Az Elkötelezettség irányítási alapelv alkalmazása az Elkötelezettség - célkitűzés kapcsán beazonosított kockázatok kezelésére
Az Elkötelezettség irányítási alapelv alkalmazásának célja annak biztosítása, a szervezet és a munkatársak elkötelezettek legyenek a megbízható üzleti működés és beszámolás céljainak, valamint az elérhetőségi alapelvnek megfelelő etikai és üzletfolytonossági követelmények teljesítése iránt.
Az Elkötelezettség irányítási alapelv sikeres alkalmazásának eredményei:
1) Az etikus üzleti magatartás értékei kinyilvánításra és betartásra kerülnek.
2) Aktív politikák és eljárások biztosítják az üzletmenet folytonosságát.
3) Külső felektől jövő információk módszeresen összegyűjtésre és kiértékelésre kerülnek.
A fenti eredményeket az alábbi irányítási gyakorlatok alkalmazásával lehet elérni:
A feddhetetlenség és az etikus magatartás értékei iránti elkötelezettség biztosítása. Kialakításra kerülnek a feddhetetlenség és az etikus magatartás értékei, különös tekintettel a felső vezetés tagjaira vonatkozóan; ezeket az elveket megfelelően ismerik és a megbízható üzleti működés és beszámolás során alapvető magatartási normaként alkalmazzák. [Eredmény: 1]
A feddhetetlenség és az etikus üzleti magatartás világos megfogalmazása és kimutatása. A vezetés kulcsfontosságú tagjai a munkavállalók számára világosan megfogalmazzák és hangsúlyozzák a feddhetetlenség és etikus üzleti magatartás fontosságát.
Az alkalmazottak tájékoztatása a feddhetetlenségről és az etikus magatartásról. A vezetés gondoskodik olyan eljárások bevezetéséről, amelyek az új alkalmazottakat megismertetik, a meglévő alkalmazottakat pedig rendszeresen emlékeztetik a szervezet feddhetetlenséggel és etikus magatartással, valamint az ezekhez kapcsolódó vállalati értékekkel kapcsolatos céljaira.
A feddhetetlenségre és etikus magatartásra vállalt elkötelezettség tanúsítása. A vezetés tanúsítja a feddhetetlenségre és etikus magatartásra vállalt elkötelezettségét azzal, hogy olyan esetekben, amikor ezek lehetséges megszegéséről tudomást szerez, előre meghatározott elvek mentén zajló vizsgálati eljárást folytat le és időben megteszi a megfelelő javító intézkedéseket.
Üzletmenet folytonosságának biztosítása. Aktív politikák és eljárások biztosítják, hogy (informatikai) szolgáltatási üzemszünet bekövetkezése minimális hatással legyen az üzleti tevékenységre. [Eredmény: 2]
(Informatikai) Működésfolyamatossági keretrendszer. (Informatikai) Működésfolyamatossági keretrendszert kell kidolgozni annak érdekében, hogy egy következetes folyamat alkalmazásával támogathassa a vállalati működésfolyamatosság menedzsmentet. A keretrendszer célja az kell, hogy legyen, hogy segítséget nyújtson az infrastruktúra szükséges alkalmazkodóképességének meghatározásához, és vezérelje a katasztrófa helyreállítási és az informatikai működésfolyamatossági tervek kidolgozását. A keretrendszernek foglalkoznia kell a működésfolyamatosság menedzsment szervezeti felépítésével, tartalmaznia kell a belső és a külső szolgáltatók szerepköreit, feladatait és felelősségeit, a vezetésüket, ügyfeleiket és azokat a tervezési folyamatokat, amelyek létrehozzák a katasztrófa helyreállítási és az informatikai működésfolyamatossági tervek dokumentálásának, tesztelésének és végrehajtásának szabályait és szerkezetét. A tervnek foglalkoznia kell az olyan elemekkel, mint például a kritikus fontosságú erőforrások beazonosítása, a kulcsfontosságú függőségek kimutatása, a kritikus erőforrások, az alternatív feldolgozás rendelkezésre állásának figyelemmel kísérése és jelentése, valamint a mentések és a visszaállítások alapelvei.
(Informatikai) Működésfolyamatossági tervek. (Informatikai) Működésfolyamatossági terveket kell kidolgozni a keretrendszer alapján, melyeket úgy kell megtervezni, hogy csökkentsék a jelentős üzemszünetek kulcsfontosságú üzleti funkciókra és folyamatokra gyakorolt hatását. A tervnek a potenciális üzleti hatások kockázatának megértésére kell épülnie, és foglalkoznia kell az összes kritikus fontosságú informatikai szolgáltatással kapcsolatos alkalmazkodóképességi, alternatív adatfeldolgozási és helyreállítási képességi követelményekkel. Tartalmazniuk kell használati útmutatókat, szerepköröket é s felelősségeket, eljárásokat, kommunikációs folyamatokat és tesztelési módszert.
Létfontosságú (informatikai) erőforrások. A(z informatikai) működésfolyamatossági tervben leginkább kritikus fontosságúként azonosított elemekre kell koncentrálni, az alkalmazkodóképesség megteremtése, és a helyreállítási helyzetekben a fontossági sorrend kialakítása érdekében. El kell kerülni, hogy a kevésbé kritikus fontosságú elemek helyreállítása elvonja a figyelmet, és gondoskodni kell a megfelelő reagálásról és helyreállításról a rangsorolt üzleti igényekkel összhangban, biztosítva, hogy a költségek elfogadható szinten belül legyenek, és betartva a szabályozási és szerződéses követelményeket. A különböző szintekre vonatkozóan figyelembe kell venni az alkalmazkodási képességre, a rugalmas reagálásra, a válaszadásra és helyreállításra vonatkozó követelményeket, például egy és négy óra közötti, négy és 24 óra közötti, 24 órát meghaladó és a kritikus fontosságú üzleti működés időszakaira vonatkozóan.
