งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

Copyright © 2014 BSI. All rights reserved. ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ การตรวจประเมินภายใน.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "Copyright © 2014 BSI. All rights reserved. ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ การตรวจประเมินภายใน."— ใบสำเนางานนำเสนอ:

1 Copyright © 2014 BSI. All rights reserved. ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ การตรวจประเมินภายใน

2 2 Copyright © 2014 BSI. All rights reserved. ยินดีต้อนรับสู่ BCM Auditor มารู้จัก ทักทายกันก่อน 23/08/2014

3 3 Copyright © 2014 BSI. All rights reserved. 9.2 การตรวจประเมินภายใน องค์กรต้องตรวจประเมินภายในองค์กรตามช่วงเวลาที่กำหนดไว้ เพื่อให้ได้ สารสนเทศมาประกอบ การพิจารณาว่าระบบการบริหารความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมีประสิทธิผล องค์กรต้อง - วางแผน จัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งโปรแกรมการตรวจประเมิน รวมทั้ง ความถี่ วิธีการ ความรับผิดชอบ ข้อกำหนดในการวางแผน และการรายงาน โดย โปรแกรมการตรวจประเมิน ต้องคำนึงถึงความสำคัญของกระบวนการที่เกี่ยวข้อง และผลจากการตรวจประเมินครั้งก่อน - ระบุเกณฑ์การตรวจประเมินและขอบข่ายสำหรับการตรวจประเมินแต่ละครั้ง 23/08/2014

4 4 Copyright © 2014 BSI. All rights reserved. 9.2 การตรวจประเมินภายใน คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมินเพื่อให้มั่นใจถึงความเป็น รูปธรรมและความเป็นกลางของกระบวนการตรวจประเมิน - มั่นใจว่ามีการรายงานผลการตรวจประเมินให้ผู้บริหารที่เกี่ยวข้อง - เก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงการนำโปรแกรมการตรวจ ประเมินไปปฏิบัติและผลการตรวจประเมิน โปรแกรมการตรวจประเมิน รวมทั้งกำหนดการใดๆ ต้องอยู่บนพี้นฐานจากผลการ ประเมินความเสี่ยงจากกิจกรรมต่างๆ ขององค์กร และผลของการตรวจประเมินที่ ผ่านมา ขั้นตอนการดำ เนินงานการตรวจประเมินต้องครอบคลุมถึงขอบข่าย ความถี่ วิธีการ และความสามารถ รวมทั้งความรับผิดชอบและข้อกำหนดสำหรับ การตรวจประเมินและการรายงานผล ผู้บริหารที่รับผิดชอบในพื้นที่ที่รับการตรวจประเมินต้องมั่นใจว่าได้ทำการแก้ไขและ การปฏิบัติการแก้ไขที่จำเป็นโดยไม่ชักช้าเพื่อกำจัดสิ่งที่ไม่เป็นไปตามข้อกำหนด ที่ตรวจพบรวมทั้งสาเหตุ กิจกรรมในการตรวจติดตามผลต้องรวมถึงการทวนสอบ ผลของการดำเนินการและการรายงานผลของการทวนสอบ 23/08/2014

5 5 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO ช่วงเวลาในการตรวจประเมิน ภายในที่เหมาะสมเป็น อย่างไรสำหรับ ระบบบริหาร ความต่อเนื่องทางธุรกิจ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 23/08/2014

6 6 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกำหนดสำหรับระบบ การบริหารความต่อเนื่องทาง ธุรกิจขององค์กร ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 23/08/2014

7 7 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกำหนดของ มาตรฐานนี้ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 23/08/2014

8 8 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ ประเมิน ว่าได้มีการนำไปปฏิบัติ อย่างมีประสิทธิผล ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 23/08/2014

9 9 Copyright © 2014 BSI. All rights reserved. หน้าที่ของ BCMS Auditor ส่งเสริมสนับสนุนการปรับปรุงอย่างต่อเนืองสำหรับBCMS และ สมรรถนะของระบบ ติดตามและวัด ระบบการจัดการ รวมถึงการพิสูจน์การสอดคล้องกับ ข้อกำหนด สร้างความตระหนักและความเข้าใจใน BCM เป็นส่วนหนึ่งของการวัดประสิทธิผลของระบบการจัดการให้กับ ผู้บริหารระดับสูง ลดความเสี่ยงของความล้มเหลวของระบบจัดการ และสร้างความ เชื่อมั่นในการจัดการกับสถานการณ์ที่ส่งผลกระทบต่อ

10 10 Copyright © 2014 BSI. All rights reserved. หน้าที่ของ BCMS Auditor ระบุโอกาสในการปรับปรุงและการลดต้นทุนผ่านการทบทวน กระบวนการ ทำให้มั่นใจว่าทรัพยากรได้รับการจัดสรร เตรียมพร้อมตามความ จำเป็น ปรับปรุงกระบวนการทางธุรกิจและปรับปรุงสมรรถนะธุรกิจโดยองค์ รวม ยืนยันการสอดคล้องกับ ISO ข้อ 9.2 – 1 st ‑ party audits ใช้ในการเลือก ประเมิน และ ปรับปรุง ผู้ส่งมอบเหมาช่วงและ ผู้ขาย– 2 nd ‑ party audits (ISO ข้อ 8.3.1) สำหรับการตรวจรับรองระบบ – 3 rd ‑ party audits

11 11 Copyright © 2014 BSI. All rights reserved. คุณสมบัติผู้ตรวจประเมิน ISO22301 BCM คุณลักษณะส่วนบุคคล ความรู้ทั่วไปและทักษะสำหรับการตรวจประเมิน ความรู้และทักษะเฉพาะสำหรับการตรวจ กระบวนการ BCM

12 12 Copyright © 2014 BSI. All rights reserved. ประโยชน์ของการรับรองระบบ BCMS? สร้างความเชื่อมั่นในกระบวนการบริหาร จัดการสำหรับ BCM สร้างความน่าเชื่อถือกับบุคคลที่สนใจ เป็นการประกันให้แก่บุคคลที่สนใจ ว่า ระบบ BCM มีประสิทธิผล เป็นการตรวจสอบยืนยัน ที่เป็นอิสระ ของระบบ BCM การปฏิบัติตาม สอดคล้อง และการปรับปรุง เพิ่มชื่อเสียงทั้งภายในและภายนอก สร้างความได้เปรียบในการแข่งขัน

13 13 Copyright © 2014 BSI. All rights reserved. อะไรคือ การตรวจประเมิน การตรวจประเมิน (audit) หมายถึง กระบวนการที่จัดทำขึ้นอย่าง เป็นระบบ เป็นอิสระ และเป็นลายลักษณ์อักษร เพื่อให้ได้มาซึ่ง หลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) และการ ตรวจประเมินผลอย่างเป็นรูปธรรมเพื่อตัดสินระดับการบรรลุผลตาม เป้าหมายของเกณฑ์การตรวจประเมิน (audit criteria) (ข้อ 3.2) 23/08/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)

14 14 Copyright © 2014 BSI. All rights reserved. 3.3 หลักฐานการตรวจประเมิน (audit evidence) หมายถึง บันทึก ข้อเท็จจริง หรือข้อมูลอื่นที่เกี่ยวข้องกับเกณฑ์การตรวจประเมิน (audit criteria) (3.2) และ สามารถทวนสอบได้ หมายเหตุ หลักฐานการตรวจประเมินอาจเป็นเชิงคุณภาพหรือเชิงปริมาณ 23/08/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)

15 15 Copyright © 2014 BSI. All rights reserved. 3.2 เกณฑ์การตรวจประเมิน (audit criteria) หมายถึง ชุดของนโยบาย ขั้นตอนการ ดำเนินการ หรือข้อกำหนดที่ ใช้อ้างอิงเพื่อนำไปเปรียบเทียบกับหลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) หมายเหตุ 1 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม หมายเหตุ 2 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกำหนดตามกฎหมาย (ที่รับรู้โดยทั่วไปโดย ไม่มีบทบัญญัติหรือที่มี บทบัญญัติเฉพาะ) มักจะใช้คำว่า “เป็นไปตามข้อกำหนด” หรือ “ไม่ เป็นไปตามข้อกำหนด” ในสิ่งที่พบจาก การตรวจประเมิน (audit finding) (ข้อ 3.4) 23/08/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)

16 16 Copyright © 2014 BSI. All rights reserved. 3.4 สิ่งที่พบจากการตรวจประเมิน (audit findings) หมายถึง ผลการประเมินหลักฐานการ ตรวจประเมิน (audit evidence) (ข้อ 3.3) ที่เก็บรวบรวมได้เปรียบเทียบกับเกณฑ์การตรวจ ประเมิน (audit criteria) (ข้อ 3.2) หมายเหตุ 1 สิ่งที่พบจากการตรวจประเมินชี้บอกความสอดคล้องหรือความไม่สอดคล้อง หมายเหตุ 2 สิ่งที่พบจากการตรวจประเมินสามารถนำไปสู่การชี้บ่งโอกาสสำหรับการ ปรับปรุง หรือเพื่อเป็นการบันทึก แนวปฏิบัติที่ดี หมายเหตุ 3 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกำหนดตามกฎหมายหรือข้อกำหนดอื่น สิ่งที่ พบจากการตรวจประเมินจะระบุว่า “เป็นไปตามข้อกำหนด” หรือ “ไม่เป็นไปตามข้อกำหนด” หมายเหตุ 4 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม /08/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)

17 17 Copyright © 2014 BSI. All rights reserved. เกณฑ์การตรวจประเมินมีอะไรบ้าง ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings) 23/08/2014 การตรวจประเมิน (audit )

18 มาทบทวนข้อกำหนด BCM ISO กัน 23/08/2014

19 19 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLANDOCHECKACT BCMS Documented information

20 20 Copyright © 2014 BSI. All rights reserved. มาทบทวนข้อกำหนด ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO /08/2014

21 มาวางแผนการตรวจ ISO22301 BCM กัน 23/08/2014

22 22 Copyright © 2014 BSI. All rights reserved. วางแผนการตรวจ ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO /08/2014

23 23 Copyright © 2014 BSI. All rights reserved. Information that is required:  Location  Scope and duration  Objectives  Criteria  Any documentation that may be relevant  Contact names and details  Any previous audit finding (if applicable)  Any language issues  Logistics and timings if more than one site is involved 23/08/2014

24 มาเตรียม รายการตรวจสอบกัน ISO BCM 23/08/2014

25 25 Copyright © 2014 BSI. All rights reserved. รายการตรวจสอบ ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO /08/2014

26 การทบทวนเอกสาร ISO BCM 23/08/2014

27 27 Copyright © 2014 BSI. All rights reserved. การทบทวนเอกสาร ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO /08/2014

28 การหาหลักฐาน ISO BCM 23/08/2014

29 29 Copyright © 2014 BSI. All rights reserved. การหาหลักฐานการสอดคล้องและ… ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO /08/2014

30 การรายงานความไม่สอดคล้องและ สอดคล้อง ISO BCM 23/08/2014

31 31 Copyright © 2014 BSI. All rights reserved. การรายงาน ความไม่สอดคล้องและ… ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO /08/2014

32 32 Copyright © 2014 BSI. All rights reserved. ANNEX 23/08/2014

33 ประโยชน์ของระบบ ISO /08/2014

34 34 Copyright © 2014 BSI. All rights reserved. เรื่องของการบริหารความต่อเนื่องทางธุรกิจ สร้างหลักประกันให้ลูกค้าและ ผู้ลงทุน ลดผลกระทบด้าน การเงิน สร้างความสามารถในการแข่งขันในช่วงที่ เกิดภัยพิบัติ ภัยคุกคาม ทำให้มั่นใจในเรื่องเวลาที่สามารถกลับมา ให้บริการ สร้างความได้เปรียบในกรณีที่คู่แข่งไม่มี แผน ลดความสับสนและลดการตัดสินใจที่ ผิดพลาด ทำให้เกิดความปลอดภัยต่อ พนักงาน ผู้รับเหมา ผู้เยี่ยมชม ผู้ที่เกี่ยวช้ออื่นๆ Iso การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคาม ที่อาจจะเกิดขึ้นต่อองค์กร และผลกระทบของภัย คุกคามนั้นต่อการดำเนินธุรกิจ และให้แนวทางใน การสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 23/08/2014

35 35 Copyright © 2014 BSI. All rights reserved. เรื่องของการบริหารความต่อเนื่องทางธุรกิจ การบริหารความต่อเนื่อง : ส่วนหนึ่ง ของการบริหารความเสี่ยง เน้นที่ การ กู้กลับคืนฟังชั่นทางธุรกิจ ที่สำคัญหลังจากการหยุดชะงัก ธุรกิจจำนวนมากไม่สามารถเปิด ดำเนินการใหม่หลังเกิดภัยพิบัติต่างๆ 23/08/2014

36 มาตรฐาน ความต่อเนื่องทางธุรกิจ มี อะไรบ้าง 23/08/2014

37 37 Copyright © 2014 BSI. All rights reserved. 23/08/2014

38 38 Copyright © 2014 BSI. All rights reserved.

39 39 Copyright © 2014 BSI. All rights reserved. 23/08/2014

40 ทำไมต้องทำ ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO /08/2014

41 41 Copyright © 2014 BSI. All rights reserved. ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทาง ธุรกิจ ISO งานที่ต้องทำทุกวันก็เยอะ ทำไมเราไม่ยอมรับความเสี่ยง ! หากเกิดภาวะวิกฤติ ท่านแน่ใจว่าจะสามารถจัดการภาวะวิกฤติได้ ดีกว่าคู่แข่ง และ หากไม่ดีกว่าเราจะสูญเสียอะไรไปและเท่าไหร่ พนักงานท่านและลูกค้าท่านมีความปลอดภัยในชีวิตและทรัพสินย์ หรือไม่ ท่านวางแผนรองรับสื่อมวลชน ผู้ถือหุ้น พนักงานท่านได้ดีเพียงใด เมื่อเกิดภาวะวิกฤติ ท่านได้เริ่มลด หรือ กำจัด เหตุที่อาจทำให้ไม่เกิดความต่อเนื่องบ้าง หรือยัง เช่น เหตุแห่งก่อให้เกิด ไฟใหม้ น้ำท่วม การโจรกรรมข้อมูล หรือยัง 23/08/2014

42 42 Copyright © 2014 BSI. All rights reserved. ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทาง ธุรกิจ ISO หลังวิกฤติ โอกาสทางธุรกิจ ได้มีโอกาสลูกค้าใหม่ๆ สนับสนุนลูกค้าเก่า ชื่อเสียง บริการชุมชน กลยุทธ์การสื่อสาร สร้าง กระแสดี 23/08/2014

43 43 Copyright © 2014 BSI. All rights reserved. 1. ขอบข่าย มาตรฐานนี้ใช้สำหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกำหนดเพื่อ วางแผน จัดทำ นำไปปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกป้อง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักขึ้น. ข้อกำหนดในมาตรฐานนี้เป็นข้อกำหนดทั่วไปและตั้งใจให้นำไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คำนึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกำหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดำเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนำไปปฏิบัติโดยมีการจัดทำโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกำหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกำหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกำหนดของผู้มีส่วนได้เสีย. 23/08/2014 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทาง ธุรกิจ ISO 22301

44 44 Copyright © 2014 BSI. All rights reserved. สำหรับหน่วยงานภาครัฐ หรือ รัฐวิสาหกิจ สาหรับแนวคิดการบริหารความต่อเนื่องของหน่วยงานภาครัฐ หน่วยงานควรเน้นการควบคุมดูแลและป้องกันทรัพยากรที่สาคัญต่อ การดำเนินงานหรือให้บริการ เพื่อสร้างประโยชน์สูงสุดสาหรับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสีย โดยหากการควบคุมภายในที่มีอยู่ ไม่สามารถควบคุมดูแลและ ป้องกันได้ทั้งหมด เมื่อเกิดอุบัติการณ์ขึ้น ระดับการดำเนินงานหรือ ให้บริการของหน่วยงานจะลดลง ดังนั้น บทบาทหน้าที่ของหน่วยงานภาครัฐ คือต้องรีบดำเนินการให้ ระดับการดำเนินงานหรือให้บริการกลับมาในระดับที่เหมือนภาวะ ปกติซึ่งจำเป็นต้องใช้เวลา 23/08/2014

45 45 Copyright © 2014 BSI. All rights reserved. อะไรคือภัยภิบัติ ที่อาจมีต่อองค์กรคุณ 23/08/2014

46 46 Copyright © 2014 BSI. All rights reserved. 23/08/2014

47 47 Copyright © 2014 BSI. All rights reserved. 23/08/2014

48 48 Copyright © 2014 BSI. All rights reserved. 23/08/2014

49 อะไรคือ ระบบบริหารความต่อเนื่องทางธุรกิจ อะไรคือ การบริหารความพร้อมต่อสภาวะวิกฤติ 23/08/2014

50 50 Copyright © 2014 BSI. All rights reserved. อุบัติการณ์, การชะงัก และ ผลกระทบ.. อุบัติการณ์ : ไฟใหม้ สถานการณ์ที่อาจทำให้หรือสามารถ นำไปสู่การหยุดชะงัก ความสูญเสีย ภาวะฉุกเฉิน หรือ สภาวะวิกฤต หยุดชะงัก เพราะเครื่องจักร เสียหาย หรือ พนักงานไม่อาจ เข้าพื้นที่ทำงานเพื่อปฎิบัติงานได้ ผลกระทบ ทำให้ไม่อาจทำงานหรือดำเนิน กิจกรรม ตามปกติได้

51 51 Copyright © 2014 BSI. All rights reserved. อะไรคือ การชะงักทางธุรกิจ ธุรกิจไม่สามารถดำเนินการได้ในระดับเดียวกันก่อนหน้า เกิดอุบัติการณ์ มีการเสียรายได้ และ ลูกค้า มีการเสียชื่อเสียง ภาพพจน์ 23/08/2014

