ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ การตรวจประเมินภายใน
2
ยินดีต้อนรับสู่ BCM Auditor
05/04/2017 ยินดีต้อนรับสู่ BCM Auditor มารู้จัก ทักทายกันก่อน 05/04/2017
3
05/04/2017 9.2 การตรวจประเมินภายใน องค์กรต้องตรวจประเมินภายในองค์กรตามช่วงเวลาที่กำหนดไว้ เพื่อให้ได้ สารสนเทศมาประกอบ การพิจารณาว่าระบบการบริหารความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมีประสิทธิผล องค์กรต้อง - วางแผน จัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งโปรแกรมการตรวจประเมิน รวมทั้ง ความถี่ วิธีการ ความรับผิดชอบ ข้อกำหนดในการวางแผน และการรายงาน โดย โปรแกรมการตรวจประเมิน ต้องคำนึงถึงความสำคัญของกระบวนการที่เกี่ยวข้อง และผลจากการตรวจประเมินครั้งก่อน - ระบุเกณฑ์การตรวจประเมินและขอบข่ายสำหรับการตรวจประเมินแต่ละครั้ง 05/04/2017
4
05/04/2017 9.2 การตรวจประเมินภายใน คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมินเพื่อให้มั่นใจถึงความเป็น รูปธรรมและความเป็นกลางของกระบวนการตรวจประเมิน - มั่นใจว่ามีการรายงานผลการตรวจประเมินให้ผู้บริหารที่เกี่ยวข้อง - เก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงการนำโปรแกรมการตรวจ ประเมินไปปฏิบัติและผลการตรวจประเมิน โปรแกรมการตรวจประเมิน รวมทั้งกำหนดการใดๆ ต้องอยู่บนพี้นฐานจากผลการ ประเมินความเสี่ยงจากกิจกรรมต่างๆ ขององค์กร และผลของการตรวจประเมินที่ ผ่านมา ขั้นตอนการดำ เนินงานการตรวจประเมินต้องครอบคลุมถึงขอบข่าย ความถี่ วิธีการ และความสามารถ รวมทั้งความรับผิดชอบและข้อกำหนดสำหรับ การตรวจประเมินและการรายงานผล ผู้บริหารที่รับผิดชอบในพื้นที่ที่รับการตรวจประเมินต้องมั่นใจว่าได้ทำการแก้ไขและ การปฏิบัติการแก้ไขที่จำเป็นโดยไม่ชักช้าเพื่อกำจัดสิ่งที่ไม่เป็นไปตามข้อกำหนด ที่ตรวจพบรวมทั้งสาเหตุ กิจกรรมในการตรวจติดตามผลต้องรวมถึงการทวนสอบ ผลของการดำเนินการและการรายงานผลของการทวนสอบ 05/04/2017
5
การตรวจประเมินภายใน ISO 22301
05/04/2017 การตรวจประเมินภายใน ISO 22301 ช่วงเวลาในการตรวจประเมิน ภายในที่เหมาะสมเป็น อย่างไรสำหรับ ระบบบริหาร ความต่อเนื่องทางธุรกิจ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017
6
การตรวจประเมินภายใน ISO22301
05/04/2017 การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกำหนดสำหรับระบบ การบริหารความต่อเนื่องทาง ธุรกิจขององค์กร ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017
7
การตรวจประเมินภายใน ISO22301
05/04/2017 การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกำหนดของ มาตรฐานนี้ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017
8
การตรวจประเมินภายใน ISO22301
05/04/2017 การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ ประเมิน ว่าได้มีการนำไปปฏิบัติ อย่างมีประสิทธิผล ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017
9
หน้าที่ของ BCMS Auditor
ติดตามและวัด ระบบการจัดการ รวมถึงการพิสูจน์การสอดคล้องกับ ข้อกำหนด สร้างความตระหนักและความเข้าใจใน BCM เป็นส่วนหนึ่งของการวัดประสิทธิผลของระบบการจัดการให้กับ ผู้บริหารระดับสูง ลดความเสี่ยงของความล้มเหลวของระบบจัดการ และสร้างความ เชื่อมั่นในการจัดการกับสถานการณ์ที่ส่งผลกระทบต่อ
10
หน้าที่ของ BCMS Auditor
ระบุโอกาสในการปรับปรุงและการลดต้นทุนผ่านการทบทวน กระบวนการ ทำให้มั่นใจว่าทรัพยากรได้รับการจัดสรร เตรียมพร้อมตามความ จำเป็น ปรับปรุงกระบวนการทางธุรกิจและปรับปรุงสมรรถนะธุรกิจโดยองค์ รวม ยืนยันการสอดคล้องกับ ISO ข้อ 9.2 – 1st‑party audits ใช้ในการเลือก ประเมิน และ ปรับปรุง ผู้ส่งมอบเหมาช่วงและ ผู้ขาย– 2nd‑party audits (ISO ข้อ 8.3.1) สำหรับการตรวจรับรองระบบ – 3rd‑party audits
11
คุณสมบัติผู้ตรวจประเมิน ISO22301 BCM
05/04/2017 คุณสมบัติผู้ตรวจประเมิน ISO22301 BCM คุณลักษณะส่วนบุคคล ความรู้ทั่วไปและทักษะสำหรับการตรวจประเมิน ความรู้และทักษะเฉพาะสำหรับการตรวจ กระบวนการ BCM
12
ประโยชน์ของการรับรองระบบ BCMS?
สร้างความน่าเชื่อถือกับบุคคลที่สนใจ เป็นการประกันให้แก่บุคคลที่สนใจ ว่า ระบบ BCM มีประสิทธิผล เป็นการตรวจสอบยืนยัน ที่เป็นอิสระ ของระบบ BCM การปฏิบัติตาม สอดคล้อง และการปรับปรุง เพิ่มชื่อเสียงทั้งภายในและภายนอก สร้างความได้เปรียบในการแข่งขัน So why go for certification? Certification is an independent assessment of an organization's implementation of a BCMS in accordance with an internationally agreed standard of best practice. Certification gives management confidence that your organization has an effective BCMS Certification can support and give credibility to environmental reporting Independent assurance to insurers and other stakeholders of an effective BCMS Enhances reputation by demonstrating to shareholders, employees and customers of your organization’s commitment to good practices which, in turn, can help to attract new investors Certification can be a differentiator from competitors helping you to retain your existing customer base and attract new ones. More and more, invitations to tender are asking for certified ISO management systems to be in place.
13
อะไรคือ การตรวจประเมิน
05/04/2017 อะไรคือ การตรวจประเมิน การตรวจประเมิน (audit) หมายถึง กระบวนการที่จัดทำขึ้นอย่าง เป็นระบบ เป็นอิสระ และเป็นลายลักษณ์อักษร เพื่อให้ได้มาซึ่ง หลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) และการ ตรวจประเมินผลอย่างเป็นรูปธรรมเพื่อตัดสินระดับการบรรลุผลตาม เป้าหมายของเกณฑ์การตรวจประเมิน (audit criteria) (ข้อ 3.2) ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017
14
ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence)
05/04/2017 3.3 หลักฐานการตรวจประเมิน (audit evidence) หมายถึง บันทึก ข้อเท็จจริง หรือข้อมูลอื่นที่เกี่ยวข้องกับเกณฑ์การตรวจประเมิน (audit criteria) (3.2) และ สามารถทวนสอบได้ หมายเหตุ หลักฐานการตรวจประเมินอาจเป็นเชิงคุณภาพหรือเชิงปริมาณ ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017
15
ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence)
05/04/2017 3.2 เกณฑ์การตรวจประเมิน (audit criteria) หมายถึง ชุดของนโยบาย ขั้นตอนการ ดำเนินการ หรือข้อกำหนดที่ ใช้อ้างอิงเพื่อนำไปเปรียบเทียบกับหลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) หมายเหตุ 1 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม หมายเหตุ 2 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกำหนดตามกฎหมาย (ที่รับรู้โดยทั่วไปโดย ไม่มีบทบัญญัติหรือที่มี บทบัญญัติเฉพาะ) มักจะใช้คำว่า “เป็นไปตามข้อกำหนด” หรือ “ไม่ เป็นไปตามข้อกำหนด” ในสิ่งที่พบจาก การตรวจประเมิน (audit finding) (ข้อ 3.4) ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017
16
ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence)
05/04/2017 3.4 สิ่งที่พบจากการตรวจประเมิน (audit findings) หมายถึง ผลการประเมินหลักฐานการ ตรวจประเมิน (audit evidence) (ข้อ 3.3) ที่เก็บรวบรวมได้เปรียบเทียบกับเกณฑ์การตรวจ ประเมิน (audit criteria) (ข้อ 3.2) หมายเหตุ 1 สิ่งที่พบจากการตรวจประเมินชี้บอกความสอดคล้องหรือความไม่สอดคล้อง หมายเหตุ 2 สิ่งที่พบจากการตรวจประเมินสามารถนำไปสู่การชี้บ่งโอกาสสำหรับการ ปรับปรุง หรือเพื่อเป็นการบันทึก แนวปฏิบัติที่ดี หมายเหตุ 3 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกำหนดตามกฎหมายหรือข้อกำหนดอื่น สิ่งที่ พบจากการตรวจประเมินจะระบุว่า “เป็นไปตามข้อกำหนด” หรือ “ไม่เป็นไปตามข้อกำหนด” หมายเหตุ 4 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม 3.9.5 ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017
17
เกณฑ์การตรวจประเมินมีอะไรบ้าง
05/04/2017 เกณฑ์การตรวจประเมินมีอะไรบ้าง ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) การตรวจประเมิน (audit) 05/04/2017
18
มาทบทวนข้อกำหนด BCM ISO 22301 กัน
05/04/2017 มาทบทวนข้อกำหนด BCM ISO กัน 05/04/2017
19
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
20
มาทบทวนข้อกำหนด ISO 22301 BCM
05/04/2017 มาทบทวนข้อกำหนด ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017
21
มาวางแผนการตรวจ ISO22301 BCM กัน
05/04/2017 มาวางแผนการตรวจ ISO22301 BCM กัน 05/04/2017
22
05/04/2017 วางแผนการตรวจ ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017
23
Information that is required: Location Scope and duration Objectives
05/04/2017 Information that is required: Location Scope and duration Objectives Criteria Any documentation that may be relevant Contact names and details Any previous audit finding (if applicable) Any language issues Logistics and timings if more than one site is involved 05/04/2017
24
มาเตรียม รายการตรวจสอบกัน ISO 22301 BCM
05/04/2017 มาเตรียม รายการตรวจสอบกัน ISO BCM 05/04/2017
25
05/04/2017 รายการตรวจสอบ ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017
26
การทบทวนเอกสาร ISO 22301 BCM
05/04/2017 การทบทวนเอกสาร ISO BCM 05/04/2017
27
การทบทวนเอกสาร ISO 22301 BCM
05/04/2017 การทบทวนเอกสาร ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017
28
05/04/2017 การหาหลักฐาน ISO BCM 05/04/2017
29
การหาหลักฐานการสอดคล้องและ… ISO 22301 BCM
05/04/2017 การหาหลักฐานการสอดคล้องและ… ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017
30
การรายงานความไม่สอดคล้องและสอดคล้อง ISO 22301 BCM
05/04/2017 การรายงานความไม่สอดคล้องและสอดคล้อง ISO BCM 05/04/2017
31
การรายงาน ความไม่สอดคล้องและ… ISO 22301 BCM
05/04/2017 การรายงาน ความไม่สอดคล้องและ… ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017
32
05/04/2017 ANNEX 05/04/2017
33
05/04/2017 ประโยชน์ของระบบ ISO 22301 05/04/2017
34
เรื่องของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 เรื่องของการบริหารความต่อเนื่องทางธุรกิจ สร้างหลักประกันให้ลูกค้าและ ผู้ลงทุน ลดผลกระทบด้าน การเงิน สร้างความสามารถในการแข่งขันในช่วงที่ เกิดภัยพิบัติ ภัยคุกคาม ทำให้มั่นใจในเรื่องเวลาที่สามารถกลับมา ให้บริการ สร้างความได้เปรียบในกรณีที่คู่แข่งไม่มี แผน ลดความสับสนและลดการตัดสินใจที่ ผิดพลาด ทำให้เกิดความปลอดภัยต่อ พนักงาน ผู้รับเหมา ผู้เยี่ยมชม ผู้ที่เกี่ยวช้ออื่นๆ Iso การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคาม ที่อาจจะเกิดขึ้นต่อองค์กร และผลกระทบของภัย คุกคามนั้นต่อการดำเนินธุรกิจ และให้แนวทางใน การสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 05/04/2017
35
เรื่องของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 เรื่องของการบริหารความต่อเนื่องทางธุรกิจ การบริหารความต่อเนื่อง : ส่วนหนึ่ง ของการบริหารความเสี่ยง เน้นที่ การ กู้กลับคืนฟังชั่นทางธุรกิจ ที่สำคัญหลังจากการหยุดชะงัก ธุรกิจจำนวนมากไม่สามารถเปิด ดำเนินการใหม่หลังเกิดภัยพิบัติต่างๆ 05/04/2017
36
มาตรฐาน ความต่อเนื่องทางธุรกิจ มีอะไรบ้าง
05/04/2017 มาตรฐาน ความต่อเนื่องทางธุรกิจ มีอะไรบ้าง 05/04/2017
37
05/04/2017 05/04/2017
38
ISO 22301, like all new/updated ISO management systems standards will now follow the format as directed by the ISO Technical Management Board (TMB) through ISO/IEC Directives, Part 1 Consolidated ISO Supplement – Procedures specific to ISO, Annex SL, appendix 3 – High level structure, identical core text and common terms and core definitions. The first paragraph of this document states: The aim of this document is to enhance the consistency and alignment of ISO management system standards by providing a unifying and agreed high level structure, identical core text and common terms and core definitions. The aim being that all ISO management system “requirements” standards are aligned and the compatibility of these standards is enhanced. It is envisaged that individual management systems standard will add additional “discipline–specific” requirements as required. This additional text has been freely used in ISO to what is now quite a robust standard for business continuity. The history behind this structure dates back to the 1990s when ISO floated the idea of having a common structure. However, it wasn’t until the late 2000s; with the proliferation of management systems standards that its need became paramount.
39
05/04/2017 05/04/2017
40
ทำไมต้องทำ ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301
05/04/2017 ทำไมต้องทำ ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301 05/04/2017
41
ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301
05/04/2017 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301 งานที่ต้องทำทุกวันก็เยอะ ทำไมเราไม่ยอมรับความเสี่ยง ! หากเกิดภาวะวิกฤติ ท่านแน่ใจว่าจะสามารถจัดการภาวะวิกฤติได้ ดีกว่าคู่แข่ง และ หากไม่ดีกว่าเราจะสูญเสียอะไรไปและเท่าไหร่ พนักงานท่านและลูกค้าท่านมีความปลอดภัยในชีวิตและทรัพสินย์ หรือไม่ ท่านวางแผนรองรับสื่อมวลชน ผู้ถือหุ้น พนักงานท่านได้ดีเพียงใด เมื่อเกิดภาวะวิกฤติ ท่านได้เริ่มลด หรือ กำจัด เหตุที่อาจทำให้ไม่เกิดความต่อเนื่องบ้าง หรือยัง เช่น เหตุแห่งก่อให้เกิด ไฟใหม้ น้ำท่วม การโจรกรรมข้อมูล หรือยัง 05/04/2017
42
ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301
05/04/2017 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301 หลังวิกฤติ โอกาสทางธุรกิจ ได้มีโอกาสลูกค้าใหม่ๆ สนับสนุนลูกค้าเก่า ชื่อเสียง บริการชุมชน กลยุทธ์การสื่อสาร สร้าง กระแสดี 05/04/2017
43
ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301
05/04/2017 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301 1. ขอบข่าย มาตรฐานนี้ใช้สำหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกำหนดเพื่อ วางแผน จัดทำ นำไปปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกป้อง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักขึ้น. ข้อกำหนดในมาตรฐานนี้เป็นข้อกำหนดทั่วไปและตั้งใจให้นำไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คำนึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกำหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดำเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนำไปปฏิบัติโดยมีการจัดทำโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกำหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกำหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกำหนดของผู้มีส่วนได้เสีย. 05/04/2017
44
สำหรับหน่วยงานภาครัฐ หรือ รัฐวิสาหกิจ
05/04/2017 สำหรับหน่วยงานภาครัฐ หรือ รัฐวิสาหกิจ สาหรับแนวคิดการบริหารความต่อเนื่องของหน่วยงานภาครัฐ หน่วยงานควรเน้นการควบคุมดูแลและป้องกันทรัพยากรที่สาคัญต่อ การดำเนินงานหรือให้บริการ เพื่อสร้างประโยชน์สูงสุดสาหรับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสีย โดยหากการควบคุมภายในที่มีอยู่ ไม่สามารถควบคุมดูแลและ ป้องกันได้ทั้งหมด เมื่อเกิดอุบัติการณ์ขึ้น ระดับการดำเนินงานหรือ ให้บริการของหน่วยงานจะลดลง ดังนั้น บทบาทหน้าที่ของหน่วยงานภาครัฐ คือต้องรีบดำเนินการให้ ระดับการดำเนินงานหรือให้บริการกลับมาในระดับที่เหมือนภาวะ ปกติซึ่งจำเป็นต้องใช้เวลา 05/04/2017
45
อะไรคือภัยภิบัติ ที่อาจมีต่อองค์กรคุณ
05/04/2017 อะไรคือภัยภิบัติ ที่อาจมีต่อองค์กรคุณ 05/04/2017
46
05/04/2017 05/04/2017
47
05/04/2017 05/04/2017
48
05/04/2017 05/04/2017
49
05/04/2017 อะไรคือ ระบบบริหารความต่อเนื่องทางธุรกิจ อะไรคือ การบริหารความพร้อมต่อสภาวะวิกฤติ 05/04/2017
50
อุบัติการณ์, การชะงัก และ ผลกระทบ..
อุบัติการณ์ : ไฟใหม้ สถานการณ์ที่อาจทำให้หรือสามารถนำไปสู่การหยุดชะงัก ความสูญเสีย ภาวะฉุกเฉิน หรือ สภาวะวิกฤต หยุดชะงัก เพราะเครื่องจักรเสียหาย หรือ พนักงานไม่อาจเข้าพื้นที่ทำงานเพื่อปฎิบัติงานได้ ผลกระทบ ทำให้ไม่อาจทำงานหรือดำเนินกิจกรรม ตามปกติได้ The above should be self explanatory. However, many people concentrate their efforts on the ‘Incident’ when the real issue is around the ‘Impact’ The incident does need to be dealt with but the main effort needs to go into dealing with the impact and how to recover from the impact.
