งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ"— ใบสำเนางานนำเสนอ:

1 ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ การตรวจประเมินภายใน

2 ยินดีต้อนรับสู่ BCM Auditor
05/04/2017 ยินดีต้อนรับสู่ BCM Auditor มารู้จัก ทักทายกันก่อน 05/04/2017

3 05/04/2017 9.2 การตรวจประเมินภายใน องค์กรต้องตรวจประเมินภายในองค์กรตามช่วงเวลาที่กำหนดไว้ เพื่อให้ได้ สารสนเทศมาประกอบ การพิจารณาว่าระบบการบริหารความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมีประสิทธิผล องค์กรต้อง - วางแผน จัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งโปรแกรมการตรวจประเมิน รวมทั้ง ความถี่ วิธีการ ความรับผิดชอบ ข้อกำหนดในการวางแผน และการรายงาน โดย โปรแกรมการตรวจประเมิน ต้องคำนึงถึงความสำคัญของกระบวนการที่เกี่ยวข้อง และผลจากการตรวจประเมินครั้งก่อน - ระบุเกณฑ์การตรวจประเมินและขอบข่ายสำหรับการตรวจประเมินแต่ละครั้ง 05/04/2017

4 05/04/2017 9.2 การตรวจประเมินภายใน คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมินเพื่อให้มั่นใจถึงความเป็น รูปธรรมและความเป็นกลางของกระบวนการตรวจประเมิน - มั่นใจว่ามีการรายงานผลการตรวจประเมินให้ผู้บริหารที่เกี่ยวข้อง - เก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงการนำโปรแกรมการตรวจ ประเมินไปปฏิบัติและผลการตรวจประเมิน โปรแกรมการตรวจประเมิน รวมทั้งกำหนดการใดๆ ต้องอยู่บนพี้นฐานจากผลการ ประเมินความเสี่ยงจากกิจกรรมต่างๆ ขององค์กร และผลของการตรวจประเมินที่ ผ่านมา ขั้นตอนการดำ เนินงานการตรวจประเมินต้องครอบคลุมถึงขอบข่าย ความถี่ วิธีการ และความสามารถ รวมทั้งความรับผิดชอบและข้อกำหนดสำหรับ การตรวจประเมินและการรายงานผล ผู้บริหารที่รับผิดชอบในพื้นที่ที่รับการตรวจประเมินต้องมั่นใจว่าได้ทำการแก้ไขและ การปฏิบัติการแก้ไขที่จำเป็นโดยไม่ชักช้าเพื่อกำจัดสิ่งที่ไม่เป็นไปตามข้อกำหนด ที่ตรวจพบรวมทั้งสาเหตุ กิจกรรมในการตรวจติดตามผลต้องรวมถึงการทวนสอบ ผลของการดำเนินการและการรายงานผลของการทวนสอบ 05/04/2017

5 การตรวจประเมินภายใน ISO 22301
05/04/2017 การตรวจประเมินภายใน ISO 22301 ช่วงเวลาในการตรวจประเมิน ภายในที่เหมาะสมเป็น อย่างไรสำหรับ ระบบบริหาร ความต่อเนื่องทางธุรกิจ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017

6 การตรวจประเมินภายใน ISO22301
05/04/2017 การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกำหนดสำหรับระบบ การบริหารความต่อเนื่องทาง ธุรกิจขององค์กร ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017

7 การตรวจประเมินภายใน ISO22301
05/04/2017 การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกำหนดของ มาตรฐานนี้ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017

8 การตรวจประเมินภายใน ISO22301
05/04/2017 การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ ประเมิน ว่าได้มีการนำไปปฏิบัติ อย่างมีประสิทธิผล ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กำหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกำหนดสำหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกำหนดของมาตรฐานนี้ ข) มีการนำไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 05/04/2017

9 หน้าที่ของ BCMS Auditor
ติดตามและวัด ระบบการจัดการ รวมถึงการพิสูจน์การสอดคล้องกับ ข้อกำหนด สร้างความตระหนักและความเข้าใจใน BCM เป็นส่วนหนึ่งของการวัดประสิทธิผลของระบบการจัดการให้กับ ผู้บริหารระดับสูง ลดความเสี่ยงของความล้มเหลวของระบบจัดการ และสร้างความ เชื่อมั่นในการจัดการกับสถานการณ์ที่ส่งผลกระทบต่อ

10 หน้าที่ของ BCMS Auditor
ระบุโอกาสในการปรับปรุงและการลดต้นทุนผ่านการทบทวน กระบวนการ ทำให้มั่นใจว่าทรัพยากรได้รับการจัดสรร เตรียมพร้อมตามความ จำเป็น ปรับปรุงกระบวนการทางธุรกิจและปรับปรุงสมรรถนะธุรกิจโดยองค์ รวม ยืนยันการสอดคล้องกับ ISO ข้อ 9.2 – 1st‑party audits ใช้ในการเลือก ประเมิน และ ปรับปรุง ผู้ส่งมอบเหมาช่วงและ ผู้ขาย– 2nd‑party audits (ISO ข้อ 8.3.1) สำหรับการตรวจรับรองระบบ – 3rd‑party audits

11 คุณสมบัติผู้ตรวจประเมิน ISO22301 BCM
05/04/2017 คุณสมบัติผู้ตรวจประเมิน ISO22301 BCM คุณลักษณะส่วนบุคคล ความรู้ทั่วไปและทักษะสำหรับการตรวจประเมิน ความรู้และทักษะเฉพาะสำหรับการตรวจ กระบวนการ BCM

12 ประโยชน์ของการรับรองระบบ BCMS?
สร้างความน่าเชื่อถือกับบุคคลที่สนใจ เป็นการประกันให้แก่บุคคลที่สนใจ ว่า ระบบ BCM มีประสิทธิผล เป็นการตรวจสอบยืนยัน ที่เป็นอิสระ ของระบบ BCM การปฏิบัติตาม สอดคล้อง และการปรับปรุง เพิ่มชื่อเสียงทั้งภายในและภายนอก สร้างความได้เปรียบในการแข่งขัน So why go for certification? Certification is an independent assessment of an organization's implementation of a BCMS in accordance with an internationally agreed standard of best practice. Certification gives management confidence that your organization has an effective BCMS Certification can support and give credibility to environmental reporting Independent assurance to insurers and other stakeholders of an effective BCMS Enhances reputation by demonstrating to shareholders, employees and customers of your organization’s commitment to good practices which, in turn, can help to attract new investors Certification can be a differentiator from competitors helping you to retain your existing customer base and attract new ones. More and more, invitations to tender are asking for certified ISO management systems to be in place.

13 อะไรคือ การตรวจประเมิน
05/04/2017 อะไรคือ การตรวจประเมิน การตรวจประเมิน (audit) หมายถึง กระบวนการที่จัดทำขึ้นอย่าง เป็นระบบ เป็นอิสระ และเป็นลายลักษณ์อักษร เพื่อให้ได้มาซึ่ง หลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) และการ ตรวจประเมินผลอย่างเป็นรูปธรรมเพื่อตัดสินระดับการบรรลุผลตาม เป้าหมายของเกณฑ์การตรวจประเมิน (audit criteria) (ข้อ 3.2) ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017

14 ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence)
05/04/2017 3.3 หลักฐานการตรวจประเมิน (audit evidence) หมายถึง บันทึก ข้อเท็จจริง หรือข้อมูลอื่นที่เกี่ยวข้องกับเกณฑ์การตรวจประเมิน (audit criteria) (3.2) และ สามารถทวนสอบได้ หมายเหตุ หลักฐานการตรวจประเมินอาจเป็นเชิงคุณภาพหรือเชิงปริมาณ ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017

15 ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence)
05/04/2017 3.2 เกณฑ์การตรวจประเมิน (audit criteria) หมายถึง ชุดของนโยบาย ขั้นตอนการ ดำเนินการ หรือข้อกำหนดที่ ใช้อ้างอิงเพื่อนำไปเปรียบเทียบกับหลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) หมายเหตุ 1 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม หมายเหตุ 2 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกำหนดตามกฎหมาย (ที่รับรู้โดยทั่วไปโดย ไม่มีบทบัญญัติหรือที่มี บทบัญญัติเฉพาะ) มักจะใช้คำว่า “เป็นไปตามข้อกำหนด” หรือ “ไม่ เป็นไปตามข้อกำหนด” ในสิ่งที่พบจาก การตรวจประเมิน (audit finding) (ข้อ 3.4) ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017

16 ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence)
05/04/2017 3.4 สิ่งที่พบจากการตรวจประเมิน (audit findings) หมายถึง ผลการประเมินหลักฐานการ ตรวจประเมิน (audit evidence) (ข้อ 3.3) ที่เก็บรวบรวมได้เปรียบเทียบกับเกณฑ์การตรวจ ประเมิน (audit criteria) (ข้อ 3.2) หมายเหตุ 1 สิ่งที่พบจากการตรวจประเมินชี้บอกความสอดคล้องหรือความไม่สอดคล้อง หมายเหตุ 2 สิ่งที่พบจากการตรวจประเมินสามารถนำไปสู่การชี้บ่งโอกาสสำหรับการ ปรับปรุง หรือเพื่อเป็นการบันทึก แนวปฏิบัติที่ดี หมายเหตุ 3 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกำหนดตามกฎหมายหรือข้อกำหนดอื่น สิ่งที่ พบจากการตรวจประเมินจะระบุว่า “เป็นไปตามข้อกำหนด” หรือ “ไม่เป็นไปตามข้อกำหนด” หมายเหตุ 4 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม 3.9.5 ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) 05/04/2017

17 เกณฑ์การตรวจประเมินมีอะไรบ้าง
05/04/2017 เกณฑ์การตรวจประเมินมีอะไรบ้าง ผลการประเมินหลักฐานการตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจประเมิน (audit findings) การตรวจประเมิน (audit) 05/04/2017

18 มาทบทวนข้อกำหนด BCM ISO 22301 กัน
05/04/2017 มาทบทวนข้อกำหนด BCM ISO กัน 05/04/2017

19 High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.

20 มาทบทวนข้อกำหนด ISO 22301 BCM
05/04/2017 มาทบทวนข้อกำหนด ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017

21 มาวางแผนการตรวจ ISO22301 BCM กัน
05/04/2017 มาวางแผนการตรวจ ISO22301 BCM กัน 05/04/2017

22 05/04/2017 วางแผนการตรวจ ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017

23 Information that is required: Location Scope and duration Objectives
05/04/2017 Information that is required: Location Scope and duration Objectives Criteria Any documentation that may be relevant Contact names and details Any previous audit finding (if applicable) Any language issues Logistics and timings if more than one site is involved 05/04/2017

24 มาเตรียม รายการตรวจสอบกัน ISO 22301 BCM
05/04/2017 มาเตรียม รายการตรวจสอบกัน ISO BCM 05/04/2017

25 05/04/2017 รายการตรวจสอบ ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017

26 การทบทวนเอกสาร ISO 22301 BCM
05/04/2017 การทบทวนเอกสาร ISO BCM 05/04/2017

27 การทบทวนเอกสาร ISO 22301 BCM
05/04/2017 การทบทวนเอกสาร ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017

28 05/04/2017 การหาหลักฐาน ISO BCM 05/04/2017

29 การหาหลักฐานการสอดคล้องและ… ISO 22301 BCM
05/04/2017 การหาหลักฐานการสอดคล้องและ… ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017

30 การรายงานความไม่สอดคล้องและสอดคล้อง ISO 22301 BCM
05/04/2017 การรายงานความไม่สอดคล้องและสอดคล้อง ISO BCM 05/04/2017

31 การรายงาน ความไม่สอดคล้องและ… ISO 22301 BCM
05/04/2017 การรายงาน ความไม่สอดคล้องและ… ISO BCM ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 05/04/2017

32 05/04/2017 ANNEX 05/04/2017

33 05/04/2017 ประโยชน์ของระบบ ISO 22301 05/04/2017

34 เรื่องของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 เรื่องของการบริหารความต่อเนื่องทางธุรกิจ สร้างหลักประกันให้ลูกค้าและ ผู้ลงทุน ลดผลกระทบด้าน การเงิน สร้างความสามารถในการแข่งขันในช่วงที่ เกิดภัยพิบัติ ภัยคุกคาม ทำให้มั่นใจในเรื่องเวลาที่สามารถกลับมา ให้บริการ สร้างความได้เปรียบในกรณีที่คู่แข่งไม่มี แผน ลดความสับสนและลดการตัดสินใจที่ ผิดพลาด ทำให้เกิดความปลอดภัยต่อ พนักงาน ผู้รับเหมา ผู้เยี่ยมชม ผู้ที่เกี่ยวช้ออื่นๆ Iso การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคาม ที่อาจจะเกิดขึ้นต่อองค์กร และผลกระทบของภัย คุกคามนั้นต่อการดำเนินธุรกิจ และให้แนวทางใน การสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 05/04/2017

35 เรื่องของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 เรื่องของการบริหารความต่อเนื่องทางธุรกิจ การบริหารความต่อเนื่อง : ส่วนหนึ่ง ของการบริหารความเสี่ยง เน้นที่ การ กู้กลับคืนฟังชั่นทางธุรกิจ ที่สำคัญหลังจากการหยุดชะงัก ธุรกิจจำนวนมากไม่สามารถเปิด ดำเนินการใหม่หลังเกิดภัยพิบัติต่างๆ 05/04/2017

36 มาตรฐาน ความต่อเนื่องทางธุรกิจ มีอะไรบ้าง
05/04/2017 มาตรฐาน ความต่อเนื่องทางธุรกิจ มีอะไรบ้าง 05/04/2017

37 05/04/2017 05/04/2017

38 ISO 22301, like all new/updated ISO management systems standards will now follow the format as directed by the ISO Technical Management Board (TMB) through ISO/IEC Directives, Part 1 Consolidated ISO Supplement – Procedures specific to ISO, Annex SL, appendix 3 – High level structure, identical core text and common terms and core definitions. The first paragraph of this document states: The aim of this document is to enhance the consistency and alignment of ISO management system standards by providing a unifying and agreed high level structure, identical core text and common terms and core definitions. The aim being that all ISO management system “requirements” standards are aligned and the compatibility of these standards is enhanced. It is envisaged that individual management systems standard will add additional “discipline–specific” requirements as required. This additional text has been freely used in ISO to what is now quite a robust standard for business continuity. The history behind this structure dates back to the 1990s when ISO floated the idea of having a common structure. However, it wasn’t until the late 2000s; with the proliferation of management systems standards that its need became paramount.