52 52 Copyright © 2014 BSI. All rights reserved. อะไรทำให้เกิดความชะงักทางธุรกิจ เกิดความเสียหายต่อ….. จนเกิดความชะงักทางธุรกิจ อาคาร สถานที่ พื้นที่ ชีวิตหรือบาดเจ็บ ท่านและพนักงาน เครื่องมือ เครื่องจักร บันทึก เอกสารทางบัญชี วัตถุดิบ เครื่องคอมพิวเตอร์ ฮาร์ดแวร์ ซ๊อฟแวร์ ผลิตภัณฑ์สำเร็จ / สินค้าคงคลัง ระบบน้ำ ไฟ ปรับอากาศ สื่อสาร อื่นๆ 23/08/2014

53 53 Copyright © 2014 BSI. All rights reserved. ประเภทของสิ่งที่ทำให้ธุรกิจหยุดชะงัก ภัยพิบัติทางธรรมชาติ น้ำท่วม พายุ etc ภัยคุกคาม ที่อาจมีได้บ่อยกว่า ไม่มีน้ำ ไม่มีพลังงาน การล้มเหลวทางเทคโนโลยี เส้นทางถูกปิดกั้น ประตูถูกปิดล้อม Etc. 23/08/2014

54 54 Copyright © 2014 BSI. All rights reserved. อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.3 ความต่อเนื่องทางธุรกิจ (business continuity) ความสามารถขององค์กรในการส่งมอบผลิตภัณฑ์หรือ บริการได้ต่อไปภายหลังเกิดอุบัติการณ์ที่ทำให้เกิดการ หยุดชะงัก ในระดับที่ยอมรับได้ตามที่กำหนดไว้ 23/08/2014

55 55 Copyright © 2014 BSI. All rights reserved. 23/08/2014 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ

56 56 Copyright © 2014 BSI. All rights reserved. อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 23/08/2014 ภัยคุกคาม vs ภัยไม่คุกคาม

57 57 Copyright © 2014 BSI. All rights reserved. ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทำให้ หวาดกลัว จึงต้อง หาทางทำให้ไม่ หวาดกลัว 23/08/2014 ทำอย่างไร จึง จะไม่ หวาดกลัว

58 58 Copyright © 2014 BSI. All rights reserved. 23/08/2014

59 59 Copyright © 2014 BSI. All rights reserved. 23/08/2014

60 60 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยพิบัติ ชม VDO 23/08/2014

61 61 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) ภัยพิบัติ (Disaster) หมายถึง ภัยที่เกิดขึ้นแก่ สาธารณชน ได้ อัคคีภัย วาตภัย อุทกภัย สึนา มิ ตลอดจนภัยอื่น ๆ อันเป็นสาธารณะ ไม่ว่า จะเกิดจากธรรมชาติหรือมีผู้กระทำให้เกิดขึ้น ซึ่งก่อให้เกิดอันตรายแก่ชีวิตร่างกายของ ประชาชน หรือความเสียหายแก่ทรัพย์สินของ ประชาชนหรือของรัฐ (พ.ร.บ. ป้องกันภัยฝ่าย พลเรือน พ. ศ. 2522) ซึ่งภัยธรรมชาติเป็น ส่วนหนึ่งของภัยพิบัติ ภัยธรรมชาติ (Natural Disaster) หมายถึง ภัยอันตรายต่าง ๆ ที่เกิดขึ้นตาม ธรรมชาติ และมีผลกระทบต่อชีวิต ความ เป็นอยู่ของมนุษย์ (environnet, กรมส่งเสริม คุณภาพสิ่งแวดล้อม) สามารถแบ่งภัย ธรรมชาติออกได้เป็น 4 ด้าน ดังนี้ 23/08/2014

62 62 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 1.ภัยธรรมชาติด้านน้ำ 1.1 อุทกภัย (Flood) 1.ภัยธรรมชาติด้านน้ำ 1) น้ำป่าไหลหลาก หรือน้ำท่วมฉับพลัน (flash flood) 2) น้ำท่วมขัง (drainage flood) 3) น้ำล้นตลิ่ง (river flood) 4) คลื่นสึนามิ (tsunami) 1.2 ภัยแล้ง (Droughts) 1) สภาวะอากาศแห้งแล้ง (Metrological drought) 2) สภาวะการขาดน้ำ (Hydrological drought) 3) สภาวะความแห้งแล้งทางการเกษตร (Agricultural drought) 23/08/2014

63 63 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 2.ภัยธรรมชาติด้านลม วาตภัย (Storms) หมายถึง ภัยที่เกิดขึ้นจากพายุ ลมแรง จนทำให้เกิดความเสียหายแก่อาคาร บ้านเรือน ต้นไม้ และสิ่งก่อสร้าง สำหรับในประเทศ ไทยวาตภัยหรือพายุลมแรงมีสาเหตุมาจาก ปรากฎการณ์ทางธรรรมชาติ (กรมอุตุนิยมวิทยา) คือ 1)พายุหมุนเขตร้อน (Tropical cyclone) 2)พายุฤดูร้อน 3) ลมงวง (เทอร์นาโด) 23/08/2014

64 64 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 3. ภัยธรรมชาติด้านไฟ ไฟป่า (Wildfire) หมายถึง ภัยธรรมชาติ ซึ่งเกิดจากมนุษย์เป็นส่วนมาก ได้แก่ การ เผาหาของป่า เผาทำไร่เลื่อนลอย เผา กำจัดวัชพืช ส่วนน้อยที่เกิดจากการเสียดสี ของต้นไม้แห้ง ผลกระทบจากไฟป่าทำให้ เกิดมลพิษในอากาศมากขึ้น ผงฝุ่น ควันไฟ กระจายในอากาศทั่วไป ไม่สามารถลอย ขึ้นเบื้องบนได้ มองเห็นไม่ชัดเจน สุขภาพ เสื่อม พืชผลการเกษตรด้อยคุณภาพ แหล่งทรัพยากรลดลง (environnet, กรม ส่งเสริมคุณภาพสิ่งแวดล้อม) 23/08/2014

65 65 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 4. ภัยธรรมชาติด้านดิน 4.1 ภูเขาไฟระเบิด (Volcano) 4.2 แผ่นดินไหว (Earthquakes) 4.3 แผ่นดินถล่ม (land slides) 23/08/2014

66 66 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) ภัยหนาว เริ่มมีความเสียหายมากขึ้นเรื่อยๆ เนื่องจากว่าสภาพอากาศโลกเปลี่ยน ช่วงหลังๆ จึงมีคนตาย มีผลกระทบต่อเศรษฐกิจเพราะเพาะปลูกไม่ได้ ภัยหมอกควัน โรคระบาดในมนุษย์ เช่น เมื่อ 5 ปีที่ผ่านมา เกิดโรคไข้หวัดนกขึ้นหลายรุ่นด้วยกัน และพัฒนาขึ้นเรื่อยๆ ซึ่งโรคภัยเหล่านี้เป็นสิ่งที่ต้องระวังเพราะส่งผลกระทบต่อ คนโดยตรง ภัยจากโรคแมลง ศัตรูพืชระบาด ภัยจากโรคระบาดในสัตว์น้ำ ที่มา 23/08/2014

67 67 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติที่เกิดจากมนุษย์ 1.ภัยจากสารเคมีและวัตถุอันตราย บริเวณที่ตั้งโรงงานอุตสาหกรรม 2.ภัยจากเทคโนโลยีสารสนเทศ 3.ภัยจากคมนาคมการขนส่ง เช่น อุบัติเหตุ 4.ภาวะฉุกเฉิน เช่นภัยจากน้ำมันที่ รั่วไหล ส่งผลต่อคุณภาพน้ำ เศรษฐกิจ ร้านค้าบ้านเรือนต้องปิดตัว ไม่สามารถอยู่ได้ ก็เป็นเหตุการณ์ที่ เกิดจากมนุษย์ที่ส่งผลกระทบรุนแรง เป็นปีๆ 5.การแผ่กระจายของกัมมันตภาพรังสี 6.การชุมนุม การประท้วง และการก่อ จลาจล 7.Etc. 23/08/2014

68 68 Copyright © 2014 BSI. All rights reserved. ภัยคุกคาม(threats) vs ภัยพิบัติ(Disaster) 23/08/2014

69 69 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยพิบัติ Disaster ภัยพิบัติ ฉับพลัน ทันที ไม่มีสิ่งเตือน ที่ซึ่งทำให้ สูญเสีย หยุดชะงักของ ความสามารถองค์กรในการส่ง มอบผลิตภัณฑ์บริการ การ ดำเนินธุรกิจ ชนิด ธรรมชาติวิบัติ ฮาร์ดแวร์ ไฟ ไม่มีพลังงาน etc 23/08/2014

70 70 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยพิบัติ พายุ ทำให้เกิดน้ำท่วม น้ำท่วม ทำให้เกิดผลกระทบต่อ ผลิตภัณฑ์บริการ อาคารสถานที่ ผู้ส่งมอบ ผู้รับเหมาช่วง ลูกค้า พนักงาน 23/08/2014

71 71 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยคุกคาม ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่ เป็นตัวแทนของการกระทำอันตรายต่อ ทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความ เสียหาย ภัยคุกคามมีหลายประเภท หลายกลุ่ม เช่น - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยเจตนา - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยไม่เจตนา - ภัยคุกคามที่เกิดจากภัยธรรมชาติ 23/08/2014

72 72 Copyright © 2014 BSI. All rights reserved. อะไรคือภัยคุกคาม ที่อาจเกิดกับองค์กร 23/08/2014

73 73 Copyright © 2014 BSI. All rights reserved. 23/08/2014 อะไรคือภัยคุกคามที่มักชี้บ่งกัน ? 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล

74 74 Copyright © 2014 BSI. All rights reserved. 23/08/2014

75 75 Copyright © 2014 BSI. All rights reserved. 23/08/2014

76 76 Copyright © 2014 BSI. All rights reserved. 23/08/2014

77 อะไรคือ แผนบริหารความต่อเนื่องทาง ธุรกิจ 23/08/2014

78 78 Copyright © 2014 BSI. All rights reserved. อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ ( BC Plan) อะไรคือ แผนประคับประคองกิจการ ( BC Plan) อะไรคือ แผนการจัดการในภาวะวิกฤติ ( Crisis Management Plan) อะไรคือ แผนฉุกเฉิน (Emergency Plan) อะไรคือ แผนรับมือเหตุฉุกเฉิน (Contingency Plan ) อะไรคือ แผนฟื้นฟู ( Recovery plan) 23/08/2014

79 79 Copyright © 2014 BSI. All rights reserved. อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดำเนินงานที่ให้แนวทางแก่องค์กรในการตอบสนอง การฟื้นฟู การกลับมาดำเนินการและการติดตั้งเพื่อให้สามารถดำเนินงานได้ในระดับที่กำหนด ไว้ภายหลังจากการหยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึงทรัพยากร การ บริการ และ กิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่าภารกิจ/หน้าที่ที่มีความสำ คัญต่อธุรกิจ ยังคงดำเนินงานได้อย่างต่อเนื่อง 23/08/2014

80 องค์ประกอบหลักของระบบ ISO /08/2014

81 81 Copyright © 2014 BSI. All rights reserved. สามองค์ประกอบหลัก ของ ISO /08/ โครงสร้างการตอบสนองต่ออุบัติการณ์ การแจ้งเตือนและการสื่อสาร แผนความต่อเนื่องทางธุรกิจ แผนฟื้นฟู

82 82 Copyright © 2014 BSI. All rights reserved. 8.4 การจัดทำและการนำขั้นตอนการ ดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ไปปฏิบัติ ทั่วไป โครงสร้างการตอบสนองต่ออุบัติการณ์ การแจ้งเตือนและการสื่อสาร แผนความต่อเนื่องทางธุรกิจ การฟื้นฟู 23/08/2014 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure)

83 83 Copyright © 2014 BSI. All rights reserved. ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) การตอบสนองภาวะฉุกเฉิน (Emergency Response) : (Req 8.4.2) การตอบสนองที่เริ่มต้นจากการหยุดชะงักทางธุรกิจ ซึ่งเกี่ยวข้องกับการป้องกันผู้คน และเจ้าหน้าที่และทรัพย์สินจากภัยอันตรายที่เกิดขึ้นด้วยทีมงานบริหารจัดการใน ภาวะวิกฤติเพื่อ ตรวจสอบสถานการณ์และตอบสนอง การตอบสนองเพื่อให้ธุรกิจดำเนินได้อย่างต่อเนื่อง (Continuity Response) : (Req 8.4.4) การแก้ไขปัญหาในด้านกระบวนการผลิตและการให้บริการแก่กลุ่มผู้มีส่วนได้ส่วน เสียด้วยทรัพยากรที่มีอยู่อย่างจำกัด ภายหลังจากการหยุดชะงักทางธุรกิจ เพื่อให้ แน่ใจว่าสามารถให้บริการหลักๆ ได้อย่างต่อเนื่อง การตอบสนองต่อการกอบกู้ธุรกิจคืน (Recovery response) : (Req 8.4.5) กระบวนการบริหารจัดการและสั่งการที่มีการจัดตั้งขึ้นมาใหม่หรือกระบวนการฟื้นฟู หลักๆ เพื่อให้สามารถกลับมาดำเนินกิจกรรมได้ตามปกติ รวมทั้งอาจจะมีการ ปรับปรุงเนื้อหาของ ขอบเขตการปฏิบัติงาน วัตถุประสงค์การให้บริการและการ ปฏิบัติงาน และกลยุทธ์ที่ใช้ในการดำเนินงานในภาวะวิกฤติ 23/08/2014

84 84 Copyright © 2014 BSI. All rights reserved. 1) ภายในช่วงระยะเวลาแรก จะเป็นช่วงของการตอบสนองต่ออุบัติการณ์ (Incident/ Emergency Management) อย่างไรก็ตาม ในกรณีที่เหตุการณ์และความเสียหาย ขยายตัวไปในวงกว้าง การตอบสนองอาจจำเป็นต้องยกระดับเป็นการบริหารจัดการวิกฤต (Crisis Management) 2) ภายหลังจากนั้น จะเป็นช่วงของการทำให้เกิดความต่อเนื่องของกระบวนการทางธุรกิจ (Continuity Management) เพื่อให้หน่วยงานสามารถกลับมาดำเนินงานได้ ซึ่งแยกเป็น 2 ระดับ (1) ดำเนินงานหรือให้บริการได้ในระดับที่องค์กรยอมรับกับผลกระทบที่เกิดขึ้นกับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสียทั้งหมดภายในระยะอันสั้น ( Business Cont) (2) กลับมาให้บริการได้ในระดับปกติตามระยะเวลาที่กำหนด ในช่วงการดำเนินการ กอบกู้กระบวนการทางธุรกิจ (Recovery) 23/08/2014 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure)

85 85 Copyright © 2014 BSI. All rights reserved. 23/08/2014 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure)

86 86 Copyright © 2014 BSI. All rights reserved. Prevent System Fail / avoidable incident Maintain operation when problem occur ( prevent an incident from escalating in to critical event or failure.) How essential operations and service are maintained or through alternative arangement Restore normal operation

87 สมรรถนะของการบริหารความต่อเนื่อง ทางธุรกิจ 23/08/2014

88 88 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำ ให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและ สื่อสารไปยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คำนึงถึงระดับต่ำสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุ ตามวัตถุประสงค์ ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คำนึงถึงข้อกำหนดที่เกี่ยวข้อง จ) เฝ้าระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทาง ธุรกิจ 23/08/2014

89 89 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้ เป็นไปตามข้อกำหนดและการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กำหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดำเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจำเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดำเนินการแทน 23/08/2014

90 90 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน ทั่วไป องค์กรต้องพิจารณาถึง ก) สิ่งที่ต้องการวัดและเฝ้าระวัง ข) วิธีการสำหรับการเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน เพื่อให้มั่นใจ ถึงความถูกต้องของผลลัพธ์ตามความเหมาะสม ค) เวลาที่ต้องดำเนินการวัดและเฝ้าระวัง ง) เวลาที่ต้องดำเนินการวิเคราะห์และการประเมินผลลัพธ์ที่ได้จากการวัดและเฝ้า ระวัง องค์กรต้องเก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงถึงผลลัพธ์อย่าง เหมาะสม องค์กรต้องประเมินสมรรถนะและประสิทธิผลของระบบการบริหารความต่อเนื่อง ทางธุรกิจนอกจากนี้ 23/08/2014

91 91 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.25 ช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด (maximum acceptable outage - MAO) ช่วงเวลาที่ส่งผลกระทบทำให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการ หยุดชะงักที่ยอมรับได้สูงสุด 23/08/2014 ชะงักมากกว่านี้ บริษัทอาจต้อง ปิดกิจการ ล้มละลาย

92 92 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.26 ช่วงเวลาการ หยุดชะงักที่ยอมรับได้ สูงสุด (maximum tolerable period of disruption - MTPD) ช่วงเวลาที่ส่งผลกระทบทำให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด 23/08/2014 ชะงักมากกว่านี้ บริษัทอาจต้อง ปิดกิจการ ล้มละลาย

93 93 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 23/08/2014 MAO MTPD MAO MTPD เส้น ยถากรรม

94 94 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.45 ระยะเวลาเป้าหมายในการฟื้นคืนสภาพ (recovery time objective - RTO) ระยะเวลาภายหลังจากเกิดอุบัติการณ์ขึ้น ที่ทำให้ - ผลิตภัณฑ์หรือบริการต้องกลับคืนสภาพเดิม - กิจกรรมต้องกลับมาดำเนินการได้ - ทรัพยากรต้องได้รับการฟื้นฟู หมายเหตุ สำหรับผลิตภัณฑ์ บริการ และกิจกรรม ระยะเวลาเป้าหมายในการฟื้นคืน สภาพต้องน้อยกว่าระยะเวลาของผลกระทบด้านลบที่เกิดจากการที่ไม่สามารถส่ง มอบผลิตภัณฑ์/บริการ อยู่ในระดับที่ไม่สามารถเป็นที่ยอมรับได้ 23/08/2014 ทำได้เร็วขนาด ไหนให้เริ่มกลับมา ดำเนินธุรกิจต่อได้ (บ้าง)

