Если инцидент становится более критическим, а у партнеров и клиентов осуществляется эскалация управления, то необходимо расширить понимание инцидента по цепочке управления. Нужно избегать таких ситуаций, когда старший менеджер или директор первыми узнают об инциденте от своих коллег в организации партнера или клиента.

Если имеет место эскалация управления или изменение членов группы восстановления, то должен регулярно обновляться план связи. Менеджер по серьезным инцидентам ответственен за соглашение или за получение соглашения для всех заявлений обновления связи перед их выпуском.

С прогрессированием серьезных инцидентов менеджер по серьезным инцидентам должен гарантировать размещение, распределение и координацию любых дополнительных требований к ресурсам.

Некоторые серьезные инциденты могут требовать использования бизнес-сообщества организации и планов непрерывности сервиса. Необходимо рассмотреть, как сотрудничают между собой процедура по серьезным инцидентам и планы непрерывности сервиса и где определены обязанности. Во время серьезного инцидента менеджер по серьезным инцидентам должен принять решение о том, когда необходимо привлечь план непрерывности сервиса, и нужно ли это делать вообще, с тем, чтобы восстановить сервис или сохранить доказательство в случае злоумышленного намерения.

Как правило, менеджер по серьезным инцидентам должен оставаться ответственным за координирование восстановления, связи и таких действий как сбор доказательств и внедрение обходных путей.

В зависимости от своих размеров и потребностей, организации могут реализовывать различные уровни подготовки для обработки серьезных инцидентов. Вопросы, связанные с персоналом, типа таких, имеются ли полностью занятые менеджеры по серьезным инцидентам и основная группа восстановления, постоянно находящаяся на месте, были уже рассмотрены выше, но некоторые организации могут принимать дополнительные подготовительные меры с использованием специализированных “штабов”, оснащенных персональными компьютерами, оборудованием связи и белыми досками. Многие организации понимают, что общественное восприятие того, насколько хорошо они выдержали серьезный инцидент, непосредственно связано с тем, насколько хорошо они обрабатывали СМИ и как вкладывали капитал в обучение для гарантии того, чтобы их представители и старшие менеджеры могли “иметь дело со СМИ”. Очевидно, что то, насколько разумно вкладывать капитал в подготовку к обработке серьезных инцидентов, зависит от размера организации и условий, в которых она работает. При этом каждая организация должна тщательно рассмотреть потенциальные воздействия, которые могут произойти, и что они будут означать для организации, ее персонала и ее клиентов, а также понимать, что рано или поздно серьезный инцидент произойдет. Речь идет не о случае "если", а о случае "когда".

Процедура по серьезным инцидентам должна продолжиться параллельно обычному процессу управления инцидентами до тех пор, пока серьезный инцидент не будет закрыт. В течение заключительных фаз инцидента, когда будут предприняты действия по решению, можно будет освободить часть группы восстановления от своего назначения, понимания при этом, что она будут повторно вызвана, если решение окажется неудачным.

При закрытии серьезных инцидентов необходимо уведомить управление проблемами, поскольку оно отвечает за выполнение проверок после серьезных инцидентов.

Примечание, касающееся технологии. Персонал, ответственный за реагирование на серьезные инциденты, должен быть надлежащим образом экипирован. Связь часто затруднена, поскольку персонал работает в отдаленных местах или находится в дороге. Требуется использование технологий мобильной связи, для того чтобы персонал всегда находился в контакте и мог получить важную, часто быстро изменяющуюся, информацию.

Для содействия планам связи, для электронной почты и текстовых сообщений могут быть составлены списки рассылки. Средства, типа цифровых дисплеев, системы кабельного телевидения и внутренних систем радиопередачи могут использоваться для предоставления всему офисному персоналу информации о главных инцидентах.

Персоналу поддержки может понадобиться проверять и обновлять регистрационные записи инцидента, работая удаленно. Должны быть инструментальные средства группы поддержки, позволяющие проверять и обновлять инциденты удаленно через браузер или электронную почту. Необходимо принять меры, направленные на гарантию безопасности этих систем.

Менеджер по серьезным инцидентам, а также другой персонал, работающий по серьезному инциденту, должны иметь доступ из любого места, где бы они ни находились, как к плану связи, так и к плану восстановления. Для получения данной информации могут применяться порталы, обеспечивающие для уполномоченного персонала удаленный доступ через браузер.

Дата добавления: 2015-10-29; просмотров: 143 | Нарушение авторских прав