39 05/04/2017 05/04/2017

40 ทำไมต้องทำ ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301
05/04/2017 ทำไมต้องทำ ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301 05/04/2017

41 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301
05/04/2017 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301 งานที่ต้องทำทุกวันก็เยอะ ทำไมเราไม่ยอมรับความเสี่ยง ! หากเกิดภาวะวิกฤติ ท่านแน่ใจว่าจะสามารถจัดการภาวะวิกฤติได้ ดีกว่าคู่แข่ง และ หากไม่ดีกว่าเราจะสูญเสียอะไรไปและเท่าไหร่ พนักงานท่านและลูกค้าท่านมีความปลอดภัยในชีวิตและทรัพสินย์ หรือไม่ ท่านวางแผนรองรับสื่อมวลชน ผู้ถือหุ้น พนักงานท่านได้ดีเพียงใด เมื่อเกิดภาวะวิกฤติ ท่านได้เริ่มลด หรือ กำจัด เหตุที่อาจทำให้ไม่เกิดความต่อเนื่องบ้าง หรือยัง เช่น เหตุแห่งก่อให้เกิด ไฟใหม้ น้ำท่วม การโจรกรรมข้อมูล หรือยัง 05/04/2017

42 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301
05/04/2017 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301 หลังวิกฤติ โอกาสทางธุรกิจ ได้มีโอกาสลูกค้าใหม่ๆ สนับสนุนลูกค้าเก่า ชื่อเสียง บริการชุมชน กลยุทธ์การสื่อสาร สร้าง กระแสดี 05/04/2017

43 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301
05/04/2017 ทำไมถึงต้องทำ ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301 1. ขอบข่าย มาตรฐานนี้ใช้สำหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกำหนดเพื่อ วางแผน จัดทำ นำไปปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกป้อง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักขึ้น. ข้อกำหนดในมาตรฐานนี้เป็นข้อกำหนดทั่วไปและตั้งใจให้นำไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คำนึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกำหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดำเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนำไปปฏิบัติโดยมีการจัดทำโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกำหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกำหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกำหนดของผู้มีส่วนได้เสีย. 05/04/2017

44 สำหรับหน่วยงานภาครัฐ หรือ รัฐวิสาหกิจ
05/04/2017 สำหรับหน่วยงานภาครัฐ หรือ รัฐวิสาหกิจ สาหรับแนวคิดการบริหารความต่อเนื่องของหน่วยงานภาครัฐ หน่วยงานควรเน้นการควบคุมดูแลและป้องกันทรัพยากรที่สาคัญต่อ การดำเนินงานหรือให้บริการ เพื่อสร้างประโยชน์สูงสุดสาหรับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสีย โดยหากการควบคุมภายในที่มีอยู่ ไม่สามารถควบคุมดูแลและ ป้องกันได้ทั้งหมด เมื่อเกิดอุบัติการณ์ขึ้น ระดับการดำเนินงานหรือ ให้บริการของหน่วยงานจะลดลง ดังนั้น บทบาทหน้าที่ของหน่วยงานภาครัฐ คือต้องรีบดำเนินการให้ ระดับการดำเนินงานหรือให้บริการกลับมาในระดับที่เหมือนภาวะ ปกติซึ่งจำเป็นต้องใช้เวลา 05/04/2017

45 อะไรคือภัยภิบัติ ที่อาจมีต่อองค์กรคุณ
05/04/2017 อะไรคือภัยภิบัติ ที่อาจมีต่อองค์กรคุณ 05/04/2017

46 05/04/2017 05/04/2017

47 05/04/2017 05/04/2017

48 05/04/2017 05/04/2017

49 05/04/2017 อะไรคือ ระบบบริหารความต่อเนื่องทางธุรกิจ อะไรคือ การบริหารความพร้อมต่อสภาวะวิกฤติ 05/04/2017

50 อุบัติการณ์, การชะงัก และ ผลกระทบ..
อุบัติการณ์ : ไฟใหม้ สถานการณ์ที่อาจทำให้หรือสามารถนำไปสู่การหยุดชะงัก ความสูญเสีย ภาวะฉุกเฉิน หรือ สภาวะวิกฤต หยุดชะงัก เพราะเครื่องจักรเสียหาย หรือ พนักงานไม่อาจเข้าพื้นที่ทำงานเพื่อปฎิบัติงานได้ ผลกระทบ ทำให้ไม่อาจทำงานหรือดำเนินกิจกรรม ตามปกติได้ The above should be self explanatory. However, many people concentrate their efforts on the ‘Incident’ when the real issue is around the ‘Impact’ The incident does need to be dealt with but the main effort needs to go into dealing with the impact and how to recover from the impact.

51 อะไรคือ การชะงักทางธุรกิจ
05/04/2017 อะไรคือ การชะงักทางธุรกิจ ธุรกิจไม่สามารถดำเนินการได้ในระดับเดียวกันก่อนหน้า เกิดอุบัติการณ์ มีการเสียรายได้ และ ลูกค้า มีการเสียชื่อเสียง ภาพพจน์ 05/04/2017

52 อะไรทำให้เกิดความชะงักทางธุรกิจ
05/04/2017 อะไรทำให้เกิดความชะงักทางธุรกิจ เกิดความเสียหายต่อ….. จนเกิดความชะงักทางธุรกิจ อาคาร สถานที่ พื้นที่ ชีวิตหรือบาดเจ็บ ท่านและพนักงาน เครื่องมือ เครื่องจักร บันทึก เอกสารทางบัญชี วัตถุดิบ เครื่องคอมพิวเตอร์ ฮาร์ดแวร์ ซ๊อฟแวร์ ผลิตภัณฑ์สำเร็จ / สินค้าคงคลัง ระบบน้ำ ไฟ ปรับอากาศ สื่อสาร อื่นๆ 05/04/2017

53 ประเภทของสิ่งที่ทำให้ธุรกิจหยุดชะงัก
05/04/2017 ประเภทของสิ่งที่ทำให้ธุรกิจหยุดชะงัก ภัยพิบัติทางธรรมชาติ น้ำท่วม พายุ etc ภัยคุกคาม ที่อาจมีได้บ่อยกว่า ไม่มีน้ำ ไม่มีพลังงาน การล้มเหลวทางเทคโนโลยี เส้นทางถูกปิดกั้น ประตูถูกปิดล้อม Etc. 05/04/2017

54 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.3 ความต่อเนื่องทางธุรกิจ (business continuity) ความสามารถขององค์กรในการส่งมอบผลิตภัณฑ์หรือ บริการได้ต่อไปภายหลังเกิดอุบัติการณ์ที่ทำให้เกิดการ หยุดชะงัก ในระดับที่ยอมรับได้ตามที่กำหนดไว้ 05/04/2017

55 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

56 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล ภัยคุกคาม vs ภัยไม่คุกคาม 05/04/2017

57 ทำอย่างไร จึงจะไม่หวาดกลัว
05/04/2017 ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทำให้ หวาดกลัว จึงต้อง หาทางทำให้ไม่ หวาดกลัว ทำอย่างไร จึงจะไม่หวาดกลัว 05/04/2017

58 05/04/2017 05/04/2017

59 05/04/2017 05/04/2017

60 เรื่องราวของภัยพิบัติ
05/04/2017 เรื่องราวของภัยพิบัติ ชม VDO 05/04/2017

61 05/04/2017 ภัยพิบัติ (Disaster) ภัยพิบัติ (Disaster) หมายถึง ภัยที่เกิดขึ้นแก่ สาธารณชน ได้ อัคคีภัย วาตภัย อุทกภัย สึนา มิ ตลอดจนภัยอื่น ๆ อันเป็นสาธารณะ ไม่ว่า จะเกิดจากธรรมชาติหรือมีผู้กระทำให้เกิดขึ้น ซึ่งก่อให้เกิดอันตรายแก่ชีวิตร่างกายของ ประชาชน หรือความเสียหายแก่ทรัพย์สินของ ประชาชนหรือของรัฐ (พ.ร.บ. ป้องกันภัยฝ่าย พลเรือน พ. ศ. 2522) ซึ่งภัยธรรมชาติเป็น ส่วนหนึ่งของภัยพิบัติ ภัยธรรมชาติ (Natural Disaster) หมายถึง ภัยอันตรายต่าง ๆ ที่เกิดขึ้นตาม ธรรมชาติ และมีผลกระทบต่อชีวิต ความ เป็นอยู่ของมนุษย์ (environnet , กรมส่งเสริม คุณภาพสิ่งแวดล้อม) สามารถแบ่งภัย ธรรมชาติออกได้เป็น 4 ด้าน ดังนี้ 05/04/2017

62 ภัยพิบัติ (Disaster) 1.ภัยธรรมชาติด้านน้ำ 05/04/2017
1.1 อุทกภัย (Flood) 1) น้ำป่าไหลหลาก หรือน้ำท่วมฉับพลัน (flash flood) 2) น้ำท่วมขัง (drainage flood) 3) น้ำล้นตลิ่ง (river flood) 4) คลื่นสึนามิ (tsunami) 1.2 ภัยแล้ง (Droughts) 1) สภาวะอากาศแห้งแล้ง (Metrological drought) 2) สภาวะการขาดน้ำ (Hydrological drought) 3) สภาวะความแห้งแล้งทางการเกษตร (Agricultural drought) 05/04/2017

63 05/04/2017 ภัยพิบัติ (Disaster) 2.ภัยธรรมชาติด้านลม วาตภัย (Storms) หมายถึง ภัยที่เกิดขึ้นจากพายุ ลมแรง จนทำให้เกิดความเสียหายแก่อาคาร บ้านเรือน ต้นไม้ และสิ่งก่อสร้าง สำหรับในประเทศ ไทยวาตภัยหรือพายุลมแรงมีสาเหตุมาจาก ปรากฎการณ์ทางธรรรมชาติ (กรมอุตุนิยมวิทยา) คือ 1)พายุหมุนเขตร้อน (Tropical cyclone) 2)พายุฤดูร้อน 3) ลมงวง (เทอร์นาโด) 05/04/2017

64 05/04/2017 ภัยพิบัติ (Disaster) 3. ภัยธรรมชาติด้านไฟ ไฟป่า (Wildfire) หมายถึง ภัยธรรมชาติ ซึ่งเกิดจากมนุษย์เป็นส่วนมาก ได้แก่ การ เผาหาของป่า เผาทำไร่เลื่อนลอย เผา กำจัดวัชพืช ส่วนน้อยที่เกิดจากการเสียดสี ของต้นไม้แห้ง ผลกระทบจากไฟป่าทำให้ เกิดมลพิษในอากาศมากขึ้น ผงฝุ่น ควันไฟ กระจายในอากาศทั่วไป ไม่สามารถลอย ขึ้นเบื้องบนได้ มองเห็นไม่ชัดเจน สุขภาพ เสื่อม พืชผลการเกษตรด้อยคุณภาพ แหล่งทรัพยากรลดลง (environnet , กรม ส่งเสริมคุณภาพสิ่งแวดล้อม) 05/04/2017

65 05/04/2017 ภัยพิบัติ (Disaster) 4. ภัยธรรมชาติด้านดิน 4.1 ภูเขาไฟระเบิด (Volcano) 4.2 แผ่นดินไหว (Earthquakes) 4.3 แผ่นดินถล่ม (land slides) 05/04/2017

66 05/04/2017 ภัยพิบัติ (Disaster) ภัยหนาว เริ่มมีความเสียหายมากขึ้นเรื่อยๆ เนื่องจากว่าสภาพอากาศโลกเปลี่ยน ช่วงหลังๆ จึงมีคนตาย มีผลกระทบต่อเศรษฐกิจเพราะเพาะปลูกไม่ได้ ภัยหมอกควัน โรคระบาดในมนุษย์ เช่น เมื่อ 5 ปีที่ผ่านมา เกิดโรคไข้หวัดนกขึ้นหลายรุ่นด้วยกัน และพัฒนาขึ้นเรื่อยๆ ซึ่งโรคภัยเหล่านี้เป็นสิ่งที่ต้องระวังเพราะส่งผลกระทบต่อ คนโดยตรง ภัยจากโรคแมลง ศัตรูพืชระบาด ภัยจากโรคระบาดในสัตว์น้ำ ที่มา 05/04/2017

67 ภัยพิบัติที่เกิดจากมนุษย์
05/04/2017 ภัยพิบัติที่เกิดจากมนุษย์ ภัยจากสารเคมีและวัตถุอันตราย บริเวณที่ตั้งโรงงานอุตสาหกรรม ภัยจากเทคโนโลยีสารสนเทศ ภัยจากคมนาคมการขนส่ง เช่น อุบัติเหตุ ภาวะฉุกเฉิน เช่นภัยจากน้ำมันที่ รั่วไหล ส่งผลต่อคุณภาพน้ำ เศรษฐกิจ ร้านค้าบ้านเรือนต้องปิดตัว ไม่สามารถอยู่ได้ ก็เป็นเหตุการณ์ที่ เกิดจากมนุษย์ที่ส่งผลกระทบรุนแรง เป็นปีๆ การแผ่กระจายของกัมมันตภาพรังสี การชุมนุม การประท้วง และการก่อ จลาจล Etc. 05/04/2017

68 ภัยคุกคาม(threats) vs ภัยพิบัติ(Disaster)
05/04/2017 ภัยคุกคาม(threats) vs ภัยพิบัติ(Disaster) 05/04/2017

69 เรื่องราวของภัยพิบัติ
05/04/2017 เรื่องราวของภัยพิบัติ Disaster ภัยพิบัติ ฉับพลัน ทันที ไม่มีสิ่งเตือน ที่ซึ่งทำให้ สูญเสีย หยุดชะงักของ ความสามารถองค์กรในการส่ง มอบผลิตภัณฑ์บริการ การ ดำเนินธุรกิจ ชนิด ธรรมชาติวิบัติ ฮาร์ดแวร์ ไฟ ไม่มีพลังงาน etc 05/04/2017

70 เรื่องราวของภัยพิบัติ
05/04/2017 เรื่องราวของภัยพิบัติ พายุ ทำให้เกิดน้ำท่วม น้ำท่วม ทำให้เกิดผลกระทบต่อ ผลิตภัณฑ์บริการ อาคารสถานที่ ผู้ส่งมอบ ผู้รับเหมาช่วง ลูกค้า พนักงาน 05/04/2017

71 เรื่องราวของภัยคุกคาม
05/04/2017 เรื่องราวของภัยคุกคาม ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่ เป็นตัวแทนของการกระทำอันตรายต่อ ทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความ เสียหาย ภัยคุกคามมีหลายประเภท หลายกลุ่ม เช่น - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยเจตนา - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยไม่เจตนา - ภัยคุกคามที่เกิดจากภัยธรรมชาติ 05/04/2017

72 อะไรคือภัยคุกคาม ที่อาจเกิดกับองค์กร
05/04/2017 อะไรคือภัยคุกคาม ที่อาจเกิดกับองค์กร 05/04/2017

73 อะไรคือภัยคุกคามที่มักชี้บ่งกัน ?
05/04/2017 อะไรคือภัยคุกคามที่มักชี้บ่งกัน ? 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 05/04/2017