95 95 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 23/08/2014 RTO

96 96 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.28 วัตถุประสงค์ความต่อเนื่องทางธุรกิจขั้นต่ำสุด (minimum business continuity objective - MBCO) ระดับต่ำสุดของการบริการ และ/หรือ ผลิตภัณฑ์ที่องค์กรยอมรับ โดย ยังคงสามารถบรรลุวัตถุประสงค์ ทางธุรกิจใน ระหว่างเกิดการหยุดชะงัก 23/08/2014

97 97 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 23/08/2014 MBCO

98 98 Copyright © 2014 BSI. All rights reserved. ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตาม ข้อกำหนด และการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กำหนดไว้ 23/08/2014

99 เรื่องของความเสี่ยง สำหรับคนที่ไม่ชอบ ทำอะไรเสี่ยงๆ 23/08/2014

100 100 Copyright © 2014 BSI. All rights reserved. นิยามของ Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 1 ผลกระทบคือการเบี่ยงเบนไปจากสิ่งที่คาดหวังไว้ ทั้งที่ดีหรือไม่ดี หมายเหตุ 2 วัตถุประสงค์สามารถมีแง่มุมที่แตกต่างกัน (เช่น การเงิน สุขภาพและความ ปลอดภัย และเป้าประสงค์ด้านสิ่งแวดล้อม) และสามารถประยุกต์ใช้ได้ในระดับต่างๆ (เช่น กลยุทธ์ ทั่วทั้งองค์กร โครงการ ผลิตภัณฑ์ และกระบวนการ) วัตถุประสงค์อาจแสดงได้ใน วิธีการอื่นๆ เช่นผลสัมฤทธิ์ที่ต้องการ จุดประสงค์ เกณฑ์การดำเนินการ วัตถุประสงค์การ ดำเนินธุรกิจอย่างต่อเนื่อง หรืออาจจะใช้คำอื่นที่มีความหมายเช่นเดียวกัน เช่น จุดมุ่งหมาย เป้าประสงค์หรือเป้าหมาย หมายเหตุ 3 ความเสี่ยงมักจะแบ่งแยกโดยอ้างอิงถึงเหตุการณ์ที่อาจจะเกิดขึ้น (Guide 73 ข้อ ) และผลกระทบที่เกิดขึ้นตามมา (Guide 73 ข้อ ) หรือสองอย่างนี้ รวมกัน 23/08/2014 วิธีการหา Risk

101 101 Copyright © 2014 BSI. All rights reserved. นิยามของ Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 4 ความเสี่ยงมักจะแสดงออกในรูปของผลรวมของผลสืบเนื่องจากเหตุการณ์ (รวมถึงการเปลี่ยนแปลงของสถานการณ์กับโอกาสที่จะเกิดขึ้น (Guide 73 ข้อ ) หมายเหตุ 5 ความไม่แน่นอน เป็นสภาวะของการขาดข้อมูลเกี่ยวกับความเข้าใจหรือความรู้ ของเหตุการณ์ผลที่ตามมา หรือโอกาสของการเกิด หมายเหตุ 6 ในบริบทของมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจ วัตถุประสงค์ ความต่อเนื่องทางธุรกิจถูกกำหนดขึ้นโดยองค์กรซึ่งสอดคล้องกับนโยบายความต่อเนื่อง ทางธุรกิจ เพื่อให้บรรลุผลลัพธ์ที่กำหนดไว้ ในการประยุกต์ใช้คำ ว่า “ความเสี่ยงและ องค์ประกอบองการจัดการความเสี่ยง” ควรอ้างอิงถึงวัตถุประสงค์ขององค์กร แต่ไม่จำกัด เพียงวัตถุประสงค์ความต่อเนื่องทางธุรกิจที่ระบุไว้ในข้อ 6.2 ของมาตรฐานนี้เท่านั้น 23/08/2014

102 102 Copyright © 2014 BSI. All rights reserved. 23/08/2014

103 103 Copyright © 2014 BSI. All rights reserved. 23/08/2014

104 104 Copyright © 2014 BSI. All rights reserved. เวลาแห่งการมองโลกแห่งความเป็นจริง ยากต่อการคาดเดาสาเหตุที่แท้จริงของวิกฤติการณ์ แต่ท่านสามารถ พยายามคิดถึงอุปสรรคปัญหาหลักเพื่อหาทางผ่อนคลาย ลด ผลกระทบที่ตามมา และหาทางหนีทีไล่โดยมีแผนสำรอง มีอะไรเกิดขึ้นกับธุรกิจท่านในอดีต หรือเกือบๆมีหรือไม่ ธุรกิจที่คล้ายกัน ได้รับผลกระทบจากการหยุดชะงัก หรือจากวิกฤติการณ์ใดๆ หรือไม่ ในพื้นที่ที่ตั้ง เคยมีปัญหา หรือจะมีผลกระทบต่อธุรกิจท่านหรือไม่ ท่านอยู่ในพื้นที่สุ่มเสี่ยงต่อน้ำท่วม น้ำหลากหรือไม่ ท่านมีรายงานการตรวจสอบ ประเมิน ความเสี่ยงก่อนหน้านี้หรือไม่ ท่านได้เดินรอบสถานประกอบการณ์ และ คิดว่าอะไรอาจเกิดความผิดพลาดที่ สร้างปัญหามาก่อนหรือไม่ เช่น ท่อน้ำเหนือ server การรักษาความปลอดภัย ระบบป้องกันไฟ ความปลอดภัยข้อมูล 23/08/2014

105 105 Copyright © 2014 BSI. All rights reserved. นิยามของ Risk ความเสี่ยง/ ปัญหา โอกาสผลกระทบลำดับ ความสำคัญ มาตรการ ป้องกัน แผนสำรอง 23/08/2014

106 106 Copyright © 2014 BSI. All rights reserved. 4 risk treatment Avoidance Retention Control transference 23/08/2014

107 107 Copyright © 2014 BSI. All rights reserved. การเลือก risk treatment 23/08/2014 Critical หมดตัว หมดเงิน ลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความ สูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการดำเนินธุรกิจ

108 108 Copyright © 2014 BSI. All rights reserved. การเลือก risk treatment Critical หมดตัว หมดเงินลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความสูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการ ดำเนินธุรกิจ 23/08/2014

109 109 Copyright © 2014 BSI. All rights reserved. หลักการจัดการความเสี่ยง การลดโอกาสที่จะเกิดเหตุการณ์ความ เสียหาย Reduce Likelihood) การตรวจตรา การตรวจสอบเป็นประจำเพื่อ ป้องกันไม่ให้ปัญหาเกิดขึ้น การใช้งานระบบอัตโนมัติแทนคน ในลักษณะ งานที่ต้องทำซ้ำๆ การปรับปรุงกระบวนการเพื่อลดความ ซับซ้อน complex มีระบบตรวจจับ detection และป้องกัน มี checklist เพื่อตรวจสอบความครบถ้วน ของการทำงาน การลดขนาดของความเสียหาย ( reduce impact) การกระจาย เป็นการลดขนาดความเสียหาย เหมาะกับปัจจัยภายนอก หรืออาจใช้ในการ การจำกัดขนาดของสินเชื่อ จำกัดจำนวนการ ผลิต การจัดทำ contingency plan / business continuity plan เพื่อให้สามารถดำเนินงาน ได้อย่างต่อเนื่องในช่วงเกิดเหตุการณ์ความ เสียหายและอยู่ระหว่างการแก้ไข ให้กลับคืน สู่สภาพการดำเนินงานปกติได้โดยเร็วที่สุด เป็นการลดขนาดความเสียหายเช่นกัน จัดทำแผนการจัดการกับวิกฤติทางธุรกิจ crisis management plan ด้วย business impact analysis 23/08/2014

110 110 Copyright © 2014 BSI. All rights reserved. การเลือกวิธีการจัดการความเสี่ยง นานๆทีเกิดบ่อย มีปัญหาได้บ่อย เพราะทำบ่อยๆ ผลกระทบสูง รุนแรง ผลกระทบน้อย ไม่แรง 23/08/2014

111 111 Copyright © 2014 BSI. All rights reserved. การหลีกเลี่ยงความเสี่ยง risk avoidance หลีกเลี่ยงความเสี่ยง หยุด หรือเปลี่ยนแปลงกิจกรรมที่ เป็นความเสี่ยง เช่นลดบาง ขั้นตอน ที่อาจนำมาที่ซึ่ง ความเสี่ยง ในทางปฏิบัติ อาจทำได้ ลำบาก(แต่ทำได้)และไม่ แนะนำ 23/08/2014

112 112 Copyright © 2014 BSI. All rights reserved. การโอนถ่ายความเสี่ยง Risk Transfer กระจาย ถ่ายโอน ความเสี่ยง ทำประกัน เช่าแทนซื้อ จ้างชั่วคราวแทนจ้างประจำ 23/08/2014

113 113 Copyright © 2014 BSI. All rights reserved. การโอนถ่ายความเสี่ยง Risk Transfer ความรับผิดตามกฎหมาย อันเกิดจากการใช้สินค้า ไม่ปลอดภัย อาคาร ทรัพย์สินใน อาคาร เครื่องจักร และ สต็อกสินค้า การสูญเสียทางการค้า และค่าเช่าอาคาร ความรับผิดตามกฎหมาย ต่อบุคคลภายนอก ประกันภัยอุบัติเหตุ สำหรับผู้เอาประกันภัย 23/08/2014

114 114 Copyright © 2014 BSI. All rights reserved. การประเมินความเสี่ยง สถานการณ์ที่ซึ่ง สถานที่เสียหาย หรือ ไม่สามารถเข้าถึง– e.g. industrial action / fire / flooding การเสียหายของ ระบบ IT / ระบบเน็ตเวอร์ค / ฮาร์ดแวร์ / ซอฟแวร์ / ข้อมูล –e.g. ไฟฟ้า ดับ / ไวรัส ไม่มีพนักงานหลัก – e.g. เกิดโรคระบาด, ประท้วง การไม่มีหรือเสียหายจากทรัพยากรต่างๆ – e.g. ผู้ส่งมอบสำคัญ, น้ำมัน, น้ำ 23/08/2014

115 115 Copyright © 2014 BSI. All rights reserved. ความถี่สูง รุนแรงสูง สำหรับงานบริการทาง วิชาชีพ ใช้ risk avoidance ไม่รับงานที่เกินตัว งานค้าปลีก ปิดบางเวลา บริการชนส่ง อาจไม่รับคำสั่ง ชื้อ ในช่วงจราจรติดขัด 23/08/2014

116 116 Copyright © 2014 BSI. All rights reserved. ความถี่สูง รุนแรงสูง | ชีวิตจริงเราใช้มาตรการร่วม Risk control ลด/ควบคุมความเสี่ยง สำหรับบริการทางการแพทย์ โดยการทำการทดสอบ ทดลอง การซักประวัติ การ validate เครื่องมือ วิธีการ ทางการแพทย์ เพื่อ การควบคุมควรเสี่ยง ซื้อประกันความผิดพลาดทางการให้บริการ เพื่อ ผ่องถ่ายโอนความ เสี่ยงทางกฎหมายและภาระการสูญเสีย 23/08/2014

117 117 Copyright © 2014 BSI. All rights reserved. ความถี่ต่ำ รุนแรงสูง น้ำท่วม ไฟไหม้ การหยุดกิจการ ทำการถ่ายโอนการสูญเสียให้บริษัทประกัน นโยบายควบคุมความเสี่ยงที่สำคัญ เช่น ระบบป้องกันไฟไหม้ การแบ็คอัพข้อมูล ทาง หนีไฟ กำหนดมาตรการควบคุม ลดความถี่และ รุนแรงของการสูญเสียเพื่อลดค่าประกัน ความเสียหายที่ไม่ได้ทำประกันต้องจำกัด การสูญเสีย และ ควบคุม อาจทำให้ธุรกิจหยุดชะงัก หรือ ลด ความสามารถได้ อาจทำให้เสียลูกค้าหรือกำไร ขณะที่มี รายจ่ายจำนวนมาก 23/08/2014

118 118 Copyright © 2014 BSI. All rights reserved. ความถี่ต่ำ รุนแรงสูง จัดเป็น Critical หาทางลดความถี่ และ ความ รุนแรง รวมทั้ง โอนถ่ายความ เสี่ยง 23/08/2014

119 119 Copyright © 2014 BSI. All rights reserved. ความถี่สูง ความรุนแรงต่ำ เกิดบ่อย เสียหายไม่มาก ดูแลได้ รับได้ เช่นงานคุมเงินสด หรือควบคุมของหาย เงิน หายหลักหมื่น สามารถคิด loss ปลายปีได้ ต้องทำการควบคุมและติดตามดูแล มาตรการควบคุม การติดตามระบบ stock เช็คยอดเป็นประจำ กล้องตรวจจับ อุปกรณ์กันขโมย ป้ายเตือน การอบรม 23/08/2014

120 120 Copyright © 2014 BSI. All rights reserved. ความถี่สูง ความรุนแรงต่ำ ใช้หลักการโอนถ่าย มักเป็นเรื่องสำคัญ significant ถี่สูง รุนแรงต่ำ เพิ่มเข้าไปในการคิดราคาสินค้า ควบคุม ติดตามผลโดยรวม บันทึกการสูญเสีย การตรวจสอบ การตรวจประเมิน 23/08/2014

121 121 Copyright © 2014 BSI. All rights reserved. ความถี่สูง รุนแรงต่ำ เช่นการลาป่วยกะทันหันของ พนักงานหลัก อาจทำให้ธุรกิจหยุดชะงัก ควบคุมผลกระทบโดยมีแผนสำรอง contingency plan ให้มีพนักงาน แสดนบาย ให้มีการอัพเดท ข้อมูลพนักงาน 23/08/2014

122 122 Copyright © 2014 BSI. All rights reserved. ความถี่ต่ำ รุนแรงต่ำ หยุดธุรกิจช่วงสั้นๆ พนักงานบาดเจ็บเล็กน้อย เกิดอุบัติทางรถยนต์เล็กน้อย ลดความเสี่ยงก่อนจะเป็น significant 23/08/2014

123 123 Copyright © 2014 BSI. All rights reserved. การวางแผนจัดการ ความเสี่ยง เป็นการ เตรียมพร้อมรับสถานการณ์ที่ไม่ อาจคาดเดา อย่าทำให้ยาก อย่าทำให้เป็นเพียงรูปแบบ พิธี การ เลือกวิธีง่ายๆ เพื่อใช้ในการเลือกวิธีการจัดการ ความเสี่ยง เพื่อควบคุมความเสี่ยง ดูความสูญเสียมากน้อย ตรวจสอบความน่าจะเกิด ตรวจสอบการสูญเสียในอดีต ค่าเฉลี่ยหรือค่า max ขอคำแนะนำจากผู้เชี่ยวชาญ คู่ค้า พนักงาน ทำ flow chart 23/08/2014

124 124 Copyright © 2014 BSI. All rights reserved. การคำนวณค่าสูงสุดของ ค่าสูญเสีย ความเป็นไปได้ ความน่าจะเป็นของการสูญเสีย ค่าสูญเสีย เมื่อเกิดการสูญเสีย เป็นมูลค่าทรัพย์สิน เมื่อเกิดการหยุดชะงัก รายได้ต่อเดือน x เวลาที่ใช้ในการสร้างใหม่ เปลี่ยนใหม่ Max possible loss สำหรับการประกัน ยากต่อการคำนวณ ประมาณโดยใช้ มูลค่า ความเสียหายในอุตสาหกรรม 23/08/2014

125 125 Copyright © 2014 BSI. All rights reserved. รุนแรงสูงรุนแรงต่ำ ความถี่สูงProperty risk ความถี่ต่ำLiability Risk 23/08/2014

126 126 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง 1.กำหนดความเสี่ยงที่อาจส่งผล กระทบต่อธุรกิจ 2.วิเคราะห์ความเสี่ยงต่อ ผลกระทบทางธุรกิจ 3.ประเมินความเสี่ยงและจัดลำดับ เพื่อการจัดการ 4.ทำการปรับความเสี่ยงเพื่อลด ผลกระทบ 5.จัดทำและทบทวน แผนจัดการ ความเสี่ยง 23/08/2014

127 127 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ท่านต้องทำการทบทวนอยู่สม่ำเสมอ การบริหารความเสี่ยงไม่ได้ทำครั้งเดียว จบ แต่ท่านต้องทำการติดตามและ ทบทวนกลยุทธ์ต่างๆที่ท่านใช้ในการ วิเคราะห์ความเสี่ยง ความเสี่ยงเปลี่ยนแปลงเสมอ ท่านอาจ พบว่า มีความเสี่ยงใหม่ๆ ความเสี่ยงที่มีอยู่เพิ่มหรือลด ความเสี่ยงหมดไป ลำดับขั้นตอน ลำดับความสำคัญ เปลี่ยนแปลง กลยุทธ์การบริหารความเสี่ยงไม่มี ประสิทธิผลต่อไม 23/08/2014

128 128 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ทำไม ต้องการให้ธุรกิจต่อเนื่อง ลดความประกัน ลดโอกาสการเกิดการฟ้อร้อง ลดเวลาในการทำให้บริษัท ดำเนินการต่อ ลดผลกระทบในการเปลี่ยนคน หลัก หรือใช้ในการอบรม ลดการเสียหาย ลดการสูญเสีย ต่อทรัพย์สิน เครื่องจักร ที่ จำเป็นในการดำเนินธุรกิจ เพื่มความสามารถในการอยู่ รอดของธุรกิจ 23/08/2014