51
อะไรคือ การชะงักทางธุรกิจ
05/04/2017 อะไรคือ การชะงักทางธุรกิจ ธุรกิจไม่สามารถดำเนินการได้ในระดับเดียวกันก่อนหน้า เกิดอุบัติการณ์ มีการเสียรายได้ และ ลูกค้า มีการเสียชื่อเสียง ภาพพจน์ 05/04/2017
52
อะไรทำให้เกิดความชะงักทางธุรกิจ
05/04/2017 อะไรทำให้เกิดความชะงักทางธุรกิจ เกิดความเสียหายต่อ….. จนเกิดความชะงักทางธุรกิจ อาคาร สถานที่ พื้นที่ ชีวิตหรือบาดเจ็บ ท่านและพนักงาน เครื่องมือ เครื่องจักร บันทึก เอกสารทางบัญชี วัตถุดิบ เครื่องคอมพิวเตอร์ ฮาร์ดแวร์ ซ๊อฟแวร์ ผลิตภัณฑ์สำเร็จ / สินค้าคงคลัง ระบบน้ำ ไฟ ปรับอากาศ สื่อสาร อื่นๆ 05/04/2017
53
ประเภทของสิ่งที่ทำให้ธุรกิจหยุดชะงัก
05/04/2017 ประเภทของสิ่งที่ทำให้ธุรกิจหยุดชะงัก ภัยพิบัติทางธรรมชาติ น้ำท่วม พายุ etc ภัยคุกคาม ที่อาจมีได้บ่อยกว่า ไม่มีน้ำ ไม่มีพลังงาน การล้มเหลวทางเทคโนโลยี เส้นทางถูกปิดกั้น ประตูถูกปิดล้อม Etc. 05/04/2017
54
อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.3 ความต่อเนื่องทางธุรกิจ (business continuity) ความสามารถขององค์กรในการส่งมอบผลิตภัณฑ์หรือ บริการได้ต่อไปภายหลังเกิดอุบัติการณ์ที่ทำให้เกิดการ หยุดชะงัก ในระดับที่ยอมรับได้ตามที่กำหนดไว้ 05/04/2017
55
อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
56
อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล ภัยคุกคาม vs ภัยไม่คุกคาม 05/04/2017
57
ทำอย่างไร จึงจะไม่หวาดกลัว
05/04/2017 ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทำให้ หวาดกลัว จึงต้อง หาทางทำให้ไม่ หวาดกลัว ทำอย่างไร จึงจะไม่หวาดกลัว 05/04/2017
58
05/04/2017 05/04/2017
59
05/04/2017 05/04/2017
60
เรื่องราวของภัยพิบัติ
05/04/2017 เรื่องราวของภัยพิบัติ ชม VDO 05/04/2017
61
05/04/2017 ภัยพิบัติ (Disaster) ภัยพิบัติ (Disaster) หมายถึง ภัยที่เกิดขึ้นแก่ สาธารณชน ได้ อัคคีภัย วาตภัย อุทกภัย สึนา มิ ตลอดจนภัยอื่น ๆ อันเป็นสาธารณะ ไม่ว่า จะเกิดจากธรรมชาติหรือมีผู้กระทำให้เกิดขึ้น ซึ่งก่อให้เกิดอันตรายแก่ชีวิตร่างกายของ ประชาชน หรือความเสียหายแก่ทรัพย์สินของ ประชาชนหรือของรัฐ (พ.ร.บ. ป้องกันภัยฝ่าย พลเรือน พ. ศ. 2522) ซึ่งภัยธรรมชาติเป็น ส่วนหนึ่งของภัยพิบัติ ภัยธรรมชาติ (Natural Disaster) หมายถึง ภัยอันตรายต่าง ๆ ที่เกิดขึ้นตาม ธรรมชาติ และมีผลกระทบต่อชีวิต ความ เป็นอยู่ของมนุษย์ (environnet , กรมส่งเสริม คุณภาพสิ่งแวดล้อม) สามารถแบ่งภัย ธรรมชาติออกได้เป็น 4 ด้าน ดังนี้ 05/04/2017
62
ภัยพิบัติ (Disaster) 1.ภัยธรรมชาติด้านน้ำ 05/04/2017
1.1 อุทกภัย (Flood) 1) น้ำป่าไหลหลาก หรือน้ำท่วมฉับพลัน (flash flood) 2) น้ำท่วมขัง (drainage flood) 3) น้ำล้นตลิ่ง (river flood) 4) คลื่นสึนามิ (tsunami) 1.2 ภัยแล้ง (Droughts) 1) สภาวะอากาศแห้งแล้ง (Metrological drought) 2) สภาวะการขาดน้ำ (Hydrological drought) 3) สภาวะความแห้งแล้งทางการเกษตร (Agricultural drought) 05/04/2017
63
05/04/2017 ภัยพิบัติ (Disaster) 2.ภัยธรรมชาติด้านลม วาตภัย (Storms) หมายถึง ภัยที่เกิดขึ้นจากพายุ ลมแรง จนทำให้เกิดความเสียหายแก่อาคาร บ้านเรือน ต้นไม้ และสิ่งก่อสร้าง สำหรับในประเทศ ไทยวาตภัยหรือพายุลมแรงมีสาเหตุมาจาก ปรากฎการณ์ทางธรรรมชาติ (กรมอุตุนิยมวิทยา) คือ 1)พายุหมุนเขตร้อน (Tropical cyclone) 2)พายุฤดูร้อน 3) ลมงวง (เทอร์นาโด) 05/04/2017
64
05/04/2017 ภัยพิบัติ (Disaster) 3. ภัยธรรมชาติด้านไฟ ไฟป่า (Wildfire) หมายถึง ภัยธรรมชาติ ซึ่งเกิดจากมนุษย์เป็นส่วนมาก ได้แก่ การ เผาหาของป่า เผาทำไร่เลื่อนลอย เผา กำจัดวัชพืช ส่วนน้อยที่เกิดจากการเสียดสี ของต้นไม้แห้ง ผลกระทบจากไฟป่าทำให้ เกิดมลพิษในอากาศมากขึ้น ผงฝุ่น ควันไฟ กระจายในอากาศทั่วไป ไม่สามารถลอย ขึ้นเบื้องบนได้ มองเห็นไม่ชัดเจน สุขภาพ เสื่อม พืชผลการเกษตรด้อยคุณภาพ แหล่งทรัพยากรลดลง (environnet , กรม ส่งเสริมคุณภาพสิ่งแวดล้อม) 05/04/2017
65
05/04/2017 ภัยพิบัติ (Disaster) 4. ภัยธรรมชาติด้านดิน 4.1 ภูเขาไฟระเบิด (Volcano) 4.2 แผ่นดินไหว (Earthquakes) 4.3 แผ่นดินถล่ม (land slides) 05/04/2017
66
05/04/2017 ภัยพิบัติ (Disaster) ภัยหนาว เริ่มมีความเสียหายมากขึ้นเรื่อยๆ เนื่องจากว่าสภาพอากาศโลกเปลี่ยน ช่วงหลังๆ จึงมีคนตาย มีผลกระทบต่อเศรษฐกิจเพราะเพาะปลูกไม่ได้ ภัยหมอกควัน โรคระบาดในมนุษย์ เช่น เมื่อ 5 ปีที่ผ่านมา เกิดโรคไข้หวัดนกขึ้นหลายรุ่นด้วยกัน และพัฒนาขึ้นเรื่อยๆ ซึ่งโรคภัยเหล่านี้เป็นสิ่งที่ต้องระวังเพราะส่งผลกระทบต่อ คนโดยตรง ภัยจากโรคแมลง ศัตรูพืชระบาด ภัยจากโรคระบาดในสัตว์น้ำ ที่มา 05/04/2017
67
ภัยพิบัติที่เกิดจากมนุษย์
05/04/2017 ภัยพิบัติที่เกิดจากมนุษย์ ภัยจากสารเคมีและวัตถุอันตราย บริเวณที่ตั้งโรงงานอุตสาหกรรม ภัยจากเทคโนโลยีสารสนเทศ ภัยจากคมนาคมการขนส่ง เช่น อุบัติเหตุ ภาวะฉุกเฉิน เช่นภัยจากน้ำมันที่ รั่วไหล ส่งผลต่อคุณภาพน้ำ เศรษฐกิจ ร้านค้าบ้านเรือนต้องปิดตัว ไม่สามารถอยู่ได้ ก็เป็นเหตุการณ์ที่ เกิดจากมนุษย์ที่ส่งผลกระทบรุนแรง เป็นปีๆ การแผ่กระจายของกัมมันตภาพรังสี การชุมนุม การประท้วง และการก่อ จลาจล Etc. 05/04/2017
68
ภัยคุกคาม(threats) vs ภัยพิบัติ(Disaster)
05/04/2017 ภัยคุกคาม(threats) vs ภัยพิบัติ(Disaster) 05/04/2017
69
เรื่องราวของภัยพิบัติ
05/04/2017 เรื่องราวของภัยพิบัติ Disaster ภัยพิบัติ ฉับพลัน ทันที ไม่มีสิ่งเตือน ที่ซึ่งทำให้ สูญเสีย หยุดชะงักของ ความสามารถองค์กรในการส่ง มอบผลิตภัณฑ์บริการ การ ดำเนินธุรกิจ ชนิด ธรรมชาติวิบัติ ฮาร์ดแวร์ ไฟ ไม่มีพลังงาน etc 05/04/2017
70
เรื่องราวของภัยพิบัติ
05/04/2017 เรื่องราวของภัยพิบัติ พายุ ทำให้เกิดน้ำท่วม น้ำท่วม ทำให้เกิดผลกระทบต่อ ผลิตภัณฑ์บริการ อาคารสถานที่ ผู้ส่งมอบ ผู้รับเหมาช่วง ลูกค้า พนักงาน 05/04/2017
71
เรื่องราวของภัยคุกคาม
05/04/2017 เรื่องราวของภัยคุกคาม ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่ เป็นตัวแทนของการกระทำอันตรายต่อ ทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความ เสียหาย ภัยคุกคามมีหลายประเภท หลายกลุ่ม เช่น - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยเจตนา - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยไม่เจตนา - ภัยคุกคามที่เกิดจากภัยธรรมชาติ 05/04/2017
72
อะไรคือภัยคุกคาม ที่อาจเกิดกับองค์กร
05/04/2017 อะไรคือภัยคุกคาม ที่อาจเกิดกับองค์กร 05/04/2017
73
อะไรคือภัยคุกคามที่มักชี้บ่งกัน ?
05/04/2017 อะไรคือภัยคุกคามที่มักชี้บ่งกัน ? 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 05/04/2017
74
05/04/2017 05/04/2017
75
05/04/2017 05/04/2017
76
05/04/2017 05/04/2017
77
อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
78
อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ ( BC Plan) อะไรคือ แผนประคับประคองกิจการ ( BC Plan) อะไรคือ แผนการจัดการในภาวะวิกฤติ ( Crisis Management Plan) อะไรคือ แผนฉุกเฉิน (Emergency Plan) อะไรคือ แผนรับมือเหตุฉุกเฉิน (Contingency Plan ) อะไรคือ แผนฟื้นฟู ( Recovery plan) 05/04/2017
79
อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดำเนินงานที่ให้แนวทางแก่องค์กรในการตอบสนอง การฟื้นฟู การกลับมาดำเนินการและการติดตั้งเพื่อให้สามารถดำเนินงานได้ในระดับที่กำหนด ไว้ภายหลังจากการหยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึงทรัพยากร การ บริการ และ กิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่าภารกิจ/หน้าที่ที่มีความสำ คัญต่อธุรกิจ ยังคงดำเนินงานได้อย่างต่อเนื่อง 05/04/2017
80
องค์ประกอบหลักของระบบ ISO 22301
05/04/2017 องค์ประกอบหลักของระบบ ISO 22301 05/04/2017
81
สามองค์ประกอบหลัก ของ ISO 22301
05/04/2017 สามองค์ประกอบหลัก ของ ISO 22301 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 8.4.3 การแจ้งเตือนและการสื่อสาร 8.4.4 แผนความต่อเนื่องทางธุรกิจ 8.4.5 แผนฟื้นฟู 05/04/2017
82
8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์
05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) 8.4 การจัดทำและการนำขั้นตอนการ ดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ไปปฏิบัติ 8.4.1 ทั่วไป 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 8.4.3 การแจ้งเตือนและการสื่อสาร 8.4.4 แผนความต่อเนื่องทางธุรกิจ 8.4.5 การฟื้นฟู 05/04/2017
83
05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) การตอบสนองภาวะฉุกเฉิน (Emergency Response) : (Req 8.4.2) การตอบสนองที่เริ่มต้นจากการหยุดชะงักทางธุรกิจ ซึ่งเกี่ยวข้องกับการป้องกันผู้คน และเจ้าหน้าที่และทรัพย์สินจากภัยอันตรายที่เกิดขึ้นด้วยทีมงานบริหารจัดการใน ภาวะวิกฤติเพื่อ ตรวจสอบสถานการณ์และตอบสนอง การตอบสนองเพื่อให้ธุรกิจดำเนินได้อย่างต่อเนื่อง (Continuity Response) : (Req 8.4.4) การแก้ไขปัญหาในด้านกระบวนการผลิตและการให้บริการแก่กลุ่มผู้มีส่วนได้ส่วน เสียด้วยทรัพยากรที่มีอยู่อย่างจำกัด ภายหลังจากการหยุดชะงักทางธุรกิจ เพื่อให้ แน่ใจว่าสามารถให้บริการหลักๆ ได้อย่างต่อเนื่อง การตอบสนองต่อการกอบกู้ธุรกิจคืน (Recovery response) : (Req 8.4.5) กระบวนการบริหารจัดการและสั่งการที่มีการจัดตั้งขึ้นมาใหม่หรือกระบวนการฟื้นฟู หลักๆ เพื่อให้สามารถกลับมาดำเนินกิจกรรมได้ตามปกติ รวมทั้งอาจจะมีการ ปรับปรุงเนื้อหาของ ขอบเขตการปฏิบัติงาน วัตถุประสงค์การให้บริการและการ ปฏิบัติงาน และกลยุทธ์ที่ใช้ในการดำเนินงานในภาวะวิกฤติ 05/04/2017
84
05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) 1) ภายในช่วงระยะเวลาแรก จะเป็นช่วงของการตอบสนองต่ออุบัติการณ์ (Incident/ Emergency Management) อย่างไรก็ตาม ในกรณีที่เหตุการณ์และความเสียหาย ขยายตัวไปในวงกว้าง การตอบสนองอาจจำเป็นต้องยกระดับเป็นการบริหารจัดการวิกฤต (Crisis Management) 2) ภายหลังจากนั้น จะเป็นช่วงของการทำให้เกิดความต่อเนื่องของกระบวนการทางธุรกิจ (Continuity Management) เพื่อให้หน่วยงานสามารถกลับมาดำเนินงานได้ ซึ่งแยกเป็น 2 ระดับ (1) ดำเนินงานหรือให้บริการได้ในระดับที่องค์กรยอมรับกับผลกระทบที่เกิดขึ้นกับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสียทั้งหมดภายในระยะอันสั้น ( Business Cont) (2) กลับมาให้บริการได้ในระดับปกติตามระยะเวลาที่กำหนด ในช่วงการดำเนินการ กอบกู้กระบวนการทางธุรกิจ (Recovery) 05/04/2017
85
05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) 05/04/2017
86
05/04/2017 Maintain operation when problem occur ( prevent an incident from escalating in to critical event or failure.) Prevent System Fail / avoidable incident Restore normal operation How essential operations and service are maintained or through alternative arangement
87
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
88
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำ ให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและ สื่อสารไปยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คำนึงถึงระดับต่ำสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุ ตามวัตถุประสงค์ ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คำนึงถึงข้อกำหนดที่เกี่ยวข้อง จ) เฝ้าระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทาง ธุรกิจ 05/04/2017
89
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้ เป็นไปตามข้อกำหนดและการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กำหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดำเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจำเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดำเนินการแทน 05/04/2017
90
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน 9.1.1 ทั่วไป องค์กรต้องพิจารณาถึง ก) สิ่งที่ต้องการวัดและเฝ้าระวัง ข) วิธีการสำหรับการเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน เพื่อให้มั่นใจ ถึงความถูกต้องของผลลัพธ์ตามความเหมาะสม ค) เวลาที่ต้องดำเนินการวัดและเฝ้าระวัง ง) เวลาที่ต้องดำเนินการวิเคราะห์และการประเมินผลลัพธ์ที่ได้จากการวัดและเฝ้า ระวัง องค์กรต้องเก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงถึงผลลัพธ์อย่าง เหมาะสม องค์กรต้องประเมินสมรรถนะและประสิทธิผลของระบบการบริหารความต่อเนื่อง ทางธุรกิจนอกจากนี้ 05/04/2017
91
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.25 ช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด (maximum acceptable outage - MAO) ช่วงเวลาที่ส่งผลกระทบทำให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการ หยุดชะงักที่ยอมรับได้สูงสุด ชะงักมากกว่านี้ บริษัทอาจต้องปิดกิจการ ล้มละลาย 05/04/2017
92
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.26 ช่วงเวลาการ หยุดชะงักที่ยอมรับได้ สูงสุด (maximum tolerable period of disruption - MTPD) ช่วงเวลาที่ส่งผลกระทบทำให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด ชะงักมากกว่านี้ บริษัทอาจต้องปิดกิจการ ล้มละลาย 05/04/2017
93
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ MAO MTPD เส้นยถากรรม 05/04/2017
94
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.45 ระยะเวลาเป้าหมายในการฟื้นคืนสภาพ (recovery time objective - RTO) ระยะเวลาภายหลังจากเกิดอุบัติการณ์ขึ้น ที่ทำให้ - ผลิตภัณฑ์หรือบริการต้องกลับคืนสภาพเดิม - กิจกรรมต้องกลับมาดำเนินการได้ - ทรัพยากรต้องได้รับการฟื้นฟู หมายเหตุ สำหรับผลิตภัณฑ์ บริการ และกิจกรรม ระยะเวลาเป้าหมายในการฟื้นคืน สภาพต้องน้อยกว่าระยะเวลาของผลกระทบด้านลบที่เกิดจากการที่ไม่สามารถส่ง มอบผลิตภัณฑ์/บริการ อยู่ในระดับที่ไม่สามารถเป็นที่ยอมรับได้ ทำได้เร็วขนาดไหนให้เริ่มกลับมาดำเนินธุรกิจต่อได้(บ้าง) 05/04/2017
95
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ RTO 05/04/2017
96
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.28 วัตถุประสงค์ความต่อเนื่องทางธุรกิจขั้นต่ำสุด (minimum business continuity objective - MBCO) ระดับต่ำสุดของการบริการ และ/หรือ ผลิตภัณฑ์ที่องค์กรยอมรับ โดย ยังคงสามารถบรรลุวัตถุประสงค์ ทางธุรกิจในระหว่างเกิดการหยุดชะงัก 05/04/2017
97
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ MBCO 05/04/2017
98
ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO
05/04/2017 ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตาม ข้อกำหนด และการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กำหนดไว้ 05/04/2017
99
เรื่องของความเสี่ยง สำหรับคนที่ไม่ชอบทำอะไรเสี่ยงๆ
05/04/2017 เรื่องของความเสี่ยง สำหรับคนที่ไม่ชอบทำอะไรเสี่ยงๆ 05/04/2017
100
นิยามของ Risk วิธีการหา Risk ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์
05/04/2017 นิยามของ Risk วิธีการหา Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 1 ผลกระทบคือการเบี่ยงเบนไปจากสิ่งที่คาดหวังไว้ ทั้งที่ดีหรือไม่ดี หมายเหตุ 2 วัตถุประสงค์สามารถมีแง่มุมที่แตกต่างกัน (เช่น การเงิน สุขภาพและความ ปลอดภัย และเป้าประสงค์ด้านสิ่งแวดล้อม) และสามารถประยุกต์ใช้ได้ในระดับต่างๆ (เช่น กลยุทธ์ ทั่วทั้งองค์กร โครงการ ผลิตภัณฑ์ และกระบวนการ) วัตถุประสงค์อาจแสดงได้ใน วิธีการอื่นๆ เช่นผลสัมฤทธิ์ที่ต้องการ จุดประสงค์ เกณฑ์การดำเนินการ วัตถุประสงค์การ ดำเนินธุรกิจอย่างต่อเนื่อง หรืออาจจะใช้คำอื่นที่มีความหมายเช่นเดียวกัน เช่น จุดมุ่งหมาย เป้าประสงค์หรือเป้าหมาย หมายเหตุ 3 ความเสี่ยงมักจะแบ่งแยกโดยอ้างอิงถึงเหตุการณ์ที่อาจจะเกิดขึ้น (Guide 73 ข้อ ) และผลกระทบที่เกิดขึ้นตามมา (Guide 73 ข้อ ) หรือสองอย่างนี้ รวมกัน 05/04/2017
101
นิยามของ Risk 3.48 ความเสี่ยง (risk)
05/04/2017 นิยามของ Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 4 ความเสี่ยงมักจะแสดงออกในรูปของผลรวมของผลสืบเนื่องจากเหตุการณ์ (รวมถึงการเปลี่ยนแปลงของสถานการณ์กับโอกาสที่จะเกิดขึ้น (Guide 73 ข้อ ) หมายเหตุ 5 ความไม่แน่นอน เป็นสภาวะของการขาดข้อมูลเกี่ยวกับความเข้าใจหรือความรู้ ของเหตุการณ์ผลที่ตามมา หรือโอกาสของการเกิด หมายเหตุ 6 ในบริบทของมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจ วัตถุประสงค์ ความต่อเนื่องทางธุรกิจถูกกำหนดขึ้นโดยองค์กรซึ่งสอดคล้องกับนโยบายความต่อเนื่อง ทางธุรกิจ เพื่อให้บรรลุผลลัพธ์ที่กำหนดไว้ ในการประยุกต์ใช้คำ ว่า “ความเสี่ยงและ องค์ประกอบองการจัดการความเสี่ยง” ควรอ้างอิงถึงวัตถุประสงค์ขององค์กร แต่ไม่จำกัด เพียงวัตถุประสงค์ความต่อเนื่องทางธุรกิจที่ระบุไว้ในข้อ 6.2 ของมาตรฐานนี้เท่านั้น 05/04/2017
102
05/04/2017 05/04/2017
103
05/04/2017 05/04/2017
104
เวลาแห่งการมองโลกแห่งความเป็นจริง
05/04/2017 เวลาแห่งการมองโลกแห่งความเป็นจริง ยากต่อการคาดเดาสาเหตุที่แท้จริงของวิกฤติการณ์ แต่ท่านสามารถ พยายามคิดถึงอุปสรรคปัญหาหลักเพื่อหาทางผ่อนคลาย ลด ผลกระทบที่ตามมา และหาทางหนีทีไล่โดยมีแผนสำรอง มีอะไรเกิดขึ้นกับธุรกิจท่านในอดีต หรือเกือบๆมีหรือไม่ ธุรกิจที่คล้ายกัน ได้รับผลกระทบจากการหยุดชะงัก หรือจากวิกฤติการณ์ใดๆ หรือไม่ ในพื้นที่ที่ตั้ง เคยมีปัญหา หรือจะมีผลกระทบต่อธุรกิจท่านหรือไม่ ท่านอยู่ในพื้นที่สุ่มเสี่ยงต่อน้ำท่วม น้ำหลากหรือไม่ ท่านมีรายงานการตรวจสอบ ประเมิน ความเสี่ยงก่อนหน้านี้หรือไม่ ท่านได้เดินรอบสถานประกอบการณ์ และ คิดว่าอะไรอาจเกิดความผิดพลาดที่ สร้างปัญหามาก่อนหรือไม่ เช่น ท่อน้ำเหนือ server การรักษาความปลอดภัย ระบบป้องกันไฟ ความปลอดภัยข้อมูล 05/04/2017
105
นิยามของ Risk ความเสี่ยง/ ปัญหา โอกาส ผลกระทบ ลำดับความสำคัญ
05/04/2017 นิยามของ Risk ความเสี่ยง/ ปัญหา โอกาส ผลกระทบ ลำดับความสำคัญ มาตรการป้องกัน แผนสำรอง 05/04/2017
106
4 risk treatment Avoidance Retention Control transference 05/04/2017
107
การเลือก risk treatment
05/04/2017 การเลือก risk treatment Critical หมดตัว หมดเงิน ลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความ สูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการดำเนินธุรกิจ 05/04/2017
108
การเลือก risk treatment
05/04/2017 การเลือก risk treatment Critical หมดตัว หมดเงินลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความสูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการ ดำเนินธุรกิจ 05/04/2017
109
หลักการจัดการความเสี่ยง