74 05/04/2017 05/04/2017

75 05/04/2017 05/04/2017

76 05/04/2017 05/04/2017

77 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

78 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ ( BC Plan) อะไรคือ แผนประคับประคองกิจการ ( BC Plan) อะไรคือ แผนการจัดการในภาวะวิกฤติ ( Crisis Management Plan) อะไรคือ แผนฉุกเฉิน (Emergency Plan) อะไรคือ แผนรับมือเหตุฉุกเฉิน (Contingency Plan ) อะไรคือ แผนฟื้นฟู ( Recovery plan) 05/04/2017

79 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดำเนินงานที่ให้แนวทางแก่องค์กรในการตอบสนอง การฟื้นฟู การกลับมาดำเนินการและการติดตั้งเพื่อให้สามารถดำเนินงานได้ในระดับที่กำหนด ไว้ภายหลังจากการหยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึงทรัพยากร การ บริการ และ กิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่าภารกิจ/หน้าที่ที่มีความสำ คัญต่อธุรกิจ ยังคงดำเนินงานได้อย่างต่อเนื่อง 05/04/2017

80 องค์ประกอบหลักของระบบ ISO 22301
05/04/2017 องค์ประกอบหลักของระบบ ISO 22301 05/04/2017

81 สามองค์ประกอบหลัก ของ ISO 22301
05/04/2017 สามองค์ประกอบหลัก ของ ISO 22301 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 8.4.3 การแจ้งเตือนและการสื่อสาร 8.4.4 แผนความต่อเนื่องทางธุรกิจ 8.4.5 แผนฟื้นฟู 05/04/2017

82 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์
05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) 8.4 การจัดทำและการนำขั้นตอนการ ดำเนินงานการบริหารความต่อเนื่องทางธุรกิจ ไปปฏิบัติ 8.4.1 ทั่วไป 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 8.4.3 การแจ้งเตือนและการสื่อสาร 8.4.4 แผนความต่อเนื่องทางธุรกิจ 8.4.5 การฟื้นฟู 05/04/2017

83 05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) การตอบสนองภาวะฉุกเฉิน (Emergency Response) : (Req 8.4.2) การตอบสนองที่เริ่มต้นจากการหยุดชะงักทางธุรกิจ ซึ่งเกี่ยวข้องกับการป้องกันผู้คน และเจ้าหน้าที่และทรัพย์สินจากภัยอันตรายที่เกิดขึ้นด้วยทีมงานบริหารจัดการใน ภาวะวิกฤติเพื่อ ตรวจสอบสถานการณ์และตอบสนอง การตอบสนองเพื่อให้ธุรกิจดำเนินได้อย่างต่อเนื่อง (Continuity Response) : (Req 8.4.4) การแก้ไขปัญหาในด้านกระบวนการผลิตและการให้บริการแก่กลุ่มผู้มีส่วนได้ส่วน เสียด้วยทรัพยากรที่มีอยู่อย่างจำกัด ภายหลังจากการหยุดชะงักทางธุรกิจ เพื่อให้ แน่ใจว่าสามารถให้บริการหลักๆ ได้อย่างต่อเนื่อง การตอบสนองต่อการกอบกู้ธุรกิจคืน (Recovery response) : (Req 8.4.5) กระบวนการบริหารจัดการและสั่งการที่มีการจัดตั้งขึ้นมาใหม่หรือกระบวนการฟื้นฟู หลักๆ เพื่อให้สามารถกลับมาดำเนินกิจกรรมได้ตามปกติ รวมทั้งอาจจะมีการ ปรับปรุงเนื้อหาของ ขอบเขตการปฏิบัติงาน วัตถุประสงค์การให้บริการและการ ปฏิบัติงาน และกลยุทธ์ที่ใช้ในการดำเนินงานในภาวะวิกฤติ 05/04/2017

84 05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) 1) ภายในช่วงระยะเวลาแรก จะเป็นช่วงของการตอบสนองต่ออุบัติการณ์ (Incident/ Emergency Management) อย่างไรก็ตาม ในกรณีที่เหตุการณ์และความเสียหาย ขยายตัวไปในวงกว้าง การตอบสนองอาจจำเป็นต้องยกระดับเป็นการบริหารจัดการวิกฤต (Crisis Management) 2) ภายหลังจากนั้น จะเป็นช่วงของการทำให้เกิดความต่อเนื่องของกระบวนการทางธุรกิจ (Continuity Management) เพื่อให้หน่วยงานสามารถกลับมาดำเนินงานได้ ซึ่งแยกเป็น 2 ระดับ (1) ดำเนินงานหรือให้บริการได้ในระดับที่องค์กรยอมรับกับผลกระทบที่เกิดขึ้นกับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสียทั้งหมดภายในระยะอันสั้น ( Business Cont) (2) กลับมาให้บริการได้ในระดับปกติตามระยะเวลาที่กำหนด ในช่วงการดำเนินการ กอบกู้กระบวนการทางธุรกิจ (Recovery) 05/04/2017

85 05/04/2017 ขั้นตอนการดำเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) 05/04/2017

86 05/04/2017 Maintain operation when problem occur ( prevent an incident from escalating in to critical event or failure.) Prevent System Fail / avoidable incident Restore normal operation How essential operations and service are maintained or through alternative arangement

87 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

88 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำ ให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและ สื่อสารไปยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คำนึงถึงระดับต่ำสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุ ตามวัตถุประสงค์ ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คำนึงถึงข้อกำหนดที่เกี่ยวข้อง จ) เฝ้าระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทาง ธุรกิจ 05/04/2017

89 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้ เป็นไปตามข้อกำหนดและการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กำหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดำเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจำเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดำเนินการแทน 05/04/2017

90 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน 9.1.1 ทั่วไป องค์กรต้องพิจารณาถึง ก) สิ่งที่ต้องการวัดและเฝ้าระวัง ข) วิธีการสำหรับการเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน เพื่อให้มั่นใจ ถึงความถูกต้องของผลลัพธ์ตามความเหมาะสม ค) เวลาที่ต้องดำเนินการวัดและเฝ้าระวัง ง) เวลาที่ต้องดำเนินการวิเคราะห์และการประเมินผลลัพธ์ที่ได้จากการวัดและเฝ้า ระวัง องค์กรต้องเก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงถึงผลลัพธ์อย่าง เหมาะสม องค์กรต้องประเมินสมรรถนะและประสิทธิผลของระบบการบริหารความต่อเนื่อง ทางธุรกิจนอกจากนี้ 05/04/2017

91 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.25 ช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด (maximum acceptable outage - MAO) ช่วงเวลาที่ส่งผลกระทบทำให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการ หยุดชะงักที่ยอมรับได้สูงสุด ชะงักมากกว่านี้ บริษัทอาจต้องปิดกิจการ ล้มละลาย 05/04/2017

92 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.26 ช่วงเวลาการ หยุดชะงักที่ยอมรับได้ สูงสุด (maximum tolerable period of disruption - MTPD) ช่วงเวลาที่ส่งผลกระทบทำให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด ชะงักมากกว่านี้ บริษัทอาจต้องปิดกิจการ ล้มละลาย 05/04/2017

93 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ MAO MTPD เส้นยถากรรม 05/04/2017

94 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.45 ระยะเวลาเป้าหมายในการฟื้นคืนสภาพ (recovery time objective - RTO) ระยะเวลาภายหลังจากเกิดอุบัติการณ์ขึ้น ที่ทำให้ - ผลิตภัณฑ์หรือบริการต้องกลับคืนสภาพเดิม - กิจกรรมต้องกลับมาดำเนินการได้ - ทรัพยากรต้องได้รับการฟื้นฟู หมายเหตุ สำหรับผลิตภัณฑ์ บริการ และกิจกรรม ระยะเวลาเป้าหมายในการฟื้นคืน สภาพต้องน้อยกว่าระยะเวลาของผลกระทบด้านลบที่เกิดจากการที่ไม่สามารถส่ง มอบผลิตภัณฑ์/บริการ อยู่ในระดับที่ไม่สามารถเป็นที่ยอมรับได้ ทำได้เร็วขนาดไหนให้เริ่มกลับมาดำเนินธุรกิจต่อได้(บ้าง) 05/04/2017

95 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ RTO 05/04/2017

96 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.28 วัตถุประสงค์ความต่อเนื่องทางธุรกิจขั้นต่ำสุด (minimum business continuity objective - MBCO) ระดับต่ำสุดของการบริการ และ/หรือ ผลิตภัณฑ์ที่องค์กรยอมรับ โดย ยังคงสามารถบรรลุวัตถุประสงค์ ทางธุรกิจในระหว่างเกิดการหยุดชะงัก 05/04/2017

97 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ MBCO 05/04/2017

98 ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO
05/04/2017 ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตาม ข้อกำหนด และการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กำหนดไว้ 05/04/2017

99 เรื่องของความเสี่ยง สำหรับคนที่ไม่ชอบทำอะไรเสี่ยงๆ
05/04/2017 เรื่องของความเสี่ยง สำหรับคนที่ไม่ชอบทำอะไรเสี่ยงๆ 05/04/2017

100 นิยามของ Risk วิธีการหา Risk ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์
05/04/2017 นิยามของ Risk วิธีการหา Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 1 ผลกระทบคือการเบี่ยงเบนไปจากสิ่งที่คาดหวังไว้ ทั้งที่ดีหรือไม่ดี หมายเหตุ 2 วัตถุประสงค์สามารถมีแง่มุมที่แตกต่างกัน (เช่น การเงิน สุขภาพและความ ปลอดภัย และเป้าประสงค์ด้านสิ่งแวดล้อม) และสามารถประยุกต์ใช้ได้ในระดับต่างๆ (เช่น กลยุทธ์ ทั่วทั้งองค์กร โครงการ ผลิตภัณฑ์ และกระบวนการ) วัตถุประสงค์อาจแสดงได้ใน วิธีการอื่นๆ เช่นผลสัมฤทธิ์ที่ต้องการ จุดประสงค์ เกณฑ์การดำเนินการ วัตถุประสงค์การ ดำเนินธุรกิจอย่างต่อเนื่อง หรืออาจจะใช้คำอื่นที่มีความหมายเช่นเดียวกัน เช่น จุดมุ่งหมาย เป้าประสงค์หรือเป้าหมาย หมายเหตุ 3 ความเสี่ยงมักจะแบ่งแยกโดยอ้างอิงถึงเหตุการณ์ที่อาจจะเกิดขึ้น (Guide 73 ข้อ ) และผลกระทบที่เกิดขึ้นตามมา (Guide 73 ข้อ ) หรือสองอย่างนี้ รวมกัน 05/04/2017

101 นิยามของ Risk 3.48 ความเสี่ยง (risk)
05/04/2017 นิยามของ Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 4 ความเสี่ยงมักจะแสดงออกในรูปของผลรวมของผลสืบเนื่องจากเหตุการณ์ (รวมถึงการเปลี่ยนแปลงของสถานการณ์กับโอกาสที่จะเกิดขึ้น (Guide 73 ข้อ ) หมายเหตุ 5 ความไม่แน่นอน เป็นสภาวะของการขาดข้อมูลเกี่ยวกับความเข้าใจหรือความรู้ ของเหตุการณ์ผลที่ตามมา หรือโอกาสของการเกิด หมายเหตุ 6 ในบริบทของมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจ วัตถุประสงค์ ความต่อเนื่องทางธุรกิจถูกกำหนดขึ้นโดยองค์กรซึ่งสอดคล้องกับนโยบายความต่อเนื่อง ทางธุรกิจ เพื่อให้บรรลุผลลัพธ์ที่กำหนดไว้ ในการประยุกต์ใช้คำ ว่า “ความเสี่ยงและ องค์ประกอบองการจัดการความเสี่ยง” ควรอ้างอิงถึงวัตถุประสงค์ขององค์กร แต่ไม่จำกัด เพียงวัตถุประสงค์ความต่อเนื่องทางธุรกิจที่ระบุไว้ในข้อ 6.2 ของมาตรฐานนี้เท่านั้น 05/04/2017

102 05/04/2017 05/04/2017

103 05/04/2017 05/04/2017

104 เวลาแห่งการมองโลกแห่งความเป็นจริง
05/04/2017 เวลาแห่งการมองโลกแห่งความเป็นจริง ยากต่อการคาดเดาสาเหตุที่แท้จริงของวิกฤติการณ์ แต่ท่านสามารถ พยายามคิดถึงอุปสรรคปัญหาหลักเพื่อหาทางผ่อนคลาย ลด ผลกระทบที่ตามมา และหาทางหนีทีไล่โดยมีแผนสำรอง มีอะไรเกิดขึ้นกับธุรกิจท่านในอดีต หรือเกือบๆมีหรือไม่ ธุรกิจที่คล้ายกัน ได้รับผลกระทบจากการหยุดชะงัก หรือจากวิกฤติการณ์ใดๆ หรือไม่ ในพื้นที่ที่ตั้ง เคยมีปัญหา หรือจะมีผลกระทบต่อธุรกิจท่านหรือไม่ ท่านอยู่ในพื้นที่สุ่มเสี่ยงต่อน้ำท่วม น้ำหลากหรือไม่ ท่านมีรายงานการตรวจสอบ ประเมิน ความเสี่ยงก่อนหน้านี้หรือไม่ ท่านได้เดินรอบสถานประกอบการณ์ และ คิดว่าอะไรอาจเกิดความผิดพลาดที่ สร้างปัญหามาก่อนหรือไม่ เช่น ท่อน้ำเหนือ server การรักษาความปลอดภัย ระบบป้องกันไฟ ความปลอดภัยข้อมูล 05/04/2017

105 นิยามของ Risk ความเสี่ยง/ ปัญหา โอกาส ผลกระทบ ลำดับความสำคัญ
05/04/2017 นิยามของ Risk ความเสี่ยง/ ปัญหา โอกาส ผลกระทบ ลำดับความสำคัญ มาตรการป้องกัน แผนสำรอง 05/04/2017

106 4 risk treatment Avoidance Retention Control transference 05/04/2017

107 การเลือก risk treatment
05/04/2017 การเลือก risk treatment Critical หมดตัว หมดเงิน ลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความ สูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการดำเนินธุรกิจ 05/04/2017

108 การเลือก risk treatment
05/04/2017 การเลือก risk treatment Critical หมดตัว หมดเงินลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความสูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการ ดำเนินธุรกิจ 05/04/2017