129 129 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ด้วยเหตุผลนี้ ท่านต้องใส่ใจ ในการระบุความเสี่ยง Risk Description โอกาส ผลกระทบ การลดผลกระทบ สิ่งที่ต้องทำ 23/08/2014

130 130 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ท่านได้ทำอะไรให้มั่นใจ อะไรที่ทำให้ท่านมั่นใจ เรามีการ update ล่าสุดเมือไหร่ มีสถานการณ์ที่เปลี่ยนไปหรือไม่ คนใหม่ ทรัพย์สินใหม่ บริการใหม่ ผลิตภัณฑ์ใหม่ สาขาใหม่ ระบบ คอมพิวเตอร์ใหม่ ที่ทำให้ต้อง update แผนหรือไม่ 23/08/2014

131 131 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง 23/08/2014 การฝึกอบรม ความอาชีวอนามัยและปลอดภัย งานซ่อมบำรุง เครื่องมือ อุปกรณ์ อาคาร งานการรักษาความปลอดภัย การเตรียนมความพร้อมเหตุฉุกเฉิน การแบ็คอัพข้อมูล การคัดเลือกพนักงานและเครื่องมือ วัดอย่างระมัดระวัว คลาวด์ ชุด KIT ต่างๆ แผนการอพยพ การฝึกซ้อมและการทดสอบ

132 132 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง จงเตรียมพร้อม ทำเชิงรุก และเตรียมการวางแผนสำหรับ อากาศการเกิดของสถานการณ์ ที่อาจทำใหุ้ ธุรกิจชะงัก คนบางคน ชอบพึ่งดวง ชอบเสี่ยง การเตรียมความพร้อม คือ proactive และ วางแผน 23/08/2014

133 133 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ตัวอย่าง ให้พิจารณาความ แข็งแรงของหน้าต่าง กระจก กระจกแตกระหว่างพายุ และน้ำกระแทก หรือ มีสิ่ง ปลิวมาปะทำ ทำให้พนักงานปลอดภัย ให้ทำการเพิ่มความ แข็งแรงกระจก ไฟ ประตู ด้วยฟิมล์ ให้อยู่ห่างจากห้องที่มี กระจก หรือ ลดจำนวน หน้าต่างกระจก 23/08/2014

134 134 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง กิจกรรม ที่สำคัญรายละเอียดความเสียงผลกระทบของการสูยเสียหรือเสีย หา ทั้ง การเงิน พนักงาน เสียยชื่อเสียง RTO การผลิตทำชิ้นส่วนประกอบสูงเสียรายได้มากกว่า XXXX ต่อ สัปดาห์ มีโอาาศเสียงาน หลังจาก สองอาทิตย์ ลูกค้าหาผู้ส่งมอบใหม่ๆ สอง สัปดาห์ 23/08/2014

135 135 Copyright © 2014 BSI. All rights reserved. การควบคุมการสูญเสียและการเสียหาย 23/08/2014

136 136 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง วิธีการในการระบุ มาตรการ และ จัดลำดับความสำคัญความเสี่ยง เลือกมาตรการจัดการกับความเสียงที่ ถูกต้อง การควบคุมการสูญเสีย จัดการกับความเสี่ยงที่อุบัติ จ่ายสำหรับการเสียหายอย่างมี ประสิทธิภาพ กำจัดค่าปรับ อยู่ในเป้าหมาย 23/08/2014

137 137 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง เมื่อใดที่ควรจะบริหาร หรือ ควบคุมความเสี่ยง เมื่อใดควรจะถ่ายความเสี่ยง หรือคงไว้ 23/08/2014

138 138 Copyright © 2014 BSI. All rights reserved. อะไรคือ Business Continuity Plan 23/08/2014

139 139 Copyright © 2014 BSI. All rights reserved. ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทำให้ หวาดกลัว จึงต้อง หาทางทำให้ไม่ หวาดกลัว 23/08/2014 ทำอย่างไร จึง จะไม่ หวาดกลัว

140 140 Copyright © 2014 BSI. All rights reserved. อะไรคือ Business Continuity Plan 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดำเนินงานที่ให้แนวทางแก่องค์กรในการ ตอบสนอง การฟื้นฟู การกลับมาดำเนินการและการติดตั้งเพื่อให้ สามารถดำเนินงานได้ในระดับที่กำหนดไว้ภายหลังจากการ หยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึง ทรัพยากร การบริการ และกิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่า ภารกิจ/หน้าที่ที่มีความสำคัญต่อธุรกิจยังคงดำเนินงานได้อย่าง ต่อเนื่อง 23/08/2014

141 141 Copyright © 2014 BSI. All rights reserved. เนื้อหาของ BCP ตามข้อกำหนด ISO 22301, แผนความต่อเนื่องทางธุรกิจต้องประกอบด้วยหัวข้อต่อไปนี้ ก) การกำหนดบทบาทหน้าที่และความรับผิดชอบสำหรับบุคลากรและทีมงานที่มีอำนาจหน้าที่ ในระหว่างและภายหลังการเกิดอุบัติการณ์ ข) กระบวนการสำหรับสั่งการให้เริ่มตอบสนองต่ออุบัติการณ์ ค) รายละเอียดการจัดการกับผลกระทบที่เกิดขึ้นอย่างทันท่วงทีจากอุบัติการณ์ที่ทำ ให้เกิด การหยุดชะงัก โดยคำนึงถึง 1) สวัสดิภาพของแต่ละบุคคล 2) กลยุทธ์ ยุทธวิธี และทางเลือกในการ ดำเนินการสำหรับการตอบสนองต่อการหยุดชะงัก 3) การป้องกันความเสียหายที่จะเกิดขึ้นเพิ่มเติม หรือการสูญเสียกิจกรรมที่สำคัญ ง) รายละเอียดของวิธีการและสถานการณ์ที่องค์กรจะสื่อสารกับพนักงานและบุคคลที่เกี่ยวข้องผู้มีส่วน ได้เสียที่สำคัญ และหน่วยงานที่ต้องติดต่อเมื่อเกิดเหตุฉุกเฉิน จ) วิธีการที่องค์กรจะเริ่มดำเนินกิจกรรมหรือฟื้นฟูกิจกรรมที่มีความสำคัญภายในกรอบระยะเวลาที่ได้ พิจารณากำหนดไว้ล่วงหน้า ฉ) รายละเอียดของการตอบสนองของสื่อขององค์กรภายหลังการเกิดอุบัติการณ์ ซึ่งรวมถึง 1) กลยุทธ์ การสื่อสาร 2) วิธีการที่ต้องการในการประสานกับสื่อ 3) แนวทางหรือรูปแบบสำหรับร่างแถลงการณ์ สำหรับสื่อมวลชน 4) ผู้แถลงข่าวที่มีความเหมาะสม ช) กระบวนการสำหรับการถอนตัวภายหลังอุบัติการณ์สิ้นสุดลง 23/08/2014

142 142 Copyright © 2014 BSI. All rights reserved. เนื้อหาของ BCP ตามข้อกำหนด ISO 22301, แต่ละแผนต้องกำหนด - เป้าหมายและขอบข่าย - วัตถุประสงค์ - เกณฑ์สำหรับการเริ่มปฏิบัติการและขั้นตอนการดำเนินงาน - การปฏิบัติตามขั้นตอนการดำเนินงาน - บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ - ข้อกำหนดและขั้นตอนการดำเนินงานสำหรับการสื่อสาร - การพึ่งพากันและปฏิสัมพันธ์ระหว่างหน่วยงานภายในและภายนอก - ทรัพยากรที่ต้องการ - แผนผังของสารสนเทศ และกระบวนการด้านการเอกสาร 23/08/2014

143 คนของเรายังไม่รู้ว่าขาดอะไร 23/08/2014

144 144 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร มีคนวิเคราะห์ความเสี่ยงที่ดีที่สุดว่า เอาอยู่ (หัวเราะ) อีกค่ายหนึ่ง วิเคราะห์สถานการณ์เลวร้ายที่สุด คือ 2 เมตร ทีนี้ถามว่าเราเป็นประชาชน วันนี้เรามีความรู้แล้ว มันสามารถทำแผนเป็นแผนหนึ่งหรือ แผนสองได้ เอาสถานการณ์แต่ละสถานการณ์มาลองจำลองดูว่าถ้าน้ำแค่นี้เกิดอะไร น้ำแค่นี้เกิดอะไร ก็ต้องทำแผนรับ รับเป็นภาคประชาชนก็ต้องรับ อย่างดิฉันบ้านอยู่ทางใต้ ถ้าบ้านที่อยู่ทางเหนือดิฉัน ต้องเตรียมขนของแล้ว 23/08/2014

145 145 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร ถ้าถามว่าเราต้องเลือกฟังใคร จริงๆ เราชอบว่าภาครัฐว่าเวลาเกิดเรื่องทีไรเว็บรัฐล่ม ว่าภาครัฐตลอด แต่เรามามองอีกข้างหนึ่ง ทำไมเว็บรัฐถึงล่ม แสดงว่าประชาชนโดยส่วนใหญ่เวลาเกิดเรื่องวิ่งข่าวหา เว็บของหน่วยงานรัฐก่อน เพราะพร้อมที่จะเชื่อ ดังนั้น การแก้ไม่ใช่การบังคับให้สื่อไม่พูด การแก้เป็น ช่องทางหนึ่งที่ให้ข้อมูลได้ตลอดเวลาคือเว็บไม่ล่ม เพราะฉะนั้นอาจใช้คราวน์เนตเวิร์กหรืออะไรก็ ตามที่เขามีไอพีที่ใหญ่ นี่คือสะท้อนว่าภาคประชาชนพร้อมที่จะรับข้อมูลในลักษณะนี้ คือรัฐต้องเป็น ฝ่ายให้เรื่อยๆ อัพเดทเรื่อยๆ ในการจัดการภัยพิบัติ ผู้ที่เป็นผู้บริหารจัดการเขาจะมีหมดเลย คือ หนึ่ง การทำงานกับสื่อ เพราะสื่อมีความเร็วที่สุดในโลก เมื่อเร็ว เราจึงควรใช้ตรงนี้ให้เป็นประโยชน์ ทุกๆ หนึ่งชั่วโมงควรมีการบอกความคืบหน้าสัก 10 เปอร์เซ็นต์ของครั้งที่แล้ว แล้วจะทำให้เอกภาพของ ข้อมูลเป็นเรื่องเดียวกันทั้งหมด 23/08/2014

146 146 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร ถ้าระบบมีความน่าเชื่อถือ ทุกอย่างจะเป็นไปตามที่รัฐบาลได้วางแผนไว้ หนึ่ง ปภ.จะเป็นผู้ตัดสินใจใน การประกาศเตือนภัยในพื้นที่ต่างๆ โดยใช้กรมประชาสัมพันธ์ ถ้าข้อมูลมีความน่าเชื่อถือคนจะฟังและ ปฏิบัติตามแน่นอน ที่ผ่านมาปีที่แล้วมีความสับสนในเรื่องของข้อมูล ฝั่งนั้นออกมาอย่างนั้น ฝั่งนี้ ออกมาอย่างนี้ และนักวิชาการอย่างผมก็ออกมาอีกอย่างหนึ่ง อันนี้เลยทำให้เกิดความสับสน เนื่องจากนักวิชาการเวลาทำงานเรามีข้อมูลและสมมติฐาน อะไรที่มีข้อมูลเราใช้ข้อมูลหมดเลย แต่ เมื่อข้อมูลมีไม่เพียงพอเราต้องใช้สมมติฐาน ผมถึงบอกว่าในส่วนของรัฐ งบประมาณที่มีไว้ 7,000 ล้าน เรื่องไอที หวังว่าในอนาคตข้อมูลจะมีมากขึ้นๆ จนกระทั่งนักวิชาการจะได้มีข้อมูลพื้นฐานที่ดี ใช้ สมมุติฐานน้อยๆ และการวิเคราะห์ที่ออกมาให้ประชาชนจะได้แม่นยำ และเป็นที่น่าเชื่อถือ เชื่อใน แหล่งเดียว และตามมาตรฐานของรัฐมีแหล่งเดียวอยู่แล้วคือกรมประชาสัมพันธ์ 23/08/2014

147 147 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร สหรัฐอเมริกาก็เช่นกัน มีกฎหมายการปกป้อง critical infrastructure คือทุกองค์กรที่เป็นท็อป critical infrastructure เช่น พลังงาน น้ำ ไฟฟ้า สถาบันการเงิน ทุกประเทศที่ศึกษาเขามี BCP หมด ที่เรียกว่า national critical infrastructure โดยศึกษาว่าเขาแบ่งโครงสร้างพื้นฐานเหล่านี้อย่างไร พอ เรียงลำดับออกมาจะเห็นว่าอะไรที่เป็นโครงสร้างพื้นฐาน เช่น พลังงานโดยเฉพาะไฟฟ้า หากไม่มี ไฟฟ้า เซลไซด์ล่ม โรงพยาบาลล่ม แบงก์ล่ม แล้วอย่างอื่นก็จะพังตามไปเรื่อยๆ จากที่ศึกษาเราเห็นว่ากลุ่มนี้ควรจะเป็น critical infrastructure ของไทย และรัฐบาลต้องสั่งว่าคุณ ต้องดูแลตัวเอง เพราะถ้าคุณมีปัญหาที่เหลือล่มหมด เพราะเขาพึ่งคุณอยู่ ไม่ว่าคุณเป็นเอกชนหรือ รัฐวิสาหกิจก็ตาม คุณต้องมีภาระเพิ่มที่ต้องดูแลตัวเอง และดูแลประเทศ อย่าง กลุ่มพลังงานต้องหา แหล่งพลังงานสำรอง กลุ่มสถาบันการเงิน กลุ่มโทรคมนาคม เป็นต้น 23/08/2014

148 148 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร ในแง่มาตรการป้องกันภัยพิบัติที่ศึกษา มีอะไรต้องทำบ้าง ต้องผลักดันหลายเรื่องเหมือนกัน ขณะนี้ยังไม่มีคอนเซ็ปต์ critical infrasturcture ว่าของไทยควรมี อะไรบ้าง ต้องผลักดันให้มีก่อนว่าจะมีกี่กลุ่ม องค์กรไหนเป็นบ้าง ทั้งภาครัฐและเอกชน หน้าที่ที่ต้อง ทำ ต้องซ้อมแผน และต้องซ้อมร่วมกัน ไม่ใช่ต่างคนต่างซ้อม ตัวเองรอดคนเดียวคงไม่ใช่ รวมทั้งต้อง มีการอัพเดทข้อมูล ถ้าเป็นไฟฟ้า ต้องคิดล่วงหน้าหาแหล่งสำรอง และมีหนาวยงานกำกับดูแลมา สอดส่องว่าทำได้ดีแค่ไหน เพื่อทำให้มีประสิทธิภาพจริงๆ หากกลุ่มนี้รอด กลุ่มอื่นก็จะรอดด้วย ส่วนกลุ่มที่เป็นองค์กรเอกชน วิธีการผลักดันคือทั้งสั่งและขอความร่วมมือ เขาต้องทำแผน BCP ของ ตัวเอง อย่างสิงคโปร์รัฐบาลสั่งให้ทำ แต่สหรัฐอเมริกาและอังกฤษ รัฐบาลสั่งให้ทำ BCP เฉพาะ critical infrastructure ส่วนมาเลเซีย กำลังสั่งให้ทำเกือบทั้งหมด ประเทศไทยองค์กรภาครัฐทำ เพราะรู้กันเอง แต่ยังไม่มีใครผลักดัน ส่วนองค์กรที่ไม่มีความรู้ ยังไม่มีการให้ความรู้ คนยังไม่รู้ว่าทำ อย่างไร ตอนที่ทำโฟกัสกรุ๊ป เอกชนอยากทำแต่ทำไม่เป็น เรื่องนี้เป็นเรื่องใหม่รัฐบาลควรตั้งหน่วยงานกลางและให้ความรู้ประชาชน ตอนนี้มีมาตรฐาย อุตสาหกรรม(มอก.) มีประกาศมาตรฐาน (มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ) บาง องค์กรเริ่มทำแล้ว ซึ่งมาตรฐานมอก.นี้เอามาจากอังกฤษ BS /08/2014

149 149 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร ที่จริงเทรนด์มาก่อนหน้านี้ 2 ปีแล้ว หลังเกิดเหตุการณ์เสื้อแดง เราเองเคยคุยกับลูกค้าก่อนเกิด เหตุการณ์เสื้อแดง ตอนนั้นไทยไม่เคยเกิดเหตุการณ์นองเลือดหรือความเสียหายรุนแรง การเห็น ความสำคัญยังไม่เยอะ แต่ช่วง 2 ปีที่ผ่านมาทุกคนสนใจเรื่อง BCP และยิ่งวิกฤตน้ำท่วมที่ผ่านมาก็มี ความสนใจมากขึ้น โทรศัพท์มาถามเยอะขึ้น ขอข้อมูลมากขึ้น (อ่านเพิ่มเติม แนวทางเบื้องต้นสำหรับ รับมือเหตุการณ์ฉุกเฉิน) ลูกค้ามีตั้งแต่ขนาดกลางถึงขนาดใหญ่ มีหลายแบบ บางแห่งไม่มีข้อมูลเลย ไม่รู้ทำอย่างไร ทำไม่ เป็น เราไปทำให้ตั้งแต่ต้นจนจบ หรือเขียน BCP แล้วไม่มั่นใจเราก็ไปรีวิวให้ใหม่ หรือเขียนแล้วมั่นใจ อยากให้เราไปเทสต์ เพราะแผนที่ดีต้องซ้อม ไม่งั้นไม่รู้ว่าแผนอาจจะเขียนเมื่อ 5 ปี ที่แล้ว วันนี้ธุรกิจ เปลี่ยนไปหมดแล้ว เราจะทำการซ้อมจริงๆ เรามีบทเรียนจากประเทศต่างๆ ก็มาแชร์ให้ลูกค้าด้วย การทำBCP ของไทยนั้น ธุรกิจธนาคารทำมา ก่อนเพราะแบงก์ชาติสั่งให้ทำ แต่ก็เป็นเรื่องที่ดี เขาผ่านบทเรียนมาเยอะ ไม่งั้นการเทรด การโอนเงิน ทำไม่ได้ หรือธุรกิจสื่อสารก็สำคัญเช่นกัน 23/08/2014