05/04/2017 หลักการจัดการความเสี่ยง การลดขนาดของความเสียหาย ( reduce impact) การกระจาย เป็นการลดขนาดความเสียหาย เหมาะกับปัจจัยภายนอก หรืออาจใช้ในการ การจำกัดขนาดของสินเชื่อ จำกัดจำนวนการ ผลิต การจัดทำ contingency plan / business continuity plan เพื่อให้สามารถดำเนินงาน ได้อย่างต่อเนื่องในช่วงเกิดเหตุการณ์ความ เสียหายและอยู่ระหว่างการแก้ไข ให้กลับคืน สู่สภาพการดำเนินงานปกติได้โดยเร็วที่สุด เป็นการลดขนาดความเสียหายเช่นกัน จัดทำแผนการจัดการกับวิกฤติทางธุรกิจ crisis management plan ด้วย business impact analysis การลดโอกาสที่จะเกิดเหตุการณ์ความ เสียหาย Reduce Likelihood) การตรวจตรา การตรวจสอบเป็นประจำเพื่อ ป้องกันไม่ให้ปัญหาเกิดขึ้น การใช้งานระบบอัตโนมัติแทนคน ในลักษณะ งานที่ต้องทำซ้ำๆ การปรับปรุงกระบวนการเพื่อลดความ ซับซ้อน complex มีระบบตรวจจับ detection และป้องกัน มี checklist เพื่อตรวจสอบความครบถ้วน ของการทำงาน 05/04/2017
110
การเลือกวิธีการจัดการความเสี่ยง
05/04/2017 การเลือกวิธีการจัดการความเสี่ยง นานๆที เกิดบ่อย มีปัญหาได้บ่อย เพราะทำบ่อยๆ ผลกระทบสูง รุนแรง ผลกระทบน้อย ไม่แรง 05/04/2017
111
การหลีกเลี่ยงความเสี่ยง risk avoidance
05/04/2017 การหลีกเลี่ยงความเสี่ยง risk avoidance หลีกเลี่ยงความเสี่ยง หยุด หรือเปลี่ยนแปลงกิจกรรมที่ เป็นความเสี่ยง เช่นลดบาง ขั้นตอน ที่อาจนำมาที่ซึ่ง ความเสี่ยง ในทางปฏิบัติ อาจทำได้ ลำบาก(แต่ทำได้)และไม่ แนะนำ 05/04/2017
112
การโอนถ่ายความเสี่ยง Risk Transfer
05/04/2017 การโอนถ่ายความเสี่ยง Risk Transfer กระจาย ถ่ายโอน ความเสี่ยง ทำประกัน เช่าแทนซื้อ จ้างชั่วคราวแทนจ้างประจำ 05/04/2017
113
การโอนถ่ายความเสี่ยง Risk Transfer
05/04/2017 การโอนถ่ายความเสี่ยง Risk Transfer ความรับผิดตามกฎหมาย อันเกิดจากการใช้สินค้า ไม่ปลอดภัย อาคาร ทรัพย์สินใน อาคาร เครื่องจักร และ สต็อกสินค้า การสูญเสียทางการค้า และค่าเช่าอาคาร ความรับผิดตามกฎหมาย ต่อบุคคลภายนอก ประกันภัยอุบัติเหตุ สำหรับผู้เอาประกันภัย 05/04/2017
114
การประเมินความเสี่ยง
05/04/2017 การประเมินความเสี่ยง สถานการณ์ที่ซึ่ง • สถานที่เสียหาย หรือ ไม่สามารถเข้าถึง– e.g. industrial action / fire / flooding • การเสียหายของ ระบบ IT / ระบบเน็ตเวอร์ค / ฮาร์ดแวร์ / ซอฟแวร์ / ข้อมูล –e.g. ไฟฟ้า ดับ / ไวรัส • ไม่มีพนักงานหลัก – e.g. เกิดโรคระบาด , ประท้วง • การไม่มีหรือเสียหายจากทรัพยากรต่างๆ – e.g. ผู้ส่งมอบสำคัญ , น้ำมัน , น้ำ 05/04/2017
115
ความถี่สูง รุนแรงสูง สำหรับงานบริการทาง วิชาชีพ ใช้ risk avoidance
05/04/2017 ความถี่สูง รุนแรงสูง สำหรับงานบริการทาง วิชาชีพ ใช้ risk avoidance ไม่รับงานที่เกินตัว งานค้าปลีก ปิดบางเวลา บริการชนส่ง อาจไม่รับคำสั่ง ชื้อ ในช่วงจราจรติดขัด 05/04/2017
116
ความถี่สูง รุนแรงสูง | ชีวิตจริงเราใช้มาตรการร่วม
05/04/2017 ความถี่สูง รุนแรงสูง | ชีวิตจริงเราใช้มาตรการร่วม Risk control ลด/ควบคุมความเสี่ยง สำหรับบริการทางการแพทย์ โดยการทำการทดสอบ ทดลอง การซักประวัติ การ validate เครื่องมือ วิธีการ ทางการแพทย์ เพื่อ การควบคุมควรเสี่ยง ซื้อประกันความผิดพลาดทางการให้บริการ เพื่อ ผ่องถ่ายโอนความ เสี่ยงทางกฎหมายและภาระการสูญเสีย 05/04/2017
117
ความถี่ต่ำ รุนแรงสูง น้ำท่วม ไฟไหม้ การหยุดกิจการ
05/04/2017 ความถี่ต่ำ รุนแรงสูง น้ำท่วม ไฟไหม้ การหยุดกิจการ ทำการถ่ายโอนการสูญเสียให้บริษัทประกัน นโยบายควบคุมความเสี่ยงที่สำคัญ เช่น ระบบป้องกันไฟไหม้ การแบ็คอัพข้อมูล ทาง หนีไฟ กำหนดมาตรการควบคุม ลดความถี่และ รุนแรงของการสูญเสียเพื่อลดค่าประกัน ความเสียหายที่ไม่ได้ทำประกันต้องจำกัด การสูญเสีย และ ควบคุม อาจทำให้ธุรกิจหยุดชะงัก หรือ ลด ความสามารถได้ อาจทำให้เสียลูกค้าหรือกำไร ขณะที่มี รายจ่ายจำนวนมาก 05/04/2017
118
ความถี่ต่ำ รุนแรงสูง จัดเป็น Critical
05/04/2017 ความถี่ต่ำ รุนแรงสูง จัดเป็น Critical หาทางลดความถี่ และ ความ รุนแรง รวมทั้ง โอนถ่ายความ เสี่ยง 05/04/2017
119
ความถี่สูง ความรุนแรงต่ำ
05/04/2017 ความถี่สูง ความรุนแรงต่ำ เกิดบ่อย เสียหายไม่มาก ดูแลได้ รับได้ เช่นงานคุมเงินสด หรือควบคุมของหาย เงิน หายหลักหมื่น สามารถคิด loss ปลายปีได้ ต้องทำการควบคุมและติดตามดูแล มาตรการควบคุม การติดตามระบบ stock เช็คยอดเป็นประจำ กล้องตรวจจับ อุปกรณ์กันขโมย ป้ายเตือน การอบรม 05/04/2017
120
ความถี่สูง ความรุนแรงต่ำ
05/04/2017 ความถี่สูง ความรุนแรงต่ำ ใช้หลักการโอนถ่าย มักเป็นเรื่องสำคัญ significant ถี่สูง รุนแรงต่ำ เพิ่มเข้าไปในการคิดราคาสินค้า ควบคุม ติดตามผลโดยรวม บันทึกการสูญเสีย การตรวจสอบ การตรวจประเมิน 05/04/2017
121
ความถี่สูง รุนแรงต่ำ เช่นการลาป่วยกะทันหันของ พนักงานหลัก
05/04/2017 ความถี่สูง รุนแรงต่ำ เช่นการลาป่วยกะทันหันของ พนักงานหลัก อาจทำให้ธุรกิจหยุดชะงัก ควบคุมผลกระทบโดยมีแผนสำรอง contingency plan ให้มีพนักงาน แสดนบาย ให้มีการอัพเดท ข้อมูลพนักงาน 05/04/2017
122
ความถี่ต่ำ รุนแรงต่ำ หยุดธุรกิจช่วงสั้นๆ พนักงานบาดเจ็บเล็กน้อย
05/04/2017 ความถี่ต่ำ รุนแรงต่ำ หยุดธุรกิจช่วงสั้นๆ พนักงานบาดเจ็บเล็กน้อย เกิดอุบัติทางรถยนต์เล็กน้อย ลดความเสี่ยงก่อนจะเป็น significant 05/04/2017
123
การวางแผนจัดการ ความเสี่ยง
05/04/2017 การวางแผนจัดการ ความเสี่ยง เป็นการ เตรียมพร้อมรับสถานการณ์ที่ไม่ อาจคาดเดา อย่าทำให้ยาก อย่าทำให้เป็นเพียงรูปแบบ พิธี การ เลือกวิธีง่ายๆ เพื่อใช้ในการเลือกวิธีการจัดการ ความเสี่ยง เพื่อควบคุมความเสี่ยง ดูความสูญเสียมากน้อย ตรวจสอบความน่าจะเกิด ตรวจสอบการสูญเสียในอดีต ค่าเฉลี่ยหรือค่า max ขอคำแนะนำจากผู้เชี่ยวชาญ คู่ค้า พนักงาน ทำ flow chart 05/04/2017
124
05/04/2017 การคำนวณค่าสูงสุดของ ค่าสูญเสีย ความเป็นไปได้ ความน่าจะเป็นของการสูญเสีย ค่าสูญเสีย เมื่อเกิดการสูญเสีย เป็นมูลค่าทรัพย์สิน เมื่อเกิดการหยุดชะงัก รายได้ต่อเดือน x เวลาที่ใช้ในการสร้างใหม่ เปลี่ยนใหม่ Max possible loss สำหรับการประกัน ยากต่อการคำนวณ ประมาณโดยใช้ มูลค่า ความเสียหายในอุตสาหกรรม 05/04/2017
125
รุนแรงสูง รุนแรงต่ำ ความถี่สูง Property risk ความถี่ต่ำ Liability Risk
05/04/2017 รุนแรงสูง รุนแรงต่ำ ความถี่สูง Property risk ความถี่ต่ำ Liability Risk 05/04/2017
126
ประเมินความเสี่ยง กำหนดความเสี่ยงที่อาจส่งผล กระทบต่อธุรกิจ
05/04/2017 ประเมินความเสี่ยง กำหนดความเสี่ยงที่อาจส่งผล กระทบต่อธุรกิจ วิเคราะห์ความเสี่ยงต่อ ผลกระทบทางธุรกิจ ประเมินความเสี่ยงและจัดลำดับ เพื่อการจัดการ ทำการปรับความเสี่ยงเพื่อลด ผลกระทบ จัดทำและทบทวน แผนจัดการ ความเสี่ยง 05/04/2017
127
ประเมินความเสี่ยง ท่านต้องทำการทบทวนอยู่สม่ำเสมอ
05/04/2017 ประเมินความเสี่ยง ท่านต้องทำการทบทวนอยู่สม่ำเสมอ การบริหารความเสี่ยงไม่ได้ทำครั้งเดียว จบ แต่ท่านต้องทำการติดตามและ ทบทวนกลยุทธ์ต่างๆที่ท่านใช้ในการ วิเคราะห์ความเสี่ยง ความเสี่ยงเปลี่ยนแปลงเสมอ ท่านอาจ พบว่า มีความเสี่ยงใหม่ๆ ความเสี่ยงที่มีอยู่เพิ่มหรือลด ความเสี่ยงหมดไป ลำดับขั้นตอน ลำดับความสำคัญ เปลี่ยนแปลง กลยุทธ์การบริหารความเสี่ยงไม่มี ประสิทธิผลต่อไม 05/04/2017
128
ประเมินความเสี่ยง ทำไม ต้องการให้ธุรกิจต่อเนื่อง ลดความประกัน
05/04/2017 ประเมินความเสี่ยง ทำไม ต้องการให้ธุรกิจต่อเนื่อง ลดความประกัน ลดโอกาสการเกิดการฟ้อร้อง ลดเวลาในการทำให้บริษัท ดำเนินการต่อ ลดผลกระทบในการเปลี่ยนคน หลัก หรือใช้ในการอบรม ลดการเสียหาย ลดการสูญเสีย ต่อทรัพย์สิน เครื่องจักร ที่ จำเป็นในการดำเนินธุรกิจ เพื่มความสามารถในการอยู่ รอดของธุรกิจ 05/04/2017
129
ประเมินความเสี่ยง ด้วยเหตุผลนี้ ท่านต้องใส่ใจ ในการระบุความเสี่ยง Risk
05/04/2017 ประเมินความเสี่ยง ด้วยเหตุผลนี้ ท่านต้องใส่ใจ ในการระบุความเสี่ยง Risk Description โอกาส ผลกระทบ การลดผลกระทบ สิ่งที่ต้องทำ 05/04/2017
130
ประเมินความเสี่ยง ท่านได้ทำอะไรให้มั่นใจ อะไรที่ทำให้ท่านมั่นใจ
05/04/2017 ประเมินความเสี่ยง ท่านได้ทำอะไรให้มั่นใจ อะไรที่ทำให้ท่านมั่นใจ เรามีการ update ล่าสุดเมือไหร่ มีสถานการณ์ที่เปลี่ยนไปหรือไม่ คนใหม่ ทรัพย์สินใหม่ บริการใหม่ ผลิตภัณฑ์ใหม่ สาขาใหม่ ระบบ คอมพิวเตอร์ใหม่ ที่ทำให้ต้อง update แผนหรือไม่ 05/04/2017
131
ประเมินความเสี่ยง การฝึกอบรม ความอาชีวอนามัยและปลอดภัย
05/04/2017 ประเมินความเสี่ยง การฝึกอบรม ความอาชีวอนามัยและปลอดภัย งานซ่อมบำรุง เครื่องมือ อุปกรณ์ อาคาร งานการรักษาความปลอดภัย การเตรียนมความพร้อมเหตุฉุกเฉิน การแบ็คอัพข้อมูล การคัดเลือกพนักงานและเครื่องมือ วัดอย่างระมัดระวัว คลาวด์ ชุด KIT ต่างๆ แผนการอพยพ การฝึกซ้อมและการทดสอบ 05/04/2017
132
ประเมินความเสี่ยง จงเตรียมพร้อม 05/04/2017
ทำเชิงรุก และเตรียมการวางแผนสำหรับ อากาศการเกิดของสถานการณ์ ที่อาจทำใหุ้ ธุรกิจชะงัก คนบางคน ชอบพึ่งดวง ชอบเสี่ยง การเตรียมความพร้อม คือ proactive และ วางแผน 05/04/2017
133
ประเมินความเสี่ยง ตัวอย่าง ให้พิจารณาความ แข็งแรงของหน้าต่าง กระจก
05/04/2017 ประเมินความเสี่ยง ตัวอย่าง ให้พิจารณาความ แข็งแรงของหน้าต่าง กระจก กระจกแตกระหว่างพายุ และน้ำกระแทก หรือ มีสิ่ง ปลิวมาปะทำ ทำให้พนักงานปลอดภัย ให้ทำการเพิ่มความ แข็งแรงกระจก ไฟ ประตู ด้วยฟิมล์ ให้อยู่ห่างจากห้องที่มี กระจก หรือ ลดจำนวน หน้าต่างกระจก 05/04/2017
134
ประเมินความเสี่ยง กิจกรรม ที่สำคัญ รายละเอียด ความเสียง
05/04/2017 ประเมินความเสี่ยง กิจกรรม ที่สำคัญ รายละเอียด ความเสียง ผลกระทบของการสูยเสียหรือเสียหา ทั้ง การเงิน พนักงาน เสียยชื่อเสียง RTO การผลิต ทำชิ้นส่วนประกอบ สูง เสียรายได้มากกว่า XXXX ต่อสัปดาห์ มีโอาาศเสียงาน หลังจาก สองอาทิตย์ ลูกค้าหาผู้ส่งมอบใหม่ๆ สอง สัปดาห์ 05/04/2017
135
การควบคุมการสูญเสียและการเสียหาย
05/04/2017 การควบคุมการสูญเสียและการเสียหาย 05/04/2017
136
05/04/2017 ประเมินความเสี่ยง วิธีการในการระบุ มาตรการ และ จัดลำดับความสำคัญความเสี่ยง เลือกมาตรการจัดการกับความเสียงที่ ถูกต้อง การควบคุมการสูญเสีย จัดการกับความเสี่ยงที่อุบัติ จ่ายสำหรับการเสียหายอย่างมี ประสิทธิภาพ กำจัดค่าปรับ อยู่ในเป้าหมาย 05/04/2017
137
ประเมินความเสี่ยง เมื่อใดที่ควรจะบริหาร หรือ ควบคุมความเสี่ยง
05/04/2017 ประเมินความเสี่ยง เมื่อใดที่ควรจะบริหาร หรือ ควบคุมความเสี่ยง เมื่อใดควรจะถ่ายความเสี่ยง หรือคงไว้ 05/04/2017
138
อะไรคือ Business Continuity Plan
05/04/2017 อะไรคือ Business Continuity Plan 05/04/2017
139
ทำอย่างไร จึงจะไม่หวาดกลัว
05/04/2017 ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทำให้ หวาดกลัว จึงต้อง หาทางทำให้ไม่ หวาดกลัว ทำอย่างไร จึงจะไม่หวาดกลัว 05/04/2017
140
อะไรคือ Business Continuity Plan
05/04/2017 อะไรคือ Business Continuity Plan 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดำเนินงานที่ให้แนวทางแก่องค์กรในการ ตอบสนอง การฟื้นฟู การกลับมาดำเนินการและการติดตั้งเพื่อให้ สามารถดำเนินงานได้ในระดับที่กำหนดไว้ภายหลังจากการ หยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึง ทรัพยากร การบริการ และกิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่า ภารกิจ/หน้าที่ที่มีความสำคัญต่อธุรกิจยังคงดำเนินงานได้อย่าง ต่อเนื่อง 05/04/2017
141
เนื้อหาของ BCP ตามข้อกำหนด ISO 22301 , 8.4.4
05/04/2017 เนื้อหาของ BCP ตามข้อกำหนด ISO , 8.4.4 แผนความต่อเนื่องทางธุรกิจต้องประกอบด้วยหัวข้อต่อไปนี้ ก) การกำหนดบทบาทหน้าที่และความรับผิดชอบสำหรับบุคลากรและทีมงานที่มีอำนาจหน้าที่ ในระหว่างและภายหลังการเกิดอุบัติการณ์ ข) กระบวนการสำหรับสั่งการให้เริ่มตอบสนองต่ออุบัติการณ์ ค) รายละเอียดการจัดการกับผลกระทบที่เกิดขึ้นอย่างทันท่วงทีจากอุบัติการณ์ที่ทำ ให้เกิด การหยุดชะงัก โดยคำนึงถึง 1) สวัสดิภาพของแต่ละบุคคล 2) กลยุทธ์ ยุทธวิธี และทางเลือกในการ ดำเนินการสำหรับการตอบสนองต่อการหยุดชะงัก 3) การป้องกันความเสียหายที่จะเกิดขึ้นเพิ่มเติม หรือการสูญเสียกิจกรรมที่สำคัญ ง) รายละเอียดของวิธีการและสถานการณ์ที่องค์กรจะสื่อสารกับพนักงานและบุคคลที่เกี่ยวข้องผู้มีส่วน ได้เสียที่สำคัญ และหน่วยงานที่ต้องติดต่อเมื่อเกิดเหตุฉุกเฉิน จ) วิธีการที่องค์กรจะเริ่มดำเนินกิจกรรมหรือฟื้นฟูกิจกรรมที่มีความสำคัญภายในกรอบระยะเวลาที่ได้ พิจารณากำหนดไว้ล่วงหน้า ฉ) รายละเอียดของการตอบสนองของสื่อขององค์กรภายหลังการเกิดอุบัติการณ์ ซึ่งรวมถึง 1) กลยุทธ์ การสื่อสาร 2) วิธีการที่ต้องการในการประสานกับสื่อ 3) แนวทางหรือรูปแบบสำหรับร่างแถลงการณ์ สำหรับสื่อมวลชน 4) ผู้แถลงข่าวที่มีความเหมาะสม ช) กระบวนการสำหรับการถอนตัวภายหลังอุบัติการณ์สิ้นสุดลง 05/04/2017
142
เนื้อหาของ BCP ตามข้อกำหนด ISO 22301 , 8.4.4
05/04/2017 เนื้อหาของ BCP ตามข้อกำหนด ISO , 8.4.4 แต่ละแผนต้องกำหนด - เป้าหมายและขอบข่าย - วัตถุประสงค์ - เกณฑ์สำหรับการเริ่มปฏิบัติการและขั้นตอนการดำเนินงาน - การปฏิบัติตามขั้นตอนการดำเนินงาน - บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ - ข้อกำหนดและขั้นตอนการดำเนินงานสำหรับการสื่อสาร - การพึ่งพากันและปฏิสัมพันธ์ระหว่างหน่วยงานภายในและภายนอก - ทรัพยากรที่ต้องการ - แผนผังของสารสนเทศ และกระบวนการด้านการเอกสาร 05/04/2017
143
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร 05/04/2017
144
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร มีคนวิเคราะห์ความเสี่ยงที่ดีที่สุดว่า เอาอยู่ (หัวเราะ) อีกค่ายหนึ่ง วิเคราะห์สถานการณ์เลวร้ายที่สุด คือ 2 เมตร ทีนี้ถามว่าเราเป็นประชาชน วันนี้เรามีความรู้แล้ว มันสามารถทำแผนเป็นแผนหนึ่งหรือ แผนสองได้ เอาสถานการณ์แต่ละสถานการณ์มาลองจำลองดูว่าถ้าน้ำแค่นี้เกิดอะไร น้ำแค่นี้เกิดอะไร ก็ต้องทำแผนรับ รับเป็นภาคประชาชนก็ต้องรับ อย่างดิฉันบ้านอยู่ทางใต้ ถ้าบ้านที่อยู่ทางเหนือดิฉัน ต้องเตรียมขนของแล้ว 05/04/2017
145
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ถ้าถามว่าเราต้องเลือกฟังใคร จริงๆ เราชอบว่าภาครัฐว่าเวลาเกิดเรื่องทีไรเว็บรัฐล่ม ว่าภาครัฐตลอด แต่เรามามองอีกข้างหนึ่ง ทำไมเว็บรัฐถึงล่ม แสดงว่าประชาชนโดยส่วนใหญ่เวลาเกิดเรื่องวิ่งข่าวหา เว็บของหน่วยงานรัฐก่อน เพราะพร้อมที่จะเชื่อ ดังนั้น การแก้ไม่ใช่การบังคับให้สื่อไม่พูด การแก้เป็น ช่องทางหนึ่งที่ให้ข้อมูลได้ตลอดเวลาคือเว็บไม่ล่ม เพราะฉะนั้นอาจใช้คราวน์เนตเวิร์กหรืออะไรก็ ตามที่เขามีไอพีที่ใหญ่ นี่คือสะท้อนว่าภาคประชาชนพร้อมที่จะรับข้อมูลในลักษณะนี้ คือรัฐต้องเป็น ฝ่ายให้เรื่อยๆ อัพเดทเรื่อยๆ ในการจัดการภัยพิบัติ ผู้ที่เป็นผู้บริหารจัดการเขาจะมีหมดเลย คือ หนึ่ง การทำงานกับสื่อ เพราะสื่อมีความเร็วที่สุดในโลก เมื่อเร็ว เราจึงควรใช้ตรงนี้ให้เป็นประโยชน์ ทุกๆ หนึ่งชั่วโมงควรมีการบอกความคืบหน้าสัก 10 เปอร์เซ็นต์ของครั้งที่แล้ว แล้วจะทำให้เอกภาพของ ข้อมูลเป็นเรื่องเดียวกันทั้งหมด 05/04/2017
146
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ถ้าระบบมีความน่าเชื่อถือ ทุกอย่างจะเป็นไปตามที่รัฐบาลได้วางแผนไว้ หนึ่ง ปภ.จะเป็นผู้ตัดสินใจใน การประกาศเตือนภัยในพื้นที่ต่างๆ โดยใช้กรมประชาสัมพันธ์ ถ้าข้อมูลมีความน่าเชื่อถือคนจะฟังและ ปฏิบัติตามแน่นอน ที่ผ่านมาปีที่แล้วมีความสับสนในเรื่องของข้อมูล ฝั่งนั้นออกมาอย่างนั้น ฝั่งนี้ ออกมาอย่างนี้ และนักวิชาการอย่างผมก็ออกมาอีกอย่างหนึ่ง อันนี้เลยทำให้เกิดความสับสน เนื่องจากนักวิชาการเวลาทำงานเรามีข้อมูลและสมมติฐาน อะไรที่มีข้อมูลเราใช้ข้อมูลหมดเลย แต่ เมื่อข้อมูลมีไม่เพียงพอเราต้องใช้สมมติฐาน ผมถึงบอกว่าในส่วนของรัฐ งบประมาณที่มีไว้ 7,000 ล้าน เรื่องไอที หวังว่าในอนาคตข้อมูลจะมีมากขึ้นๆ จนกระทั่งนักวิชาการจะได้มีข้อมูลพื้นฐานที่ดี ใช้ สมมุติฐานน้อยๆ และการวิเคราะห์ที่ออกมาให้ประชาชนจะได้แม่นยำ และเป็นที่น่าเชื่อถือ เชื่อใน แหล่งเดียว และตามมาตรฐานของรัฐมีแหล่งเดียวอยู่แล้วคือกรมประชาสัมพันธ์ 05/04/2017
147
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร สหรัฐอเมริกาก็เช่นกัน มีกฎหมายการปกป้อง critical infrastructure คือทุกองค์กรที่เป็นท็อป critical infrastructure เช่น พลังงาน น้ำ ไฟฟ้า สถาบันการเงิน ทุกประเทศที่ศึกษาเขามี BCP หมด ที่เรียกว่า national critical infrastructure โดยศึกษาว่าเขาแบ่งโครงสร้างพื้นฐานเหล่านี้อย่างไร พอ เรียงลำดับออกมาจะเห็นว่าอะไรที่เป็นโครงสร้างพื้นฐาน เช่น พลังงานโดยเฉพาะไฟฟ้า หากไม่มี ไฟฟ้า เซลไซด์ล่ม โรงพยาบาลล่ม แบงก์ล่ม แล้วอย่างอื่นก็จะพังตามไปเรื่อยๆ จากที่ศึกษาเราเห็นว่ากลุ่มนี้ควรจะเป็น critical infrastructure ของไทย และรัฐบาลต้องสั่งว่าคุณ ต้องดูแลตัวเอง เพราะถ้าคุณมีปัญหาที่เหลือล่มหมด เพราะเขาพึ่งคุณอยู่ ไม่ว่าคุณเป็นเอกชนหรือ รัฐวิสาหกิจก็ตาม คุณต้องมีภาระเพิ่มที่ต้องดูแลตัวเอง และดูแลประเทศ อย่าง กลุ่มพลังงานต้องหา แหล่งพลังงานสำรอง กลุ่มสถาบันการเงิน กลุ่มโทรคมนาคม เป็นต้น 05/04/2017
148
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ในแง่มาตรการป้องกันภัยพิบัติที่ศึกษา มีอะไรต้องทำบ้าง ต้องผลักดันหลายเรื่องเหมือนกัน ขณะนี้ยังไม่มีคอนเซ็ปต์ critical infrasturcture ว่าของไทยควรมี อะไรบ้าง ต้องผลักดันให้มีก่อนว่าจะมีกี่กลุ่ม องค์กรไหนเป็นบ้าง ทั้งภาครัฐและเอกชน หน้าที่ที่ต้อง ทำ ต้องซ้อมแผน และต้องซ้อมร่วมกัน ไม่ใช่ต่างคนต่างซ้อม ตัวเองรอดคนเดียวคงไม่ใช่ รวมทั้งต้อง มีการอัพเดทข้อมูล ถ้าเป็นไฟฟ้า ต้องคิดล่วงหน้าหาแหล่งสำรอง และมีหนาวยงานกำกับดูแลมา สอดส่องว่าทำได้ดีแค่ไหน เพื่อทำให้มีประสิทธิภาพจริงๆ หากกลุ่มนี้รอด กลุ่มอื่นก็จะรอดด้วย ส่วนกลุ่มที่เป็นองค์กรเอกชน วิธีการผลักดันคือทั้งสั่งและขอความร่วมมือ เขาต้องทำแผน BCP ของ ตัวเอง อย่างสิงคโปร์รัฐบาลสั่งให้ทำ แต่สหรัฐอเมริกาและอังกฤษ รัฐบาลสั่งให้ทำ BCP เฉพาะ critical infrastructure ส่วนมาเลเซีย กำลังสั่งให้ทำเกือบทั้งหมด ประเทศไทยองค์กรภาครัฐทำ เพราะรู้กันเอง แต่ยังไม่มีใครผลักดัน ส่วนองค์กรที่ไม่มีความรู้ ยังไม่มีการให้ความรู้ คนยังไม่รู้ว่าทำ อย่างไร ตอนที่ทำโฟกัสกรุ๊ป เอกชนอยากทำแต่ทำไม่เป็น เรื่องนี้เป็นเรื่องใหม่รัฐบาลควรตั้งหน่วยงานกลางและให้ความรู้ประชาชน ตอนนี้มีมาตรฐาย อุตสาหกรรม(มอก.) มีประกาศมาตรฐาน (มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ) บาง องค์กรเริ่มทำแล้ว ซึ่งมาตรฐานมอก.นี้เอามาจากอังกฤษ BS 25999 05/04/2017
149