109 หลักการจัดการความเสี่ยง
05/04/2017 หลักการจัดการความเสี่ยง การลดขนาดของความเสียหาย ( reduce impact) การกระจาย เป็นการลดขนาดความเสียหาย เหมาะกับปัจจัยภายนอก หรืออาจใช้ในการ การจำกัดขนาดของสินเชื่อ จำกัดจำนวนการ ผลิต การจัดทำ contingency plan / business continuity plan เพื่อให้สามารถดำเนินงาน ได้อย่างต่อเนื่องในช่วงเกิดเหตุการณ์ความ เสียหายและอยู่ระหว่างการแก้ไข ให้กลับคืน สู่สภาพการดำเนินงานปกติได้โดยเร็วที่สุด เป็นการลดขนาดความเสียหายเช่นกัน จัดทำแผนการจัดการกับวิกฤติทางธุรกิจ crisis management plan ด้วย business impact analysis การลดโอกาสที่จะเกิดเหตุการณ์ความ เสียหาย Reduce Likelihood) การตรวจตรา การตรวจสอบเป็นประจำเพื่อ ป้องกันไม่ให้ปัญหาเกิดขึ้น การใช้งานระบบอัตโนมัติแทนคน ในลักษณะ งานที่ต้องทำซ้ำๆ การปรับปรุงกระบวนการเพื่อลดความ ซับซ้อน complex มีระบบตรวจจับ detection และป้องกัน มี checklist เพื่อตรวจสอบความครบถ้วน ของการทำงาน 05/04/2017

110 การเลือกวิธีการจัดการความเสี่ยง
05/04/2017 การเลือกวิธีการจัดการความเสี่ยง นานๆที เกิดบ่อย มีปัญหาได้บ่อย เพราะทำบ่อยๆ ผลกระทบสูง รุนแรง ผลกระทบน้อย ไม่แรง 05/04/2017

111 การหลีกเลี่ยงความเสี่ยง risk avoidance
05/04/2017 การหลีกเลี่ยงความเสี่ยง risk avoidance หลีกเลี่ยงความเสี่ยง หยุด หรือเปลี่ยนแปลงกิจกรรมที่ เป็นความเสี่ยง เช่นลดบาง ขั้นตอน ที่อาจนำมาที่ซึ่ง ความเสี่ยง ในทางปฏิบัติ อาจทำได้ ลำบาก(แต่ทำได้)และไม่ แนะนำ 05/04/2017

112 การโอนถ่ายความเสี่ยง Risk Transfer
05/04/2017 การโอนถ่ายความเสี่ยง Risk Transfer กระจาย ถ่ายโอน ความเสี่ยง ทำประกัน เช่าแทนซื้อ จ้างชั่วคราวแทนจ้างประจำ 05/04/2017

113 การโอนถ่ายความเสี่ยง Risk Transfer
05/04/2017 การโอนถ่ายความเสี่ยง Risk Transfer ความรับผิดตามกฎหมาย อันเกิดจากการใช้สินค้า ไม่ปลอดภัย อาคาร ทรัพย์สินใน อาคาร เครื่องจักร และ สต็อกสินค้า การสูญเสียทางการค้า และค่าเช่าอาคาร ความรับผิดตามกฎหมาย ต่อบุคคลภายนอก ประกันภัยอุบัติเหตุ สำหรับผู้เอาประกันภัย 05/04/2017

114 การประเมินความเสี่ยง
05/04/2017 การประเมินความเสี่ยง สถานการณ์ที่ซึ่ง • สถานที่เสียหาย หรือ ไม่สามารถเข้าถึง– e.g. industrial action / fire / flooding • การเสียหายของ ระบบ IT / ระบบเน็ตเวอร์ค / ฮาร์ดแวร์ / ซอฟแวร์ / ข้อมูล –e.g. ไฟฟ้า ดับ / ไวรัส • ไม่มีพนักงานหลัก – e.g. เกิดโรคระบาด , ประท้วง • การไม่มีหรือเสียหายจากทรัพยากรต่างๆ – e.g. ผู้ส่งมอบสำคัญ , น้ำมัน , น้ำ 05/04/2017

115 ความถี่สูง รุนแรงสูง สำหรับงานบริการทาง วิชาชีพ ใช้ risk avoidance
05/04/2017 ความถี่สูง รุนแรงสูง สำหรับงานบริการทาง วิชาชีพ ใช้ risk avoidance ไม่รับงานที่เกินตัว งานค้าปลีก ปิดบางเวลา บริการชนส่ง อาจไม่รับคำสั่ง ชื้อ ในช่วงจราจรติดขัด 05/04/2017

116 ความถี่สูง รุนแรงสูง | ชีวิตจริงเราใช้มาตรการร่วม
05/04/2017 ความถี่สูง รุนแรงสูง | ชีวิตจริงเราใช้มาตรการร่วม Risk control ลด/ควบคุมความเสี่ยง สำหรับบริการทางการแพทย์ โดยการทำการทดสอบ ทดลอง การซักประวัติ การ validate เครื่องมือ วิธีการ ทางการแพทย์ เพื่อ การควบคุมควรเสี่ยง ซื้อประกันความผิดพลาดทางการให้บริการ เพื่อ ผ่องถ่ายโอนความ เสี่ยงทางกฎหมายและภาระการสูญเสีย 05/04/2017

117 ความถี่ต่ำ รุนแรงสูง น้ำท่วม ไฟไหม้ การหยุดกิจการ
05/04/2017 ความถี่ต่ำ รุนแรงสูง น้ำท่วม ไฟไหม้ การหยุดกิจการ ทำการถ่ายโอนการสูญเสียให้บริษัทประกัน นโยบายควบคุมความเสี่ยงที่สำคัญ เช่น ระบบป้องกันไฟไหม้ การแบ็คอัพข้อมูล ทาง หนีไฟ กำหนดมาตรการควบคุม ลดความถี่และ รุนแรงของการสูญเสียเพื่อลดค่าประกัน ความเสียหายที่ไม่ได้ทำประกันต้องจำกัด การสูญเสีย และ ควบคุม อาจทำให้ธุรกิจหยุดชะงัก หรือ ลด ความสามารถได้ อาจทำให้เสียลูกค้าหรือกำไร ขณะที่มี รายจ่ายจำนวนมาก 05/04/2017

118 ความถี่ต่ำ รุนแรงสูง จัดเป็น Critical
05/04/2017 ความถี่ต่ำ รุนแรงสูง จัดเป็น Critical หาทางลดความถี่ และ ความ รุนแรง รวมทั้ง โอนถ่ายความ เสี่ยง 05/04/2017

119 ความถี่สูง ความรุนแรงต่ำ
05/04/2017 ความถี่สูง ความรุนแรงต่ำ เกิดบ่อย เสียหายไม่มาก ดูแลได้ รับได้ เช่นงานคุมเงินสด หรือควบคุมของหาย เงิน หายหลักหมื่น สามารถคิด loss ปลายปีได้ ต้องทำการควบคุมและติดตามดูแล มาตรการควบคุม การติดตามระบบ stock เช็คยอดเป็นประจำ กล้องตรวจจับ อุปกรณ์กันขโมย ป้ายเตือน การอบรม 05/04/2017

120 ความถี่สูง ความรุนแรงต่ำ
05/04/2017 ความถี่สูง ความรุนแรงต่ำ ใช้หลักการโอนถ่าย มักเป็นเรื่องสำคัญ significant ถี่สูง รุนแรงต่ำ เพิ่มเข้าไปในการคิดราคาสินค้า ควบคุม ติดตามผลโดยรวม บันทึกการสูญเสีย การตรวจสอบ การตรวจประเมิน 05/04/2017

121 ความถี่สูง รุนแรงต่ำ เช่นการลาป่วยกะทันหันของ พนักงานหลัก
05/04/2017 ความถี่สูง รุนแรงต่ำ เช่นการลาป่วยกะทันหันของ พนักงานหลัก อาจทำให้ธุรกิจหยุดชะงัก ควบคุมผลกระทบโดยมีแผนสำรอง contingency plan ให้มีพนักงาน แสดนบาย ให้มีการอัพเดท ข้อมูลพนักงาน 05/04/2017

122 ความถี่ต่ำ รุนแรงต่ำ หยุดธุรกิจช่วงสั้นๆ พนักงานบาดเจ็บเล็กน้อย
05/04/2017 ความถี่ต่ำ รุนแรงต่ำ หยุดธุรกิจช่วงสั้นๆ พนักงานบาดเจ็บเล็กน้อย เกิดอุบัติทางรถยนต์เล็กน้อย ลดความเสี่ยงก่อนจะเป็น significant 05/04/2017

123 การวางแผนจัดการ ความเสี่ยง
05/04/2017 การวางแผนจัดการ ความเสี่ยง เป็นการ เตรียมพร้อมรับสถานการณ์ที่ไม่ อาจคาดเดา อย่าทำให้ยาก อย่าทำให้เป็นเพียงรูปแบบ พิธี การ เลือกวิธีง่ายๆ เพื่อใช้ในการเลือกวิธีการจัดการ ความเสี่ยง เพื่อควบคุมความเสี่ยง ดูความสูญเสียมากน้อย ตรวจสอบความน่าจะเกิด ตรวจสอบการสูญเสียในอดีต ค่าเฉลี่ยหรือค่า max ขอคำแนะนำจากผู้เชี่ยวชาญ คู่ค้า พนักงาน ทำ flow chart 05/04/2017

124 05/04/2017 การคำนวณค่าสูงสุดของ ค่าสูญเสีย ความเป็นไปได้ ความน่าจะเป็นของการสูญเสีย ค่าสูญเสีย เมื่อเกิดการสูญเสีย เป็นมูลค่าทรัพย์สิน เมื่อเกิดการหยุดชะงัก รายได้ต่อเดือน x เวลาที่ใช้ในการสร้างใหม่ เปลี่ยนใหม่ Max possible loss สำหรับการประกัน ยากต่อการคำนวณ ประมาณโดยใช้ มูลค่า ความเสียหายในอุตสาหกรรม 05/04/2017

125 รุนแรงสูง รุนแรงต่ำ ความถี่สูง Property risk ความถี่ต่ำ Liability Risk
05/04/2017 รุนแรงสูง รุนแรงต่ำ ความถี่สูง Property risk ความถี่ต่ำ Liability Risk 05/04/2017

126 ประเมินความเสี่ยง กำหนดความเสี่ยงที่อาจส่งผล กระทบต่อธุรกิจ
05/04/2017 ประเมินความเสี่ยง กำหนดความเสี่ยงที่อาจส่งผล กระทบต่อธุรกิจ วิเคราะห์ความเสี่ยงต่อ ผลกระทบทางธุรกิจ ประเมินความเสี่ยงและจัดลำดับ เพื่อการจัดการ ทำการปรับความเสี่ยงเพื่อลด ผลกระทบ จัดทำและทบทวน แผนจัดการ ความเสี่ยง 05/04/2017

127 ประเมินความเสี่ยง ท่านต้องทำการทบทวนอยู่สม่ำเสมอ
05/04/2017 ประเมินความเสี่ยง ท่านต้องทำการทบทวนอยู่สม่ำเสมอ การบริหารความเสี่ยงไม่ได้ทำครั้งเดียว จบ แต่ท่านต้องทำการติดตามและ ทบทวนกลยุทธ์ต่างๆที่ท่านใช้ในการ วิเคราะห์ความเสี่ยง ความเสี่ยงเปลี่ยนแปลงเสมอ ท่านอาจ พบว่า มีความเสี่ยงใหม่ๆ ความเสี่ยงที่มีอยู่เพิ่มหรือลด ความเสี่ยงหมดไป ลำดับขั้นตอน ลำดับความสำคัญ เปลี่ยนแปลง กลยุทธ์การบริหารความเสี่ยงไม่มี ประสิทธิผลต่อไม 05/04/2017

128 ประเมินความเสี่ยง ทำไม ต้องการให้ธุรกิจต่อเนื่อง ลดความประกัน
05/04/2017 ประเมินความเสี่ยง ทำไม ต้องการให้ธุรกิจต่อเนื่อง ลดความประกัน ลดโอกาสการเกิดการฟ้อร้อง ลดเวลาในการทำให้บริษัท ดำเนินการต่อ ลดผลกระทบในการเปลี่ยนคน หลัก หรือใช้ในการอบรม ลดการเสียหาย ลดการสูญเสีย ต่อทรัพย์สิน เครื่องจักร ที่ จำเป็นในการดำเนินธุรกิจ เพื่มความสามารถในการอยู่ รอดของธุรกิจ 05/04/2017

129 ประเมินความเสี่ยง ด้วยเหตุผลนี้ ท่านต้องใส่ใจ ในการระบุความเสี่ยง Risk
05/04/2017 ประเมินความเสี่ยง ด้วยเหตุผลนี้ ท่านต้องใส่ใจ ในการระบุความเสี่ยง Risk Description โอกาส ผลกระทบ การลดผลกระทบ สิ่งที่ต้องทำ 05/04/2017

130 ประเมินความเสี่ยง ท่านได้ทำอะไรให้มั่นใจ อะไรที่ทำให้ท่านมั่นใจ
05/04/2017 ประเมินความเสี่ยง ท่านได้ทำอะไรให้มั่นใจ อะไรที่ทำให้ท่านมั่นใจ เรามีการ update ล่าสุดเมือไหร่ มีสถานการณ์ที่เปลี่ยนไปหรือไม่ คนใหม่ ทรัพย์สินใหม่ บริการใหม่ ผลิตภัณฑ์ใหม่ สาขาใหม่ ระบบ คอมพิวเตอร์ใหม่ ที่ทำให้ต้อง update แผนหรือไม่ 05/04/2017

131 ประเมินความเสี่ยง การฝึกอบรม ความอาชีวอนามัยและปลอดภัย
05/04/2017 ประเมินความเสี่ยง การฝึกอบรม ความอาชีวอนามัยและปลอดภัย งานซ่อมบำรุง เครื่องมือ อุปกรณ์ อาคาร งานการรักษาความปลอดภัย การเตรียนมความพร้อมเหตุฉุกเฉิน การแบ็คอัพข้อมูล การคัดเลือกพนักงานและเครื่องมือ วัดอย่างระมัดระวัว คลาวด์ ชุด KIT ต่างๆ แผนการอพยพ การฝึกซ้อมและการทดสอบ 05/04/2017

132 ประเมินความเสี่ยง จงเตรียมพร้อม 05/04/2017
ทำเชิงรุก และเตรียมการวางแผนสำหรับ อากาศการเกิดของสถานการณ์ ที่อาจทำใหุ้ ธุรกิจชะงัก คนบางคน ชอบพึ่งดวง ชอบเสี่ยง การเตรียมความพร้อม คือ proactive และ วางแผน 05/04/2017

133 ประเมินความเสี่ยง ตัวอย่าง ให้พิจารณาความ แข็งแรงของหน้าต่าง กระจก
05/04/2017 ประเมินความเสี่ยง ตัวอย่าง ให้พิจารณาความ แข็งแรงของหน้าต่าง กระจก กระจกแตกระหว่างพายุ และน้ำกระแทก หรือ มีสิ่ง ปลิวมาปะทำ ทำให้พนักงานปลอดภัย ให้ทำการเพิ่มความ แข็งแรงกระจก ไฟ ประตู ด้วยฟิมล์ ให้อยู่ห่างจากห้องที่มี กระจก หรือ ลดจำนวน หน้าต่างกระจก 05/04/2017