150 150 Copyright © 2014 BSI. All rights reserved. คนของเรายังไม่รู้ว่าขาดอะไร มีความเสี่ยงอะไรที่เสี่ยงมากสุด จากสถิติน่าจะเป็นเรื่องน้ำเยอะสุด ประเทศไทยยังไม่มีข้อมูลความเสี่ยงที่ทันสมัย เวลาทำแผน BCP ต้องหาข้อมูลมาสนับสนุน เช่น จะเปิดสาขาในภูมิภาค ความเสี่ยงคืออะไร จะต้องมีข้อมูลประกอบ แต่ ละจังหวัดความเสี่ยงไม่เท่ากัน รัฐบาลควรมีข้อมูลเหล่านี้ ประชาชนจะได้เตรียมความพร้อมและหาวิธี ป้องกันได้ รวมทั้งการทำแผนของจังหวัดจะได้วางแผนรับมือได้ในแต่ละพื้นที่ อย่างที่อังกฤษ น้ำท่วมบ่อยมาก เขาผ่านมาจนเป็นเรื่องปกติ มีการทำข้อมูลออนไลน์ หากเห็น สัญลักษณ์นี้ขึ้นคืออะไร ประชาชนรู้วิธีที่จะรับมือ นี่คือฐานขอมูลความเสี่ยง และมีแล้วก็ต้องอัพเดท คอยประสานเก็บข้อมูล มีวิกฤตแล้วต้องทำอย่างไร เมื่อเกิดแล้วจะต้องถอดบทเรียนไว้เลย จะได้ไม่เกิด อีก ที่อังกฤษจะมีไกด์ไลน์ออกมาเลย อย่างเรื่องการประสานงาน เขาเคยไม่ดีมาก่อน ไม่ชัดเจนว่าใครทำ อะไร ก็มีประกาศสั่งให้ชัดว่าใครต้องทำอะไร เช่น การประสานระหว่างหน่วยงานภาครัฐและภาครัฐ ภาครัฐและเอกชน ภาครัฐกับองค์กรระหว่างประเทศ มีmulti agency framework แม้กระทั่งไกด์ไลน์ เรื่องถุงยังชีพ จะมีระยะเวลาว่าก่อนท่วม ระหว่างน้ำท่วม หลังท่วม จะต้องแจกอะไรบ้าง เช่น อาหารแห้ง ไฟฉาย แบตเตอร์รี่กับมือถือ เบอร์สำคัญต่างๆ 23/08/2014

151 มาทำ BCP กัน 23/08/2014

152 152 Copyright © 2014 BSI. All rights reserved. BC Planning Process 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อองค์กร และ ผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้แนวทางในการสร้างขีด ความสามารถให้องค์กรมีความยืดหยุ่น(resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูล ค่าที่มีประสิทธิผล Prevention Preparedness Response Recovery 23/08/2014

153 153 Copyright © 2014 BSI. All rights reserved. มองโลกอย่างที่เป็น ไม่ดีไม่ร้าย ท่านเป็นคนที่คิดตามความเป็นจริง หรือ เพียงแต่เฝ้าหวังภาวนาให้ คุณพระช่วย ท่านควรคิดเรื่องเลวร้ายที่อาจเกิดขึ้นและทำแผนสำรองไว้รับมือ คุณ จะมีความมั่นใจและมั่นคง ไม่ประหลาดใจกับสิ่งที่เกิดขึ้น 23/08/2014

154 154 Copyright © 2014 BSI. All rights reserved. วาดภาพเหตุการณ์ที่เลวร้าย วาดภาพเหตุการณ์เลวร้ายที่สุดให้ออก ค้นหา สร้างมโนภาพ ตรวจสอบ สถานการณ์ที่เลวร้าย โดย ถามตัวเองว่า ถ้าเราไม่ได้ลูกค้ารายนี้อะไรจะเกิดขึ้น หากไม่มีรายได้ เนื่องจากออกใบเรียกเก็บเงินไม่ได้ สองสัปดาห์จะเป็นอย่างไร หากลูกค้าส่วนมากไม่ชำระเงินจะทำอย่างไร หากพนักงานสำคัญป่วย จะทำอย่างไร หากตลาดวาย ไม่ฟื้น จะทำอย่างไร หากไม่มีพนักงานมาทำงานเลยจะเป็นอย่างไร หากเครื่องจักรหลักเสียหาย จะทำอย่างไร หากผู้ส่งมอบหลักไม่ส่งมอบวัตถุดิบให้ จะทำอย่างไร หากสถานที่ทำงาน เกิด ไฟไหม้ ท่านจะทำอย่างไร Etc และเราจะจัดสรรทรัพยากรที่มีอยู่ ในสภาพเหตุการณ์ที่เลวร้ายได้อย่างไร 23/08/2014

155 155 Copyright © 2014 BSI. All rights reserved. วาดภาพเหตุการณ์ที่เลวร้าย Survival Kit ของท่าน 23/08/2014

156 156 Copyright © 2014 BSI. All rights reserved. เขียน BCP Step 1 ทำการประเมินความ เสี่ยง ประเมินความเสี่ยงที่ท่านยอมรับ ระบุอุปสรรค เลือกวิธีการจัดการความเสี่ยง ความเสี่ยงที่ทำให้ธุรกิจชะงัก ต้องได้รับการควบคุมผ่าน BCP 23/08/2014

157 157 Copyright © 2014 BSI. All rights reserved. เขียน BCP จัดทำลำดับ ความสำคัญของ กระบวนการ กิจกรรมงานที่สำคัญ แยก แต่ละการดำเนินงาน วิกฤติ สำคัญ ไม่สำคัญ คืนงานพื้นฐานก่อนเสมอ งานพื้นฐานคือ CORE input ของธุรกิจ 23/08/2014

158 158 Copyright © 2014 BSI. All rights reserved. Recovery Time Objective ท่านทำได้เร็วขนาดไหน ในการ เริ่มดำเนินธุรกิจได้ใหม่ How Quick !! อะไรที่เป็นปัจจัย ต่อ การลด RTO 23/08/2014

159 159 Copyright © 2014 BSI. All rights reserved. Financial Consideration ทดสอบความ ใช้ได้ของ RTO พิจารณาเรื่อง ต้นทุน 23/08/2014

160 160 Copyright © 2014 BSI. All rights reserved. Financial Consideration MTPD มีเวลาอีกเท่าไหร่ นานไหมกว่าจะล้มละลาย มีส่วนเกี่ยวช้องกับ RTO อาจจำเป็นต้องหาทางลด RTO เพื่อลดการปิดธุรกิจ อย่างถาวร 23/08/2014

161 161 Copyright © 2014 BSI. All rights reserved. Financial Consideration ประกันภัยจากวิชาชีพ professional liability ประกันภัยต่อผลิตภัณฑ์ product liability ประกันภัยเนื่องจากมลภาวะมลพิษ pollution liability ประกันภัยนายจ้าง(ต่อลูกจ้าง) employer " liability ประกันภัยต่อสัญญา contractual liability ประกันภัย ต่อผู้บริหารหรือผู้จัดการบริษัท Directors and officers liability ( D&O ) ประกันภัยความรับผิดต่อสาธารชน public liabiliity : PL มีทุนพอที่จะครอบคลุมค่าใช้จ่าย การดำเนินงานและพื้นฟูในแต่ละ ขั้นตอน กระจายความเสี่ยงสู่ บริษัท รับประกัน ให้พิจารณาเรื่องเสียส่วนแบ่ง ทางการตลาด 23/08/2014

162 162 Copyright © 2014 BSI. All rights reserved. Financial Consideration จะเสียพนักงานสำคัญกี่คน ที่ ไม่อาจกลับมาทำงานได้ ไม่ว่า ด้วยความสมัครใจหรือเหตุ เภทภัย จะมีกี่คนที่อยู่ในบัญชีเงินเดือน ใครบ้างที่ต้องจ้างออก จะมีการทำงานใดที่ทำได้โดย ปราศจากการสนับสนุน 23/08/2014

163 163 Copyright © 2014 BSI. All rights reserved. Financial Consideration 23/08/2014

164 164 Copyright © 2014 BSI. All rights reserved. เขียน BCP ขั้นที่ 3 กำหนดกลยุทธ์ ตัดสินใจว่าใครควรมีส่วนร่วม ในการวางแผนและนำแผนไป ปฏิบัติ ทำการทวนสอบหลายๆ ทางเลือก 23/08/2014

165 165 Copyright © 2014 BSI. All rights reserved. เขียน BCP หัวใจหลักของการเขียนแผน สถานที่ ที่จะดำเนินการพร้อม ระบบ ยูทิลิตี้ พร้อม และจะทำให้พร้อมขนาด ไหน คน ข้อมูล การสื่อสาร เครื่องมือ 23/08/2014

166 166 Copyright © 2014 BSI. All rights reserved. เขียน BCP ระดับการตอบสนอง แผน BCP ควรมีการกำหนด ในสมมุติฐานที่แตกต่าง ระยะเวลาของภัยพิบัติ เป็น ตัวกำหนดการตอบสนอง เช่นกัน การตอบสนองต้องเหมาะต่อ ขอบเขตและระยะเวลาของ ภัยพิบัติ 23/08/2014

167 167 Copyright © 2014 BSI. All rights reserved. เขียน BCP Step 4 เก็บข้อมูล ข้อสังเกต กลยุทธ์ ข้อมูล แผนควรยาวพอ มีรายละเอียดที่ เพียงพอต่อครอบคลุม 23/08/2014

168 168 Copyright © 2014 BSI. All rights reserved. เขียน BCP Step 5 ทดสอบและทบทวน BCP ทุกๆ 6 เดือน หรือ 1 ปี กำหนดวัตถุประสงค์การทดสอบ เป็นสถานการณ์ที่เป็นจริงได้ ประเมินผลอย่างเป็นกลาง เก็บผลทดสอบเป็นเอกสาร ทำการปรับปรุงแผน Tabletop exercise Live drill 23/08/2014

169 169 Copyright © 2014 BSI. All rights reserved. เขียน BCP ทดสอบแผน ทบทวนการประเมินความเสี่ยง อบรมพนักงานใน BCP ให้ผู้มีส่วนร่วม ได้ร่วม 23/08/2014

170 170 Copyright © 2014 BSI. All rights reserved. การจัดเก็บ แจกจ่ายแผน BCP การจัดเก็บ เก็บหลายๆชุด หนึ่งชุดที่หน้างาน สำเนาอื่นๆ ในชุด Business recovery kit สำเนาที่ 3 ไว้ในที่ๆสามารุเข้าถึงได้จาก สถานที่อื่น เช่น ที่บ้าน ในรถ 23/08/2014

171 เริ่มอะไรก่อนดี 23/08/2014

172 172 Copyright © 2014 BSI. All rights reserved. เริ่มอะไรก่อนดี ทำรายการ inventory ทำการถ่ายภาพ สถานที่ เครื่องมือ อุปกรณ์ ตกแต่งต่างๆ ทบทวนนโยบาย ประกันภัย พิจารณาการซื้อประกันเฉพาะ โดยทั่วไปไม่ครอบคลุมทุกเรื่อง 23/08/2014

173 173 Copyright © 2014 BSI. All rights reserved. เริ่มอะไรก่อนดี Business recover list Inventory นโยบายประกัน รูปภาพก่อนหน้า รายชื่อพนักงาน รายชื่อลูกค้า รายชื่อผู้ขาย บันทึกต่างๆ บันทึกงานบุคคล บันทึกธนาคาร ต้องเก็บไว้ที่ปลอดภัย และ เช้าถึงได้ในภาวะวิกฤติ !! 23/08/2014

174 174 Copyright © 2014 BSI. All rights reserved. เริ่มอะไรก่อนดี ทำการ back up ข้อมูลใน คอมพิวเตอร์สม่ำเสมอ ทำให้มั่นใจว่าได้เก็บข้อมูล ทดสอบการ นำข้อมูลกลับ อบรมพนักงานเรื่องความ เสี่ยงและ BCM 23/08/2014

175 175 Copyright © 2014 BSI. All rights reserved. เริ่มอะไรก่อนดี มองหาความช่วยเหลือ ประกัน ผู้ขาย ลูกค้า เช่าซื้อ หน่วยงานรัฐ 23/08/2014

176 ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO /08/2014

177 177 Copyright © 2014 BSI. All rights reserved. 23/08/

178 178 Copyright © 2014 BSI. All rights reserved. 1. ขอบข่าย มาตรฐานนี้ใช้สำหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกำหนดเพื่อ วางแผน จัดทำ นำไปปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกป้อง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักขึ้น. ข้อกำหนดในมาตรฐานนี้เป็นข้อกำหนดทั่วไปและตั้งใจให้นำไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คำนึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกำหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดำเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนำไปปฏิบัติโดยมีการจัดทำโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกำหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกำหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกำหนดของผู้มีส่วนได้เสีย. 23/08/2014

179 179 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLANDOCHECKACT BCMS Documented information

180 180 Copyright © 2014 BSI. All rights reserved. 4.1 ความเข้าใจองค์กรและบริบทขององค์กร องค์กรต้องพิจารณาประเด็นภายนอกและภายในที่เกี่ยวข้องกับจุดประสงค์ของ องค์กรและที่มีผลกระทบต่อความสามารถขององค์กรในการบรรลุผลลัพธ์ตามที่ คาดหวังไว้ต่อระบบการบริหารความต่อเนื่องทางธุรกิจ ประเด็นเหล่านี้ต้องถูกนำมาพิจารณาเมื่อมีการจัดทำ นำไปปฏิบัติ และการรักษาไว้ ซึ่งระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร องค์กรต้องชี้บ่งและ จัดทำเป็นเอกสาร ดังนี้ ก) กิจกรรมต่างๆ ขององค์กร หน้าที่งาน การบริการ ผลิตภัณฑ์ หุ้นส่วน ห่วงโซ่ อุปทาน ความสัมพันธ์กับผู้มีส่วนได้เสีย และแนวโน้มของผลกระทบที่เกี่ยวข้องกับ อุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ข) ความเชื่อมโยงระหว่างนโยบายความต่อเนื่องทางธุรกิจ และวัตถุประสงค์ของ องค์กร และนโยบายด้านอื่นๆ รวมทั้งกลยุทธ์การบริหารความเสี่ยงขององค์กร โดยรวม ค) ความเสี่ยงที่ยอมรับได้ขององค์กร 23/08/2014

181 181 Copyright © 2014 BSI. All rights reserved. 4.1 ความเข้าใจองค์กรและบริบทขององค์กร ในการกำหนดบริบท องค์กรต้อง 1) กำหนดวัตถุประสงค์ รวมทั้งที่เกี่ยวข้องกับความต่อเนื่องทาง ธุรกิจอย่างชัดเจน 2) ระบุปัจจัยภายนอกและภายในที่ก่อให้เกิดความไม่แน่นอนที่ทำให้ เกิดความเสี่ยง 3) กำหนดเกณฑ์ความเสี่ยงโดยการพิจารณาถึงความเสี่ยงที่ยอมรับ ได้ 4) กำหนดเป้าหมายของระบบการบริหารความต่อเนื่องทางธุรกิจ 23/08/2014

182 182 Copyright © 2014 BSI. All rights reserved. 4.1 ความเข้าใจองค์กรและบริบทขององค์กร ทำระบบที่บางสาขา หรือ ทุกสาขา ดี ? ทำระบบทุกๆกิจกรรม หรือ บางกิจกรรม ดี? ใช้ Cold site, Hot site, Mirrored site, SLAs, Stock ดี อะไรสำคัญสุดในมุมมองลูกค้า อะไรคืองานหลัก งานรอง อะไรสำคัญ ไม่สำคัญ หยุดไม่ได้ หรือ หยุดนานไม่ได้ กระบวนการอะไร ผลิตภัณฑ์อะไร เป็นหัวใจหลัก ผู้ส่งมอบใด เครื่องมืออะไร เป็นหัวใจหลัก ทำ BIA ( Business Impact Assessment ) 23/08/2014

183 183 Copyright © 2014 BSI. All rights reserved. 23/08/2014

184 184 Copyright © 2014 BSI. All rights reserved.

185 185 Copyright © 2014 BSI. All rights reserved.