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ที่จริงเทรนด์มาก่อนหน้านี้ 2 ปีแล้ว หลังเกิดเหตุการณ์เสื้อแดง เราเองเคยคุยกับลูกค้าก่อนเกิด เหตุการณ์เสื้อแดง ตอนนั้นไทยไม่เคยเกิดเหตุการณ์นองเลือดหรือความเสียหายรุนแรง การเห็น ความสำคัญยังไม่เยอะ แต่ช่วง 2 ปีที่ผ่านมาทุกคนสนใจเรื่อง BCP และยิ่งวิกฤตน้ำท่วมที่ผ่านมาก็มี ความสนใจมากขึ้น โทรศัพท์มาถามเยอะขึ้น ขอข้อมูลมากขึ้น (อ่านเพิ่มเติม แนวทางเบื้องต้นสำหรับ รับมือเหตุการณ์ฉุกเฉิน) ลูกค้ามีตั้งแต่ขนาดกลางถึงขนาดใหญ่ มีหลายแบบ บางแห่งไม่มีข้อมูลเลย ไม่รู้ทำอย่างไร ทำไม่ เป็น เราไปทำให้ตั้งแต่ต้นจนจบ หรือเขียน BCP แล้วไม่มั่นใจเราก็ไปรีวิวให้ใหม่ หรือเขียนแล้วมั่นใจ อยากให้เราไปเทสต์ เพราะแผนที่ดีต้องซ้อม ไม่งั้นไม่รู้ว่าแผนอาจจะเขียนเมื่อ 5 ปี ที่แล้ว วันนี้ธุรกิจ เปลี่ยนไปหมดแล้ว เราจะทำการซ้อมจริงๆ เรามีบทเรียนจากประเทศต่างๆ ก็มาแชร์ให้ลูกค้าด้วย การทำBCP ของไทยนั้น ธุรกิจธนาคารทำมา ก่อนเพราะแบงก์ชาติสั่งให้ทำ แต่ก็เป็นเรื่องที่ดี เขาผ่านบทเรียนมาเยอะ ไม่งั้นการเทรด การโอนเงิน ทำไม่ได้ หรือธุรกิจสื่อสารก็สำคัญเช่นกัน 05/04/2017
150
คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร มีความเสี่ยงอะไรที่เสี่ยงมากสุด จากสถิติน่าจะเป็นเรื่องน้ำเยอะสุด ประเทศไทยยังไม่มีข้อมูลความเสี่ยงที่ทันสมัย เวลาทำแผน BCP ต้องหาข้อมูลมาสนับสนุน เช่น จะเปิดสาขาในภูมิภาค ความเสี่ยงคืออะไร จะต้องมีข้อมูลประกอบ แต่ ละจังหวัดความเสี่ยงไม่เท่ากัน รัฐบาลควรมีข้อมูลเหล่านี้ ประชาชนจะได้เตรียมความพร้อมและหาวิธี ป้องกันได้ รวมทั้งการทำแผนของจังหวัดจะได้วางแผนรับมือได้ในแต่ละพื้นที่ อย่างที่อังกฤษ น้ำท่วมบ่อยมาก เขาผ่านมาจนเป็นเรื่องปกติ มีการทำข้อมูลออนไลน์ หากเห็น สัญลักษณ์นี้ขึ้นคืออะไร ประชาชนรู้วิธีที่จะรับมือ นี่คือฐานขอมูลความเสี่ยง และมีแล้วก็ต้องอัพเดท คอยประสานเก็บข้อมูล มีวิกฤตแล้วต้องทำอย่างไร เมื่อเกิดแล้วจะต้องถอดบทเรียนไว้เลย จะได้ไม่เกิด อีก ที่อังกฤษจะมีไกด์ไลน์ออกมาเลย อย่างเรื่องการประสานงาน เขาเคยไม่ดีมาก่อน ไม่ชัดเจนว่าใครทำ อะไร ก็มีประกาศสั่งให้ชัดว่าใครต้องทำอะไร เช่น การประสานระหว่างหน่วยงานภาครัฐและภาครัฐ ภาครัฐและเอกชน ภาครัฐกับองค์กรระหว่างประเทศ มีmulti agency framework แม้กระทั่งไกด์ไลน์ เรื่องถุงยังชีพ จะมีระยะเวลาว่าก่อนท่วม ระหว่างน้ำท่วม หลังท่วม จะต้องแจกอะไรบ้าง เช่น อาหารแห้ง ไฟฉาย แบตเตอร์รี่กับมือถือ เบอร์สำคัญต่างๆ 05/04/2017
151
05/04/2017 มาทำ BCP กัน 05/04/2017
152
BC Planning Process Prevention Preparedness Response Recovery
05/04/2017 BC Planning Process 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อองค์กร และ ผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้แนวทางในการสร้างขีด ความสามารถให้องค์กรมีความยืดหยุ่น(resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูล ค่าที่มีประสิทธิผล Prevention Preparedness Response Recovery 05/04/2017
153
มองโลกอย่างที่เป็น ไม่ดีไม่ร้าย
05/04/2017 มองโลกอย่างที่เป็น ไม่ดีไม่ร้าย ท่านเป็นคนที่คิดตามความเป็นจริง หรือ เพียงแต่เฝ้าหวังภาวนาให้ คุณพระช่วย ท่านควรคิดเรื่องเลวร้ายที่อาจเกิดขึ้นและทำแผนสำรองไว้รับมือ คุณ จะมีความมั่นใจและมั่นคง ไม่ประหลาดใจกับสิ่งที่เกิดขึ้น 05/04/2017
154
วาดภาพเหตุการณ์ที่เลวร้าย
05/04/2017 วาดภาพเหตุการณ์ที่เลวร้าย วาดภาพเหตุการณ์เลวร้ายที่สุดให้ออก ค้นหา สร้างมโนภาพ ตรวจสอบ สถานการณ์ที่เลวร้าย โดย ถามตัวเองว่า ถ้าเราไม่ได้ลูกค้ารายนี้อะไรจะเกิดขึ้น หากไม่มีรายได้ เนื่องจากออกใบเรียกเก็บเงินไม่ได้ สองสัปดาห์จะเป็นอย่างไร หากลูกค้าส่วนมากไม่ชำระเงินจะทำอย่างไร หากพนักงานสำคัญป่วย จะทำอย่างไร หากตลาดวาย ไม่ฟื้น จะทำอย่างไร หากไม่มีพนักงานมาทำงานเลยจะเป็นอย่างไร หากเครื่องจักรหลักเสียหาย จะทำอย่างไร หากผู้ส่งมอบหลักไม่ส่งมอบวัตถุดิบให้ จะทำอย่างไร หากสถานที่ทำงาน เกิด ไฟไหม้ ท่านจะทำอย่างไร Etc และเราจะจัดสรรทรัพยากรที่มีอยู่ ในสภาพเหตุการณ์ที่เลวร้ายได้อย่างไร 05/04/2017
155
วาดภาพเหตุการณ์ที่เลวร้าย
05/04/2017 วาดภาพเหตุการณ์ที่เลวร้าย Survival Kit ของท่าน 05/04/2017
156
เขียน BCP Step 1 ทำการประเมินความ เสี่ยง
05/04/2017 เขียน BCP Step 1 ทำการประเมินความ เสี่ยง ประเมินความเสี่ยงที่ท่านยอมรับ ระบุอุปสรรค เลือกวิธีการจัดการความเสี่ยง ความเสี่ยงที่ทำให้ธุรกิจชะงัก ต้องได้รับการควบคุมผ่าน BCP 05/04/2017
157
คืนงานพื้นฐานก่อนเสมอ งานพื้นฐานคือ CORE input ของธุรกิจ
05/04/2017 เขียน BCP จัดทำลำดับ ความสำคัญของ กระบวนการ กิจกรรมงานที่สำคัญ แยก แต่ละการดำเนินงาน วิกฤติ สำคัญ ไม่สำคัญ คืนงานพื้นฐานก่อนเสมอ งานพื้นฐานคือ CORE input ของธุรกิจ 05/04/2017
158
Recovery Time Objective
05/04/2017 Recovery Time Objective ท่านทำได้เร็วขนาดไหน ในการ เริ่มดำเนินธุรกิจได้ใหม่ How Quick !! อะไรที่เป็นปัจจัย ต่อ การลด RTO 05/04/2017
159
Financial Consideration
05/04/2017 Financial Consideration ทดสอบความ ใช้ได้ของ RTO พิจารณาเรื่อง ต้นทุน 05/04/2017
160
Financial Consideration
05/04/2017 Financial Consideration MTPD มีเวลาอีกเท่าไหร่ นานไหมกว่าจะล้มละลาย มีส่วนเกี่ยวช้องกับ RTO อาจจำเป็นต้องหาทางลด RTO เพื่อลดการปิดธุรกิจ อย่างถาวร 05/04/2017
161
Financial Consideration
05/04/2017 Financial Consideration มีทุนพอที่จะครอบคลุมค่าใช้จ่าย การดำเนินงานและพื้นฟูในแต่ละ ขั้นตอน กระจายความเสี่ยงสู่ บริษัท รับประกัน ให้พิจารณาเรื่องเสียส่วนแบ่ง ทางการตลาด ประกันภัยจากวิชาชีพ professional liability ประกันภัยต่อผลิตภัณฑ์ product liability ประกันภัยเนื่องจากมลภาวะมลพิษ pollution liability ประกันภัยนายจ้าง(ต่อลูกจ้าง) employer " liability ประกันภัยต่อสัญญา contractual liability ประกันภัย ต่อผู้บริหารหรือผู้จัดการบริษัท Directors and officers liability ( D&O ) ประกันภัยความรับผิดต่อสาธารชน public liabiliity : PL 05/04/2017
162
Financial Consideration
05/04/2017 Financial Consideration จะเสียพนักงานสำคัญกี่คน ที่ ไม่อาจกลับมาทำงานได้ ไม่ว่า ด้วยความสมัครใจหรือเหตุ เภทภัย จะมีกี่คนที่อยู่ในบัญชีเงินเดือน ใครบ้างที่ต้องจ้างออก จะมีการทำงานใดที่ทำได้โดย ปราศจากการสนับสนุน 05/04/2017
163
Financial Consideration
05/04/2017 Financial Consideration 05/04/2017
164
เขียน BCP ขั้นที่ 3 กำหนดกลยุทธ์
05/04/2017 เขียน BCP ขั้นที่ 3 กำหนดกลยุทธ์ ตัดสินใจว่าใครควรมีส่วนร่วม ในการวางแผนและนำแผนไป ปฏิบัติ ทำการทวนสอบหลายๆ ทางเลือก 05/04/2017
165
เขียน BCP หัวใจหลักของการเขียนแผน
05/04/2017 เขียน BCP หัวใจหลักของการเขียนแผน สถานที่ ที่จะดำเนินการพร้อม ระบบ ยูทิลิตี้ พร้อม และจะทำให้พร้อมขนาด ไหน คน ข้อมูล การสื่อสาร เครื่องมือ 05/04/2017
166
05/04/2017 เขียน BCP ระดับการตอบสนอง แผน BCP ควรมีการกำหนด ในสมมุติฐานที่แตกต่าง ระยะเวลาของภัยพิบัติ เป็น ตัวกำหนดการตอบสนอง เช่นกัน การตอบสนองต้องเหมาะต่อ ขอบเขตและระยะเวลาของ ภัยพิบัติ 05/04/2017
167
05/04/2017 เขียน BCP Step 4 เก็บข้อมูล ข้อสังเกต กลยุทธ์ ข้อมูล แผนควรยาวพอ มีรายละเอียดที่ เพียงพอต่อครอบคลุม 05/04/2017
168
เขียน BCP Step 5 ทดสอบและทบทวน BCP ทุกๆ 6 เดือน หรือ 1 ปี
05/04/2017 เขียน BCP Step 5 ทดสอบและทบทวน BCP ทุกๆ 6 เดือน หรือ 1 ปี กำหนดวัตถุประสงค์การทดสอบ เป็นสถานการณ์ที่เป็นจริงได้ ประเมินผลอย่างเป็นกลาง เก็บผลทดสอบเป็นเอกสาร ทำการปรับปรุงแผน Tabletop exercise Live drill 05/04/2017
169
05/04/2017 เขียน BCP ทดสอบแผน ทบทวนการประเมินความเสี่ยง อบรมพนักงานใน BCP ให้ผู้มีส่วนร่วม ได้ร่วม 05/04/2017
170
การจัดเก็บ แจกจ่ายแผน BCP
05/04/2017 การจัดเก็บ แจกจ่ายแผน BCP การจัดเก็บ เก็บหลายๆชุด หนึ่งชุดที่หน้างาน สำเนาอื่นๆ ในชุด Business recovery kit สำเนาที่ 3 ไว้ในที่ๆสามารุเข้าถึงได้จาก สถานที่อื่น เช่น ที่บ้าน ในรถ 05/04/2017
171
05/04/2017 เริ่มอะไรก่อนดี 05/04/2017
172
เริ่มอะไรก่อนดี ทำรายการ inventory ทำการถ่ายภาพ สถานที่ เครื่องมือ
05/04/2017 เริ่มอะไรก่อนดี ทำรายการ inventory ทำการถ่ายภาพ สถานที่ เครื่องมือ อุปกรณ์ ตกแต่งต่างๆ ทบทวนนโยบาย ประกันภัย พิจารณาการซื้อประกันเฉพาะ โดยทั่วไปไม่ครอบคลุมทุกเรื่อง 05/04/2017
173
เริ่มอะไรก่อนดี 05/04/2017 Business recover list Inventory
นโยบายประกัน รูปภาพก่อนหน้า รายชื่อพนักงาน รายชื่อลูกค้า รายชื่อผู้ขาย บันทึกต่างๆ บันทึกงานบุคคล บันทึกธนาคาร ต้องเก็บไว้ที่ปลอดภัย และ เช้าถึงได้ในภาวะวิกฤติ !! 05/04/2017
174
เริ่มอะไรก่อนดี ทำการ back up ข้อมูลใน คอมพิวเตอร์สม่ำเสมอ
05/04/2017 เริ่มอะไรก่อนดี ทำการ back up ข้อมูลใน คอมพิวเตอร์สม่ำเสมอ ทำให้มั่นใจว่าได้เก็บข้อมูล ทดสอบการ นำข้อมูลกลับ อบรมพนักงานเรื่องความ เสี่ยงและ BCM 05/04/2017
175
เริ่มอะไรก่อนดี มองหาความช่วยเหลือ ประกัน ผู้ขาย ลูกค้า เช่าซื้อ
05/04/2017 เริ่มอะไรก่อนดี มองหาความช่วยเหลือ ประกัน ผู้ขาย ลูกค้า เช่าซื้อ หน่วยงานรัฐ 05/04/2017
176
ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301
05/04/2017 ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301 05/04/2017
177
05/04/2017 6.0 7.0 5.0 9.0 4.0 10.0 05/04/2017
178
05/04/2017 1. ขอบข่าย มาตรฐานนี้ใช้สำหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกำหนดเพื่อ วางแผน จัดทำ นำไปปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกป้อง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักขึ้น. ข้อกำหนดในมาตรฐานนี้เป็นข้อกำหนดทั่วไปและตั้งใจให้นำไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คำนึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกำหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดำเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนำไปปฏิบัติโดยมีการจัดทำโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกำหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกำหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกำหนดของผู้มีส่วนได้เสีย. 05/04/2017
179
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
180
4.1 ความเข้าใจองค์กรและบริบทขององค์กร
05/04/2017 4.1 ความเข้าใจองค์กรและบริบทขององค์กร 4.1 ความเข้าใจองค์กรและบริบทขององค์กร องค์กรต้องพิจารณาประเด็นภายนอกและภายในที่เกี่ยวข้องกับจุดประสงค์ของ องค์กรและที่มีผลกระทบต่อความสามารถขององค์กรในการบรรลุผลลัพธ์ตามที่ คาดหวังไว้ต่อระบบการบริหารความต่อเนื่องทางธุรกิจ ประเด็นเหล่านี้ต้องถูกนำมาพิจารณาเมื่อมีการจัดทำ นำไปปฏิบัติ และการรักษาไว้ ซึ่งระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร องค์กรต้องชี้บ่งและจัดทำเป็นเอกสาร ดังนี้ ก) กิจกรรมต่างๆ ขององค์กร หน้าที่งาน การบริการ ผลิตภัณฑ์ หุ้นส่วน ห่วงโซ่ อุปทาน ความสัมพันธ์กับผู้มีส่วนได้เสีย และแนวโน้มของผลกระทบที่เกี่ยวข้องกับ อุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ข) ความเชื่อมโยงระหว่างนโยบายความต่อเนื่องทางธุรกิจ และวัตถุประสงค์ของ องค์กร และนโยบายด้านอื่นๆ รวมทั้งกลยุทธ์การบริหารความเสี่ยงขององค์กร โดยรวม ค) ความเสี่ยงที่ยอมรับได้ขององค์กร 05/04/2017
181
4.1 ความเข้าใจองค์กรและบริบทขององค์กร
05/04/2017 4.1 ความเข้าใจองค์กรและบริบทขององค์กร ในการกำหนดบริบท องค์กรต้อง 1) กำหนดวัตถุประสงค์ รวมทั้งที่เกี่ยวข้องกับความต่อเนื่องทาง ธุรกิจอย่างชัดเจน 2) ระบุปัจจัยภายนอกและภายในที่ก่อให้เกิดความไม่แน่นอนที่ทำให้ เกิดความเสี่ยง 3) กำหนดเกณฑ์ความเสี่ยงโดยการพิจารณาถึงความเสี่ยงที่ยอมรับ ได้ 4) กำหนดเป้าหมายของระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
182
4.1 ความเข้าใจองค์กรและบริบทขององค์กร
05/04/2017 4.1 ความเข้าใจองค์กรและบริบทขององค์กร ทำระบบที่บางสาขา หรือ ทุกสาขา ดี ? ทำระบบทุกๆกิจกรรม หรือ บางกิจกรรม ดี? ใช้ Cold site, Hot site, Mirrored site , SLAs, Stock ดี อะไรสำคัญสุดในมุมมองลูกค้า อะไรคืองานหลัก งานรอง อะไรสำคัญ ไม่สำคัญ หยุดไม่ได้ หรือ หยุดนานไม่ได้ กระบวนการอะไร ผลิตภัณฑ์อะไร เป็นหัวใจหลัก ผู้ส่งมอบใด เครื่องมืออะไร เป็นหัวใจหลัก ทำ BIA ( Business Impact Assessment ) 05/04/2017
183
05/04/2017 05/04/2017
184
05/04/2017
185
05/04/2017
186
4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย
05/04/2017 4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย 4.2.1 ทั่วไป ในการจัดทำระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้องพิจารณาถึง ก) ผู้มีส่วนได้เสียที่มีความเกี่ยวข้องกับระบบการบริหารความต่อเนื่องทางธุรกิจ ข) ข้อกำหนดของผู้มีส่วนได้เสียเหล่านี้ (เช่น ความต้องการและความคาดหวังที่ได้ระบุไว้ หรือเป็นที่เข้าใจโดยทั่วไป หรือเป็นข้อผูกพัน) ข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับ องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานเพื่อการชี้บ่ง การ เข้าถึง และการประเมินข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องกับองค์กร ซึ่งสัมพันธ์กับความต่อเนื่องของการดำเนินงาน ผลิตภัณฑ์ และบริการ รวมทั้งผลประโยชน์ ของผู้มีส่วนได้เสียที่เกี่ยวข้อง องค์กรต้องมั่นใจว่าได้มีการประยุกต์ใช้กฎหมาย ระเบียบข้อบังคับ และข้อกำหนดอื่นๆ ซึ่ง องค์กรเกี่ยวข้องโดยการจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งระบบการบริหารความต่อเนื่อง ทางธุรกิจ องค์กรต้องจัดทำสารสนเทศเหล่านี้เป็นลายลักษณ์อักษรและทำให้ทันสมัย กฎหมายใหม่ และที่เปลี่ยนแปลง ระเบียบข้อบังคับ และข้อกำหนดอื่นๆ ต้องสื่อสารให้กับลูกจ้างที่ได้รับ ผลกระทบและผู้มีส่วนได้เสียอื่นๆ 05/04/2017
187
4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย
05/04/2017 4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย 05/04/2017
188
4.3 การกำหนดขอบข่ายระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3 การกำหนดขอบข่ายระบบการบริหารความต่อเนื่องทางธุรกิจ 4.3 การกำหนดขอบข่ายระบบการบริหารความต่อเนื่องทางธุรกิจ 4.3.1 ทั่วไป องค์กรต้องกำหนดขอบเขตและขอบข่ายในการนำระบบการบริหารความต่อเนื่องทางธุรกิจ ไปประยุกต์ใช้ ในการกำหนดขอบข่าย องค์กรต้องพิจารณาถึง - ประเด็นภายนอกและภายใน ตามข้อ 4.1 - ข้อกำหนด ตามข้อ 4.2 ขอบข่ายต้องจัดทำเป็นเอกสารสารสนเทศ ขอบข่ายของการบริหารความต่อเนื่อง 4.1 ความเข้าใจองค์กรและบริบทขององค์กร 4.2 ความเข้าใจถึงความคาดหวังของผู้มีส่วนได้ส่วนเสีย 05/04/2017
189
4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้อง ก) กำหนดหน่วยงานต่างๆ ขององค์กรที่อยู่ในระบบการบริหารความต่อเนื่องทาง ธุรกิจ ข) จัดทำข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจโดยพิจารณาถึง พันธะกิจ เป้าประสงค์ข้อผูกพันภายในและภายนอกขององค์กร (รวมทั้งที่เกี่ยวข้อง กับผู้มีส่วนได้เสีย) และ ความรับผิดชอบทางกฎหมายและระเบียบข้อบังคับ ค) ชี้บ่งผลิตภัณฑ์และบริการ รวมทั้งกิจกรรมที่เกี่ยวข้องทั้งหมดภายในขอบข่าย ของระบบการบริหารความต่อเนื่องทางธุรกิจ ง) คำนึงถึงความต้องการและผลประโยชน์ของผู้มีส่วนได้เสีย (เช่น ลูกค้า นัก ลงทุน ผู้ถือหุ้น) ห่วงโซ่อุปทาน ปัจจัยนำเข้าและความต้องการ ความคาดหวัง และผลประโยชน์ของสาธารณะ และ/หรือชุมชน (ตามความเหมาะสม) จ) กำหนดขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับ ขนาด ลักษณะ และความซับซ้อนขององค์กร 05/04/2017
190
4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
191
4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
192
4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ 4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้องจัดทำ นำไปปฏิบัติ รักษา และปรับปรุงระบบการบริหาร ความต่อเนื่องทางธุรกิจตามข้อกำหนดของมาตรฐานนี้อย่างต่อเนื่อง รวมทั้งกระบวนการที่จำเป็นและปฏิสัมพันธ์ระหว่างกระบวนการ เหล่านั้น 05/04/2017
193
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
194
5.1 ความเป็นผู้นำและความมุ่งมั่น
05/04/2017 5.1 ความเป็นผู้นำและความมุ่งมั่น 5.1 ความเป็นผู้นำและความมุ่งมั่น ผู้บริหารสูงสุดและผู้บริหารอื่นที่มีหน้าที่เกี่ยวข้องต้องเป็นผู้นำในการ แสดงออกถึงความตระหนักต่อความสำคัญของระบบการบริหารความ ต่อเนื่องทางธุรกิจ ตัวอย่าง ความเป็นผู้นำและความมุ่งมั่นสามารถแสดงออกโดยการจูง ใจและการมอบอำนาจให้บุคลากรเข้ามามีส่วนช่วยให้ระบบการ บริหารความต่อเนื่องทางธุรกิจเกิดประสิทธิผล 05/04/2017
195
5.2 ความมุ่งมั่นของฝ่ายบริหาร
05/04/2017 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องเป็นผู้นำในการแสดงให้เห็นถึงความตระหนักต่อความสำคัญ และความ มุ่งมั่นต่อระบบการบริหารความต่อเนื่องทางธุรกิจโดย - มั่นใจว่านโยบายและวัตถุประสงค์ที่กำหนดขึ้นสำหรับระบบการบริหารความต่อเนื่องทาง ธุรกิจสอดรับ (compatible) กันกับกลยุทธ์ขององค์กร - มั่นใจว่ามีการบูรณาการข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจกับ กระบวนการทางธุรกิจขององค์กร - มั่นใจว่ามีการจัดสรรทรัพยากรสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจที่เพียงพอ - สื่อสารให้เข้าใจถึงความสำคัญของระบบการบริหารความต่อเนื่องทางธุรกิจที่มีประสิทธิผล และสอดคล้องตามข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจ - มั่นใจว่าระบบการบริหารความต่อเนื่องทางธุรกิจบรรลุผลสัมฤทธิ์ตามที่คาดหวังไว้ - อำนวยการและสนับสนุนบุคลากรเข้ามามีส่วนช่วยให้ระบบการบริหารความต่อเนื่องทาง ธุรกิจเกิดประสิทธิผล - ส่งเสริมให้มีการปรับปรุงอย่างต่อเนื่อง - สนับสนุนให้ผู้บริหารที่มีบทบาทหน้าที่ที่เกี่ยวข้อง ได้แสดงความเป็นผู้นำและความมุ่งมั่น ในการประยุกต์ใช้มาตรฐานดังกล่าวในงานที่รับผิดชอบ 05/04/2017
196
5.2 ความมุ่งมั่นของฝ่ายบริหาร
05/04/2017 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องจัดเตรียมหลักฐานที่แสดงถึงความมุ่งมั่นในการจัดทำ การนำไป ปฏิบัติ การดำเนินการ การเฝ้าระวัง การทบทวน การรักษา และการปรับปรุงระบบ การบริหารความต่อเนื่องทางธุรกิจ โดย - กำหนดนโยบายความต่อเนื่องทางธุรกิจ - มั่นใจว่าได้มีการกำหนดวัตถุประสงค์และแผนงานของระบบการบริหารความ ต่อเนื่องทางธุรกิจ - กำหนดบทบาทหน้าที่ ความรับผิดชอบ และความสามารถสำหรับการบริหาร ความต่อเนื่องทางธุรกิจ - แต่งตั้งบุคคล (อาจมากกว่าหนึ่งคน) ให้มีความรับผิดชอบต่อระบบการบริหาร ความต่อเนื่องทางธุรกิจ พร้อมทั้งกำหนดอำนาจหน้าที่และความสามารถอย่าง เหมาะสมในบทบาทหน้าที่สำหรับ การนำไปปฏิบัติการและรักษาไว้ซึ่งระบบการ บริหารความต่อเนื่องทางธุรกิจ 05/04/2017
197
5.2 ความมุ่งมั่นของฝ่ายบริหาร