134 ประเมินความเสี่ยง กิจกรรม ที่สำคัญ รายละเอียด ความเสียง
05/04/2017 ประเมินความเสี่ยง กิจกรรม ที่สำคัญ รายละเอียด ความเสียง ผลกระทบของการสูยเสียหรือเสียหา ทั้ง การเงิน พนักงาน เสียยชื่อเสียง RTO การผลิต ทำชิ้นส่วนประกอบ สูง เสียรายได้มากกว่า XXXX ต่อสัปดาห์ มีโอาาศเสียงาน หลังจาก สองอาทิตย์ ลูกค้าหาผู้ส่งมอบใหม่ๆ สอง สัปดาห์ 05/04/2017

135 การควบคุมการสูญเสียและการเสียหาย
05/04/2017 การควบคุมการสูญเสียและการเสียหาย 05/04/2017

136 05/04/2017 ประเมินความเสี่ยง วิธีการในการระบุ มาตรการ และ จัดลำดับความสำคัญความเสี่ยง เลือกมาตรการจัดการกับความเสียงที่ ถูกต้อง การควบคุมการสูญเสีย จัดการกับความเสี่ยงที่อุบัติ จ่ายสำหรับการเสียหายอย่างมี ประสิทธิภาพ กำจัดค่าปรับ อยู่ในเป้าหมาย 05/04/2017

137 ประเมินความเสี่ยง เมื่อใดที่ควรจะบริหาร หรือ ควบคุมความเสี่ยง
05/04/2017 ประเมินความเสี่ยง เมื่อใดที่ควรจะบริหาร หรือ ควบคุมความเสี่ยง เมื่อใดควรจะถ่ายความเสี่ยง หรือคงไว้ 05/04/2017

138 อะไรคือ Business Continuity Plan
05/04/2017 อะไรคือ Business Continuity Plan 05/04/2017

139 ทำอย่างไร จึงจะไม่หวาดกลัว
05/04/2017 ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทำให้ หวาดกลัว จึงต้อง หาทางทำให้ไม่ หวาดกลัว ทำอย่างไร จึงจะไม่หวาดกลัว 05/04/2017

140 อะไรคือ Business Continuity Plan
05/04/2017 อะไรคือ Business Continuity Plan 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดำเนินงานที่ให้แนวทางแก่องค์กรในการ ตอบสนอง การฟื้นฟู การกลับมาดำเนินการและการติดตั้งเพื่อให้ สามารถดำเนินงานได้ในระดับที่กำหนดไว้ภายหลังจากการ หยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึง ทรัพยากร การบริการ และกิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่า ภารกิจ/หน้าที่ที่มีความสำคัญต่อธุรกิจยังคงดำเนินงานได้อย่าง ต่อเนื่อง 05/04/2017

141 เนื้อหาของ BCP ตามข้อกำหนด ISO 22301 , 8.4.4
05/04/2017 เนื้อหาของ BCP ตามข้อกำหนด ISO , 8.4.4 แผนความต่อเนื่องทางธุรกิจต้องประกอบด้วยหัวข้อต่อไปนี้ ก) การกำหนดบทบาทหน้าที่และความรับผิดชอบสำหรับบุคลากรและทีมงานที่มีอำนาจหน้าที่ ในระหว่างและภายหลังการเกิดอุบัติการณ์ ข) กระบวนการสำหรับสั่งการให้เริ่มตอบสนองต่ออุบัติการณ์ ค) รายละเอียดการจัดการกับผลกระทบที่เกิดขึ้นอย่างทันท่วงทีจากอุบัติการณ์ที่ทำ ให้เกิด การหยุดชะงัก โดยคำนึงถึง 1) สวัสดิภาพของแต่ละบุคคล 2) กลยุทธ์ ยุทธวิธี และทางเลือกในการ ดำเนินการสำหรับการตอบสนองต่อการหยุดชะงัก 3) การป้องกันความเสียหายที่จะเกิดขึ้นเพิ่มเติม หรือการสูญเสียกิจกรรมที่สำคัญ ง) รายละเอียดของวิธีการและสถานการณ์ที่องค์กรจะสื่อสารกับพนักงานและบุคคลที่เกี่ยวข้องผู้มีส่วน ได้เสียที่สำคัญ และหน่วยงานที่ต้องติดต่อเมื่อเกิดเหตุฉุกเฉิน จ) วิธีการที่องค์กรจะเริ่มดำเนินกิจกรรมหรือฟื้นฟูกิจกรรมที่มีความสำคัญภายในกรอบระยะเวลาที่ได้ พิจารณากำหนดไว้ล่วงหน้า ฉ) รายละเอียดของการตอบสนองของสื่อขององค์กรภายหลังการเกิดอุบัติการณ์ ซึ่งรวมถึง 1) กลยุทธ์ การสื่อสาร 2) วิธีการที่ต้องการในการประสานกับสื่อ 3) แนวทางหรือรูปแบบสำหรับร่างแถลงการณ์ สำหรับสื่อมวลชน 4) ผู้แถลงข่าวที่มีความเหมาะสม ช) กระบวนการสำหรับการถอนตัวภายหลังอุบัติการณ์สิ้นสุดลง 05/04/2017

142 เนื้อหาของ BCP ตามข้อกำหนด ISO 22301 , 8.4.4
05/04/2017 เนื้อหาของ BCP ตามข้อกำหนด ISO , 8.4.4 แต่ละแผนต้องกำหนด - เป้าหมายและขอบข่าย - วัตถุประสงค์ - เกณฑ์สำหรับการเริ่มปฏิบัติการและขั้นตอนการดำเนินงาน - การปฏิบัติตามขั้นตอนการดำเนินงาน - บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ - ข้อกำหนดและขั้นตอนการดำเนินงานสำหรับการสื่อสาร - การพึ่งพากันและปฏิสัมพันธ์ระหว่างหน่วยงานภายในและภายนอก - ทรัพยากรที่ต้องการ - แผนผังของสารสนเทศ และกระบวนการด้านการเอกสาร 05/04/2017

143 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร 05/04/2017

144 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร มีคนวิเคราะห์ความเสี่ยงที่ดีที่สุดว่า เอาอยู่ (หัวเราะ) อีกค่ายหนึ่ง วิเคราะห์สถานการณ์เลวร้ายที่สุด คือ 2 เมตร ทีนี้ถามว่าเราเป็นประชาชน วันนี้เรามีความรู้แล้ว มันสามารถทำแผนเป็นแผนหนึ่งหรือ แผนสองได้ เอาสถานการณ์แต่ละสถานการณ์มาลองจำลองดูว่าถ้าน้ำแค่นี้เกิดอะไร น้ำแค่นี้เกิดอะไร ก็ต้องทำแผนรับ รับเป็นภาคประชาชนก็ต้องรับ อย่างดิฉันบ้านอยู่ทางใต้ ถ้าบ้านที่อยู่ทางเหนือดิฉัน ต้องเตรียมขนของแล้ว 05/04/2017

145 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ถ้าถามว่าเราต้องเลือกฟังใคร จริงๆ เราชอบว่าภาครัฐว่าเวลาเกิดเรื่องทีไรเว็บรัฐล่ม ว่าภาครัฐตลอด แต่เรามามองอีกข้างหนึ่ง ทำไมเว็บรัฐถึงล่ม แสดงว่าประชาชนโดยส่วนใหญ่เวลาเกิดเรื่องวิ่งข่าวหา เว็บของหน่วยงานรัฐก่อน เพราะพร้อมที่จะเชื่อ ดังนั้น การแก้ไม่ใช่การบังคับให้สื่อไม่พูด การแก้เป็น ช่องทางหนึ่งที่ให้ข้อมูลได้ตลอดเวลาคือเว็บไม่ล่ม เพราะฉะนั้นอาจใช้คราวน์เนตเวิร์กหรืออะไรก็ ตามที่เขามีไอพีที่ใหญ่ นี่คือสะท้อนว่าภาคประชาชนพร้อมที่จะรับข้อมูลในลักษณะนี้ คือรัฐต้องเป็น ฝ่ายให้เรื่อยๆ อัพเดทเรื่อยๆ ในการจัดการภัยพิบัติ ผู้ที่เป็นผู้บริหารจัดการเขาจะมีหมดเลย คือ หนึ่ง การทำงานกับสื่อ เพราะสื่อมีความเร็วที่สุดในโลก เมื่อเร็ว เราจึงควรใช้ตรงนี้ให้เป็นประโยชน์ ทุกๆ หนึ่งชั่วโมงควรมีการบอกความคืบหน้าสัก 10 เปอร์เซ็นต์ของครั้งที่แล้ว แล้วจะทำให้เอกภาพของ ข้อมูลเป็นเรื่องเดียวกันทั้งหมด 05/04/2017

146 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ถ้าระบบมีความน่าเชื่อถือ ทุกอย่างจะเป็นไปตามที่รัฐบาลได้วางแผนไว้ หนึ่ง ปภ.จะเป็นผู้ตัดสินใจใน การประกาศเตือนภัยในพื้นที่ต่างๆ โดยใช้กรมประชาสัมพันธ์ ถ้าข้อมูลมีความน่าเชื่อถือคนจะฟังและ ปฏิบัติตามแน่นอน ที่ผ่านมาปีที่แล้วมีความสับสนในเรื่องของข้อมูล ฝั่งนั้นออกมาอย่างนั้น ฝั่งนี้ ออกมาอย่างนี้ และนักวิชาการอย่างผมก็ออกมาอีกอย่างหนึ่ง อันนี้เลยทำให้เกิดความสับสน เนื่องจากนักวิชาการเวลาทำงานเรามีข้อมูลและสมมติฐาน อะไรที่มีข้อมูลเราใช้ข้อมูลหมดเลย แต่ เมื่อข้อมูลมีไม่เพียงพอเราต้องใช้สมมติฐาน ผมถึงบอกว่าในส่วนของรัฐ งบประมาณที่มีไว้ 7,000 ล้าน เรื่องไอที หวังว่าในอนาคตข้อมูลจะมีมากขึ้นๆ จนกระทั่งนักวิชาการจะได้มีข้อมูลพื้นฐานที่ดี ใช้ สมมุติฐานน้อยๆ และการวิเคราะห์ที่ออกมาให้ประชาชนจะได้แม่นยำ และเป็นที่น่าเชื่อถือ เชื่อใน แหล่งเดียว และตามมาตรฐานของรัฐมีแหล่งเดียวอยู่แล้วคือกรมประชาสัมพันธ์ 05/04/2017

147 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร สหรัฐอเมริกาก็เช่นกัน มีกฎหมายการปกป้อง critical infrastructure คือทุกองค์กรที่เป็นท็อป critical infrastructure เช่น พลังงาน น้ำ ไฟฟ้า สถาบันการเงิน ทุกประเทศที่ศึกษาเขามี BCP หมด ที่เรียกว่า national critical infrastructure โดยศึกษาว่าเขาแบ่งโครงสร้างพื้นฐานเหล่านี้อย่างไร พอ เรียงลำดับออกมาจะเห็นว่าอะไรที่เป็นโครงสร้างพื้นฐาน เช่น พลังงานโดยเฉพาะไฟฟ้า หากไม่มี ไฟฟ้า เซลไซด์ล่ม โรงพยาบาลล่ม แบงก์ล่ม แล้วอย่างอื่นก็จะพังตามไปเรื่อยๆ จากที่ศึกษาเราเห็นว่ากลุ่มนี้ควรจะเป็น critical infrastructure ของไทย และรัฐบาลต้องสั่งว่าคุณ ต้องดูแลตัวเอง เพราะถ้าคุณมีปัญหาที่เหลือล่มหมด เพราะเขาพึ่งคุณอยู่ ไม่ว่าคุณเป็นเอกชนหรือ รัฐวิสาหกิจก็ตาม คุณต้องมีภาระเพิ่มที่ต้องดูแลตัวเอง และดูแลประเทศ อย่าง กลุ่มพลังงานต้องหา แหล่งพลังงานสำรอง กลุ่มสถาบันการเงิน กลุ่มโทรคมนาคม เป็นต้น 05/04/2017

148 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ในแง่มาตรการป้องกันภัยพิบัติที่ศึกษา มีอะไรต้องทำบ้าง ต้องผลักดันหลายเรื่องเหมือนกัน ขณะนี้ยังไม่มีคอนเซ็ปต์ critical infrasturcture ว่าของไทยควรมี อะไรบ้าง ต้องผลักดันให้มีก่อนว่าจะมีกี่กลุ่ม องค์กรไหนเป็นบ้าง ทั้งภาครัฐและเอกชน หน้าที่ที่ต้อง ทำ ต้องซ้อมแผน และต้องซ้อมร่วมกัน ไม่ใช่ต่างคนต่างซ้อม ตัวเองรอดคนเดียวคงไม่ใช่ รวมทั้งต้อง มีการอัพเดทข้อมูล ถ้าเป็นไฟฟ้า ต้องคิดล่วงหน้าหาแหล่งสำรอง และมีหนาวยงานกำกับดูแลมา สอดส่องว่าทำได้ดีแค่ไหน เพื่อทำให้มีประสิทธิภาพจริงๆ หากกลุ่มนี้รอด กลุ่มอื่นก็จะรอดด้วย ส่วนกลุ่มที่เป็นองค์กรเอกชน วิธีการผลักดันคือทั้งสั่งและขอความร่วมมือ เขาต้องทำแผน BCP ของ ตัวเอง อย่างสิงคโปร์รัฐบาลสั่งให้ทำ แต่สหรัฐอเมริกาและอังกฤษ รัฐบาลสั่งให้ทำ BCP เฉพาะ critical infrastructure ส่วนมาเลเซีย กำลังสั่งให้ทำเกือบทั้งหมด ประเทศไทยองค์กรภาครัฐทำ เพราะรู้กันเอง แต่ยังไม่มีใครผลักดัน ส่วนองค์กรที่ไม่มีความรู้ ยังไม่มีการให้ความรู้ คนยังไม่รู้ว่าทำ อย่างไร ตอนที่ทำโฟกัสกรุ๊ป เอกชนอยากทำแต่ทำไม่เป็น เรื่องนี้เป็นเรื่องใหม่รัฐบาลควรตั้งหน่วยงานกลางและให้ความรู้ประชาชน ตอนนี้มีมาตรฐาย อุตสาหกรรม(มอก.) มีประกาศมาตรฐาน (มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ) บาง องค์กรเริ่มทำแล้ว ซึ่งมาตรฐานมอก.นี้เอามาจากอังกฤษ BS 25999 05/04/2017