186 186 Copyright © 2014 BSI. All rights reserved. 4.2 ความเข้าใจถึงความต้องการและความคาดหวัง ของผู้มีส่วนได้เสีย ทั่วไป ในการจัดทำระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้องพิจารณาถึง ก) ผู้มีส่วนได้เสียที่มีความเกี่ยวข้องกับระบบการบริหารความต่อเนื่องทางธุรกิจ ข) ข้อกำหนดของผู้มีส่วนได้เสียเหล่านี้ (เช่น ความต้องการและความคาดหวังที่ได้ระบุไว้ หรือเป็นที่เข้าใจโดยทั่วไป หรือเป็นข้อผูกพัน) ข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับ องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานเพื่อการชี้บ่ง การ เข้าถึง และการประเมินข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องกับองค์กร ซึ่งสัมพันธ์กับความต่อเนื่องของการดำเนินงาน ผลิตภัณฑ์ และบริการ รวมทั้งผลประโยชน์ ของผู้มีส่วนได้เสียที่เกี่ยวข้อง องค์กรต้องมั่นใจว่าได้มีการประยุกต์ใช้กฎหมาย ระเบียบข้อบังคับ และข้อกำหนดอื่นๆ ซึ่ง องค์กรเกี่ยวข้องโดยการจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งระบบการบริหารความต่อเนื่อง ทางธุรกิจ องค์กรต้องจัดทำสารสนเทศเหล่านี้เป็นลายลักษณ์อักษรและทำให้ทันสมัย กฎหมายใหม่ และที่เปลี่ยนแปลง ระเบียบข้อบังคับ และข้อกำหนดอื่นๆ ต้องสื่อสารให้กับลูกจ้างที่ได้รับ ผลกระทบและผู้มีส่วนได้เสียอื่นๆ 23/08/2014

187 187 Copyright © 2014 BSI. All rights reserved. 4.2 ความเข้าใจถึงความต้องการและความคาดหวัง ของผู้มีส่วนได้เสีย 23/08/2014

188 188 Copyright © 2014 BSI. All rights reserved. 4.3 การกำหนดขอบข่ายระบบการบริหารความ ต่อเนื่องทางธุรกิจ ทั่วไป องค์กรต้องกำหนดขอบเขตและขอบข่ายในการนำระบบการบริหารความต่อเนื่องทางธุรกิจ ไปประยุกต์ใช้ ในการกำหนดขอบข่าย องค์กรต้องพิจารณาถึง - ประเด็นภายนอกและภายใน ตามข้อ ข้อกำหนด ตามข้อ 4.2 ขอบข่ายต้องจัดทำเป็นเอกสารสารสนเทศ 23/08/2014 ขอบข่ายของการบริหาร ความต่อเนื่อง 4.1 ความเข้าใจ องค์กรและบริบท ขององค์กร 4.2 ความเข้าใจถึง ความคาดหวังของ ผู้มีส่วนได้ส่วนเสีย

189 189 Copyright © 2014 BSI. All rights reserved ขอบข่ายของระบบการบริหารความต่อเนื่อง ทางธุรกิจ องค์กรต้อง ก) กำหนดหน่วยงานต่างๆ ขององค์กรที่อยู่ในระบบการบริหารความต่อเนื่องทาง ธุรกิจ ข) จัดทำข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจโดยพิจารณาถึง พันธะกิจ เป้าประสงค์ข้อผูกพันภายในและภายนอกขององค์กร (รวมทั้งที่เกี่ยวข้อง กับผู้มีส่วนได้เสีย) และ ความรับผิดชอบทางกฎหมายและระเบียบข้อบังคับ ค) ชี้บ่งผลิตภัณฑ์และบริการ รวมทั้งกิจกรรมที่เกี่ยวข้องทั้งหมดภายในขอบข่าย ของระบบการบริหารความต่อเนื่องทางธุรกิจ ง) คำนึงถึงความต้องการและผลประโยชน์ของผู้มีส่วนได้เสีย (เช่น ลูกค้า นัก ลงทุน ผู้ถือหุ้น) ห่วงโซ่อุปทาน ปัจจัยนำเข้าและความต้องการ ความคาดหวัง และผลประโยชน์ของสาธารณะ และ/หรือชุมชน (ตามความเหมาะสม) จ) กำหนดขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับ ขนาด ลักษณะ และความซับซ้อนขององค์กร 23/08/2014

190 190 Copyright © 2014 BSI. All rights reserved ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ 23/08/2014

191 191 Copyright © 2014 BSI. All rights reserved ขอบข่ายของระบบการบริหารความ ต่อเนื่องทางธุรกิจ 23/08/2014

192 192 Copyright © 2014 BSI. All rights reserved. 4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้องจัดทำ นำไปปฏิบัติ รักษา และปรับปรุงระบบการบริหาร ความต่อเนื่องทางธุรกิจตามข้อกำหนดของมาตรฐานนี้อย่างต่อเนื่อง รวมทั้งกระบวนการที่จำเป็นและปฏิสัมพันธ์ระหว่างกระบวนการ เหล่านั้น 23/08/2014

193 193 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLANDOCHECKACT BCMS Documented information

194 194 Copyright © 2014 BSI. All rights reserved. 5.1 ความเป็นผู้นำและความมุ่งมั่น ผู้บริหารสูงสุดและผู้บริหารอื่นที่มีหน้าที่เกี่ยวข้องต้องเป็นผู้นำในการ แสดงออกถึงความตระหนักต่อความสำคัญของระบบการบริหารความ ต่อเนื่องทางธุรกิจ ตัวอย่าง ความเป็นผู้นำและความมุ่งมั่นสามารถแสดงออกโดยการจูง ใจและการมอบอำนาจให้บุคลากรเข้ามามีส่วนช่วยให้ระบบการ บริหารความต่อเนื่องทางธุรกิจเกิดประสิทธิผล 23/08/2014

195 195 Copyright © 2014 BSI. All rights reserved. 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องเป็นผู้นำในการแสดงให้เห็นถึงความตระหนักต่อความสำคัญ และความ มุ่งมั่นต่อระบบการบริหารความต่อเนื่องทางธุรกิจโดย - มั่นใจว่านโยบายและวัตถุประสงค์ที่กำหนดขึ้นสำหรับระบบการบริหารความต่อเนื่องทาง ธุรกิจสอดรับ (compatible) กันกับกลยุทธ์ขององค์กร - มั่นใจว่ามีการบูรณาการข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจกับ กระบวนการทางธุรกิจขององค์กร - มั่นใจว่ามีการจัดสรรทรัพยากรสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจที่เพียงพอ - สื่อสารให้เข้าใจถึงความสำคัญของระบบการบริหารความต่อเนื่องทางธุรกิจที่มีประสิทธิผล และสอดคล้องตามข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจ - มั่นใจว่าระบบการบริหารความต่อเนื่องทางธุรกิจบรรลุผลสัมฤทธิ์ตามที่คาดหวังไว้ - อำนวยการและสนับสนุนบุคลากรเข้ามามีส่วนช่วยให้ระบบการบริหารความต่อเนื่องทาง ธุรกิจเกิดประสิทธิผล - ส่งเสริมให้มีการปรับปรุงอย่างต่อเนื่อง - สนับสนุนให้ผู้บริหารที่มีบทบาทหน้าที่ที่เกี่ยวข้อง ได้แสดงความเป็นผู้นำและความมุ่งมั่น ในการประยุกต์ใช้มาตรฐานดังกล่าวในงานที่รับผิดชอบ 23/08/2014

196 196 Copyright © 2014 BSI. All rights reserved. 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องจัดเตรียมหลักฐานที่แสดงถึงความมุ่งมั่นในการจัดทำ การนำไป ปฏิบัติ การดำเนินการ การเฝ้าระวัง การทบทวน การรักษา และการปรับปรุงระบบ การบริหารความต่อเนื่องทางธุรกิจ โดย - กำหนดนโยบายความต่อเนื่องทางธุรกิจ - มั่นใจว่าได้มีการกำหนดวัตถุประสงค์และแผนงานของระบบการบริหารความ ต่อเนื่องทางธุรกิจ - กำหนดบทบาทหน้าที่ ความรับผิดชอบ และความสามารถสำหรับการบริหาร ความต่อเนื่องทางธุรกิจ - แต่งตั้งบุคคล (อาจมากกว่าหนึ่งคน) ให้มีความรับผิดชอบต่อระบบการบริหาร ความต่อเนื่องทางธุรกิจ พร้อมทั้งกำหนดอำนาจหน้าที่และความสามารถอย่าง เหมาะสมในบทบาทหน้าที่สำหรับ การนำไปปฏิบัติการและรักษาไว้ซึ่งระบบการ บริหารความต่อเนื่องทางธุรกิจ 23/08/2014

197 197 Copyright © 2014 BSI. All rights reserved. 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องมั่นใจว่ามีการมอบหมายบทบาทหน้าที่อื่นที่เกี่ยวข้องและ สื่อสารเกี่ยวกับ ความรับผิดชอบและอำนาจหน้าที่ให้เข้าใจทั่วทั้งองค์กร โดย - กำหนดเกณฑ์การยอมรับความเสี่ยงและระดับของความเสี่ยงที่สามารยอมรับได้ - มีส่วนร่วมในการฝึกซ้อมและทดสอบอย่างจริงจัง - มั่นใจว่ามีการประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ - ทบทวนการบริหารงานสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ - แสดงให้เห็นถึงความมุ่งมั่นในการปรับปรุงอย่างต่อเนื่อง 23/08/2014

198 198 Copyright © 2014 BSI. All rights reserved. 23/08/2014

199 199 Copyright © 2014 BSI. All rights reserved. 23/08/2014

200 200 Copyright © 2014 BSI. All rights reserved. 23/08/2014

201 201 Copyright © 2014 BSI. All rights reserved. 23/08/2014

202 202 Copyright © 2014 BSI. All rights reserved. 23/08/2014

203 203 Copyright © 2014 BSI. All rights reserved. 5.3 นโยบาย ผู้บริหารสูงสุดต้องจัดทำและสื่อสารนโยบายความต่อเนื่องทางธุรกิจ โดยนโยบาย ต้อง ก) เหมาะสมกับเป้าหมายขององค์กร ข) ให้กรอบสำหรับการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจ ค) ประกอบด้วยความมุ่งมั่นในการเป็นไปตามข้อกำหนดที่นำมาประยุกต์ใช้ ง) รวมถึงความมุ่งมั่นในการปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจอย่าง ต่อเนื่อง นโยบายระบบการบริหารความต่อเนื่องทางธุรกิจต้อง - เป็นเอกสารสารสนเทศ - ได้รับการสื่อสารภายในองค์กร - เปิดเผยต่อผู้มีส่วนได้เสียตามความเหมาะสม - ได้รับการทบทวนความต่อเนื่องอย่างเหมาะสมตามระยะเวลาและเกิดการ เปลี่ยนแปลงอย่างมีนัยสำคัญ องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับนโยบายความต่อเนื่องทางธุรกิจ 23/08/2014

204 204 Copyright © 2014 BSI. All rights reserved. 23/08/2014

205 205 Copyright © 2014 BSI. All rights reserved. 5.4 บทบาทหน้าที่ ความรับผิดชอบ และอำนาจ หน้าที่ในองค์กร ผู้บริหารสูงสุดต้องมั่นใจว่ามีการมอบหมายและสื่อสารความ รับผิดชอบและอำนาจหน้าที่สำหรับบทบาทหน้าที่ต่างๆ ที่เกี่ยวข้อง ภายในองค์กร ผู้บริหารสูงสุดต้องมอบหมายความรับผิดชอบและอำนาจหน้าที่ เพื่อ ก) มั่นใจว่าระบบการบริหารงานเป็นไปตามข้อกำหนดของมาตรฐานนี้ ข) รายงานสมรรถนะของระบบการบริหารความต่อเนื่องทางธุรกิจต่อ ผู้บริหารสูงสูด 23/08/2014

206 206 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLANDOCHECKACT BCMS Documented information

207 207 Copyright © 2014 BSI. All rights reserved. 6.1 ปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและ โอกาส ในการวางแผนสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้อง พิจารณาประเด็นต่างๆ ที่ได้ระบุ ไว้ในข้อ 4.1 และข้อกำหนดต่างๆ ที่ได้ระบุไว้ใน ข้อ 4.2 และพิจารณาความเสี่ยงและโอกาสที่จำเป็นต้องดำเนินการต่อไป เพื่อทำ ให้ ก) มั่นใจว่าระบบการบริหารงานสามารถบรรลุผลลัพธ์ตามที่มุ่งหวังไว้ ข) ป้องกันหรือลดผลกระทบที่ไม่ต้องการ ค) บรรลุซึ่งการปรับปรุงอย่างต่อเนื่อง องค์กรต้องวางแผน ก) การปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาสเหล่านี้ ข) โดยใช้วิธีการว่าจะดำเนินการอย่างไรเพื่อ 1) บูรณาการและนำการปฏิบัติการเข้าไปในกระบวนการของระบบการบริหารความ ต่อเนื่องทางธุรกิจขององค์กร (ดูข้อ 8.1) 2) ประเมินประสิทธิผลของปฏิบัติการเหล่านี้ (ดูข้อ 9.1) 23/08/

208 208 Copyright © 2014 BSI. All rights reserved. 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและ แผนงานเพื่อทำให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและสื่อสารไป ยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คำนึงถึงระดับต่ำสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุตาม วัตถุประสงค์ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คำนึงถึงข้อกำหนดที่เกี่ยวข้อง จ) เฝ้าระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ เพื่อให้บรรลุวัตถุประสงค์ความต่อเนื่องทางธุรกิจ องค์กรต้องพิจารณาถึง - ผู้รับผิดชอบ - สิ่งที่ต้องดำเนินการ - ทรัพยากรที่ต้องการ - กำหนดระยะเวลาแล้วเสร็จ - วิธีการประเมินผล 23/08/2014

209 209 Copyright © 2014 BSI. All rights reserved. 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและ แผนงานเพื่อทำให้บรรลุวัตถุประสงค์ 23/08/2014

210 210 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 23/08/2014

211 211 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLANDOCHECKACT BCMS Documented information

212 212 Copyright © 2014 BSI. All rights reserved. 7.1 ทรัพยากร องค์กรต้องพิจารณาและจัดเตรียมทรัพยากรที่จำเป็นสำหรับการจัดทำ การนำไปปฏิบัติ การ รักษา และ การปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง 7.2 ความสามารถ องค์กรต้อง ก) พิจารณาความสามารถที่จำเป็นของบุคลากรที่ทำงานภายใต้การควบคุมขององค์กรที่ ส่งผลกระทบต่อสมรรถนะ ข) มั่นใจว่าบุคลากรมีความสามารถบนพื้นฐานของการศึกษา การฝึกอบรม และ ประสบการณ์ที่เหมาะสม ค) ปฏิบัติการใดๆ เพื่อให้มั่นใจว่าบุคลากรมีความสามารถตามที่ต้องการ และมีการประเมิน ประสิทธิผลของปฏิบัติการที่ได้ดำเนินการเหล่านั้น หากสามารถทำได้ ง) เก็บรักษาเอกสารสารสนเทศอย่างเหมาะสมเพื่อเป็นหลักฐานความสามารถ หมายเหตุ ตัวอย่างปฏิบัติการที่สามารถทำได้ เช่น การจัดให้มีการฝึกอบรม การให้ คำแนะนำ หรือการมอบหมายงานใหม่ให้ลูกจ้างปัจจุบัน หรือจ้างเหมาบุคลากรที่มี ความสามารถ 23/08/2014

213 213 Copyright © 2014 BSI. All rights reserved. 7.3 ความตระหนัก บุคลากรที่ทำงานภายใต้การควบคุมขององค์กรต้องมีความตระหนักต่อ ก) นโยบายความต่อเนื่องทางธุรกิจ ข) การมีส่วนช่วยให้ระบบการบริหารความต่อเนื่องทางธุรกิจเกิดประสิทธิผล รวมทั้งประโยชน์จากการปรับปรุงสมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ ค)สิ่งที่ทำให้เกิดความไม่เป็นไปตามข้อกำหนดของระบบการบริหารความต่อเนื่อง ทางธุรกิจ ง) บทบาทหน้าที่ของตนเองในระหว่างที่เกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก 23/08/2014

214 214 Copyright © 2014 BSI. All rights reserved. 7.4 การ สื่อสาร องค์กรต้องพิจารณาสิ่งจำเป็นสำหรับการสื่อสารภายในและภายนอกที่เกี่ยวข้องกับระบบการบริหาร ความต่อเนื่องทางธุรกิจ ซึ่งรวมถึง ก) เนื้อหาสาระหรือประเด็นที่ต้องการสื่อสาร ข) เวลาที่เหมาะสมในการสื่อสาร ค) ผู้รับข้อมูล องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานสำหรับ - การสื่อสารภายในระหว่างผู้มีส่วนได้เสียและลูกจ้างภายในองค์กร - การสื่อสารภายนอกกับลูกค้า หน่วยงานที่เป็นหุ้นส่วน ชุมชนท้องถิ่น และผู้มีส่วนได้เสียอื่นๆ รวมทั้ง สื่อมวลชนต่างๆ - การรับ การทำเป็นเอกสาร และการตอบสนองต่อการสื่อสารต่างๆ จากผู้มีส่วนได้เสีย - การปรับใช้ และการบูรณาการระบบให้คำปรึกษาเกี่ยวกับภัยคุกคาม (threat advisory system) ใน ระดับประเทศหรือระดับภูมิภาค หรือ เทียบเท่า ไปสู่การวางแผนและการดำเนินการหากมีความ เหมาะสม - มั่นใจว่ามีวิธีการสื่อสารอย่างเพียงพอในระหว่างที่เกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก - การสื่อสารตามโครงสร้างที่จัดเตรียมไว้ตามอำนาจหน้าที่อย่างเหมาะสม และมั่นใจว่ามีการดำเนินงาน ร่วมกันระหว่างองค์กรต่างๆ ที่ทำหน้าที่ตอบสนอง และบุคลากรตามความเหมาะสม - การดำเนินการและการทดสอบขีดความสามารถของการสื่อสารที่ได้จัดเตรียมไว้ในระหว่างการเกิด อุบัติการณ์ ที่ทำ ให้เกิดการหยุดชะงักจากการสื่อสารตามปกติ 23/08/2014

215 215 Copyright © 2014 BSI. All rights reserved. 7.5 เอกสารสารสนเทศ ทั่วไป ระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กรต้องรวมถึง - เอกสารสารสนเทศที่เป็นข้อกำหนดตามมาตรฐานนี้ - เอกสารสารสนเทศที่องค์กรพิจารณาแล้วว่าเป็นข้อกำหนดสำหรับระบบการบริหารความ ต่อเนื่องทางธุรกิจที่มีประสิทธิผล หมายเหตุ ขอบเขตของเอกสารสารสนเทศสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ สามารถแตกต่างกันในแต่ละองค์กร อันเนื่องมาจาก - ขนาดขององค์กรและประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ - ความซับซ้อนและปฏิสัมพันธ์ของกระบวนการ - ความสามารถของบุคลากร 23/08/2014