05/04/2017 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องมั่นใจว่ามีการมอบหมายบทบาทหน้าที่อื่นที่เกี่ยวข้องและ สื่อสารเกี่ยวกับ ความรับผิดชอบและอำนาจหน้าที่ให้เข้าใจทั่วทั้งองค์กร โดย - กำหนดเกณฑ์การยอมรับความเสี่ยงและระดับของความเสี่ยงที่สามารยอมรับได้ - มีส่วนร่วมในการฝึกซ้อมและทดสอบอย่างจริงจัง - มั่นใจว่ามีการประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ - ทบทวนการบริหารงานสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ - แสดงให้เห็นถึงความมุ่งมั่นในการปรับปรุงอย่างต่อเนื่อง 05/04/2017
198
05/04/2017 05/04/2017
199
05/04/2017 05/04/2017
200
05/04/2017 05/04/2017
201
05/04/2017 05/04/2017
202
05/04/2017 05/04/2017
203
05/04/2017 5.3 นโยบาย ผู้บริหารสูงสุดต้องจัดทำและสื่อสารนโยบายความต่อเนื่องทางธุรกิจ โดยนโยบาย ต้อง ก) เหมาะสมกับเป้าหมายขององค์กร ข) ให้กรอบสำหรับการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจ ค) ประกอบด้วยความมุ่งมั่นในการเป็นไปตามข้อกำหนดที่นำมาประยุกต์ใช้ ง) รวมถึงความมุ่งมั่นในการปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจอย่าง ต่อเนื่อง นโยบายระบบการบริหารความต่อเนื่องทางธุรกิจต้อง - เป็นเอกสารสารสนเทศ - ได้รับการสื่อสารภายในองค์กร - เปิดเผยต่อผู้มีส่วนได้เสียตามความเหมาะสม - ได้รับการทบทวนความต่อเนื่องอย่างเหมาะสมตามระยะเวลาและเกิดการ เปลี่ยนแปลงอย่างมีนัยสำคัญ องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับนโยบายความต่อเนื่องทางธุรกิจ 05/04/2017
204
05/04/2017 05/04/2017
205
5.4 บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร
05/04/2017 5.4 บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร ผู้บริหารสูงสุดต้องมั่นใจว่ามีการมอบหมายและสื่อสารความ รับผิดชอบและอำนาจหน้าที่สำหรับบทบาทหน้าที่ต่างๆ ที่เกี่ยวข้อง ภายในองค์กร ผู้บริหารสูงสุดต้องมอบหมายความรับผิดชอบและอำนาจหน้าที่ เพื่อ ก) มั่นใจว่าระบบการบริหารงานเป็นไปตามข้อกำหนดของมาตรฐานนี้ ข) รายงานสมรรถนะของระบบการบริหารความต่อเนื่องทางธุรกิจต่อ ผู้บริหารสูงสูด 05/04/2017
206
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
207
6.1 ปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาส
05/04/2017 6.1 ปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาส ในการวางแผนสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้อง พิจารณาประเด็นต่างๆ ที่ได้ระบุ ไว้ในข้อ 4.1 และข้อกำหนดต่างๆ ที่ได้ระบุไว้ใน ข้อ 4.2 และพิจารณาความเสี่ยงและโอกาสที่จำเป็นต้องดำเนินการต่อไป เพื่อทำ ให้ ก) มั่นใจว่าระบบการบริหารงานสามารถบรรลุผลลัพธ์ตามที่มุ่งหวังไว้ ข) ป้องกันหรือลดผลกระทบที่ไม่ต้องการ ค) บรรลุซึ่งการปรับปรุงอย่างต่อเนื่อง องค์กรต้องวางแผน ก) การปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาสเหล่านี้ ข) โดยใช้วิธีการว่าจะดำเนินการอย่างไรเพื่อ 1) บูรณาการและนำการปฏิบัติการเข้าไปในกระบวนการของระบบการบริหารความ ต่อเนื่องทางธุรกิจขององค์กร (ดูข้อ 8.1) 2) ประเมินประสิทธิผลของปฏิบัติการเหล่านี้ (ดูข้อ 9.1) 8.1 9.1 6.1 4.1 4.2 05/04/2017
208
05/04/2017 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและสื่อสารไป ยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คำนึงถึงระดับต่ำสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุตาม วัตถุประสงค์ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คำนึงถึงข้อกำหนดที่เกี่ยวข้อง จ) เฝ้าระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ เพื่อให้บรรลุวัตถุประสงค์ความต่อเนื่องทางธุรกิจ องค์กรต้องพิจารณาถึง - ผู้รับผิดชอบ - สิ่งที่ต้องดำเนินการ - ทรัพยากรที่ต้องการ - กำหนดระยะเวลาแล้วเสร็จ - วิธีการประเมินผล 05/04/2017
209
05/04/2017 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำให้บรรลุวัตถุประสงค์ 05/04/2017
210
สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017
211
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
212
05/04/2017 7.1 ทรัพยากร องค์กรต้องพิจารณาและจัดเตรียมทรัพยากรที่จำเป็นสำหรับการจัดทำ การนำไปปฏิบัติ การ รักษา และ การปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง 7.2 ความสามารถ องค์กรต้อง ก) พิจารณาความสามารถที่จำเป็นของบุคลากรที่ทำงานภายใต้การควบคุมขององค์กรที่ ส่งผลกระทบต่อสมรรถนะ ข) มั่นใจว่าบุคลากรมีความสามารถบนพื้นฐานของการศึกษา การฝึกอบรม และ ประสบการณ์ที่เหมาะสม ค) ปฏิบัติการใดๆ เพื่อให้มั่นใจว่าบุคลากรมีความสามารถตามที่ต้องการ และมีการประเมิน ประสิทธิผลของปฏิบัติการที่ได้ดำเนินการเหล่านั้น หากสามารถทำได้ ง) เก็บรักษาเอกสารสารสนเทศอย่างเหมาะสมเพื่อเป็นหลักฐานความสามารถ หมายเหตุ ตัวอย่างปฏิบัติการที่สามารถทำได้ เช่น การจัดให้มีการฝึกอบรม การให้ คำแนะนำ หรือการมอบหมายงานใหม่ให้ลูกจ้างปัจจุบัน หรือจ้างเหมาบุคลากรที่มี ความสามารถ 05/04/2017
213
05/04/2017 7.3 ความตระหนัก บุคลากรที่ทำงานภายใต้การควบคุมขององค์กรต้องมีความตระหนักต่อ ก) นโยบายความต่อเนื่องทางธุรกิจ ข) การมีส่วนช่วยให้ระบบการบริหารความต่อเนื่องทางธุรกิจเกิดประสิทธิผล รวมทั้งประโยชน์จากการปรับปรุงสมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ ค)สิ่งที่ทำให้เกิดความไม่เป็นไปตามข้อกำหนดของระบบการบริหารความต่อเนื่อง ทางธุรกิจ ง) บทบาทหน้าที่ของตนเองในระหว่างที่เกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก 05/04/2017
214
05/04/2017 7.4 การสื่อสาร องค์กรต้องพิจารณาสิ่งจำเป็นสำหรับการสื่อสารภายในและภายนอกที่เกี่ยวข้องกับระบบการบริหาร ความต่อเนื่องทางธุรกิจ ซึ่งรวมถึง ก) เนื้อหาสาระหรือประเด็นที่ต้องการสื่อสาร ข) เวลาที่เหมาะสมในการสื่อสาร ค) ผู้รับข้อมูล องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานสำหรับ - การสื่อสารภายในระหว่างผู้มีส่วนได้เสียและลูกจ้างภายในองค์กร - การสื่อสารภายนอกกับลูกค้า หน่วยงานที่เป็นหุ้นส่วน ชุมชนท้องถิ่น และผู้มีส่วนได้เสียอื่นๆ รวมทั้ง สื่อมวลชนต่างๆ - การรับ การทำเป็นเอกสาร และการตอบสนองต่อการสื่อสารต่างๆ จากผู้มีส่วนได้เสีย - การปรับใช้ และการบูรณาการระบบให้คำปรึกษาเกี่ยวกับภัยคุกคาม (threat advisory system) ใน ระดับประเทศหรือระดับภูมิภาค หรือ เทียบเท่า ไปสู่การวางแผนและการดำเนินการหากมีความ เหมาะสม - มั่นใจว่ามีวิธีการสื่อสารอย่างเพียงพอในระหว่างที่เกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก - การสื่อสารตามโครงสร้างที่จัดเตรียมไว้ตามอำนาจหน้าที่อย่างเหมาะสม และมั่นใจว่ามีการดำเนินงาน ร่วมกันระหว่างองค์กรต่างๆ ที่ทำหน้าที่ตอบสนอง และบุคลากรตามความเหมาะสม - การดำเนินการและการทดสอบขีดความสามารถของการสื่อสารที่ได้จัดเตรียมไว้ในระหว่างการเกิด อุบัติการณ์ที่ทำให้เกิดการหยุดชะงักจากการสื่อสารตามปกติ 05/04/2017
215
7.5 เอกสารสารสนเทศ 7.5.1 ทั่วไป
05/04/2017 7.5 เอกสารสารสนเทศ 7.5.1 ทั่วไป ระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กรต้องรวมถึง - เอกสารสารสนเทศที่เป็นข้อกำหนดตามมาตรฐานนี้ - เอกสารสารสนเทศที่องค์กรพิจารณาแล้วว่าเป็นข้อกำหนดสำหรับระบบการบริหารความ ต่อเนื่องทางธุรกิจที่มีประสิทธิผล หมายเหตุ ขอบเขตของเอกสารสารสนเทศสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ สามารถแตกต่างกันในแต่ละองค์กร อันเนื่องมาจาก - ขนาดขององค์กรและประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ - ความซับซ้อนและปฏิสัมพันธ์ของกระบวนการ - ความสามารถของบุคลากร 05/04/2017
216
7.5.2 การจัดทำและการทำให้ทันสมัย
05/04/2017 7.5.2 การจัดทำและการทำให้ทันสมัย ในการจัดทำ หรือการทำให้เอกสารสารสนเทศมีความทันสมัย องค์กรต้องมั่นใจตามความเหมาะสมถึง ก) การชี้บ่งและรายละเอียดของเอกสารสารสนเทศ เช่น หัวข้อ ชื่อ วันที่ ผู้แต่ง หมายเลข ข) รูปแบบ เช่น ภาษา รุ่นของซอฟต์แวร์ ภาพกราฟิก และสื่อที่ใช้ เช่น กระดาษ อิเล็กทรอนิกส์ และการทบทวนและการอนุมัติสำหรับ ความเพียงพอ 05/04/2017
217
7.5.3 การควบคุมเอกสารสารสนเทศ
05/04/2017 7.5.3 การควบคุมเอกสารสารสนเทศ เอกสารสารสนเทศที่ต้องการสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ และตาม ข้อกำหนดของ มาตรฐานนี้ต้องได้รับการควบคุมเพื่อมั่นใจว่า ก) มีเพียงพอและเหมาะสมเมื่อใช้งาน ตามสถานที่และเวลาที่ต้องการ ข) มีการปกป้องที่เพียงพอ (เช่น จากการไม่รักษาความลับ มีการใช้งานที่ไม่เหมาะสม หรือ ขาดซึ่งความซื่อสัตย์) สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องดำเนินกิจกรรมดังต่อไปนี้ ตามความ เหมาะสม - การแจกจ่าย การเข้าถึง การเรียกออกมาใช้ และการใช้ - การจัดเก็บและการดูแล รวมทั้งการดูแลเพื่อให้สามารถอ่านได้ง่าย เช่น มีความชัดเจน เพียงพอต่อ การอ่าน - การควบคุมการเปลี่ยนแปลง เช่น การควบคุมครั้งที่จัดทำ (version) - ระยะเวลาการเก็บ และการทำลายทิ้ง - การป้องกันการนำสารสนเทศที่ยกเลิกแล้วไปใช้โดยไม่ตั้งใจ 05/04/2017
218
7.5.3 การควบคุมเอกสารสารสนเทศ
05/04/2017 7.5.3 การควบคุมเอกสารสารสนเทศ เอกสารสารสนเทศที่รับมาจากภายนอกองค์กรซึ่งได้พิจารณาแล้วว่ามีความจำเป็น สำหรับการวางแผนและการดำเนินการของระบบการบริหารความต่อเนื่องทางธุรกิจ ต้องมีการชี้บ่งและควบคุมตามความเหมาะสม ในการควบคุมเอกสารสารสนเทศ องค์กรต้องมั่นใจว่ามีการกำหนดถึงการปกป้อง เอกสารสารสนเทศอย่างเพียงพอ เช่น การปกป้องจากการยินยอม การดัดแปลง แก้ไขจากผู้ที่ไม่มีอำนาจ หรือ การลบทิ้ง หมายเหตุ การเข้าถึง ให้มีความหมายว่าเป็นการตัดสินใจเกี่ยวกับการอนุญาตให้ มองเห็นเอกสารสารสนเทศเท่านั้น หรือการอนุญาตและให้อำนาจในการมองเห็น และเปลี่ยนแปลงเอกสารสารสนเทศได้ด้วย ฯลฯ 05/04/2017
219
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
220
05/04/2017 6.0 7.0 5.0 9.0 10.0 4.0 05/04/2017
221
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ 8.2 การวิเคราะห์ผลกระทบทางธุรกิจ
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ 8.4 การจัดทำและการนำขั้นตอการดำเนินงานบริหารความต่อเนื่องไปปฏิบัติ 8.5 การฝึกซ้อมและการทดสอบ 05/04/2017
222
8.1 การวางแผนและการควบคุมการดำเนินการ
05/04/2017 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้ เป็นไปตามข้อกำหนดและการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กำหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดำเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจำเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดำเนินการแทน 05/04/2017
223
ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO
05/04/2017 ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตาม ข้อกำหนด และการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กำหนดไว้ 05/04/2017
224
8.2 การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง
05/04/2017 8.2 การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง 8.2.1 ทั่วไป องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการที่กำหนดขึ้นเป็นเอกสารและเป็นทางการ สำหรับการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง ซึ่ง ก) กำหนดบริบทการประเมิน กำหนดเกณฑ์และประเมินถึงแนวโน้มของผลกระทบที่อาจจะเกิดขึ้น จากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ข) พิจารณาถึงกฎหมายและข้อกำหนดอื่นๆ ที่เกี่ยวข้องกับองค์กร ค) รวมถึงการวิเคราะห์อย่างเป็นระบบ การจัดลำดับความสำคัญของการจัดการความเสี่ยง และ ค่าใช้จ่ายที่เกี่ยวข้อง ง) กำหนดผลลัพธ์ที่ต้องการจากการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง จ) ระบุข้อกำหนดเพื่อให้สารสนเทศนี้มีความทันสมัยและเป็นความลับ หมายเหตุ การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงมีอยู่หลายวิธี ซึ่งจะพิจารณา ถึงลำดับก่อนหลังในการจัดการกับความเสี่ยงเหล่านี้ 05/04/2017
225
8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ
05/04/2017 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการประเมินที่กำหนดขึ้น อย่างเป็นทางการและเป็นเอกสารสำหรับการพิจารณาถึงลำดับความสำคัญของ ความต่อเนื่องและการฟื้นฟู วัตถุประสงค์ และเป้าหมาย ซึ่งกระบวนการนี้ต้อง รวมถึงการประเมินผลกระทบจากการหยุดชะงักของกิจกรรมที่มีส่วนสนับสนุนต่อ ผลิตภัณฑ์และบริการขององค์กรด้วย การวิเคราะห์ผลกระทบทางธุรกิจต้องรวมถึงสิ่งต่างๆ ต่อไปนี้ ก) การชี้บ่งกิจกรรมที่สนับสนุนการส่งมอบผลิตภัณฑ์และบริการ ข) การประเมินผลกระทบตลอดช่วงระยะเวลาที่กิจกรรมเหล่านี้หยุดชะงัก ค) กำหนดลำดับความสำคัญของกรอบระยะเวลาเพื่อการกลับมาดำเนินการได้อีก ครั้งของกิจกรรมเหล่านี้ในระดับขั้นต่ำสุดที่กำหนดซึ่งสามารถยอมรับได้ โดย คำนึงถึงระยะเวลาที่ไม่สามารถยอมรับได้หากไม่มีการแก้ไขผลกระทบนั้น ง) การชี้บ่งถึงการพึ่งพาและทรัพยากรที่สนับสนุนกิจกรรมเหล่านี้ รวมทั้งผู้ส่งมอบ ผู้รับจ้าง(outsource partner) และผู้มีส่วนได้เสียอื่นๆ ที่เกี่ยวข้อง 05/04/2017
226
05/04/2017 Form A - BIA 05/04/2017
227
8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ
05/04/2017 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ 05/04/2017
228
8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ
05/04/2017 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ By Department Survey Form ? 05/04/2017
229
แผนที่คุณอาจมีอยู่แล้ว
05/04/2017 แผนที่คุณอาจมีอยู่แล้ว Evacuation plan • Fire protection plan • Safety and health program • Environmental policies • Security procedures • Insurance program • Finance and purchasing procedures Plant closing policy • Employee manuals • Hazardous materials plan • Process safety assessment • Risk management plan • Capital improvement program • Mutual aid agreements 05/04/2017
230
หาข้อมูล ความช่วยเหลือ จากภายนอก
05/04/2017 หาข้อมูล ความช่วยเหลือ จากภายนอก Community emergency management office • Mayor or Community Administrator’s office • Local Emergency Planning Committee (LEPC) • Fire Department • Police Department • Emergency Medical Services organizations • Red Cross • Planning Commission • Telephone Companies • Electric Utilities • Neighboring businesses National Weather Service • Public Works Department 05/04/2017
231
ระบุมาตรฐาน และ กฏระเบียบข้อบังคับ
05/04/2017 ระบุมาตรฐาน และ กฏระเบียบข้อบังคับ • Occupational safety and health regulations • Environmental regulations • Fire codes • Safety codes • Transportation regulations • Zoning regulations Corporate policies 05/04/2017
232
ระบุ ผลิตภัณฑ์ บริการ กระบวนการหลัก
05/04/2017 ระบุ ผลิตภัณฑ์ บริการ กระบวนการหลัก ข้อมูลที่จำเป็น เพื่อทำการประเมิน กำหนด เหตุวิกฤติ: ผลิตภัณฑ์ บริการ และ ทรัพยากรที่จำเป็น (คน อาคาร สถานที่ทำงาน และสิ่ง อำนวยความสะดวกที่เกี่ยวข้อง, เครื่องจักร อุปกรณ์ต่างๆ ทั้งฮาร์ดแวร์และ ซอฟต์แวร์, บริการสนับสนุนต่างๆ (เช่น การขนส่ง, การสื่อสาร หรือ ระบบ สารสนเทศ) เพื่อให้สามารถส่งมอบผลิตภัณฑ์ บริการ ตามที่กำหนด ผลิตภัณฑ์ บริการที่ส่งมอบผ่าน ผู้ส่งมอบ โดยเฉพาะผู้ส่งมอบช่วง บริการที่ต้องมีพร้อมตลอดเวลา ไฟฟ้า น้ำ การสื่อสาร การขนส่ง กระบวนการ อุปกรณ์ เครื่องมือ เครื่องจักร ที่ไม่อาจขาดได้ เพื่อให้สามารถให้ทำ การส่งมอบผลิตภัณฑ์ บริการ อย่างต่อเนื่อง 05/04/2017
233
ระบุ ทรัพยากรภายใน และ กำลังความสามารถ
05/04/2017 ระบุ ทรัพยากรภายใน และ กำลังความสามารถ สิ่งที่คุณอาจจำเป็น ต้องมีในภาวะฉุกเฉิน คน ทีมกู้ภัยสารเคมี ทีม PR ทีมงานรักษาพยาบาล ทีมสู้ไฟ อุปกรณ์เครื่องจักร อุปกรณ์ป้องกันไฟใหม้ อุปกรณ์ในการสื่อสาร สัญญาณเตือน ไฟสำรอง อาคารสถานที่ พื้นที่สำรอง รวมพล ห้องให้ข้อมูล กำลังความสามารถองค์กร ฝึกอบรม จำนวนและประเภทพนักงานสนับสนุน การแบ็คอัพ ระบบจ่ายค่าจ้าง การสื่อสาร การผลิต การบริการลูกค้า การจัดส่งและรับ ระบบ สนับสนุนระบบข้อมูล ระบบไฟฉุกเฉิน การฟื้นฟู 05/04/2017
234
ระบุ ทรัพยากรภายนอก และ กำลังความสามารถ
05/04/2017 ระบุ ทรัพยากรภายนอก และ กำลังความสามารถ สำนักงานชั่วคราวเพื่อการบริหารในภาวะวิกฤติ, สถานีดับเพลิง, องค์กรควบคุมดูแลด้านวัตถุอันตราย, การให้บริการทางการแพทย์ฉุกเฉิน, โรงพยาบาลในพื้นที่ใกล้เคียง, สถานีตำรวจ , องค์กรที่ให้บริการสาธารณูปโภค, ผู้รับเหมา, ผู้จำหน่ายอุปกรณ์ฉุกเฉิน, ประกันภัย 05/04/2017
235
ระบุ เงื่อนไข สัญญาประกันที่มี
05/04/2017 ระบุ เงื่อนไข สัญญาประกันที่มี มูลค่า ครอบคลุม ในยามหยุดให้บริการ ความครอบคลุม โอกาสที่เพิ่ม โอกาสที่ลด บันทึก เอกสารอะไรที่ ที่บริษัทประกัน ต้องการ 05/04/2017
236
ประเมินภัยคุกคามที่อาจมี
05/04/2017 ประเมินภัยคุกคามที่อาจมี Historical — What types of emergencies have already occurred in your community, at your facility or at other facilities in the area? Fires • Severe weather • Hazardous material spills • Biological incident • Transportation accidents • Utility outages • Earthquakes, hurricanes, tornadoes • Terrorism Geographical — What can happen as a result of your facility's location? Keep in mind: Proximity to flood plains, seismic faults and dams • Proximity to companies that produce, store, use or transport hazardous materials • Proximity to nuclear power plants • Major transportation routes and airports Technological — What could result from a process or system failure? Possibilities include: • Fire, explosion, hazardous materials incident • Safety system failure • Telecommunications failure • Computer system failure • Power failure • Heating/cooling system failure • Emergency notification system failure 05/04/2017
237
ประเมินภัยคุกคามที่อาจมี
05/04/2017 ประเมินภัยคุกคามที่อาจมี Human Error — What emergencies could be caused by employee error? Are your employees trained to work safely? Do they know what to do in an emergency? • Human error is the single largest cause of workplace emergencies and can result from: • Poor training • Poor maintenance • Carelessness • Misconduct • Substance abuse • Fatigue Physical — What types of emergencies could result from the design or construction of your facility? Does the physical facility enhance safety? Consider: • The physical construction of your facility • Hazardous processes or by-products • Facilities for storing combustibles • Layout of equipment • Lighting Evacuation routes and exits • Proximity of shelter area Regulatory — What emergencies or hazards are you regulated to deal with? Analyze each potential emergency from beginning to end. Consider what could happen as a result of: • Prohibited access to the facility • Loss of electric power • Communication lines down • Ruptured gas mains • Water damage • Smoke damage • Structural damage • Air or waster contamination • Explosion • Building collapse • Trapped persons • Chemical release 05/04/2017