149 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร ที่จริงเทรนด์มาก่อนหน้านี้ 2 ปีแล้ว หลังเกิดเหตุการณ์เสื้อแดง เราเองเคยคุยกับลูกค้าก่อนเกิด เหตุการณ์เสื้อแดง ตอนนั้นไทยไม่เคยเกิดเหตุการณ์นองเลือดหรือความเสียหายรุนแรง การเห็น ความสำคัญยังไม่เยอะ แต่ช่วง 2 ปีที่ผ่านมาทุกคนสนใจเรื่อง BCP และยิ่งวิกฤตน้ำท่วมที่ผ่านมาก็มี ความสนใจมากขึ้น โทรศัพท์มาถามเยอะขึ้น ขอข้อมูลมากขึ้น (อ่านเพิ่มเติม แนวทางเบื้องต้นสำหรับ รับมือเหตุการณ์ฉุกเฉิน) ลูกค้ามีตั้งแต่ขนาดกลางถึงขนาดใหญ่ มีหลายแบบ บางแห่งไม่มีข้อมูลเลย ไม่รู้ทำอย่างไร ทำไม่ เป็น เราไปทำให้ตั้งแต่ต้นจนจบ หรือเขียน BCP แล้วไม่มั่นใจเราก็ไปรีวิวให้ใหม่ หรือเขียนแล้วมั่นใจ อยากให้เราไปเทสต์ เพราะแผนที่ดีต้องซ้อม ไม่งั้นไม่รู้ว่าแผนอาจจะเขียนเมื่อ 5 ปี ที่แล้ว วันนี้ธุรกิจ เปลี่ยนไปหมดแล้ว เราจะทำการซ้อมจริงๆ เรามีบทเรียนจากประเทศต่างๆ ก็มาแชร์ให้ลูกค้าด้วย การทำBCP ของไทยนั้น ธุรกิจธนาคารทำมา ก่อนเพราะแบงก์ชาติสั่งให้ทำ แต่ก็เป็นเรื่องที่ดี เขาผ่านบทเรียนมาเยอะ ไม่งั้นการเทรด การโอนเงิน ทำไม่ได้ หรือธุรกิจสื่อสารก็สำคัญเช่นกัน 05/04/2017

150 คนของเรายังไม่รู้ว่าขาดอะไร
05/04/2017 คนของเรายังไม่รู้ว่าขาดอะไร มีความเสี่ยงอะไรที่เสี่ยงมากสุด จากสถิติน่าจะเป็นเรื่องน้ำเยอะสุด ประเทศไทยยังไม่มีข้อมูลความเสี่ยงที่ทันสมัย เวลาทำแผน BCP ต้องหาข้อมูลมาสนับสนุน เช่น จะเปิดสาขาในภูมิภาค ความเสี่ยงคืออะไร จะต้องมีข้อมูลประกอบ แต่ ละจังหวัดความเสี่ยงไม่เท่ากัน รัฐบาลควรมีข้อมูลเหล่านี้ ประชาชนจะได้เตรียมความพร้อมและหาวิธี ป้องกันได้ รวมทั้งการทำแผนของจังหวัดจะได้วางแผนรับมือได้ในแต่ละพื้นที่ อย่างที่อังกฤษ น้ำท่วมบ่อยมาก เขาผ่านมาจนเป็นเรื่องปกติ มีการทำข้อมูลออนไลน์ หากเห็น สัญลักษณ์นี้ขึ้นคืออะไร ประชาชนรู้วิธีที่จะรับมือ นี่คือฐานขอมูลความเสี่ยง และมีแล้วก็ต้องอัพเดท คอยประสานเก็บข้อมูล มีวิกฤตแล้วต้องทำอย่างไร เมื่อเกิดแล้วจะต้องถอดบทเรียนไว้เลย จะได้ไม่เกิด อีก ที่อังกฤษจะมีไกด์ไลน์ออกมาเลย อย่างเรื่องการประสานงาน เขาเคยไม่ดีมาก่อน ไม่ชัดเจนว่าใครทำ อะไร ก็มีประกาศสั่งให้ชัดว่าใครต้องทำอะไร เช่น การประสานระหว่างหน่วยงานภาครัฐและภาครัฐ ภาครัฐและเอกชน ภาครัฐกับองค์กรระหว่างประเทศ มีmulti agency framework แม้กระทั่งไกด์ไลน์ เรื่องถุงยังชีพ จะมีระยะเวลาว่าก่อนท่วม ระหว่างน้ำท่วม หลังท่วม จะต้องแจกอะไรบ้าง เช่น อาหารแห้ง ไฟฉาย แบตเตอร์รี่กับมือถือ เบอร์สำคัญต่างๆ 05/04/2017

151 05/04/2017 มาทำ BCP กัน 05/04/2017

152 BC Planning Process Prevention Preparedness Response Recovery
05/04/2017 BC Planning Process 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อองค์กร และ ผลกระทบของภัยคุกคามนั้นต่อการดำเนินธุรกิจ และให้แนวทางในการสร้างขีด ความสามารถให้องค์กรมีความยืดหยุ่น(resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูล ค่าที่มีประสิทธิผล Prevention Preparedness Response Recovery 05/04/2017

153 มองโลกอย่างที่เป็น ไม่ดีไม่ร้าย
05/04/2017 มองโลกอย่างที่เป็น ไม่ดีไม่ร้าย ท่านเป็นคนที่คิดตามความเป็นจริง หรือ เพียงแต่เฝ้าหวังภาวนาให้ คุณพระช่วย ท่านควรคิดเรื่องเลวร้ายที่อาจเกิดขึ้นและทำแผนสำรองไว้รับมือ คุณ จะมีความมั่นใจและมั่นคง ไม่ประหลาดใจกับสิ่งที่เกิดขึ้น 05/04/2017

154 วาดภาพเหตุการณ์ที่เลวร้าย
05/04/2017 วาดภาพเหตุการณ์ที่เลวร้าย วาดภาพเหตุการณ์เลวร้ายที่สุดให้ออก ค้นหา สร้างมโนภาพ ตรวจสอบ สถานการณ์ที่เลวร้าย โดย ถามตัวเองว่า ถ้าเราไม่ได้ลูกค้ารายนี้อะไรจะเกิดขึ้น หากไม่มีรายได้ เนื่องจากออกใบเรียกเก็บเงินไม่ได้ สองสัปดาห์จะเป็นอย่างไร หากลูกค้าส่วนมากไม่ชำระเงินจะทำอย่างไร หากพนักงานสำคัญป่วย จะทำอย่างไร หากตลาดวาย ไม่ฟื้น จะทำอย่างไร หากไม่มีพนักงานมาทำงานเลยจะเป็นอย่างไร หากเครื่องจักรหลักเสียหาย จะทำอย่างไร หากผู้ส่งมอบหลักไม่ส่งมอบวัตถุดิบให้ จะทำอย่างไร หากสถานที่ทำงาน เกิด ไฟไหม้ ท่านจะทำอย่างไร Etc และเราจะจัดสรรทรัพยากรที่มีอยู่ ในสภาพเหตุการณ์ที่เลวร้ายได้อย่างไร 05/04/2017

155 วาดภาพเหตุการณ์ที่เลวร้าย
05/04/2017 วาดภาพเหตุการณ์ที่เลวร้าย Survival Kit ของท่าน 05/04/2017

156 เขียน BCP Step 1 ทำการประเมินความ เสี่ยง
05/04/2017 เขียน BCP Step 1 ทำการประเมินความ เสี่ยง ประเมินความเสี่ยงที่ท่านยอมรับ ระบุอุปสรรค เลือกวิธีการจัดการความเสี่ยง ความเสี่ยงที่ทำให้ธุรกิจชะงัก ต้องได้รับการควบคุมผ่าน BCP 05/04/2017

157 คืนงานพื้นฐานก่อนเสมอ งานพื้นฐานคือ CORE input ของธุรกิจ
05/04/2017 เขียน BCP จัดทำลำดับ ความสำคัญของ กระบวนการ กิจกรรมงานที่สำคัญ แยก แต่ละการดำเนินงาน วิกฤติ สำคัญ ไม่สำคัญ คืนงานพื้นฐานก่อนเสมอ งานพื้นฐานคือ CORE input ของธุรกิจ 05/04/2017

158 Recovery Time Objective
05/04/2017 Recovery Time Objective ท่านทำได้เร็วขนาดไหน ในการ เริ่มดำเนินธุรกิจได้ใหม่ How Quick !! อะไรที่เป็นปัจจัย ต่อ การลด RTO 05/04/2017

159 Financial Consideration
05/04/2017 Financial Consideration ทดสอบความ ใช้ได้ของ RTO พิจารณาเรื่อง ต้นทุน 05/04/2017

160 Financial Consideration
05/04/2017 Financial Consideration MTPD มีเวลาอีกเท่าไหร่ นานไหมกว่าจะล้มละลาย มีส่วนเกี่ยวช้องกับ RTO อาจจำเป็นต้องหาทางลด RTO เพื่อลดการปิดธุรกิจ อย่างถาวร 05/04/2017

161 Financial Consideration
05/04/2017 Financial Consideration มีทุนพอที่จะครอบคลุมค่าใช้จ่าย การดำเนินงานและพื้นฟูในแต่ละ ขั้นตอน กระจายความเสี่ยงสู่ บริษัท รับประกัน ให้พิจารณาเรื่องเสียส่วนแบ่ง ทางการตลาด ประกันภัยจากวิชาชีพ professional liability ประกันภัยต่อผลิตภัณฑ์ product liability ประกันภัยเนื่องจากมลภาวะมลพิษ pollution liability ประกันภัยนายจ้าง(ต่อลูกจ้าง) employer " liability ประกันภัยต่อสัญญา contractual liability ประกันภัย ต่อผู้บริหารหรือผู้จัดการบริษัท Directors and officers liability ( D&O ) ประกันภัยความรับผิดต่อสาธารชน public liabiliity : PL 05/04/2017

162 Financial Consideration
05/04/2017 Financial Consideration จะเสียพนักงานสำคัญกี่คน ที่ ไม่อาจกลับมาทำงานได้ ไม่ว่า ด้วยความสมัครใจหรือเหตุ เภทภัย จะมีกี่คนที่อยู่ในบัญชีเงินเดือน ใครบ้างที่ต้องจ้างออก จะมีการทำงานใดที่ทำได้โดย ปราศจากการสนับสนุน 05/04/2017

163 Financial Consideration
05/04/2017 Financial Consideration 05/04/2017

164 เขียน BCP ขั้นที่ 3 กำหนดกลยุทธ์
05/04/2017 เขียน BCP ขั้นที่ 3 กำหนดกลยุทธ์ ตัดสินใจว่าใครควรมีส่วนร่วม ในการวางแผนและนำแผนไป ปฏิบัติ ทำการทวนสอบหลายๆ ทางเลือก 05/04/2017

165 เขียน BCP หัวใจหลักของการเขียนแผน
05/04/2017 เขียน BCP หัวใจหลักของการเขียนแผน สถานที่ ที่จะดำเนินการพร้อม ระบบ ยูทิลิตี้ พร้อม และจะทำให้พร้อมขนาด ไหน คน ข้อมูล การสื่อสาร เครื่องมือ 05/04/2017

166 05/04/2017 เขียน BCP ระดับการตอบสนอง แผน BCP ควรมีการกำหนด ในสมมุติฐานที่แตกต่าง ระยะเวลาของภัยพิบัติ เป็น ตัวกำหนดการตอบสนอง เช่นกัน การตอบสนองต้องเหมาะต่อ ขอบเขตและระยะเวลาของ ภัยพิบัติ 05/04/2017

167 05/04/2017 เขียน BCP Step 4 เก็บข้อมูล ข้อสังเกต กลยุทธ์ ข้อมูล แผนควรยาวพอ มีรายละเอียดที่ เพียงพอต่อครอบคลุม 05/04/2017

168 เขียน BCP Step 5 ทดสอบและทบทวน BCP ทุกๆ 6 เดือน หรือ 1 ปี
05/04/2017 เขียน BCP Step 5 ทดสอบและทบทวน BCP ทุกๆ 6 เดือน หรือ 1 ปี กำหนดวัตถุประสงค์การทดสอบ เป็นสถานการณ์ที่เป็นจริงได้ ประเมินผลอย่างเป็นกลาง เก็บผลทดสอบเป็นเอกสาร ทำการปรับปรุงแผน Tabletop exercise Live drill 05/04/2017

169 05/04/2017 เขียน BCP ทดสอบแผน ทบทวนการประเมินความเสี่ยง อบรมพนักงานใน BCP ให้ผู้มีส่วนร่วม ได้ร่วม 05/04/2017

170 การจัดเก็บ แจกจ่ายแผน BCP
05/04/2017 การจัดเก็บ แจกจ่ายแผน BCP การจัดเก็บ เก็บหลายๆชุด หนึ่งชุดที่หน้างาน สำเนาอื่นๆ ในชุด Business recovery kit สำเนาที่ 3 ไว้ในที่ๆสามารุเข้าถึงได้จาก สถานที่อื่น เช่น ที่บ้าน ในรถ 05/04/2017

171 05/04/2017 เริ่มอะไรก่อนดี 05/04/2017

172 เริ่มอะไรก่อนดี ทำรายการ inventory ทำการถ่ายภาพ สถานที่ เครื่องมือ
05/04/2017 เริ่มอะไรก่อนดี ทำรายการ inventory ทำการถ่ายภาพ สถานที่ เครื่องมือ อุปกรณ์ ตกแต่งต่างๆ ทบทวนนโยบาย ประกันภัย พิจารณาการซื้อประกันเฉพาะ โดยทั่วไปไม่ครอบคลุมทุกเรื่อง 05/04/2017

173 เริ่มอะไรก่อนดี 05/04/2017 Business recover list Inventory
นโยบายประกัน รูปภาพก่อนหน้า รายชื่อพนักงาน รายชื่อลูกค้า รายชื่อผู้ขาย บันทึกต่างๆ บันทึกงานบุคคล บันทึกธนาคาร ต้องเก็บไว้ที่ปลอดภัย และ เช้าถึงได้ในภาวะวิกฤติ !! 05/04/2017

174 เริ่มอะไรก่อนดี ทำการ back up ข้อมูลใน คอมพิวเตอร์สม่ำเสมอ
05/04/2017 เริ่มอะไรก่อนดี ทำการ back up ข้อมูลใน คอมพิวเตอร์สม่ำเสมอ ทำให้มั่นใจว่าได้เก็บข้อมูล ทดสอบการ นำข้อมูลกลับ อบรมพนักงานเรื่องความ เสี่ยงและ BCM 05/04/2017