216 216 Copyright © 2014 BSI. All rights reserved การจัดทำและการทำให้ทันสมัย ในการจัดทำ หรือการทำให้เอกสารสารสนเทศมีความทันสมัย องค์กรต้องมั่นใจตามความเหมาะสมถึง ก) การชี้บ่งและรายละเอียดของเอกสารสารสนเทศ เช่น หัวข้อ ชื่อ วันที่ ผู้แต่ง หมายเลข ข) รูปแบบ เช่น ภาษา รุ่นของซอฟต์แวร์ ภาพกราฟิก และสื่อที่ใช้ เช่น กระดาษ อิเล็กทรอนิกส์ และการทบทวนและการอนุมัติสำหรับ ความเพียงพอ 23/08/2014

217 217 Copyright © 2014 BSI. All rights reserved การควบคุมเอกสารสารสนเทศ เอกสารสารสนเทศที่ต้องการสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ และตาม ข้อกำหนดของ มาตรฐานนี้ต้องได้รับการควบคุมเพื่อมั่นใจว่า ก) มีเพียงพอและเหมาะสมเมื่อใช้งาน ตามสถานที่และเวลาที่ต้องการ ข) มีการปกป้องที่เพียงพอ (เช่น จากการไม่รักษาความลับ มีการใช้งานที่ไม่เหมาะสม หรือ ขาดซึ่งความซื่อสัตย์) สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องดำเนินกิจกรรมดังต่อไปนี้ ตามความ เหมาะสม - การแจกจ่าย การเข้าถึง การเรียกออกมาใช้ และการใช้ - การจัดเก็บและการดูแล รวมทั้งการดูแลเพื่อให้สามารถอ่านได้ง่าย เช่น มีความชัดเจน เพียงพอต่อ การอ่าน - การควบคุมการเปลี่ยนแปลง เช่น การควบคุมครั้งที่จัดทำ (version) - ระยะเวลาการเก็บ และการทำลายทิ้ง - การป้องกันการนำสารสนเทศที่ยกเลิกแล้วไปใช้โดยไม่ตั้งใจ 23/08/2014

218 218 Copyright © 2014 BSI. All rights reserved การควบคุมเอกสารสารสนเทศ เอกสารสารสนเทศที่รับมาจากภายนอกองค์กรซึ่งได้พิจารณาแล้วว่ามีความจำเป็น สำหรับการวางแผนและการดำเนินการของระบบการบริหารความต่อเนื่องทางธุรกิจ ต้องมีการชี้บ่งและควบคุมตามความเหมาะสม ในการควบคุมเอกสารสารสนเทศ องค์กรต้องมั่นใจว่ามีการกำหนดถึงการปกป้อง เอกสารสารสนเทศอย่างเพียงพอ เช่น การปกป้องจากการยินยอม การดัดแปลง แก้ไขจากผู้ที่ไม่มีอำนาจ หรือ การลบทิ้ง หมายเหตุ การเข้าถึง ให้มีความหมายว่าเป็นการตัดสินใจเกี่ยวกับการอนุญาตให้ มองเห็นเอกสารสารสนเทศเท่านั้น หรือการอนุญาตและให้อำนาจในการมองเห็น และเปลี่ยนแปลงเอกสารสารสนเทศได้ด้วย ฯลฯ 23/08/2014

219 219 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLANDOCHECKACT BCMS Documented information

220 220 Copyright © 2014 BSI. All rights reserved. 23/08/

221 221 Copyright © 2014 BSI. All rights reserved. 23/08/ กลยุทธ์ความ ต่อเนื่องทาง ธุรกิจ 8.2 การวิเคราะห์ ผลกระทบทาง ธุรกิจ 8.4 การจัดทำและ การนำขั้นตอการ ดำเนินงานบริหาร ความต่อเนื่องไป ปฏิบัติ 8.5 การฝึกซ้อม และการทดสอบ

222 222 Copyright © 2014 BSI. All rights reserved. 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้ เป็นไปตามข้อกำหนดและการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กำหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดำเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจำเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดำเนินการแทน 23/08/2014

223 223 Copyright © 2014 BSI. All rights reserved. ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตาม ข้อกำหนด และการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กำหนดไว้ 23/08/2014

224 224 Copyright © 2014 BSI. All rights reserved. 8.2 การวิเคราะห์ผลกระทบทางธุรกิจและการ ประเมินความเสี่ยง ทั่วไป องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการที่กำหนดขึ้นเป็นเอกสารและเป็นทางการ สำหรับการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง ซึ่ง ก) กำหนดบริบทการประเมิน กำหนดเกณฑ์และประเมินถึงแนวโน้มของผลกระทบที่อาจจะเกิดขึ้น จากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ข) พิจารณาถึงกฎหมายและข้อกำหนดอื่นๆ ที่เกี่ยวข้องกับองค์กร ค) รวมถึงการวิเคราะห์อย่างเป็นระบบ การจัดลำดับความสำคัญของการจัดการความเสี่ยง และ ค่าใช้จ่ายที่เกี่ยวข้อง ง) กำหนดผลลัพธ์ที่ต้องการจากการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง จ) ระบุข้อกำหนดเพื่อให้สารสนเทศนี้มีความทันสมัยและเป็นความลับ หมายเหตุ การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงมีอยู่หลายวิธี ซึ่งจะพิจารณา ถึงลำดับก่อนหลังในการจัดการกับความเสี่ยงเหล่านี้ 23/08/2014

225 225 Copyright © 2014 BSI. All rights reserved การวิเคราะห์ผลกระทบทางธุรกิจ องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการประเมินที่กำหนดขึ้น อย่างเป็นทางการและเป็นเอกสารสำหรับการพิจารณาถึงลำดับความสำคัญของ ความต่อเนื่องและการฟื้นฟู วัตถุประสงค์ และเป้าหมาย ซึ่งกระบวนการนี้ต้อง รวมถึงการประเมินผลกระทบจากการหยุดชะงักของกิจกรรมที่มีส่วนสนับสนุนต่อ ผลิตภัณฑ์และบริการขององค์กรด้วย การวิเคราะห์ผลกระทบทางธุรกิจต้องรวมถึงสิ่งต่างๆ ต่อไปนี้ ก) การชี้บ่งกิจกรรมที่สนับสนุนการส่งมอบผลิตภัณฑ์และบริการ ข) การประเมินผลกระทบตลอดช่วงระยะเวลาที่กิจกรรมเหล่านี้หยุดชะงัก ค) กำหนดลำดับความสำคัญของกรอบระยะเวลาเพื่อการกลับมาดำเนินการได้อีก ครั้งของกิจกรรมเหล่านี้ในระดับขั้นต่ำสุดที่กำหนดซึ่งสามารถยอมรับได้ โดย คำนึงถึงระยะเวลาที่ไม่สามารถยอมรับได้หากไม่มีการแก้ไขผลกระทบนั้น ง) การชี้บ่งถึงการพึ่งพาและทรัพยากรที่สนับสนุนกิจกรรมเหล่านี้ รวมทั้งผู้ส่งมอบ ผู้รับจ้าง(outsource partner) และผู้มีส่วนได้เสียอื่นๆ ที่เกี่ยวข้อง 23/08/2014

226 226 Copyright © 2014 BSI. All rights reserved. Form A - BIA 23/08/2014

227 227 Copyright © 2014 BSI. All rights reserved การวิเคราะห์ผลกระทบทางธุรกิจ 23/08/2014

228 228 Copyright © 2014 BSI. All rights reserved การวิเคราะห์ผลกระทบ ทางธุรกิจ By Department Survey Form ? 23/08/2014

229 229 Copyright © 2014 BSI. All rights reserved. แผนที่คุณอาจมีอยู่แล้ว Evacuation plan Fire protection plan Safety and health program Environmental policies Security procedures Insurance program Finance and purchasing procedures Plant closing policy Employee manuals Hazardous materials plan Process safety assessment Risk management plan Capital improvement program Mutual aid agreements 23/08/2014

230 230 Copyright © 2014 BSI. All rights reserved. หาข้อมูล ความช่วยเหลือ จากภายนอก Community emergency management office Mayor or Community Administrator’s office Local Emergency Planning Committee (LEPC) Fire Department Police Department Emergency Medical Services organizations Red Cross Planning Commission Telephone Companies Electric Utilities Neighboring businesses National Weather Service Public Works Department 23/08/2014

231 231 Copyright © 2014 BSI. All rights reserved. ระบุมาตรฐาน และ กฏระเบียบข้อบังคับ Occupational safety and health regulations Environmental regulations Fire codes Safety codes Transportation regulations Zoning regulations Corporate policies 23/08/2014

232 232 Copyright © 2014 BSI. All rights reserved. ระบุ ผลิตภัณฑ์ บริการ กระบวนการหลัก ข้อมูลที่จำเป็น เพื่อทำการประเมิน กำหนด เหตุวิกฤติ: ผลิตภัณฑ์ บริการ และ ทรัพยากรที่จำเป็น (คน อาคาร สถานที่ทำงาน และสิ่ง อำนวยความสะดวกที่เกี่ยวข้อง, เครื่องจักร อุปกรณ์ต่างๆ ทั้งฮาร์ดแวร์และ ซอฟต์แวร์, บริการสนับสนุนต่างๆ (เช่น การขนส่ง, การสื่อสาร หรือ ระบบ สารสนเทศ) เพื่อให้สามารถส่งมอบผลิตภัณฑ์ บริการ ตามที่กำหนด ผลิตภัณฑ์ บริการที่ส่งมอบผ่าน ผู้ส่งมอบ โดยเฉพาะผู้ส่งมอบช่วง บริการที่ต้องมีพร้อมตลอดเวลา ไฟฟ้า น้ำ การสื่อสาร การขนส่ง กระบวนการ อุปกรณ์ เครื่องมือ เครื่องจักร ที่ไม่อาจขาดได้ เพื่อให้สามารถให้ทำ การส่งมอบผลิตภัณฑ์ บริการ อย่างต่อเนื่อง 23/08/2014

233 233 Copyright © 2014 BSI. All rights reserved. ระบุ ทรัพยากรภายใน และ กำลังความสามารถ สิ่งที่คุณอาจจำเป็น ต้องมีในภาวะฉุกเฉิน คน ทีมกู้ภัยสารเคมี ทีม PR ทีมงานรักษาพยาบาล ทีมสู้ไฟ อุปกรณ์เครื่องจักร อุปกรณ์ป้องกันไฟใหม้ อุปกรณ์ในการสื่อสาร สัญญาณเตือน ไฟสำรอง อาคารสถานที่ พื้นที่สำรอง รวมพล ห้องให้ข้อมูล กำลังความสามารถองค์กร ฝึกอบรม จำนวนและประเภทพนักงานสนับสนุน การแบ็คอัพ ระบบจ่ายค่าจ้าง การสื่อสาร การผลิต การบริการลูกค้า การจัดส่งและรับ ระบบ สนับสนุนระบบข้อมูล ระบบไฟฉุกเฉิน การฟื้นฟู 23/08/2014

234 234 Copyright © 2014 BSI. All rights reserved. ระบุ ทรัพยากรภายนอก และ กำลังความสามารถ สำนักงานชั่วคราวเพื่อการบริหารในภาวะวิกฤติ, สถานีดับเพลิง, องค์กรควบคุมดูแลด้านวัตถุอันตราย, การให้บริการทางการแพทย์ฉุกเฉิน, โรงพยาบาลในพื้นที่ใกล้เคียง, สถานีตำรวจ, องค์กรที่ให้บริการสาธารณูปโภค, ผู้รับเหมา, ผู้จำหน่ายอุปกรณ์ฉุกเฉิน, ประกันภัย 23/08/2014

235 235 Copyright © 2014 BSI. All rights reserved. ระบุ เงื่อนไข สัญญาประกันที่มี มูลค่า ครอบคลุม ในยามหยุดให้บริการ ความครอบคลุม โอกาสที่เพิ่ม โอกาสที่ลด บันทึก เอกสารอะไรที่ ที่บริษัทประกัน ต้องการ 23/08/2014

236 236 Copyright © 2014 BSI. All rights reserved. ประเมินภัยคุกคามที่อาจมี Historical — What types of emergencies have already occurred in your community, at your facility or at other facilities in the area ? Fires Severe weather Hazardous material spills Biological incident Transportation accidents Utility outages Earthquakes, hurricanes, tornadoes Terrorism Geographical — What can happen as a result of your facility's location? Keep in mind: Proximity to flood plains, seismic faults and dams Proximity to companies that produce, store, use or transport hazardous materials Proximity to nuclear power plants Major transportation routes and airports Technological — What could result from a process or system failure? Possibilities include: Fire, explosion, hazardous materials incident Safety system failure Telecommunications failure Computer system failure Power failure Heating/cooling system failure Emergency notification system failure 23/08/2014

237 237 Copyright © 2014 BSI. All rights reserved. ประเมินภัยคุกคามที่อาจมี Human Error — What emergencies could be caused by employee error? Are your employees trained to work safely? Do they know what to do in an emergency? Human error is the single largest cause of workplace emergencies and can result from: Poor training Poor maintenance Carelessness Misconduct Substance abuse Fatigue Physical — What types of emergencies could result from the design or construction of your facility? Does the physical facility enhance safety? Consider: The physical construction of your facility Hazardous processes or by-products Facilities for storing combustibles Layout of equipment Lighting Evacuation routes and exits Proximity of shelter area Regulatory — What emergencies or hazards are you regulated to deal with? Analyze each potential emergency from beginning to end. Consider what could happen as a result of: Prohibited access to the facility Loss of electric power Communication lines down Ruptured gas mains Water damage Smoke damage Structural damage Air or waster contamination Explosion Building collapse Trapped persons Chemical release 23/08/2014

238 238 Copyright © 2014 BSI. All rights reserved การประเมินความเสี่ยง องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการประเมินความเสี่ยงที่กำหนดขึ้น อย่างเป็นทางการและเป็นเอกสาร สำหรับการชี้บ่ง การวิเคราะห์ และการประเมินความเสี่ยง จากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักอย่างเป็นระบบ หมายเหตุ กระบวนการนี้สามารถดำเนินการตามมาตรฐาน มอก องค์กรต้อง ก) ชี้บ่งความเสี่ยงของการหยุดชะงักต่อกิจกรรมที่มีความสำคัญขององค์กรและกระบวนการ ระบบสารสนเทศ บุคลากร สินทรัพย์ ผู้รับจ้าง และทรัพยากรอื่นที่สนับสนุนสิ่งเหล่านี้ ข) วิเคราะห์ความเสี่ยงอย่างเป็นระบบ ค) ประเมินว่ามีความเสี่ยงที่เกี่ยวข้องกับการหยุดชะงักใดที่จำเป็นต้องมีการจัดการความ เสี่ยง ง) ชี้บ่งการจัดการความเสี่ยงที่มีความเหมาะสมกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ และ เป็นไปตามระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ หมายเหตุ องค์กรต้องตระหนักว่าข้อผูกพันด้านการเงินหรือของภาครัฐบางประการ จำเป็นต้องสื่อสารรายละเอียดของความเสี่ยงเหล่านี้แตกต่างกันไปในแต่ละระดับ นอกจากนี้ ความต้องการทางสังคมบางประการ สามารถเป็นการประกันถึงการแบ่งปันของ สารสนเทศ ในระดับของรายละเอียดที่เหมาะสม 23/08/2014

239 239 Copyright © 2014 BSI. All rights reserved. Form B - Risk Assessment 23/08/2014

240 240 Copyright © 2014 BSI. All rights reserved. Form B - Risk Assessment 23/08/2014

241 241 Copyright © 2014 BSI. All rights reserved. Form B - Risk Assessment 23/08/2014

242 242 Copyright © 2014 BSI. All rights reserved การประเมินความเสี่ยง สถานการณ์ที่ซึ่ง สถานที่เสียหาย หรือ ไม่สามารถเข้าถึง– e.g. industrial action / fire / flooding การเสียหายของ ระบบ IT / ระบบเน็ตเวอร์ค / ฮาร์ดแวร์ / ซอฟแวร์ / ข้อมูล –e.g. ไฟฟ้า ดับ / ไวรัส ไม่มีพนักงานหลัก – e.g. เกิดโรคระบาด, ประท้วง การไม่มีหรือเสียหายจากทรัพยากรต่างๆ – e.g. ผู้ส่งมอบสำคัญ, น้ำมัน, น้ำ 23/08/2014

243 243 Copyright © 2014 BSI. All rights reserved. 23/08/2014

244 244 Copyright © 2014 BSI. All rights reserved. 23/08/2014

245 245 Copyright © 2014 BSI. All rights reserved. 23/08/2014

246 246 Copyright © 2014 BSI. All rights reserved. 23/08/2014

247 247 Copyright © 2014 BSI. All rights reserved. From C 23/08/2014

248 248 Copyright © 2014 BSI. All rights reserved. 23/08/2014

249 249 Copyright © 2014 BSI. All rights reserved. 23/08/2014

250 250 Copyright © 2014 BSI. All rights reserved. 23/08/2014

251 251 Copyright © 2014 BSI. All rights reserved. 23/08/2014

252 252 Copyright © 2014 BSI. All rights reserved. 23/08/2014

253 253 Copyright © 2014 BSI. All rights reserved. 23/08/2014

254 254 Copyright © 2014 BSI. All rights reserved. 23/08/2014

255 255 Copyright © 2014 BSI. All rights reserved. 23/08/2014

256 256 Copyright © 2014 BSI. All rights reserved. 23/08/2014

257 257 Copyright © 2014 BSI. All rights reserved. 23/08/2014

258 258 Copyright © 2014 BSI. All rights reserved. 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ การกำหนดและการเลือก การกำหนดและการเลือกกลยุทธ์ต้องอยู่บนพื้นฐานของผลลัพธ์ที่มาจากการ วิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง องค์กรต้องกำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจอย่างเหมาะสมสำหรับ ก) การปกป้องกิจกรรมที่มีความสำคัญ ข) สร้างเสถียรภาพ ความต่อเนื่อง การกลับมาดำเนินการใหม่ และการฟื้นฟู กิจกรรมที่มีความสำคัญและกิจกรรมที่เกี่ยวเนื่อง รวมทั้ง ทรัพยากรที่จำเป็นต่อ กิจกรรมที่มีความสำคัญ ค) การบรรเทา การตอบสนอง และการจัดการผลกระทบ การกำหนดกลยุทธ์ ต้องรวมถึง การอนุมัติกรอบเวลาในการกลับคืนมาดำเนินการ ของกิจกรรมที่มีความสำคัญ องค์กรต้องประเมินขีดความสามารถของผู้ส่งมอบสำหรับการดำเนินธุรกิจอย่าง ต่อเนื่อง 23/08/2014

259 259 Copyright © 2014 BSI. All rights reserved. 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ จัดทำลำดับความสำคัญต่อการตอบสนอง เหตุการณ์ ทำมาตรการป้องกัน มาตรการการแบ็คอัพ 23/08/2014

260 260 Copyright © 2014 BSI. All rights reserved. 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ มาตรการแบ็คอัพ CD /Tape/ DR / Daily/weekly/increment/full บริการคลาวด์ ระยะห่างระหว่างสถานที่ ที่อาจเกิดปัญหาพร้อมๆกัน ระยะเวลาที่ต้องการเข้าถึงข้อมูล ความปลอดภัยข้อมูล สภาพแวดล้อมที่เก็บ 23/08/2014 Cost ??