238
8.2.3 การประเมินความเสี่ยง
05/04/2017 8.2.3 การประเมินความเสี่ยง องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการประเมินความเสี่ยงที่กำหนดขึ้น อย่างเป็นทางการและเป็นเอกสาร สำหรับการชี้บ่ง การวิเคราะห์ และการประเมินความเสี่ยง จากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักอย่างเป็นระบบ หมายเหตุ กระบวนการนี้สามารถดำเนินการตามมาตรฐาน มอก องค์กรต้อง ก) ชี้บ่งความเสี่ยงของการหยุดชะงักต่อกิจกรรมที่มีความสำคัญขององค์กรและกระบวนการ ระบบสารสนเทศ บุคลากร สินทรัพย์ ผู้รับจ้าง และทรัพยากรอื่นที่สนับสนุนสิ่งเหล่านี้ ข) วิเคราะห์ความเสี่ยงอย่างเป็นระบบ ค) ประเมินว่ามีความเสี่ยงที่เกี่ยวข้องกับการหยุดชะงักใดที่จำเป็นต้องมีการจัดการความ เสี่ยง ง) ชี้บ่งการจัดการความเสี่ยงที่มีความเหมาะสมกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ และ เป็นไปตามระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ หมายเหตุ องค์กรต้องตระหนักว่าข้อผูกพันด้านการเงินหรือของภาครัฐบางประการ จำเป็นต้องสื่อสารรายละเอียดของความเสี่ยงเหล่านี้แตกต่างกันไปในแต่ละระดับ นอกจากนี้ ความต้องการทางสังคมบางประการ สามารถเป็นการประกันถึงการแบ่งปันของ สารสนเทศ ในระดับของรายละเอียดที่เหมาะสม 05/04/2017
239
Form B - Risk Assessment
05/04/2017 Form B - Risk Assessment 05/04/2017
240
Form B - Risk Assessment
05/04/2017 Form B - Risk Assessment 05/04/2017
241
Form B - Risk Assessment
05/04/2017 Form B - Risk Assessment 05/04/2017
242
8.2.3 การประเมินความเสี่ยง
05/04/2017 8.2.3 การประเมินความเสี่ยง สถานการณ์ที่ซึ่ง • สถานที่เสียหาย หรือ ไม่สามารถเข้าถึง– e.g. industrial action / fire / flooding • การเสียหายของ ระบบ IT / ระบบเน็ตเวอร์ค / ฮาร์ดแวร์ / ซอฟแวร์ / ข้อมูล –e.g. ไฟฟ้า ดับ / ไวรัส • ไม่มีพนักงานหลัก – e.g. เกิดโรคระบาด , ประท้วง • การไม่มีหรือเสียหายจากทรัพยากรต่างๆ – e.g. ผู้ส่งมอบสำคัญ , น้ำมัน , น้ำ 05/04/2017
243
05/04/2017 05/04/2017
244
05/04/2017 05/04/2017
245
05/04/2017 05/04/2017
246
05/04/2017 05/04/2017
247
05/04/2017 From C 05/04/2017
248
05/04/2017 05/04/2017
249
05/04/2017 05/04/2017
250
05/04/2017 05/04/2017
251
05/04/2017 05/04/2017
252
05/04/2017 05/04/2017
253
05/04/2017 05/04/2017
254
05/04/2017 05/04/2017
255
05/04/2017 05/04/2017
256
05/04/2017 05/04/2017
257
05/04/2017 05/04/2017
258
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ
05/04/2017 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ 8.3.1 การกำหนดและการเลือก การกำหนดและการเลือกกลยุทธ์ต้องอยู่บนพื้นฐานของผลลัพธ์ที่มาจากการ วิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง องค์กรต้องกำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจอย่างเหมาะสมสำหรับ ก) การปกป้องกิจกรรมที่มีความสำคัญ ข) สร้างเสถียรภาพ ความต่อเนื่อง การกลับมาดำเนินการใหม่ และการฟื้นฟู กิจกรรมที่มีความสำคัญและกิจกรรมที่เกี่ยวเนื่อง รวมทั้ง ทรัพยากรที่จำเป็นต่อ กิจกรรมที่มีความสำคัญ ค) การบรรเทา การตอบสนอง และการจัดการผลกระทบ การกำหนดกลยุทธ์ ต้องรวมถึง การอนุมัติกรอบเวลาในการกลับคืนมาดำเนินการ ของกิจกรรมที่มีความสำคัญ องค์กรต้องประเมินขีดความสามารถของผู้ส่งมอบสำหรับการดำเนินธุรกิจอย่าง ต่อเนื่อง 05/04/2017
259
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ
05/04/2017 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ จัดทำลำดับความสำคัญต่อการตอบสนอง เหตุการณ์ ทำมาตรการป้องกัน มาตรการการแบ็คอัพ 05/04/2017
260
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ
05/04/2017 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ มาตรการแบ็คอัพ CD /Tape/ DR / Daily/weekly/increment/full บริการคลาวด์ ระยะห่างระหว่างสถานที่ ที่อาจเกิดปัญหาพร้อมๆกัน ระยะเวลาที่ต้องการเข้าถึงข้อมูล ความปลอดภัยข้อมูล สภาพแวดล้อมที่เก็บ Cost ?? 05/04/2017
261
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ
05/04/2017 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ มาตรการด้าน อาคารสถานที่ Cost ?? 05/04/2017
262
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ
05/04/2017 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ มาตรการด้านเครื่องมือ อุปกรณ์ ทำสัญญา Service Level Agreement ( SLAs) ซื้อ เก็บ และ สำรอง พร้อมใช้ ใช้เครื่องมือ อุปกรณ์ ที่มีอยู่จาก ….. Cost ?? 05/04/2017
263
05/04/2017 05/04/2017
264
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ
05/04/2017 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ บริการอื่นๆ ที่อาจต้องคิดถึง Off-site storage location (for both the primary and alternate sites) Cleaning and restoration companies Software vendors Temporary personnel providers Office supply vendors Networking and telephone providers Transportation and lodging Car rental agencies Couriers Bank Fire, police, hospitals, ambulance service Civil Defense Post Office Regulatory agencies Power and utility companies Newspapers, radio and TV stations Contractors Real Estate Agencies Law Firms 05/04/2017
265
05/04/2017 05/04/2017
266
05/04/2017 05/04/2017
267
05/04/2017 05/04/2017
268
05/04/2017 05/04/2017
269
8.3.2 การจัดทำข้อกำหนดด้านทรัพยากร
05/04/2017 8.3.2 การจัดทำข้อกำหนดด้านทรัพยากร องค์กรต้องพิจารณาข้อกำหนดด้านทรัพยากรเพื่อนำกลยุทธ์ที่ได้เลือกไว้ไปปฏิบัติ ประเภทของทรัพยากรที่นำมาพิจารณาอย่างน้อยต้องประกอบด้วย ก) บุคลากร ข) สารสนเทศและข้อมูล ค) อาคาร สภาพแวดล้อมในการทำงาน และสาธารณูปโภคที่เกี่ยวข้อง ง) สิ่งอำนวยความสะดวก อุปกรณ์ และโภคภัณฑ์ จ) ระบบเทคโนโลยีสารสนเทศและการสื่อสาร ฉ) การขนส่ง ช) การเงิน ซ) หุ้นส่วน และผู้ส่งมอบ 05/04/2017
270
05/04/2017 05/04/2017
271
05/04/2017 05/04/2017
272
05/04/2017 05/04/2017
273
05/04/2017 05/04/2017
274
05/04/2017 05/04/2017
275
05/04/2017 05/04/2017
276
8.3.3 การปกป้องและการบรรเทา
05/04/2017 8.3.3 การปกป้องและการบรรเทา สำหรับความเสี่ยงที่กำหนดให้ต้องมีการลดความเสี่ยง องค์กรต้อง พิจารณาถึงมาตรการเชิงรุก โดย ก) ลดโอกาสของการหยุดชะงัก ข) ทำให้ช่วงเวลาของการหยุดชะงักสั้นลง ค) จำกัดผลกระทบของการหยุดชะงักเฉพาะผลิตภัณฑ์และบริการที่ สำคัญขององค์กร องค์กรต้องเลือกและจัดการความเสี่ยงอย่างเหมาะสมให้สอดคล้อง ตามความเสี่ยงที่ยอมรับได้ 05/04/2017
277
05/04/2017 Form D Risk Mitigation 05/04/2017
278
05/04/2017 Form D Risk Mitigation 05/04/2017
279
05/04/2017 Form D Risk Mitigation 05/04/2017
280
05/04/2017 8.4 การจัดทำและการนำขั้นตอนการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจไปปฏิบัติ 05/04/2017
281
05/04/2017 8.4 การจัดทำและการนำขั้นตอนการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจไปปฏิบัติ 8.4.1 ทั่วไป องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ เพื่อจัดการกับอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักและทำให้กิจกรรมสามารถดำเนินไปอย่างต่อเนื่อง บนพื้นฐานของวัตถุประสงค์ของการฟื้นฟูที่ได้ระบุไว้จากการวิเคราะห์ผลกระทบทางธุรกิจ องค์กรต้องจัดทำขั้นตอนการดำเนินงานเป็นเอกสารซึ่งรวมถึงการเตรียมการที่จำเป็น เพื่อให้มั่นใจว่า กิจกรรมสามารถดำเนินไปอย่างต่อเนื่องและมีการจัดการกับอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ขั้นตอนการดำเนินงานต้อง ก) กำหนดระเบียบวิธีการสำหรับการสื่อสารภายในและภายนอกอย่างเหมาะสม ข) มีความเฉพาะเจาะจงในขั้นตอนต่างๆ ที่ต้องดำเนินการทันทีในระหว่างหยุดชะงัก ค) มีความยืดหยุ่นต่อการตอบสนองภัยคุกคามที่ไม่ได้คาดการณ์ไว้ และต่อสถานการณ์ภายในและ ภายนอกที่มีการเปลี่ยนแปลง ง) มุ่งเน้นต่อผลกระทบจากเหตุการณ์ที่มีแนวโน้มทำให้เกิดการหยุดชะงัก จ) กำหนดขึ้นบนพื้นฐานของข้อสมมติฐานที่ได้ระบุไว้ และการวิเคราะห์การพึ่งพาซึ่งกันและกัน ฉ) มีประสิทธิผลในการลดผลกระทบให้เกิดขึ้นน้อยที่สุดโดยปฏิบัติตามกลยุทธ์สำหรับการบรรเทา ที่เหมาะสม 05/04/2017
282
8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์
05/04/2017 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ องค์กรต้องจัดทำเอกสารขั้นตอนการดำเนินงานและนำไปปฏิบัติ และการจัดการ โครงสร้างเพื่อตอบสนองต่ออุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก โดยบุคลากรที่ รับผิดชอบ มีอำนาจหน้าที่ และความสามารถที่จำเป็นในการจัดการกับอุบัติการณ์ โครงสร้างการตอบสนองต้อง ก) ระบุระดับของผลกระทบที่จะมีการตัดสินใจให้เริ่มตอบสนองอย่างเป็นทางการ ข) ประเมินลักษณะและขอบเขตของอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก และ แนวโน้มของผลกระทบ ค) เริ่มต้นการตอบสนองความต่อเนื่องทางธุรกิจอย่างเหมาะสม ง) มีกระบวนการและขั้นตอนการดำเนินงานสำหรับการเริ่มต้น การดำเนินการ การ ประสานงาน และการสื่อสารในการตอบสนอง 05/04/2017
283
8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์
05/04/2017 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ จ) มีทรัพยากรอย่างเพียงพอสำหรับใช้สนับสนุนกระบวนการและขั้นตอนการ ดำเนินงานในการจัดการกับอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักเพื่อทำให้เกิดผล กระทบน้อยที่สุด ฉ) สื่อสารกับผู้มีส่วนได้เสียและผู้มีอำนาจตามกฎหมาย รวมทั้งสื่อต่างๆ องค์กรต้องตัดสินใจโดยพิจารณาจากประเด็นความปลอดภัยของชีวิตว่าเป็นสิ่ง สำคัญสูงสุด และ ได้ปรึกษาหารือกับผู้มีส่วนได้เสียแล้วว่าองค์กรจะสื่อสารไปยัง ภายนอกเกี่ยวกับความเสี่ยงและ ผลกระทบที่มีนัยสำคัญนี้หรือไม่ และให้จัดทำผล การตัดสินใจไว้เป็นเอกสาร หากการตัดสินใจ ให้สื่อสารไปยังภายนอก องค์กรต้อง จัดทำและนำไปปฏิบัติซึ่งขั้นตอนการดำเนินงานสำหรับการสื่อสาร การเตือนภัย และการแจ้งเตือนไปยังภายนอก รวมทั้งสื่อที่ใช้ตามความเหมาะสม 05/04/2017
284
Response ท่านหรือทีมท่านต้องเตรียมการอย่างไร
05/04/2017 Response ท่านหรือทีมท่านต้องเตรียมการอย่างไร ให้ รวมทีมงานจัดการอุบัติการณ์ กับ ผู้เชี่ยวชาญในการทำความเข้าใจวิกฤติ แต่ละชนิด เพื่อให้ได้แผน แผน incident response team หัวหน้าทีม Response ทีม ผู้ประเมิน 05/04/2017
285
8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์
05/04/2017 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 05/04/2017
286
8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์
05/04/2017 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 05/04/2017
287
8.4.3 การแจ้งเตือนและการสื่อสาร
05/04/2017 8.4.3 การแจ้งเตือนและการสื่อสาร องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานสำหรับ ก) การตรวจหาอุบัติการณ์ ข) การเฝ้าระวังอุบัติการณ์อย่างสม่ำเสมอ ค) การสื่อสารภายในองค์กรและการรับ การทำเป็นเอกสาร และการตอบสนองต่อ การสื่อสารที่รับจากผู้มีส่วนได้เสีย ง) การรับ การทำเป็นเอกสาร และการตอบสนองต่อระบบให้คำปรึกษาเกี่ยวกับ ความเสี่ยง(risk advisory system) ในระดับประเทศหรือระดับภูมิภาค หรือที่ เทียบเท่า จ) การประกันว่าช่องทางที่ใช้สำหรับการสื่อสารในระหว่างเกิดอุบัติการณ์ที่ทำให้ หยุดชะงักมีอยู่อย่างเพียงพอ 05/04/2017
288
8.4.3 การแจ้งเตือนและการสื่อสาร
05/04/2017 8.4.3 การแจ้งเตือนและการสื่อสาร ฉ) สร้างโครงข่ายในการสื่อสารกับหน่วยงานที่ทำหน้าที่ตอบสนองต่อภาวะฉุกเฉิน ช) บันทึกข้อมูลที่สำคัญเกี่ยวกับอุบัติการณ์ การปฏิบัติการและการตัดสินใจที่ได้ ทำไปแล้ว สำหรับประเด็นต่อไปนี้เป็นสิ่งที่ต้องพิจารณาและดำเนินการ หาก สามารถทำได้ - การเตือนภัยต่อผู้มีส่วนได้เสียที่มีแนวโน้มว่าจะได้รับผลกระทบจากอุบัติการณ์ที่ ทำให้เกิดการหยุดชะงักที่ได้เกิดขึ้นแล้ว หรือที่ใกล้จะเกิดขึ้น - การประกันว่าสามารถดำเนินงานร่วมกันในการตอบสนองระหว่างหลายองค์กร หรือบุคลากร การใช้อุปการณ์สื่อสาร ขั้นตอนการดำเนินงานในการสื่อสารและการแจ้งเตือนต้องมีการฝึกซ้อมอย่าง สม่ำเสมอ 05/04/2017
289
05/04/2017 05/04/2017
290
05/04/2017 05/04/2017
291
05/04/2017 05/04/2017
292
05/04/2017 05/04/2017
293
05/04/2017 05/04/2017
294
05/04/2017 05/04/2017
295
05/04/2017 05/04/2017
296
05/04/2017 05/04/2017
297
05/04/2017 05/04/2017
298
8.4.4 แผนความต่อเนื่องทางธุรกิจ
05/04/2017 8.4.4 แผนความต่อเนื่องทางธุรกิจ องค์กรต้องจัดทำเอกสารขั้นตอนการดำเนินงานสำหรับการตอบสนองต่ออุบัติการณ์ที่ทำให้ เกิดการหยุดชะงัก และวิธีการที่จะดำเนินการได้อย่างต่อเนื่อง หรือการฟื้นฟูกิจกรรมภายใน กรอบระยะเวลาที่ได้กำหนดไว้ ขั้นตอนการดำเนินงานดังกล่าวต้องระบุผู้รับผิดชอบในการ นำขั้นตอนดังกล่าวไปปฏิบัติ แผนความต่อเนื่องทางธุรกิจต้องประกอบด้วยหัวข้อต่อไปนี้ ก) การกำหนดบทบาทหน้าที่และความรับผิดชอบสำหรับบุคลากรและทีมงานที่มีอำนาจ หน้าที่ในระหว่างและภายหลังการเกิดอุบัติการณ์ ข) กระบวนการสำหรับสั่งการให้เริ่มตอบสนองต่ออุบัติการณ์ ค) รายละเอียดการจัดการกับผลกระทบที่เกิดขึ้นอย่างทันท่วงทีจากอุบัติการณ์ที่ทำ ให้เกิด การหยุดชะงัก โดยคำนึงถึง 1) สวัสดิภาพของแต่ละบุคคล 2) กลยุทธ์ ยุทธวิธี และทางเลือกในการดำเนินการสำหรับการตอบสนองต่อการ หยุดชะงัก 3) การป้องกันความเสียหายที่จะเกิดขึ้นเพิ่มเติม หรือการสูญเสียกิจกรรมที่สำคัญ ง) รายละเอียดของวิธีการและสถานการณ์ที่องค์กรจะสื่อสารกับพนักงานและบุคคลที่ เกี่ยวข้องผู้มีส่วนได้เสียที่สำคัญ และหน่วยงานที่ต้องติดต่อเมื่อเกิดเหตุฉุกเฉิน 05/04/2017
299
8.4.4 แผนความต่อเนื่องทางธุรกิจ
05/04/2017 8.4.4 แผนความต่อเนื่องทางธุรกิจ จ) วิธีการที่องค์กรจะเริ่มดำเนินกิจกรรมหรือฟื้นฟูกิจกรรมที่มีความสำคัญภายในกรอบระยะเวลา ที่ได้พิจารณากำหนดไว้ล่วงหน้า ฉ) รายละเอียดของการตอบสนองของสื่อขององค์กรภายหลังการเกิดอุบัติการณ์ ซึ่งรวมถึง 1) กลยุทธ์การสื่อสาร 2) วิธีการที่ต้องการในการประสานกับสื่อ 3) แนวทางหรือรูปแบบสำหรับร่างแถลงการณ์สำหรับสื่อมวลชน 4) ผู้แถลงข่าวที่มีความเหมาะสม ช) กระบวนการสำหรับการถอนตัวภายหลังอุบัติการณ์สิ้นสุดลง แต่ละแผนต้องกำหนด - เป้าหมายและขอบข่าย - วัตถุประสงค์ - เกณฑ์สำหรับการเริ่มปฏิบัติการและขั้นตอนการดำเนินงาน - การปฏิบัติตามขั้นตอนการดำเนินงาน - บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ ข้อกำหนดและขั้นตอนการดำเนินงานสำหรับการสื่อสาร - การพึ่งพากันและปฏิสัมพันธ์ระหว่างหน่วยงานภายในและภายนอก - ทรัพยากรที่ต้องการ - แผนผังของสารสนเทศ และกระบวนการด้านการเอกสาร 05/04/2017
300
05/04/2017 Normal operations = 100% of agreed Service Delivery Standards Degraded (Impact) Level 1 = XX% of agreed Service Delivery Standards Degraded (Impact) Level 2 = YY% of agreed Service Delivery Standards It is fundamental to define the output capabilities at degraded levels of operation and the minimum resource requirements, particularly in terms of staff and equipment. After this study, it is neces Example: If it is possible to achieve only 50% of the Baggage handling system service delivery standards, it will be necessary to calculate the cumulative effect on the aircraft turn around process, flight delays and the possible knock-on effect on the aircraft movement schedules, passenger check-in delays, passenger bag pick-up delays, etc…sary to assess the effect of degraded service on this process and other integrated Processes
301
Form E Continue / Recovery Option
05/04/2017 Form E Continue / Recovery Option 05/04/2017
302
Form E Continue / Recovery Option
05/04/2017 Form E Continue / Recovery Option 05/04/2017
303
Form E Continue / Recovery Option
05/04/2017 Form E Continue / Recovery Option 05/04/2017
304
Incident response plan
05/04/2017 Incident response plan วิธีปฏิบัติที่ชัดเจนและเฉพาะเจาะจง สำหรับ ชั่วโมงแรกที่เกิดวิกฤติ รายชื่อของทีมงานตอบสนอง และ รายละเอียดสำหรับหน้าที่ ความรับผิดชอบ ชุดฉุกเฉิน ที่ประกอบด้วยเอกสารสำคัญ อุปกรณ์ที่สามารถหยิบหาได้อย่างรวดเร็ว และง่ายต่อการนำออกนอกสถานที่ รายการ รายชื่อติดต่อทั้งในและนอกสถานที่ รายการ checklist ที่สามารถปฏิบัติตามได้ ง่าย รายชื่อบุคคลที่อยู่ในแผน ที่มีหน้าที่สั่งการ และภายใต้สถานการณ์ใด รวมอพยพ แผนอพยพ บันทึมสถานการณ์ การตัดสินใจ และกิจการ รมต่างๆ สำหรับงานสำคัญ 05/04/2017
305
วัตถุประสงค์ของแผน วัตถุประสงค์ของแผน
05/04/2017 วัตถุประสงค์ของแผน Always prepare for your Worst case scenario วัตถุประสงค์ของแผน ให้มีการปรับเปลี่ยนอย่างมีประสิทธิภาพจากสภาพปกติไปเป็นสภาพในภาวะ วิกฤติ ให้แนวทางอย่างพอเพียงสำหรับการเกิดสถานการณ์ที่ไม่อาจคาดเดาและ ซับซ้อน ให้มีการกระทำที่เหมือนกัน ให้มีการดำเนินกิจกรรมที่สอดคล้องต่อวิสัยทัศน์ พันธกิจขององค์กร กำหนดระดับความมั่นคง ปลอดภัยของผู้ที่อยู่ในสถานที่ระหว่างเกิดภัยภิบัติ ลดการสูญเสียทางการเงิน ให้บริการให้กับผู้ขอรับบริการอย่างต่อเนื่อง 05/04/2017
306
วัตถุประสงค์ของแผน ให้สามารถดำเนินการปฏิบัติการในงานที่สำคัญ
05/04/2017 วัตถุประสงค์ของแผน ให้สามารถดำเนินการปฏิบัติการในงานที่สำคัญ ลดความเสี่ยงจากความล่าช้าในการจัดทำพื้นที่สำรอง ลดระยะเวลาที่เกิดภาวะชะงักงันที่รุนแรงต่อการดำเนินงาน ละการเกิดการสูญเสียและเสียหาย ระบุสายการบังคับบัญชาในงานหลักและรองระหว่างเกิดวิกฤติ ลดกระบวนการตัดสินใจระหว่างเกิดวิกฤติ ทำการบริหารในภาวะวิกฤติอย่างสำเร็จ ได้รับการสื่อเชิงบวก จากการวางแผนล่วงหน้า ลดผลกระทบของสถานการณ์ที่อาจเกิดโดยไม่อาจคาดเดา ซึ่งอาจก่อให้เกิดการชะงักงันในกระบวนการ งานหลักๆขององค์กร 05/04/2017
307
ตัวอย่าง วัตถุประสงค์ของ BCP ที่ไม่ค่อย ….