175 เริ่มอะไรก่อนดี มองหาความช่วยเหลือ ประกัน ผู้ขาย ลูกค้า เช่าซื้อ
05/04/2017 เริ่มอะไรก่อนดี มองหาความช่วยเหลือ ประกัน ผู้ขาย ลูกค้า เช่าซื้อ หน่วยงานรัฐ 05/04/2017

176 ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301
05/04/2017 ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301 05/04/2017

177 05/04/2017 6.0 7.0 5.0 9.0 4.0 10.0 05/04/2017

178 05/04/2017 1. ขอบข่าย มาตรฐานนี้ใช้สำหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกำหนดเพื่อ วางแผน จัดทำ นำไปปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกป้อง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักขึ้น. ข้อกำหนดในมาตรฐานนี้เป็นข้อกำหนดทั่วไปและตั้งใจให้นำไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คำนึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกำหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดำเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนำไปปฏิบัติโดยมีการจัดทำโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกำหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกำหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกำหนดของผู้มีส่วนได้เสีย. 05/04/2017

179 High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.

180 4.1 ความเข้าใจองค์กรและบริบทขององค์กร
05/04/2017 4.1 ความเข้าใจองค์กรและบริบทขององค์กร 4.1 ความเข้าใจองค์กรและบริบทขององค์กร องค์กรต้องพิจารณาประเด็นภายนอกและภายในที่เกี่ยวข้องกับจุดประสงค์ของ องค์กรและที่มีผลกระทบต่อความสามารถขององค์กรในการบรรลุผลลัพธ์ตามที่ คาดหวังไว้ต่อระบบการบริหารความต่อเนื่องทางธุรกิจ ประเด็นเหล่านี้ต้องถูกนำมาพิจารณาเมื่อมีการจัดทำ นำไปปฏิบัติ และการรักษาไว้ ซึ่งระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร องค์กรต้องชี้บ่งและจัดทำเป็นเอกสาร ดังนี้ ก) กิจกรรมต่างๆ ขององค์กร หน้าที่งาน การบริการ ผลิตภัณฑ์ หุ้นส่วน ห่วงโซ่ อุปทาน ความสัมพันธ์กับผู้มีส่วนได้เสีย และแนวโน้มของผลกระทบที่เกี่ยวข้องกับ อุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ข) ความเชื่อมโยงระหว่างนโยบายความต่อเนื่องทางธุรกิจ และวัตถุประสงค์ของ องค์กร และนโยบายด้านอื่นๆ รวมทั้งกลยุทธ์การบริหารความเสี่ยงขององค์กร โดยรวม ค) ความเสี่ยงที่ยอมรับได้ขององค์กร 05/04/2017

181 4.1 ความเข้าใจองค์กรและบริบทขององค์กร
05/04/2017 4.1 ความเข้าใจองค์กรและบริบทขององค์กร ในการกำหนดบริบท องค์กรต้อง 1) กำหนดวัตถุประสงค์ รวมทั้งที่เกี่ยวข้องกับความต่อเนื่องทาง ธุรกิจอย่างชัดเจน 2) ระบุปัจจัยภายนอกและภายในที่ก่อให้เกิดความไม่แน่นอนที่ทำให้ เกิดความเสี่ยง 3) กำหนดเกณฑ์ความเสี่ยงโดยการพิจารณาถึงความเสี่ยงที่ยอมรับ ได้ 4) กำหนดเป้าหมายของระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

182 4.1 ความเข้าใจองค์กรและบริบทขององค์กร
05/04/2017 4.1 ความเข้าใจองค์กรและบริบทขององค์กร ทำระบบที่บางสาขา หรือ ทุกสาขา ดี ? ทำระบบทุกๆกิจกรรม หรือ บางกิจกรรม ดี? ใช้ Cold site, Hot site, Mirrored site , SLAs, Stock ดี อะไรสำคัญสุดในมุมมองลูกค้า อะไรคืองานหลัก งานรอง อะไรสำคัญ ไม่สำคัญ หยุดไม่ได้ หรือ หยุดนานไม่ได้ กระบวนการอะไร ผลิตภัณฑ์อะไร เป็นหัวใจหลัก ผู้ส่งมอบใด เครื่องมืออะไร เป็นหัวใจหลัก ทำ BIA ( Business Impact Assessment ) 05/04/2017

183 05/04/2017 05/04/2017

184 05/04/2017

185 05/04/2017

186 4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย
05/04/2017 4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย 4.2.1 ทั่วไป ในการจัดทำระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้องพิจารณาถึง ก) ผู้มีส่วนได้เสียที่มีความเกี่ยวข้องกับระบบการบริหารความต่อเนื่องทางธุรกิจ ข) ข้อกำหนดของผู้มีส่วนได้เสียเหล่านี้ (เช่น ความต้องการและความคาดหวังที่ได้ระบุไว้ หรือเป็นที่เข้าใจโดยทั่วไป หรือเป็นข้อผูกพัน) ข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับ องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานเพื่อการชี้บ่ง การ เข้าถึง และการประเมินข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องกับองค์กร ซึ่งสัมพันธ์กับความต่อเนื่องของการดำเนินงาน ผลิตภัณฑ์ และบริการ รวมทั้งผลประโยชน์ ของผู้มีส่วนได้เสียที่เกี่ยวข้อง องค์กรต้องมั่นใจว่าได้มีการประยุกต์ใช้กฎหมาย ระเบียบข้อบังคับ และข้อกำหนดอื่นๆ ซึ่ง องค์กรเกี่ยวข้องโดยการจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งระบบการบริหารความต่อเนื่อง ทางธุรกิจ องค์กรต้องจัดทำสารสนเทศเหล่านี้เป็นลายลักษณ์อักษรและทำให้ทันสมัย กฎหมายใหม่ และที่เปลี่ยนแปลง ระเบียบข้อบังคับ และข้อกำหนดอื่นๆ ต้องสื่อสารให้กับลูกจ้างที่ได้รับ ผลกระทบและผู้มีส่วนได้เสียอื่นๆ 05/04/2017

187 4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย
05/04/2017 4.2 ความเข้าใจถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย 05/04/2017

188 4.3 การกำหนดขอบข่ายระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3 การกำหนดขอบข่ายระบบการบริหารความต่อเนื่องทางธุรกิจ 4.3 การกำหนดขอบข่ายระบบการบริหารความต่อเนื่องทางธุรกิจ 4.3.1 ทั่วไป องค์กรต้องกำหนดขอบเขตและขอบข่ายในการนำระบบการบริหารความต่อเนื่องทางธุรกิจ ไปประยุกต์ใช้ ในการกำหนดขอบข่าย องค์กรต้องพิจารณาถึง - ประเด็นภายนอกและภายใน ตามข้อ 4.1 - ข้อกำหนด ตามข้อ 4.2 ขอบข่ายต้องจัดทำเป็นเอกสารสารสนเทศ ขอบข่ายของการบริหารความต่อเนื่อง 4.1 ความเข้าใจองค์กรและบริบทขององค์กร 4.2 ความเข้าใจถึงความคาดหวังของผู้มีส่วนได้ส่วนเสีย 05/04/2017

189 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้อง ก) กำหนดหน่วยงานต่างๆ ขององค์กรที่อยู่ในระบบการบริหารความต่อเนื่องทาง ธุรกิจ ข) จัดทำข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจโดยพิจารณาถึง พันธะกิจ เป้าประสงค์ข้อผูกพันภายในและภายนอกขององค์กร (รวมทั้งที่เกี่ยวข้อง กับผู้มีส่วนได้เสีย) และ ความรับผิดชอบทางกฎหมายและระเบียบข้อบังคับ ค) ชี้บ่งผลิตภัณฑ์และบริการ รวมทั้งกิจกรรมที่เกี่ยวข้องทั้งหมดภายในขอบข่าย ของระบบการบริหารความต่อเนื่องทางธุรกิจ ง) คำนึงถึงความต้องการและผลประโยชน์ของผู้มีส่วนได้เสีย (เช่น ลูกค้า นัก ลงทุน ผู้ถือหุ้น) ห่วงโซ่อุปทาน ปัจจัยนำเข้าและความต้องการ ความคาดหวัง และผลประโยชน์ของสาธารณะ และ/หรือชุมชน (ตามความเหมาะสม) จ) กำหนดขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับ ขนาด ลักษณะ และความซับซ้อนขององค์กร 05/04/2017

190 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

191 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.3.2 ขอบข่ายของระบบการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

192 4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ 4.4 ระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้องจัดทำ นำไปปฏิบัติ รักษา และปรับปรุงระบบการบริหาร ความต่อเนื่องทางธุรกิจตามข้อกำหนดของมาตรฐานนี้อย่างต่อเนื่อง รวมทั้งกระบวนการที่จำเป็นและปฏิสัมพันธ์ระหว่างกระบวนการ เหล่านั้น 05/04/2017

193 High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.

194 5.1 ความเป็นผู้นำและความมุ่งมั่น
05/04/2017 5.1 ความเป็นผู้นำและความมุ่งมั่น 5.1 ความเป็นผู้นำและความมุ่งมั่น ผู้บริหารสูงสุดและผู้บริหารอื่นที่มีหน้าที่เกี่ยวข้องต้องเป็นผู้นำในการ แสดงออกถึงความตระหนักต่อความสำคัญของระบบการบริหารความ ต่อเนื่องทางธุรกิจ ตัวอย่าง ความเป็นผู้นำและความมุ่งมั่นสามารถแสดงออกโดยการจูง ใจและการมอบอำนาจให้บุคลากรเข้ามามีส่วนช่วยให้ระบบการ บริหารความต่อเนื่องทางธุรกิจเกิดประสิทธิผล 05/04/2017

195 5.2 ความมุ่งมั่นของฝ่ายบริหาร
05/04/2017 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องเป็นผู้นำในการแสดงให้เห็นถึงความตระหนักต่อความสำคัญ และความ มุ่งมั่นต่อระบบการบริหารความต่อเนื่องทางธุรกิจโดย - มั่นใจว่านโยบายและวัตถุประสงค์ที่กำหนดขึ้นสำหรับระบบการบริหารความต่อเนื่องทาง ธุรกิจสอดรับ (compatible) กันกับกลยุทธ์ขององค์กร - มั่นใจว่ามีการบูรณาการข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจกับ กระบวนการทางธุรกิจขององค์กร - มั่นใจว่ามีการจัดสรรทรัพยากรสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจที่เพียงพอ - สื่อสารให้เข้าใจถึงความสำคัญของระบบการบริหารความต่อเนื่องทางธุรกิจที่มีประสิทธิผล และสอดคล้องตามข้อกำหนดของระบบการบริหารความต่อเนื่องทางธุรกิจ - มั่นใจว่าระบบการบริหารความต่อเนื่องทางธุรกิจบรรลุผลสัมฤทธิ์ตามที่คาดหวังไว้ - อำนวยการและสนับสนุนบุคลากรเข้ามามีส่วนช่วยให้ระบบการบริหารความต่อเนื่องทาง ธุรกิจเกิดประสิทธิผล - ส่งเสริมให้มีการปรับปรุงอย่างต่อเนื่อง - สนับสนุนให้ผู้บริหารที่มีบทบาทหน้าที่ที่เกี่ยวข้อง ได้แสดงความเป็นผู้นำและความมุ่งมั่น ในการประยุกต์ใช้มาตรฐานดังกล่าวในงานที่รับผิดชอบ 05/04/2017

196 5.2 ความมุ่งมั่นของฝ่ายบริหาร
05/04/2017 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องจัดเตรียมหลักฐานที่แสดงถึงความมุ่งมั่นในการจัดทำ การนำไป ปฏิบัติ การดำเนินการ การเฝ้าระวัง การทบทวน การรักษา และการปรับปรุงระบบ การบริหารความต่อเนื่องทางธุรกิจ โดย - กำหนดนโยบายความต่อเนื่องทางธุรกิจ - มั่นใจว่าได้มีการกำหนดวัตถุประสงค์และแผนงานของระบบการบริหารความ ต่อเนื่องทางธุรกิจ - กำหนดบทบาทหน้าที่ ความรับผิดชอบ และความสามารถสำหรับการบริหาร ความต่อเนื่องทางธุรกิจ - แต่งตั้งบุคคล (อาจมากกว่าหนึ่งคน) ให้มีความรับผิดชอบต่อระบบการบริหาร ความต่อเนื่องทางธุรกิจ พร้อมทั้งกำหนดอำนาจหน้าที่และความสามารถอย่าง เหมาะสมในบทบาทหน้าที่สำหรับ การนำไปปฏิบัติการและรักษาไว้ซึ่งระบบการ บริหารความต่อเนื่องทางธุรกิจ 05/04/2017

197 5.2 ความมุ่งมั่นของฝ่ายบริหาร
05/04/2017 5.2 ความมุ่งมั่นของฝ่ายบริหาร ผู้บริหารสูงสุดต้องมั่นใจว่ามีการมอบหมายบทบาทหน้าที่อื่นที่เกี่ยวข้องและ สื่อสารเกี่ยวกับ ความรับผิดชอบและอำนาจหน้าที่ให้เข้าใจทั่วทั้งองค์กร โดย - กำหนดเกณฑ์การยอมรับความเสี่ยงและระดับของความเสี่ยงที่สามารยอมรับได้ - มีส่วนร่วมในการฝึกซ้อมและทดสอบอย่างจริงจัง - มั่นใจว่ามีการประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ - ทบทวนการบริหารงานสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ - แสดงให้เห็นถึงความมุ่งมั่นในการปรับปรุงอย่างต่อเนื่อง 05/04/2017

198 05/04/2017 05/04/2017

199 05/04/2017 05/04/2017

200 05/04/2017 05/04/2017

201 05/04/2017 05/04/2017

202 05/04/2017 05/04/2017

203 05/04/2017 5.3 นโยบาย ผู้บริหารสูงสุดต้องจัดทำและสื่อสารนโยบายความต่อเนื่องทางธุรกิจ โดยนโยบาย ต้อง ก) เหมาะสมกับเป้าหมายขององค์กร ข) ให้กรอบสำหรับการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจ ค) ประกอบด้วยความมุ่งมั่นในการเป็นไปตามข้อกำหนดที่นำมาประยุกต์ใช้ ง) รวมถึงความมุ่งมั่นในการปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจอย่าง ต่อเนื่อง นโยบายระบบการบริหารความต่อเนื่องทางธุรกิจต้อง - เป็นเอกสารสารสนเทศ - ได้รับการสื่อสารภายในองค์กร - เปิดเผยต่อผู้มีส่วนได้เสียตามความเหมาะสม - ได้รับการทบทวนความต่อเนื่องอย่างเหมาะสมตามระยะเวลาและเกิดการ เปลี่ยนแปลงอย่างมีนัยสำคัญ องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับนโยบายความต่อเนื่องทางธุรกิจ 05/04/2017