261 261 Copyright © 2014 BSI. All rights reserved. 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ มาตรการด้าน อาคารสถานที่ 23/08/2014 Cost ??

262 262 Copyright © 2014 BSI. All rights reserved. 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ มาตรการด้านเครื่องมือ อุปกรณ์ ทำสัญญา Service Level Agreement ( SLAs) ซื้อ เก็บ และ สำรอง พร้อมใช้ ใช้เครื่องมือ อุปกรณ์ ที่มีอยู่จาก ….. Cost ?? 23/08/2014

263 263 Copyright © 2014 BSI. All rights reserved. 23/08/2014

264 264 Copyright © 2014 BSI. All rights reserved. 8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ บริการอื่นๆ ที่อาจต้องคิดถึง Off-site storage location (for both the primary and alternate sites) Cleaning and restoration companies Software vendors Temporary personnel providers Office supply vendors Networking and telephone providers Transportation and lodging Car rental agencies Couriers 23/08/2014 Bank Fire, police, hospitals, ambulance service Civil Defense Post Office Regulatory agencies Power and utility companies Newspapers, radio and TV stations Contractors Real Estate Agencies Law Firms

265 265 Copyright © 2014 BSI. All rights reserved. 23/08/2014

266 266 Copyright © 2014 BSI. All rights reserved. 23/08/2014

267 267 Copyright © 2014 BSI. All rights reserved. 23/08/2014

268 268 Copyright © 2014 BSI. All rights reserved. 23/08/2014

269 269 Copyright © 2014 BSI. All rights reserved การจัดทำข้อกำหนดด้านทรัพยากร องค์กรต้องพิจารณาข้อกำหนดด้านทรัพยากรเพื่อนำกลยุทธ์ที่ได้เลือกไว้ไปปฏิบัติ ประเภทของทรัพยากรที่นำมาพิจารณาอย่างน้อยต้องประกอบด้วย ก) บุคลากร ข) สารสนเทศและข้อมูล ค) อาคาร สภาพแวดล้อมในการทำงาน และสาธารณูปโภคที่เกี่ยวข้อง ง) สิ่งอำนวยความสะดวก อุปกรณ์ และโภคภัณฑ์ จ) ระบบเทคโนโลยีสารสนเทศและการสื่อสาร ฉ) การขนส่ง ช) การเงิน ซ) หุ้นส่วน และผู้ส่งมอบ 23/08/2014

270 270 Copyright © 2014 BSI. All rights reserved. 23/08/2014

271 271 Copyright © 2014 BSI. All rights reserved. 23/08/2014

272 272 Copyright © 2014 BSI. All rights reserved. 23/08/2014

273 273 Copyright © 2014 BSI. All rights reserved. 23/08/2014

274 274 Copyright © 2014 BSI. All rights reserved. 23/08/2014

275 275 Copyright © 2014 BSI. All rights reserved. 23/08/2014

276 276 Copyright © 2014 BSI. All rights reserved การปกป้องและการบรรเทา สำหรับความเสี่ยงที่กำหนดให้ต้องมีการลดความเสี่ยง องค์กรต้อง พิจารณาถึงมาตรการเชิงรุก โดย ก) ลดโอกาสของการหยุดชะงัก ข) ทำให้ช่วงเวลาของการหยุดชะงักสั้นลง ค) จำกัดผลกระทบของการหยุดชะงักเฉพาะผลิตภัณฑ์และบริการที่ สำคัญขององค์กร องค์กรต้องเลือกและจัดการความเสี่ยงอย่างเหมาะสมให้สอดคล้อง ตามความเสี่ยงที่ยอมรับได้ 23/08/2014

277 277 Copyright © 2014 BSI. All rights reserved. Form D Risk Mitigation 23/08/2014

278 278 Copyright © 2014 BSI. All rights reserved. 23/08/2014 Form D Risk Mitigation

279 279 Copyright © 2014 BSI. All rights reserved. 23/08/2014 Form D Risk Mitigation

280 280 Copyright © 2014 BSI. All rights reserved. 23/08/ การจัดทำและการนำขั้นตอนการดำเนินงานการบริหาร ความต่อเนื่องทางธุรกิจไปปฏิบัติ

281 281 Copyright © 2014 BSI. All rights reserved. 8.4 การจัดทำและการนำขั้นตอนการดำเนินงานการ บริหารความต่อเนื่องทางธุรกิจไปปฏิบัติ ทั่วไป องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ เพื่อจัดการกับอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักและทำให้กิจกรรมสามารถดำเนินไปอย่างต่อเนื่อง บนพื้นฐานของวัตถุประสงค์ของการฟื้นฟูที่ได้ระบุไว้จากการวิเคราะห์ผลกระทบทางธุรกิจ องค์กรต้องจัดทำขั้นตอนการดำเนินงานเป็นเอกสารซึ่งรวมถึงการเตรียมการที่จำเป็น เพื่อให้มั่นใจว่า กิจกรรมสามารถดำเนินไปอย่างต่อเนื่องและมีการจัดการกับอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ขั้นตอนการดำเนินงานต้อง ก) กำหนดระเบียบวิธีการสำหรับการสื่อสารภายในและภายนอกอย่างเหมาะสม ข) มีความเฉพาะเจาะจงในขั้นตอนต่างๆ ที่ต้องดำเนินการทันทีในระหว่างหยุดชะงัก ค) มีความยืดหยุ่นต่อการตอบสนองภัยคุกคามที่ไม่ได้คาดการณ์ไว้ และต่อสถานการณ์ภายในและ ภายนอกที่มีการเปลี่ยนแปลง ง) มุ่งเน้นต่อผลกระทบจากเหตุการณ์ที่มีแนวโน้มทำให้เกิดการหยุดชะงัก จ) กำหนดขึ้นบนพื้นฐานของข้อสมมติฐานที่ได้ระบุไว้ และการวิเคราะห์การพึ่งพาซึ่งกันและกัน ฉ) มีประสิทธิผลในการลดผลกระทบให้เกิดขึ้นน้อยที่สุดโดยปฏิบัติตามกลยุทธ์สำหรับการบรรเทา ที่เหมาะสม 23/08/2014

282 282 Copyright © 2014 BSI. All rights reserved โครงสร้างการตอบสนองต่ออุบัติการณ์ องค์กรต้องจัดทำเอกสารขั้นตอนการดำเนินงานและนำไปปฏิบัติ และการจัดการ โครงสร้างเพื่อตอบสนองต่ออุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก โดยบุคลากรที่ รับผิดชอบ มีอำนาจหน้าที่ และความสามารถที่จำเป็นในการจัดการกับอุบัติการณ์ โครงสร้างการตอบสนองต้อง ก) ระบุระดับของผลกระทบที่จะมีการตัดสินใจให้เริ่มตอบสนองอย่างเป็นทางการ ข) ประเมินลักษณะและขอบเขตของอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก และ แนวโน้มของผลกระทบ ค) เริ่มต้นการตอบสนองความต่อเนื่องทางธุรกิจอย่างเหมาะสม ง) มีกระบวนการและขั้นตอนการดำเนินงานสำหรับการเริ่มต้น การดำเนินการ การ ประสานงาน และการสื่อสารในการตอบสนอง 23/08/2014

283 283 Copyright © 2014 BSI. All rights reserved โครงสร้างการตอบสนองต่ออุบัติการณ์ จ) มีทรัพยากรอย่างเพียงพอสำหรับใช้สนับสนุนกระบวนการและขั้นตอนการ ดำเนินงานในการจัดการกับอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักเพื่อทำให้เกิดผล กระทบน้อยที่สุด ฉ) สื่อสารกับผู้มีส่วนได้เสียและผู้มีอำนาจตามกฎหมาย รวมทั้งสื่อต่างๆ องค์กรต้องตัดสินใจโดยพิจารณาจากประเด็นความปลอดภัยของชีวิตว่าเป็นสิ่ง สำคัญสูงสุด และ ได้ปรึกษาหารือกับผู้มีส่วนได้เสียแล้วว่าองค์กรจะสื่อสารไปยัง ภายนอกเกี่ยวกับความเสี่ยงและ ผลกระทบที่มีนัยสำคัญนี้หรือไม่ และให้จัดทำผล การตัดสินใจไว้เป็นเอกสาร หากการตัดสินใจ ให้สื่อสารไปยังภายนอก องค์กรต้อง จัดทำและนำไปปฏิบัติซึ่งขั้นตอนการดำเนินงานสำหรับการสื่อสาร การเตือนภัย และการแจ้งเตือนไปยังภายนอก รวมทั้งสื่อที่ใช้ตามความเหมาะสม 23/08/2014

284 284 Copyright © 2014 BSI. All rights reserved. Response ท่านหรือทีมท่านต้องเตรียมการอย่างไร ให้ รวมทีมงานจัดการอุบัติการณ์ กับ ผู้เชี่ยวชาญในการทำความเข้าใจวิกฤติ แต่ละชนิด เพื่อให้ได้แผน แผน incident response team หัวหน้าทีม Response ทีม ผู้ประเมิน 23/08/2014

285 285 Copyright © 2014 BSI. All rights reserved โครงสร้างการตอบสนองต่ออุบัติการณ์ 23/08/2014

286 286 Copyright © 2014 BSI. All rights reserved โครงสร้างการตอบสนองต่ออุบัติการณ์ 23/08/2014

287 287 Copyright © 2014 BSI. All rights reserved การแจ้งเตือนและการสื่อสาร องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานสำหรับ ก) การตรวจหาอุบัติการณ์ ข) การเฝ้าระวังอุบัติการณ์อย่างสม่ำเสมอ ค) การสื่อสารภายในองค์กรและการรับ การทำเป็นเอกสาร และการตอบสนองต่อ การสื่อสารที่รับจากผู้มีส่วนได้เสีย ง) การรับ การทำเป็นเอกสาร และการตอบสนองต่อระบบให้คำปรึกษาเกี่ยวกับ ความเสี่ยง(risk advisory system) ในระดับประเทศหรือระดับภูมิภาค หรือที่ เทียบเท่า จ) การประกันว่าช่องทางที่ใช้สำหรับการสื่อสารในระหว่างเกิดอุบัติการณ์ที่ทำให้ หยุดชะงักมีอยู่อย่างเพียงพอ 23/08/2014

288 288 Copyright © 2014 BSI. All rights reserved การแจ้งเตือนและการสื่อสาร ฉ) สร้างโครงข่ายในการสื่อสารกับหน่วยงานที่ทำหน้าที่ตอบสนองต่อภาวะฉุกเฉิน ช) บันทึกข้อมูลที่สำคัญเกี่ยวกับอุบัติการณ์ การปฏิบัติการและการตัดสินใจที่ได้ ทำไปแล้ว สำหรับประเด็นต่อไปนี้เป็นสิ่งที่ต้องพิจารณาและดำเนินการ หาก สามารถทำได้ - การเตือนภัยต่อผู้มีส่วนได้เสียที่มีแนวโน้มว่าจะได้รับผลกระทบจากอุบัติการณ์ที่ ทำให้เกิดการหยุดชะงักที่ได้เกิดขึ้นแล้ว หรือที่ใกล้จะเกิดขึ้น - การประกันว่าสามารถดำเนินงานร่วมกันในการตอบสนองระหว่างหลายองค์กร หรือบุคลากร -การใช้อุปการณ์สื่อสาร ขั้นตอนการดำเนินงานในการสื่อสารและการแจ้งเตือนต้องมีการฝึกซ้อมอย่าง สม่ำเสมอ 23/08/2014

289 289 Copyright © 2014 BSI. All rights reserved. 23/08/2014

290 290 Copyright © 2014 BSI. All rights reserved. 23/08/2014

291 291 Copyright © 2014 BSI. All rights reserved. 23/08/2014

292 292 Copyright © 2014 BSI. All rights reserved. 23/08/2014

293 293 Copyright © 2014 BSI. All rights reserved. 23/08/2014

294 294 Copyright © 2014 BSI. All rights reserved. 23/08/2014

295 295 Copyright © 2014 BSI. All rights reserved. 23/08/2014

296 296 Copyright © 2014 BSI. All rights reserved. 23/08/2014

297 297 Copyright © 2014 BSI. All rights reserved. 23/08/2014

298 298 Copyright © 2014 BSI. All rights reserved แผนความต่อเนื่องทางธุรกิจ องค์กรต้องจัดทำเอกสารขั้นตอนการดำเนินงานสำหรับการตอบสนองต่ออุบัติการณ์ที่ทำให้ เกิดการหยุดชะงัก และวิธีการที่จะดำเนินการได้อย่างต่อเนื่อง หรือการฟื้นฟูกิจกรรมภายใน กรอบระยะเวลาที่ได้กำหนดไว้ ขั้นตอนการดำเนินงานดังกล่าวต้องระบุผู้รับผิดชอบในการ นำขั้นตอนดังกล่าวไปปฏิบัติ แผนความต่อเนื่องทางธุรกิจต้องประกอบด้วยหัวข้อต่อไปนี้ ก) การกำหนดบทบาทหน้าที่และความรับผิดชอบสำหรับบุคลากรและทีมงานที่มีอำนาจ หน้าที่ในระหว่างและภายหลังการเกิดอุบัติการณ์ ข) กระบวนการสำหรับสั่งการให้เริ่มตอบสนองต่ออุบัติการณ์ ค) รายละเอียดการจัดการกับผลกระทบที่เกิดขึ้นอย่างทันท่วงทีจากอุบัติการณ์ที่ทำ ให้เกิด การหยุดชะงัก โดยคำนึงถึง 1) สวัสดิภาพของแต่ละบุคคล 2) กลยุทธ์ ยุทธวิธี และทางเลือกในการดำเนินการสำหรับการตอบสนองต่อการ หยุดชะงัก 3) การป้องกันความเสียหายที่จะเกิดขึ้นเพิ่มเติม หรือการสูญเสียกิจกรรมที่สำคัญ ง) รายละเอียดของวิธีการและสถานการณ์ที่องค์กรจะสื่อสารกับพนักงานและบุคคลที่ เกี่ยวข้องผู้มีส่วนได้เสียที่สำคัญ และหน่วยงานที่ต้องติดต่อเมื่อเกิดเหตุฉุกเฉิน 23/08/2014

299 299 Copyright © 2014 BSI. All rights reserved แผนความต่อเนื่องทางธุรกิจ จ) วิธีการที่องค์กรจะเริ่มดำเนินกิจกรรมหรือฟื้นฟูกิจกรรมที่มีความสำคัญภายในกรอบระยะเวลา ที่ได้พิจารณากำหนดไว้ล่วงหน้า ฉ) รายละเอียดของการตอบสนองของสื่อขององค์กรภายหลังการเกิดอุบัติการณ์ ซึ่งรวมถึง 1) กลยุทธ์การสื่อสาร 2) วิธีการที่ต้องการในการประสานกับสื่อ 3) แนวทางหรือรูปแบบสำหรับร่างแถลงการณ์สำหรับสื่อมวลชน 4) ผู้แถลงข่าวที่มีความเหมาะสม ช) กระบวนการสำหรับการถอนตัวภายหลังอุบัติการณ์สิ้นสุดลง แต่ละแผนต้องกำหนด - เป้าหมายและขอบข่าย - วัตถุประสงค์ - เกณฑ์สำหรับการเริ่มปฏิบัติการและขั้นตอนการดำเนินงาน - การปฏิบัติตามขั้นตอนการดำเนินงาน - บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ -ข้อกำหนดและขั้นตอนการดำเนินงานสำหรับการสื่อสาร - การพึ่งพากันและปฏิสัมพันธ์ระหว่างหน่วยงานภายในและภายนอก - ทรัพยากรที่ต้องการ - แผนผังของสารสนเทศ และกระบวนการด้านการเอกสาร 23/08/2014

300 300 Copyright © 2014 BSI. All rights reserved. Normal operations = 100% of agreed Service Delivery Standards  Degraded (Impact) Level 1 = XX% of agreed Service Delivery Standards  Degraded (Impact) Level 2 = YY% of agreed Service Delivery Standards It is fundamental to define the output capabilities at degraded levels of operation and the minimum resource requirements, particularly in terms of staff and equipment. After this study, it is neces Example: If it is possible to achieve only 50% of the Baggage handling system service delivery standards, it will be necessary to calculate the cumulative effect on the aircraft turn around process, flight delays and the possible knock-on effect on the aircraft movement schedules, passenger check-in delays, passenger bag pick-up delays, etc…sary to assess the effect of degraded service on this process and other integrated Processes

301 301 Copyright © 2014 BSI. All rights reserved. Form E Continue / Recovery Option 23/08/2014