05/04/2017 ตัวอย่าง วัตถุประสงค์ของ BCP ที่ไม่ค่อย …. วัตถุประสงค์ (Objectives) เพื่อใช้เป็นแนวทางในการบริหารความตํอเนื่อง เพื่อให้หนํวยงานมีการเตรียมความพร้อมในการรับมือกับสภาวะวิกฤต เพื่อลดผลกระทบจากการหยุดชะงักในการดำเนินงานหรือการให้บริการ เพื่อบรรเทาความเสียหายให้อยูํระดับที่ยอมรับได๎ เพื่อให้ประชาชน เจ้าหน้าที่ หนํวยงานภาครัฐและรัฐวิสาหกิจที่เกี่ยวข้อง และผู้ที่ มีส่วนได้ส่วนเสีย (Stakeholders) มีความเชื่อมั่นในศักยภาพของหนํวยงาน แม้ หนํวยงานต้องเผชิญกับเหตุการณ์ร้ายแรง และสํงผลกระทบจนทำให๎การ ดำเนินงานต้องหยุดชะงัก 05/04/2017
308
แผนบริหารความต่อเนื่องระดับหน่วยงาน
05/04/2017 แผนบริหารความต่อเนื่องระดับหน่วยงาน ตัวอย่าง คณะทำงานฯ ได้จัดทำแผนบริหารความตํอเนื่อง(BCP) เป็นขั้นตอน ของการจัดทำแผนงานเพื่อเตรียมความพร้อมให้สำนักงานสลากฯ ใน หนํวยงานหลัก มีดังนี้ กองออกรางวัล สำนักเทคโนโลยีสารสนเทศ สำนักจำยรางวัล สำนักการตลาดและจัดจำหนำย สำนักบริหารการเงิน สำนักการพิมพ์ งานสารบรรณ 05/04/2017
309
ขอบเขตของแผน BCM กำหนดให้ดี เพื่อให้ได้แผนที่ดี
05/04/2017 ขอบเขตของแผน BCM “ Business issue not data processing issue “ ทุกภัยพิบัติที่อาจเกิดขึ้นได้ คิดถึงสมมุติฐาน สถานการณ์ที่แย่สุด สถานการณ์ อาคารหลักถูกทำลาย อาคารหลัก พื้นที่หลักเสียหาย หรือถูกปิดกั้นเข้าถึงไม่ได้ การให้บริการของผู้ส่งมอบหลักๆหยุดกระทันหัน ไม่มีไฟฟ้า หรือ การสื่อสารหลัก ( Internet) Network loss, system loss, data loss บันทึกสำคัญสูญหาย คนที่มีทักษะหลักไม่อยู่ กำหนดให้ดี เพื่อให้ได้แผนที่ดี 05/04/2017
310
สมมติฐานของแผนบริหารความต่อเนื่อง(BCP Assumptions)
05/04/2017 สมมติฐานของแผนบริหารความต่อเนื่อง(BCP Assumptions) ทุกอาคารโดนปิดกั้น DC ได้เกิดความเสียหายโดยสิ้นเชิง สัญญาการว่าจ้างสำหรับพื้นที่สำรองมีพร้อม สารสนเทศที่จำได้เป็นได้รับการจัดทำและได้รับการติดต่อก่อนหน้า อุปกรณ์ด้านคอมพิวเตอร์ รวมถึงเครื่องอุปกรณ์ ได้มีการติดตั้งระบบ ไฟสำรองที่พร้อมต่อการทำงานระห่ว่าง 1-2 ชั่วโมง ระหว่างไฟฟ้า ดับ จำนวนพนักงานสำรองมีพร้อมในการทำงานวิกฤติตามแผน แผนก…. ได้มีการติดตั้ง เข้าสู่พื้นที่ …… ล่วงหน้า เป็นการทำงานโดยใช้ Laptop และ มีสัญญาณ cloud etc 05/04/2017
311
ทีมงานงานแผนความต่อเนื่องทางธุรกิจ
05/04/2017 ทีมงานงานแผนความต่อเนื่องทางธุรกิจ กี่คนดี ควรมีใครบ้าง ต้องตั้งตอนไหน ต้องตั้งโดยใคร 05/04/2017
312
ทีมงานงานแผนความต่อเนื่องทางธุรกิจ
05/04/2017 ทีมงานงานแผนความต่อเนื่องทางธุรกิจ Facilities/Security • Customer Service • Human Resources • Sales and Marketing • Data Processing and Operations • Legal • Telecommunications and networks • Data Entry • Data Security • Finance and purchasing • Administration/Contracts Systems and Applications programming • Production Control • Public Information Officer • Community relations • Upper management • Line management • Labor • Engineering and maintenance 05/04/2017
313
ทีมงานงานแผนความต่อเนื่องทางธุรกิจ
05/04/2017 ทีมงานงานแผนความต่อเนื่องทางธุรกิจ เพื่อให้แผนบริหารความต่อเนื่อง (BCP) ของฝ่ายบริหารทั่วไปสามารถนำไป ปฏิบัติได้อย่างมีประสิทธิภาพและเกิดประสิทธิผลจะต้องจัดตั้งทีมบริหารความ ต่อเนื่อง (BCP Team) ขึ้นโดย BCP Team ประกอบด้วยหัวหน้าทีมบริหารความต่อเนื่องและทีมงานบริหารความต่อเนื่อง โดยทุกตำแหน่งจะต้องร่วมมือกันดูแลติดตามปฏิบัติงานและกู้คืนเหตุการณ์ ฉุกเฉินในสำนักจ่ายรางวัล ให้สามารถบริหารความต่อเนื่องและกลับสู่สภาวะปกติ ได้โดยเร็วตามบทบาทหน้าที่ที่กำหนดไว้ของทีมบริหารความต่อเนื่อง (BCP Team) และในกรณีที่บุคลากรหลักไม่สามารถปฏิบัติหน้าที่ได้ให้บุคลากรสำรอง รับผิดชอบทำหน้าที่ในบทบาทของบุคลากรหลัก 05/04/2017
314
ทีมงานงานแผนความต่อเนื่องทางธุรกิจ
05/04/2017 ทีมงานงานแผนความต่อเนื่องทางธุรกิจ 05/04/2017
315
ทีมงานงานแผนความต่อเนื่องทางธุรกิจ
05/04/2017 ทีมงานงานแผนความต่อเนื่องทางธุรกิจ หัวหน้าคณะบริหารความต่อเนื่อง ได้แก่ ผู้บริหารสูงสุดของหน่วยงาน มีหน้าที่ ในการ ประเมิน ลักษณะ ขอบเขตและแนวโน้มของอุบัติการณ์ที่เกิดขึ้น เพื่อ ตัดสินใจประกาศใช้แผนความต่อเนื่อง และดาเนินการตามขั้นตอนและแนว ทางการบริหารความต่อเนื่อง ตลอดจนสรรหาทรัพยากรตามที่ได้กาหนดไว้ในแผน ความต่อเนื่อง หัวหน้าทีมบริหารความต่อเนื่อง ได้แก่ ผู้บริหารของฝ่ายงาน/ส่วนงานใน หน่วยงาน มี หน้าที่ในการสนับสนุนการปฏิบัติงานของหัวหน้าคณะบริหารความ ต่อเนื่องและคณะบริหารความต่อเนื่อง และดาเนินการตามขั้นตอนและแนวทางการ บริหารความต่อเนื่อง ตลอดจนสรรหาทรัพยากรที่ได้กาหนดไว้ในแผนความ ต่อเนื่องของฝ่ายงาน/ส่วนงานของตน ผู้ประสานงานคณะบริหารความต่อเนื่อง มีหน้าที่ในการติดต่อและประสานงาน ภายในหน่วยงานและให้การสนับสนุนในการติดต่อสื่อสารกับฝ่ายงาน/ส่วนงาน ภายในหน่วยงานและองค์กร และดาเนินการตามขั้นตอนและแนวทางการบริหาร ความต่อเนื่อง 05/04/2017
316
ทีมงานงานแผนความต่อเนื่องทางธุรกิจ
05/04/2017 ทีมงานงานแผนความต่อเนื่องทางธุรกิจ 05/04/2017
317
05/04/2017 05/04/2017
318
05/04/2017 05/04/2017
319
05/04/2017 05/04/2017
320
05/04/2017 05/04/2017
321
05/04/2017 05/04/2017
322
05/04/2017 05/04/2017
323
05/04/2017 05/04/2017
324
05/04/2017 05/04/2017
325
05/04/2017 05/04/2017
326
05/04/2017 05/04/2017
327
05/04/2017 05/04/2017
328
05/04/2017 05/04/2017
329
05/04/2017 05/04/2017
330
05/04/2017 05/04/2017
331
05/04/2017 8.4.5 การฟื้นฟู องค์กรต้องมีเอกสารขั้นตอนการดำเนินงานในการฟื้นฟู และทำให้กิจกรรมทางด้านธุรกิจที่ดำเนินตามมาตรการ ชั่วคราวกลับสู่การดำเนินการตามภาวะปกติภายหลัง อุบัติการณ์ 05/04/2017
332
Recovery Recovery ประเมินขอบเขตของการเสียหาย
05/04/2017 Recovery Recovery ประเมินขอบเขตของการเสียหาย ประเมิน ระหว่างการเกิดความเสียหาย ผู้คนที่บาดเจ็บ รวมพนักงาน ลูกค้า และ .. ความเสียหายด้านชื่อเสียง ผลกระทบต่อการดำเนินธุรกิจ การเสียหายของอาคาร สถานที่ รถยนต์ สต็อก จิตใจ ขวัญกำลังใจ พนักงานงาน การ สนับสนุนที่ต้องการ 05/04/2017
333
Recovery ทำการติดต่อประสานกับผู้มีสวนร่วม
05/04/2017 Recovery ทำการติดต่อประสานกับผู้มีสวนร่วม อย่าลืมเรื่อง human aspect ระหว่าง crisis ระบุ ผู้ส่งมอบรายอื่น อาคารอื่น ๆ กระบวนการอื่น พนักงานเข้าใจ และ ได้เริ่มเก็บงาน ท่านมีประกันพอ ผลกระทบต่อธุรกิจ 05/04/2017
334
อะไรคือ การฝึกซ้อม 3.18 การฝึกซ้อม (exercise)
05/04/2017 อะไรคือ การฝึกซ้อม 3.18 การฝึกซ้อม (exercise) กระบวนการเพื่อการฝึกอบรม การประเมิน การฝึกปฏิบัติ และการปรับปรุงสมรรถนะ ภายในองค์กร หมายเหตุ 1 การฝึกซ้อมสามารถนำไปใช้เพื่อยืนยันเกี่ยวกับนโยบาย แผนงาน ขั้นตอน การดำเนินงานการฝึกอบรม อุปกรณ์ และข้อตกลงระหว่างองค์กร เพื่อเป็นการชี้แจงและการ ฝึกอบรม บุคลากรเกี่ยวกับบทบาทหน้าที่และความรับผิดชอบ เพื่อปรับปรุงการประสานงาน และ การสื่อสารระหว่างองค์กร เพื่อชี้บ่งถึงช่องว่างเกี่ยวกับทรัพยากร เพื่อการปรับปรุง สมรรถนะ ของแต่ละบุคคลและชี้บ่งถึงโอกาสในการปรับปรุง และสร้างโอกาสในการฝึก ปฏิบัติ ต่อสถานการณ์เฉพาะหน้า หมายเหตุ 2 การทดสอบเป็นการฝึกซ้อมที่มีความเฉพาะเจาะจง โดยมีความคาดหวังผล จากการฝึกซ้อม ว่าผ่านหรือไม่ผ่านตามเป้าประสงค์หรือวัตถุประสงค์ของการฝึกซ้อมที่ได้ วางแผนไว้ 05/04/2017
335
8.5 การฝึกซ้อมและการทดสอบ
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ องค์กรต้องฝึกซ้อมและทดสอบขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ เพื่อให้มั่นใจว่าขั้นตอนมีความสอดคล้องกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ ขององค์กร องค์กรต้องดำเนินการฝึกซ้อมและทดสอบ โดยที่ ก) สอดคล้องกับขอบข่ายและวัตถุประสงค์ของระบบการบริหารความต่อเนื่องทาง ธุรกิจ ข) อยู่บนพื้นฐานของสถานการณ์สมมติที่เหมาะสม และมีการวางแผนเป็นอย่างดี โดยมีเป้าหมายและวัตถุประสงค์ซึ่งได้กำหนดไว้อย่างชัดเจน ค) ทบทวนความใช้ได้ของการดำเนินการเพื่อความต่อเนื่องของธุรกิจที่เกี่ยวข้อง กับผู้มีส่วนได้เสียโดยดำเนินการร่วมกันเมื่อเวลาผ่านไป ง) ลดความเสี่ยงจากการหยุดชะงักของการดำเนินการให้เหลือน้อยที่สุด จ) จัดทำรายงานสรุปผลภายหลังการทดสอบที่รวมถึงผลลัพธ์ ข้อเสนอแนะ และ สิ่งที่ต้องปรับปรุงต่อไป ฉ) ได้รับการทบทวนภายใต้บริบทของการส่งเสริมการปรับปรุงอย่างต่อเนื่อง ช) ดำเนินการตามช่วงเวลาที่ได้วางแผนไว้ และเมื่อมีการเปลี่ยนแปลงที่มี นัยสำคัญเกิดขึ้นภายในองค์กรหรือต่อสภาพแวดล้อมของการดำเนินงานของ องค์กร 05/04/2017
336
8.5 การฝึกซ้อมและการทดสอบ
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ วัตถุประสงค์ และ ประโยชน์ ทดสอบเมื่อมีสิ่งใหม่ๆ เครื่องจักรใหม่ งานใหม่ ทีมงานใหม่ ทบทวนเพื่อกันหลงลืม ทวนสอบตรวจสอบความพร้อมของพื้นที่สำรอง มั่นใจความเพียงพอของแผนกิจกรรม ระบุจุดบกพร่องของขั้นตอนปฏิบัติ ให้การอบรมกับทีมงานฟื้นฟู การกู้คืน ผู้จัดการ และพนักงาน แสดงให้เห็นความสามารถในการกู้คืน เป็นวิธีการในการทบทวน ธำรงรักษา และปรับปรุงแผนการกู้คืน 05/04/2017
337
8.5 การฝึกซ้อมและการทดสอบ
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ Checklist Testing การทดสอบประเภทนี้ ใช้เพื่อพิจารณาว่า มีวัสดุ อุปกรณ์ สถานที่ที่เพียงพอจัดเก็บพร้อมสำหรับสถานที่ สำรอง หมายเลขโทรศัพท์เป็นปัจจุบัน แบบฟอร์มเป็นฉบับปัจจุบัน มีสำเนาคู่มือ มีแผนงานความต่อเนื่องพร้อม แต่ละแผนกมีความสอดคล้องกับแผน 05/04/2017
338
8.5 การฝึกซ้อมและการทดสอบ
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ Non-Business-Interruption Test เป็นการกำหนดสถานการณ์ จำลองภัยพิบัติ ไม่มีผลกระทบกับงาน ปกติ วัตถุประสงค์ของการทดสอบ วัตถุประสงค์ เวลา กำหนดการ ระยะเวลาทีทำการทดสอย ผู้มีส่วนร่วมและการมอบหมาย ข้อจำกัดและสมมุติฐาน อาจประกอบด้วย การแจ้งข่าว การดำเนินการตามขั้นตอนฉุกเฉิน เป็นการทดสอบทั้ง ซอพแวร์ ฮาร์ดแวร์ ทีมกู้ภัย การสื่อสาร ผู้ส่ง มอบ แบบฟอร็มที่ใช้ การจัดเก็บบันทึกนอกสถานที่ การขนส่ง ระบบ ยูทิลิตี้ การย้ายเครื่องจักรอุปกรณ์ 05/04/2017
339
8.5 การฝึกซ้อมและการทดสอบ
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ Business Interruption Testing ใช้ค่าใช้จ่ายมาก ทดสอบแผนเต็ม หรือ เป็นส่วนๆ ต้องวางแผนช่วงจังหวะในการทดสอบให้ดี ต้องตั้งข้อสมมุติในกสารทดสอบ การเสียหาย ทรัพบากร เวลา 05/04/2017
340
8.5 การฝึกซ้อมและการทดสอบ
05/04/2017 8.5 การฝึกซ้อมและการทดสอบ 05/04/2017
341
05/04/2017
342
05/04/2017
343
05/04/2017
344
05/04/2017
345
05/04/2017
346
05/04/2017 05/04/2017
347
05/04/2017 05/04/2017
348
05/04/2017 05/04/2017
349
05/04/2017 05/04/2017
350
05/04/2017 05/04/2017
351
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
352
9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน
05/04/2017 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน 9.1.1 ทั่วไป องค์กรต้องพิจารณาถึง ก) สิ่งที่ต้องการวัดและเฝ้าระวัง ข) วิธีการสำหรับการเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน เพื่อให้มั่นใจถึงความ ถูกต้องของผลลัพธ์ตามความเหมาะสม ค) เวลาที่ต้องดำเนินการวัดและเฝ้าระวัง ง) เวลาที่ต้องดำเนินการวิเคราะห์และการประเมินผลลัพธ์ที่ได้จากการวัดและเฝ้าระวัง องค์กรต้องเก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงถึงผลลัพธ์อย่างเหมาะสม องค์กรต้องประเมินสมรรถนะและประสิทธิผลของระบบการบริหารความต่อเนื่องทางธุรกิจ นอกจากนี้ องค์กรต้อง - ดำเนินการกับแนวโน้มหรือผลลัพธ์ในเชิงลบกรณีที่จำเป็น ก่อนที่ความไม่เป็นไปตาม ข้อกำหนดจะเกิดขึ้น - เก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงถึงผลลัพธ์ 05/04/2017
353
9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน
05/04/2017 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน ขั้นตอนการดำเนินงานสำหรับการเฝ้าระวังสมรรถนะ ต้องให้ได้มาซึ่ง - การกำหนดหน่วยวัดสมรรถนะ (performance metrics) ที่เหมาะสมกับความต้องการของ องค์กร - ขอบเขตการเฝ้าระวังครอบคลุมถึงการบรรลุนโยบาย วัตถุประสงค์ และเป้าหมายความ ต่อเนื่องทางธุรกิจขององค์กร - สมรรถนะของกระบวนการ ขั้นตอนการดำเนินงาน และหน่วยงานที่ทำการปกป้องกิจกรรม ที่มีความสำคัญ - การเฝ้าระวังความเป็นไปตามข้อกำหนดของมาตรฐานนี้และวัตถุประสงค์ความต่อเนื่อง ทางธุรกิจ - การเฝ้าระวังหลักฐานของความบกพร่องของการดำเนินระบบการบริหารความต่อเนื่องทาง ธุรกิจที่เกิดขึ้นในอดีต - การบันทึกข้อมูลและผลลัพธ์ของการเฝ้าระวังและการวัดเพื่อนำมาช่วยในการปฏิบัติการ แก้ไขในภายหลัง หมายเหตุ ข้อบกพร่องของการดำเนินงาน สามารถรวมถึงความไม่เป็นไปตามข้อกำหนด เหตุการณ์ ที่เกือบจะสูญเสีย ความล้มเหลวของการเตือนภัย และอุบัติการณ์ที่เกิดขึ้นจริง 05/04/2017
354
9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน
05/04/2017 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน 9.1.2 ขั้นตอนการดำเนินงานการประเมินผลของความต่อเนื่องทางธุรกิจ ก) องค์กรต้องประเมินขั้นตอนการดำเนินงานด้านความต่อเนื่องทางธุรกิจและขีด ความสามารถขององค์กรเพื่อให้มั่นใจว่าขั้นตอนดังกล่าวยังคงมีความเหมาะสม พอเพียง และมีประสิทธิผล ข) การประเมินต้องพิจารณาถึงการทบทวนตามช่วงเวลาที่กำหนดไว้ การฝึกซ้อม การ ทดสอบ การรายงานภายหลังการเกิดอุบัติการณ์ และการประเมินสมรรถนะ การ เปลี่ยนแปลงอย่างมีนัยสำคัญที่เกิดขึ้นต้องมีการนำไปปรับปรุงขั้นตอนการดำเนินงานภายใน ระยะเวลา ที่เหมาะสม ค) องค์กรต้องประเมินความสอดคล้องกับข้อกำหนดของกฎหมายและระเบียบข้อบังคับที่ เกี่ยวข้องการปฏิบัติที่เป็นเลิศในภาคอุตสาหกรรมนั้นๆ และการเป็นไปตามนโยบายและ วัตถุประสงค์ความต่อเนื่องทางธุรกิจขององค์กรตามช่วงเวลาที่กำหนด ง) องค์กรต้องประเมินตามช่วงเวลาที่ได้วางแผนไว้และเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ เมื่อเกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักและเป็นผลให้มีการดำเนินการตามขั้นตอนการ ดำเนินงานความต่อเนื่องทางธุรกิจ องค์กรต้องทบทวนภายหลังการเกิดอุบัติการณ์นั้นและ บันทึกผลลัพธ์ไว้ 05/04/2017
355