(Informatikai) Működésfolyamatossági terv naprakészen tartása. Ösztönözni kell a(z informatikai) vezetést a változtatás engedélyezési eljárások előírására, és végrehajtására annak biztosítása érdekében, hogy a(z informatikai) működésfolyamatossági terv folyamatosan naprakész leg yen, és folyamatosan tükrözze a tényleges üzleti követelményeket. Az eljárások és felelősségek változtatásait világosan és időben kell ismertetni.
(Informatikai) Működésfolyamatossági terv tesztelése. A(z informatikai) működésfolyamatossági terv rendszeresen kell tesztelni annak biztosítása érdekében, hogy a(z informatikai) rendszerek eredményesen helyreállíthatók legyenek, a hiányosságokkal foglalkozzanak, és a terv megfeleljen a céloknak. Ehhez gondos előkészítésére, dokumentálására és a teszteredményeknek a jelentésére van szükség, és a teszteredményeknek megfelelően egy intézkedési tervet kell megvalósítani. Egy-egy alkalmazási rendszer helyreállítási teszt terjedelmét vizsgálni kell, az integrált teszt forgatókönyvek, a teljes körű tesztelés és az integrált szoftver szállítói tesztelés szempontjából.
(Informatikai) Működésfolyamatossági terv oktatása. Az összes érintett fél számára rendszeres képzéseket kell tartani, a rendkívüli helyzetekben, illetve a katasztrófa esetén követendő eljárásokat, szerepeiket és felelősségeiket illetően. A képzés helyességének ellenőrzését, és továbbfejlesztését a rendkívüli helyzet kezelési tesztek eredményeinek megfelelően hajtják végre.
(Informatikai) Működésfolyamatossági terv terjesztése. Annak megállapítása, hogy létezik egy meghatározott és kézben tartott terjesztési stratégia annak biztosítása érdekében, hogy a tervek kiosztása helyesen és biztonságosan történjék, és azok rendelkezésre álljanak a megfelelően felhatalmazott érdekelt felek részére akkor és ahol, amikor azokra szükség van. Figyelmet kell szentelni annak, hogy a tervek hozzáférhetőek legyenek minden katasztrófa helyzetben.
(Informatikai) Szolgáltatások helyreállítása és folytatása. A helyreállítás és a szolgáltatások újraindításának időszaka alatt megteendő intézkedések megtervezése. Ez kiterjedhet a tartalék helyszínek igénybe vételére, az alternatív feldolgozás beindítására, az ügyfelekkel és az érdekelt felekkel történő kommunikációra és az újraindítási eljárásokra. Biztosítani kell azt, hogy az üzleti területek tisztában legyenek az informatikai helyreállítási időkkel, és az üzleti helyreállítási és újraindítási igények kielégítéséhez szükséges technológiai beruházások mértékével.
Mentések és tartalékeszközök telephelyen kívüli tárolása. A(z informatikai) helyreállítási és az üzleti működésfolyamatossági tervekhez szükséges összes kritikus fontosságú mentési adathordozót (média), dokumentációt és egyéb informatikai erőforrásokat a telephelyen kívüli kell tárolni. A tartalék adattároló tartalmát meg kell határozni az üzleti folyamat felelősök és az informatikai munkatársak közreműködésével. A telephelyen kívüli adattároló létesítményt az adat-osztályozási szabályzatnak és a vállalat médiatárolási gyakorlatainak megfelelően kell kezelni. Az informatikai vezetésnek gondoskodnia kell arról, hogy a külső telephelyre vonatkozó megállapodások időszakonként, de minimum évente értékelésre kerüljenek a tartalom, a környezetvédelem és a biztonság szempontjából. Gondoskodni kell a hardverek és szoftverek kompatibilitásáról az archivált adatok helyreállítása érdekében, és időszakonként tesztelni és frissíteni kell az archivált adatokat.
Helyreállítás utáni felülvizsgálat. Meg kell határozni, hogy a(z informatikai) vezetés bevezetett-e eljárásokat a terv megfelelőségének felmérésére, a(z informatikai) funkcióknak a katasztrófa után történő sikeres újraindítását illetően és a terv ennek megfelelően történő aktualizálása érdekében.
Külső vélemények hasznosítása. A megbízható üzleti működés és beszámolás céljainak elérésére kiható témákról kommunikálnak a külső felekkel. [Eredmény: 3]
Külső felek tájékoztatása a névtelen bejelentés lehetőségéről. A vezetés lehetőséget biztosít, hogy a szervezettel üzleti kapcsolatban lévő felek is bejelenthessenek fontos információkat, ideértve például olyan szállítókat, akik úgy érzik, hogy nem részesültek tisztességes eljárásban, akiktől csúszópénzt várnak vagy más szabálytalanságot szenvedtek el, illetve akik helytelen üzleti működésről vagy beszámolásról szereztek értesülést.
Külső partnerek körében végzett felmérés. A vezetés felméri, hogy az ügyfelek, szállítók, és egyéb partnerek hogyan látják kívülről a szervezetet a feddhetetlenség és etikus üzleti magatartás szempontjából.
A külső ellenőröktől kapott tájékoztatás vizsgálata. Miután a külső ellenőr elvégezte az irányítás és/vagy a beszámolás folyamatának felülvizsgálatát, valamint a belső kontrollrendszer eredményességét bemutató vezetői jelentések független értékelését, a vezetés számára jegyzőkönyvet ad át a munka során feltárt jelentős problémákról, melyet megvitatnak az érintett vezetői körben.