05/04/2017 9.2 การตรวจประเมินภายใน องค์กรต้องตรวจประเมินภายในองค์กรตามช่วงเวลาที่กำหนดไว้ เพื่อให้ได้ สารสนเทศมาประกอบ การพิจารณาว่าระบบการบริหารความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมีประสิทธิภาพ องค์กรต้อง - วางแผน จัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งโปรแกรมการตรวจประเมิน รวมทั้ง ความถี่ วิธีการ ความรับผิดชอบ ข้อกำหนดในการวางแผน และการรายงาน โดย โปรแกรมการตรวจประเมิน ต้องคำนึงถึงความสำคัญของกระบวนการที่เกี่ยวข้อง และผลจากการตรวจประเมินครั้งก่อน - ระบุเกณฑ์การตรวจประเมินและขอบข่ายสำหรับการตรวจประเมินแต่ละครั้ง 05/04/2017
356
05/04/2017 9.2 การตรวจประเมินภายใน คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมินเพื่อให้มั่นใจถึงความเป็น รูปธรรมและ ความเป็นกลางของกระบวนการตรวจประเมิน - มั่นใจว่ามีการรายงานผลการตรวจประเมินให้ผู้บริหารที่เกี่ยวข้อง - เก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงการนำโปรแกรมการตรวจ ประเมินไปปฏิบัติและผลการตรวจประเมิน โปรแกรมการตรวจประเมิน รวมทั้งกำหนดการใดๆ ต้องอยู่บนพี้นฐานจากผลการ ประเมินความเสี่ยงจากกิจกรรมต่างๆ ขององค์กร และผลของการตรวจประเมินที่ ผ่านมา ขั้นตอนการดำ เนินงาน การตรวจประเมินต้องครอบคลุมถึงขอบข่าย ความถี่ วิธีการ และความสามารถ รวมทั้งความรับผิดชอบและข้อกำหนดสำหรับการตรวจประเมินและการรายงานผล ผู้บริหารที่รับผิดชอบในพื้นที่ที่รับการตรวจประเมินต้องมั่นใจว่าได้ทำการแก้ไขและ การปฏิบัติการแก้ไขที่จำเป็นโดยไม่ชักช้าเพื่อกำจัดสิ่งที่ไม่เป็นไปตามข้อกำหนด ที่ตรวจพบรวมทั้งสาเหตุ กิจกรรมในการตรวจติดตามผลต้องรวมถึงการทวนสอบ ผลของการดำเนินการและการรายงานผลของการทวนสอบ 05/04/2017
357
9.3 การทบทวนการบริหารงาน
05/04/2017 9.3 การทบทวนการบริหารงาน ผู้บริหารสูงสุดต้องทบทวนระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้มั่นใจว่ายังคงเหมาะสม เพียงพอ และมีประสิทธิผล อย่างต่อเนื่อง การทบทวนการบริหารงานต้องพิจารณาถึง ก) สถานะของการปฏิบัติการจากการทบทวนการบริหารงานครั้งก่อน ข) การเปลี่ยนแปลงประเด็นภายนอกและภายในที่เกี่ยวข้องกับระบบการบริหาร ความต่อเนื่องทางธุรกิจ ค) สารสนเทศของสมรรถนะของความต่อเนื่องทางธุรกิจ รวมทั้งแนวโน้มเกี่ยวกับ 1) ความไม่เป็นไปตามข้อกำหนดและการปฏิบัติการแก้ไข 2) ผลการประเมินการเฝ้าระวังและการวัด 3) ผลการตรวจประเมิน ง) โอกาสสำหรับการปรับปรุงอย่างต่อเนื่อง 05/04/2017
358
9.3 การทบทวนการบริหารงาน
05/04/2017 9.3 การทบทวนการบริหารงาน การทบทวนการบริหารงานต้องพิจารณาถึงสมรรถถะขององค์กร ประกอบด้วย - การติดตามผลปฏิบัติการจากการทบทวนการบริหารงานครั้งก่อน - ความจำเป็นในการเปลี่ยนแปลงระบบการบริหารความต่อเนื่องทางธุรกิจ รวมทั้งนโยบาย และวัตถุประสงค์ - โอกาสสำหรับการปรับปรุง - ผลการตรวจประเมินและการทบทวนระบบการบริหารความต่อเนื่องทางธุรกิจ รวมทั้งผู้ส่ง มอบและหุ้นส่วนที่สำคัญตามความเหมาะสม - เทคนิค ผลิตภัณฑ์ หรือขั้นตอนการดำเนินงานที่อาจนำใช้องค์กรเพื่อการปรับปรุง สมรรถนะและประสิทธิผลของระบบการบริหารความต่อเนื่องทางธุรกิจ - สถานะของการปฏิบัติการแก้ไข - ผลจากการฝึกซ้อมและการทดสอบ - ความเสี่ยงหรือประเด็นต่างๆ ที่ไม่ได้ระบุไว้ในการประเมินความเสี่ยงที่ผ่านมา - การเปลี่ยนแปลงใดๆ ทั้งภายในและภายนอกที่อาจส่งผลกระทบต่อขอบข่ายของระบบการ บริหารความต่อเนื่องทางธุรกิจ - ความเพียงพอของนโยบาย - ข้อแนะนำสำหรับการปรับปรุง - การเรียนรู้และการดำเนินการที่เกิดขึ้นจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก - การปฏิบัติที่ดีและข้อแนะนำใหม่ๆ 05/04/2017
359
9.3 การทบทวนการบริหารงาน
05/04/2017 9.3 การทบทวนการบริหารงาน ผลจากการทบทวนการบริหารงานต้องรวมถึงการตัดสินใจและการดำเนินการที่เกี่ยวข้องกับโอกาส ใน การปรับปรุงอย่างต่อเนื่องและความต้องการให้มีการเปลี่ยนแปลงที่เป็นไปได้ต่อระบบการบริหาร ความ ต่อเนื่องทางธุรกิจ และประกอบด้วยรายละเอียดดังต่อไปนี้ ก) ความหลากหลายของขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ ข) การปรับปรุงประสิทธิผลของระบบการบริหารความต่อเนื่องทางธุรกิจ ค) การปรับการประเมินความเสี่ยง การวิเคราะห์ผลกระทบทางธุรกิจ แผนความต่อเนื่องทางธุรกิจ และ ขั้นตอนการดำเนินงานที่เกี่ยวข้องให้ทันสมัย ง) การปรับเปลี่ยน (modification) ขั้นตอนการดำเนินงานและการควบคุมการตอบสนองต่อเหตุการณ์ ภายในหรือภายนอกที่อาจส่งผลกระทบต่อระบบการบริหารความต่อเนื่องทางธุรกิจ รวมทั้ง การ เปลี่ยนแปลงต่อ 1) ข้อกำหนดทางธุรกิจและการดำเนินการ 2) ข้อกำหนดในการลดความเสี่ยงและข้อกำหนดด้านความมั่นคง 3) สภาวะและกระบวนการในการดำเนินการ 4) ข้อกำหนดของกฎหมายและระเบียบข้อบังคับต่างๆ 5) เงื่อนไขความรับผิดชอบตามข้อตกลง (contractual obligation) 6) ระดับของความเสี่ยง และ/หรือ เกณฑ์ในการยอมรับความเสี่ยง 7) ทรัพยากรที่จำเป็น 8) ข้อกำหนดด้านแหล่งทุนและงบประมาณ 05/04/2017
360
9.3 การทบทวนการบริหารงาน
05/04/2017 9.3 การทบทวนการบริหารงาน จ) วิธีการวัดถึงประสิทธิผลของการควบคุม องค์กรต้องเก็บรักษาไว้ซึ่งเอกสารสารสนเทศเพื่อเป็นหลักฐานของผลการทบทวน การบริหารงาน องค์กรต้อง - สื่อสารผลการทบทวนการบริหารงานไปยังผู้มีส่วนได้เสียที่เกี่ยวข้อง - ปฏิบัติการที่เกี่ยวข้องกับผลการทบทวนเหล่านั้นอย่างเหมาะสม 05/04/2017
361
High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.
362
10.1 ความไม่เป็นไปตามข้อกำหนดและการปฏิบัติการแก้ไข
05/04/2017 10.1 ความไม่เป็นไปตามข้อกำหนดและการปฏิบัติการแก้ไข เมื่อเกิดความไม่เป็นไปตามข้อกำหนด องค์กรต้อง ก) ชี้บ่งความไม่เป็นไปตามข้อกำหนด ข) ตอบสนองต่อสิ่งที่ไม่เป็นไปตามข้อกำหนด และวิธีต่อไปนี้หากทำได้ 1) ปฏิบัติการเพื่อการควบคุม และแก้ไขความไม่เป็นไปตามข้อกำหนดเหล่านี้ 2) ดำเนินการต่อผลที่เกิดขึ้น ค) องค์กรต้องประเมินความจำเป็นในการปฏิบัติการเพื่อขจัดสาเหตุของความไม่เป็นไปตาม ข้อกำหนดด้วย เพื่อไม่ให้เกิดซ้ำหรือเกิดขึ้นในที่อื่นใด โดย 1) ทบทวนความไม่เป็นไปตามข้อกำหนด 2) พิจารณาสาเหตุของความไม่เป็นไปตามข้อกำหนด 3) พิจารณาว่ามีความไม่สอดคล้องที่คล้ายคลึงกันเกิดขึ้นหรือมีแนวโน้มเกิดขึ้นหรือไม่ 4) ประเมินความจำเป็นสำหรับการปฏิบัติการแก้ไขเพื่อให้มั่นใจว่าความไม่เป็นไปตาม ข้อกำหนดจะไม่เกิดซ้ำหรือเกิดขึ้นในที่อื่นอีก 5) พิจารณาและนำการปฏิบัติแก้ไขไปปฏิบัติตามที่จำเป็น 6) ทบทวนประสิทธิผลของการปฏิบัติการแก้ไขที่ได้ดำเนินการไป 7) เปลี่ยนแปลงระบบการบริหารความต่อเนื่องทางธุรกิจ หากจำเป็น 05/04/2017
363
10.1 ความไม่เป็นไปตามข้อกำหนดและการปฏิบัติการแก้ไข
05/04/2017 10.1 ความไม่เป็นไปตามข้อกำหนดและการปฏิบัติการแก้ไข ง) นำการปฏิบัติการใดๆ ที่จำเป็นไปปฏิบัติ จ) ทบทวนประสิทธิผลของการปฏิบัติการแก้ไขที่ได้ดำเนินการไป ฉ) เปลี่ยนแปลงระบบการบริหารความต่อเนื่องทางธุรกิจ หากจำเป็น การปฏิบัติการแก้ไขต้องเหมาะสมกับผลกระทบจากความไม่เป็นไปตามข้อกำหนด ที่พบ องค์กรต้องเก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานของ - ลักษณะของความไม่เป็นไปตามข้อกำหนดและการปฏิบัติการที่ได้ดำเนินการ หลังจากนั้น - ผลของการปฏิบัติการแก้ไข 05/04/2017
364
10.2 การปรับปรุงอย่างต่อเนื่อง
05/04/2017 10.2 การปรับปรุงอย่างต่อเนื่อง องค์กรต้องปรับปรุงอย่างต่อเนื่องเพื่อการคงไว้ซึ่งระบบการบริหารความต่อเนื่อง ทางธุรกิจที่เหมาะสมเพียงพอ หรือเกิดประสิทธิผล หมายเหตุ องค์กรสามารถใช้กระบวนการของระบบการบริหารความต่อเนื่องทาง ธุรกิจ เช่น ความเป็นผู้นำ การวางแผน และการประเมินสมรรถนะเพื่อบรรลุผลใน การปรับปรุง 05/04/2017
365
05/04/2017 05/04/2017
366
05/04/2017 05/04/2017
367
05/04/2017 05/04/2017
368
05/04/2017 05/04/2017
369
05/04/2017 05/04/2017
370
ISO 22301, like all new/updated ISO management systems standards will now follow the format as directed by the ISO Technical Management Board (TMB) through ISO/IEC Directives, Part 1 Consolidated ISO Supplement – Procedures specific to ISO, Annex SL, appendix 3 – High level structure, identical core text and common terms and core definitions. The first paragraph of this document states: The aim of this document is to enhance the consistency and alignment of ISO management system standards by providing a unifying and agreed high level structure, identical core text and common terms and core definitions. The aim being that all ISO management system “requirements” standards are aligned and the compatibility of these standards is enhanced. It is envisaged that individual management systems standard will add additional “discipline–specific” requirements as required. This additional text has been freely used in ISO to what is now quite a robust standard for business continuity. The history behind this structure dates back to the 1990s when ISO floated the idea of having a common structure. However, it wasn’t until the late 2000s; with the proliferation of management systems standards that its need became paramount.
371
05/04/2017 05/04/2017
372
Contact Information Address: BSI Group (Thailand) Co., Ltd. 127/25 Panjathani Tower, 20th Fl. Nonsee Road, Chongnonsee, Yannawa, Bangkok 10120 Telephone: Fax: Links: <Use notes area for details only for the tutor: Notation of slide animation Key points Administration of content information>
373
05/04/2017
374
05/04/2017 วิสัยทัศน์ บริษัท ท่าอากาศยานไทย จำกัด (มหาชน)(ทอท.) เป็นผู้ดำเนินการ และจัดการท่าอากาศยานที่ดีระดับโลก พันธกิจ ให้บริการด้วยใจรักที่เหนือมาตรฐาน และสำนักในความรับผิดชอบต่อ สังคม สิ่งแวดล้อม และ ชุมนุม 05/04/2017
375
05/04/2017 (ก) รายได้จากกิจการการบิน (Aeronautical Revenue) ซึ่งประกอบด้วยค่าธรรมเนียมใน การขึ้นลงของอากาศยาน (Landing Charge) ค่าธรรมเนียมที่เก็บอากาศยาน(Parking Charge) ค่าธรรมเนียมการใช้สนามบิน (Passenger Service Charge) และค่าเครื่องอำนวย ความสะดวก(Aircraft Service Charge) (ข) รายได้ที่ไม่เกี่ยวกับกิจการการบิน(Non Aeronautical Revenue) ซึ่งประกอบด้วย รายได้ส่วนแบ่งผลประโยชน์ (Concession Revenue) ค่าเช่าสำนักงานและค่าเช่า อสังหาริมทรัพย์ (Office and Real Property Rents) และ รายได้จากการให้บริการ (Service Revenue) ทั้งนี้ ในการดำเนินงาน ท่าอากาศยาน ทอท. ยังมีผู้ประกอบการภายนอกเป็นผู้ดำเนินการ เกี่ยวกับการให้บริการที่จำเป็นบาง ส่วน เช่น บริษัท การบินไทย จำกัด (มหาชน) และ บริษัท ไทย แอร์พอร์ตส์ กราวด์ เซอร์วิสเซส จำกัด ซึ่งเป็นผู้ให้บริการภาคพื้นดิน รวมทั้ง การให้บริการผู้โดยสารตามสัญญาอนุญาตให้ดำเนินกิจการภายในท่าอากาศยานซึ่งทำกับ บริษัทดังกล่าว นอกจากนี้ยังมีผู้ประกอบการรายอื่นที่ให้บริการร้านค้าปลีก สิ่งอำนวยความสะดวกในการ เก็บสินค้า รถลีมูซีน บริการที่จอดรถ และสิ่งอำนวยความสะดวกประเภทต่าง ๆ โดย ผู้ประกอบการต่าง ๆ เหล่านี้ จะต้องชำระค่าตอบแทนส่วนแบ่งผลประโยชน์ (Concession Fees) ค่าเช่าพื้นที่ (Rent) และค่าบริการ(Service Charges) ส่วนผู้เช่าพื้นที่บางรายที่ ไม่ได้เข้าทำสัญญาอนุญาตให้ดำเนินกิจการนั้นจะ ชำระเพียงค่าเช่าพื้นที่และค่าบริการให้ ทอท. เท่านั้น 05/04/2017
376
เขตนอกการบิน (LANDSIDE)
05/04/2017 เขตการบิน (AIRSIDE) ทางวิ่ง (RUNWAY) ลานจอดอากาศยาน (APRON) สถานีดับเพลิงและกู้ภัย (FIRE FIGHTINGSTATION) เขตนอกการบิน (LANDSIDE) อาคารผู้โดยสาร (PASSENGER TERMINAL) อาคารคลังสินค้า (CARGO TERMINAL) หอบังคับการบิน (CONTROL TOWER) 05/04/2017
377
อากาศยานอุบัติเหตุในเขตสนามบิน อากาศยานอุบัติเหตุนอกเขตสนามบิน
05/04/2017 แผนฉุกเฉินสนามบิน อย่างน้อยต้องครอบคลุมขั้นตอนปฏิบัติ สำหรับสถานการณ์ฉุกเฉินประเภทต่าง ๆ ดังนี้ อากาศยานอุบัติเหตุในเขตสนามบิน อากาศยานอุบัติเหตุนอกเขตสนามบิน อากาศยานอุบัติการณ์ขณะทำการบิน อุบัติการณ์สินค้าอันตราย การขู่วางระเบิด การปล้นยึดอากาศยาน เพลิงไหม้อาคารหรือสิ่งอำนวยความสะดวกสนามบิน ภัยธรรมชาติ 05/04/2017
378
ฝ่ายปฏิบัติการสนามบิน ฝ่ายดับเพลิงและกู้ภัย ฝ่ายรักษาความปลอดภัย
05/04/2017 อากาศยานอุบัติเหตุในเขต สนามบิน อากาศยานอุบัติเหตุนอกเขต สนามบิน อากาศยานอุบัติการณ์ขณะทำการ บิน อุบัติการณ์สินค้าอันตราย การขู่วางระเบิด การปล้นยึดอากาศยาน เพลิงไหม้อาคารหรือสิ่งอำนวย ความสะดวกสนามบิน ภัยธรรมชาติ ฝ่ายปฏิบัติการสนามบิน ฝ่ายดับเพลิงและกู้ภัย ฝ่ายรักษาความปลอดภัย ศูนย์การแพทย์สนามบิน บริษัทวิทยุการบิน สายการบิน สถานีดับเพลิงเมือง…….. ตำรวจภูธรเมือง…….. กองทัพอากาศ โรงพยาบาล 05/04/2017
379
05/04/2017 05/04/2017
380
05/04/2017 05/04/2017
381
05/04/2017 05/04/2017
382
05/04/2017 05/04/2017
383
05/04/2017 B to B 05/04/2017
384
05/04/2017 B to C 05/04/2017
385
05/04/2017 B to G 05/04/2017
386
05/04/2017 05/04/2017
387
บริษัท ท่าอากาศยานไทย จำกัด (มหาชน)(ทอท.)
05/04/2017 บริษัท ท่าอากาศยานไทย จำกัด (มหาชน)(ทอท.) การพัฒนาให้ท่าอากาศยานสุวรรณภูมิเป็นสนามบินที่มีระบบการ บริหารจัดการภายในที่มีประสิทธิภาพเพื่อรองรับการยุทธศาสตร์การ พัฒนาประเทศนั้น จะต้องมีองค์ประกอบต่างๆ เหล่านี้ อาทิเช่น 1. อาคารต้อนรับผู้โดยสารที่กว้างขวางสามารถรองรับผู้โดยสารได้ 2. ระบบเครื่องมือเครื่องใช้ที่ทันสมัย สะดวกสบายคล่องตัว ช่วย อำนวยการในการเดินทางเข้าออก สนามบิน 3. การให้บริการของเจ้าหน้าที่สนามบินทุกหน่วยงานที่มีความ รวดเร็วและมีประสิทธิภาพ 4. พื้นที่อาคารจอดรถที่กว้างขวางสามารถรองรับรถที่เข้ามาจอด รับส่งผู้โดยสารระยะสั้นรวมทั้งระยะยาว และบริเวณโดยรอบให้มี ความสะอาด ฯลฯ 05/04/2017
388
บริษัท ท่าอากาศยานไทย จำกัด (มหาชน)(ทอท.)
05/04/2017 บริษัท ท่าอากาศยานไทย จำกัด (มหาชน)(ทอท.) แต่ปัจจัยสำคัญในการจูงใจให้ผู้โดยสารและนักท่องเที่ยวเกิด ความรู้สึกมั่นใจที่จะใช้บริการของสนามบินสุวรรณภูมิก็คือ ระบบการ รักษาความปลอดภัย (Security System)การที่ท่าอากาศยาน สุวรรณภูมิจะเพิ่มขีดความสามารถเพื่อก้าวไปสู่การเป็นศูนย์กลาง การบิน(Aviation Hub)ในภูมิภาคเอเชียตะวันออกเฉียงใต้นั้น เกณฑ์ที่ใช้วัดความเป็นสนามบินชั้นนำของโลกนั้น อันดับแรก คือ “ความปลอดภัย”(Security)ซึ่งต้องอาศัยความร่วมมือระหว่าง ภาครัฐ ภาคเอกชนและภาคประชาสังคมที่เข้มแข็ง ในการจัดตั้ง หน่วยงานพิเศษขึ้นมาเพื่อดูแลและรักษาความปลอดภัยโดยเฉพาะ ภายในท่าอากาศยานสุวรรณภูมิเพื่อให้เป็นมาตรฐานที่ยอมรับและ ทัดเทียมกับนานาประเทศ 05/04/2017
งานนำเสนอที่คล้ายกัน
© 2024 SlidePlayer.in.th Inc.
All rights reserved.