204 05/04/2017 05/04/2017

205 5.4 บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร
05/04/2017 5.4 บทบาทหน้าที่ ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร ผู้บริหารสูงสุดต้องมั่นใจว่ามีการมอบหมายและสื่อสารความ รับผิดชอบและอำนาจหน้าที่สำหรับบทบาทหน้าที่ต่างๆ ที่เกี่ยวข้อง ภายในองค์กร ผู้บริหารสูงสุดต้องมอบหมายความรับผิดชอบและอำนาจหน้าที่ เพื่อ ก) มั่นใจว่าระบบการบริหารงานเป็นไปตามข้อกำหนดของมาตรฐานนี้ ข) รายงานสมรรถนะของระบบการบริหารความต่อเนื่องทางธุรกิจต่อ ผู้บริหารสูงสูด 05/04/2017

206 High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.

207 6.1 ปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาส
05/04/2017 6.1 ปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาส ในการวางแผนสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ องค์กรต้อง พิจารณาประเด็นต่างๆ ที่ได้ระบุ ไว้ในข้อ 4.1 และข้อกำหนดต่างๆ ที่ได้ระบุไว้ใน ข้อ 4.2 และพิจารณาความเสี่ยงและโอกาสที่จำเป็นต้องดำเนินการต่อไป เพื่อทำ ให้ ก) มั่นใจว่าระบบการบริหารงานสามารถบรรลุผลลัพธ์ตามที่มุ่งหวังไว้ ข) ป้องกันหรือลดผลกระทบที่ไม่ต้องการ ค) บรรลุซึ่งการปรับปรุงอย่างต่อเนื่อง องค์กรต้องวางแผน ก) การปฏิบัติการเพื่อดำเนินการกับความเสี่ยงและโอกาสเหล่านี้ ข) โดยใช้วิธีการว่าจะดำเนินการอย่างไรเพื่อ 1) บูรณาการและนำการปฏิบัติการเข้าไปในกระบวนการของระบบการบริหารความ ต่อเนื่องทางธุรกิจขององค์กร (ดูข้อ 8.1) 2) ประเมินประสิทธิผลของปฏิบัติการเหล่านี้ (ดูข้อ 9.1) 8.1 9.1 6.1 4.1 4.2 05/04/2017

208 05/04/2017 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกำหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและสื่อสารไป ยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คำนึงถึงระดับต่ำสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุตาม วัตถุประสงค์ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คำนึงถึงข้อกำหนดที่เกี่ยวข้อง จ) เฝ้าระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ เพื่อให้บรรลุวัตถุประสงค์ความต่อเนื่องทางธุรกิจ องค์กรต้องพิจารณาถึง - ผู้รับผิดชอบ - สิ่งที่ต้องดำเนินการ - ทรัพยากรที่ต้องการ - กำหนดระยะเวลาแล้วเสร็จ - วิธีการประเมินผล 05/04/2017

209 05/04/2017 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทำให้บรรลุวัตถุประสงค์ 05/04/2017

210 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ
05/04/2017 สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 05/04/2017

211 High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.

212 05/04/2017 7.1 ทรัพยากร องค์กรต้องพิจารณาและจัดเตรียมทรัพยากรที่จำเป็นสำหรับการจัดทำ การนำไปปฏิบัติ การ รักษา และ การปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง 7.2 ความสามารถ องค์กรต้อง ก) พิจารณาความสามารถที่จำเป็นของบุคลากรที่ทำงานภายใต้การควบคุมขององค์กรที่ ส่งผลกระทบต่อสมรรถนะ ข) มั่นใจว่าบุคลากรมีความสามารถบนพื้นฐานของการศึกษา การฝึกอบรม และ ประสบการณ์ที่เหมาะสม ค) ปฏิบัติการใดๆ เพื่อให้มั่นใจว่าบุคลากรมีความสามารถตามที่ต้องการ และมีการประเมิน ประสิทธิผลของปฏิบัติการที่ได้ดำเนินการเหล่านั้น หากสามารถทำได้ ง) เก็บรักษาเอกสารสารสนเทศอย่างเหมาะสมเพื่อเป็นหลักฐานความสามารถ หมายเหตุ ตัวอย่างปฏิบัติการที่สามารถทำได้ เช่น การจัดให้มีการฝึกอบรม การให้ คำแนะนำ หรือการมอบหมายงานใหม่ให้ลูกจ้างปัจจุบัน หรือจ้างเหมาบุคลากรที่มี ความสามารถ 05/04/2017

213 05/04/2017 7.3 ความตระหนัก บุคลากรที่ทำงานภายใต้การควบคุมขององค์กรต้องมีความตระหนักต่อ ก) นโยบายความต่อเนื่องทางธุรกิจ ข) การมีส่วนช่วยให้ระบบการบริหารความต่อเนื่องทางธุรกิจเกิดประสิทธิผล รวมทั้งประโยชน์จากการปรับปรุงสมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ ค)สิ่งที่ทำให้เกิดความไม่เป็นไปตามข้อกำหนดของระบบการบริหารความต่อเนื่อง ทางธุรกิจ ง) บทบาทหน้าที่ของตนเองในระหว่างที่เกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก 05/04/2017

214 05/04/2017 7.4 การสื่อสาร องค์กรต้องพิจารณาสิ่งจำเป็นสำหรับการสื่อสารภายในและภายนอกที่เกี่ยวข้องกับระบบการบริหาร ความต่อเนื่องทางธุรกิจ ซึ่งรวมถึง ก) เนื้อหาสาระหรือประเด็นที่ต้องการสื่อสาร ข) เวลาที่เหมาะสมในการสื่อสาร ค) ผู้รับข้อมูล องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งขั้นตอนการดำเนินงานสำหรับ - การสื่อสารภายในระหว่างผู้มีส่วนได้เสียและลูกจ้างภายในองค์กร - การสื่อสารภายนอกกับลูกค้า หน่วยงานที่เป็นหุ้นส่วน ชุมชนท้องถิ่น และผู้มีส่วนได้เสียอื่นๆ รวมทั้ง สื่อมวลชนต่างๆ - การรับ การทำเป็นเอกสาร และการตอบสนองต่อการสื่อสารต่างๆ จากผู้มีส่วนได้เสีย - การปรับใช้ และการบูรณาการระบบให้คำปรึกษาเกี่ยวกับภัยคุกคาม (threat advisory system) ใน ระดับประเทศหรือระดับภูมิภาค หรือ เทียบเท่า ไปสู่การวางแผนและการดำเนินการหากมีความ เหมาะสม - มั่นใจว่ามีวิธีการสื่อสารอย่างเพียงพอในระหว่างที่เกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก - การสื่อสารตามโครงสร้างที่จัดเตรียมไว้ตามอำนาจหน้าที่อย่างเหมาะสม และมั่นใจว่ามีการดำเนินงาน ร่วมกันระหว่างองค์กรต่างๆ ที่ทำหน้าที่ตอบสนอง และบุคลากรตามความเหมาะสม - การดำเนินการและการทดสอบขีดความสามารถของการสื่อสารที่ได้จัดเตรียมไว้ในระหว่างการเกิด อุบัติการณ์ที่ทำให้เกิดการหยุดชะงักจากการสื่อสารตามปกติ 05/04/2017

215 7.5 เอกสารสารสนเทศ 7.5.1 ทั่วไป
05/04/2017 7.5 เอกสารสารสนเทศ 7.5.1 ทั่วไป ระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กรต้องรวมถึง - เอกสารสารสนเทศที่เป็นข้อกำหนดตามมาตรฐานนี้ - เอกสารสารสนเทศที่องค์กรพิจารณาแล้วว่าเป็นข้อกำหนดสำหรับระบบการบริหารความ ต่อเนื่องทางธุรกิจที่มีประสิทธิผล หมายเหตุ ขอบเขตของเอกสารสารสนเทศสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ สามารถแตกต่างกันในแต่ละองค์กร อันเนื่องมาจาก - ขนาดขององค์กรและประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ - ความซับซ้อนและปฏิสัมพันธ์ของกระบวนการ - ความสามารถของบุคลากร 05/04/2017

216 7.5.2 การจัดทำและการทำให้ทันสมัย
05/04/2017 7.5.2 การจัดทำและการทำให้ทันสมัย ในการจัดทำ หรือการทำให้เอกสารสารสนเทศมีความทันสมัย องค์กรต้องมั่นใจตามความเหมาะสมถึง ก) การชี้บ่งและรายละเอียดของเอกสารสารสนเทศ เช่น หัวข้อ ชื่อ วันที่ ผู้แต่ง หมายเลข ข) รูปแบบ เช่น ภาษา รุ่นของซอฟต์แวร์ ภาพกราฟิก และสื่อที่ใช้ เช่น กระดาษ อิเล็กทรอนิกส์ และการทบทวนและการอนุมัติสำหรับ ความเพียงพอ 05/04/2017

217 7.5.3 การควบคุมเอกสารสารสนเทศ
05/04/2017 7.5.3 การควบคุมเอกสารสารสนเทศ เอกสารสารสนเทศที่ต้องการสำหรับระบบการบริหารความต่อเนื่องทางธุรกิจ และตาม ข้อกำหนดของ มาตรฐานนี้ต้องได้รับการควบคุมเพื่อมั่นใจว่า ก) มีเพียงพอและเหมาะสมเมื่อใช้งาน ตามสถานที่และเวลาที่ต้องการ ข) มีการปกป้องที่เพียงพอ (เช่น จากการไม่รักษาความลับ มีการใช้งานที่ไม่เหมาะสม หรือ ขาดซึ่งความซื่อสัตย์) สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องดำเนินกิจกรรมดังต่อไปนี้ ตามความ เหมาะสม - การแจกจ่าย การเข้าถึง การเรียกออกมาใช้ และการใช้ - การจัดเก็บและการดูแล รวมทั้งการดูแลเพื่อให้สามารถอ่านได้ง่าย เช่น มีความชัดเจน เพียงพอต่อ การอ่าน - การควบคุมการเปลี่ยนแปลง เช่น การควบคุมครั้งที่จัดทำ (version) - ระยะเวลาการเก็บ และการทำลายทิ้ง - การป้องกันการนำสารสนเทศที่ยกเลิกแล้วไปใช้โดยไม่ตั้งใจ 05/04/2017

218 7.5.3 การควบคุมเอกสารสารสนเทศ
05/04/2017 7.5.3 การควบคุมเอกสารสารสนเทศ เอกสารสารสนเทศที่รับมาจากภายนอกองค์กรซึ่งได้พิจารณาแล้วว่ามีความจำเป็น สำหรับการวางแผนและการดำเนินการของระบบการบริหารความต่อเนื่องทางธุรกิจ ต้องมีการชี้บ่งและควบคุมตามความเหมาะสม ในการควบคุมเอกสารสารสนเทศ องค์กรต้องมั่นใจว่ามีการกำหนดถึงการปกป้อง เอกสารสารสนเทศอย่างเพียงพอ เช่น การปกป้องจากการยินยอม การดัดแปลง แก้ไขจากผู้ที่ไม่มีอำนาจ หรือ การลบทิ้ง หมายเหตุ การเข้าถึง ให้มีความหมายว่าเป็นการตัดสินใจเกี่ยวกับการอนุญาตให้ มองเห็นเอกสารสารสนเทศเท่านั้น หรือการอนุญาตและให้อำนาจในการมองเห็น และเปลี่ยนแปลงเอกสารสารสนเทศได้ด้วย ฯลฯ 05/04/2017

219 High Level Structure PLAN DO CHECK ACT
4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance and Evaluation 10 Improvement Understanding of the organization and its context Management commitment Actions to address risk and opportunity Resources Operations of planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Legal and regulatory Roles, responsibilities and authorities Awareness BC strategy Management review Scope of management system Communication Establish and implement BC procedures BCMS Documented information Exercising and testing Delegates find the high level structure of the standard very useful when trying to find their way around ISO Also the standard advocates in clause 4.4 that the BCMS should be described using processes needed and their interactions.

220 05/04/2017 6.0 7.0 5.0 9.0 10.0 4.0 05/04/2017

221 05/04/2017 8.5 การฝึกซ้อมและการทดสอบ 8.2 การวิเคราะห์ผลกระทบทางธุรกิจ
8.3 กลยุทธ์ความต่อเนื่องทางธุรกิจ 8.4 การจัดทำและการนำขั้นตอการดำเนินงานบริหารความต่อเนื่องไปปฏิบัติ 8.5 การฝึกซ้อมและการทดสอบ 05/04/2017

222 8.1 การวางแผนและการควบคุมการดำเนินการ
05/04/2017 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้ เป็นไปตามข้อกำหนดและการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กำหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดำเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจำเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดำเนินการแทน 05/04/2017

223 ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO
05/04/2017 ทำไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดำเนินการ องค์กรต้องพิจารณา วางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตาม ข้อกำหนด และการดำเนินการตามข้อ 6.1 โดย ก) จัดทำเกณฑ์ควบคุมสำหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กำหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กำหนดไว้ 05/04/2017

224 8.2 การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง
05/04/2017 8.2 การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง 8.2.1 ทั่วไป องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการที่กำหนดขึ้นเป็นเอกสารและเป็นทางการ สำหรับการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง ซึ่ง ก) กำหนดบริบทการประเมิน กำหนดเกณฑ์และประเมินถึงแนวโน้มของผลกระทบที่อาจจะเกิดขึ้น จากอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก ข) พิจารณาถึงกฎหมายและข้อกำหนดอื่นๆ ที่เกี่ยวข้องกับองค์กร ค) รวมถึงการวิเคราะห์อย่างเป็นระบบ การจัดลำดับความสำคัญของการจัดการความเสี่ยง และ ค่าใช้จ่ายที่เกี่ยวข้อง ง) กำหนดผลลัพธ์ที่ต้องการจากการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง จ) ระบุข้อกำหนดเพื่อให้สารสนเทศนี้มีความทันสมัยและเป็นความลับ หมายเหตุ การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงมีอยู่หลายวิธี ซึ่งจะพิจารณา ถึงลำดับก่อนหลังในการจัดการกับความเสี่ยงเหล่านี้ 05/04/2017

225 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ
05/04/2017 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ องค์กรต้องจัดทำ นำไปปฏิบัติ และรักษาไว้ซึ่งกระบวนการประเมินที่กำหนดขึ้น อย่างเป็นทางการและเป็นเอกสารสำหรับการพิจารณาถึงลำดับความสำคัญของ ความต่อเนื่องและการฟื้นฟู วัตถุประสงค์ และเป้าหมาย ซึ่งกระบวนการนี้ต้อง รวมถึงการประเมินผลกระทบจากการหยุดชะงักของกิจกรรมที่มีส่วนสนับสนุนต่อ ผลิตภัณฑ์และบริการขององค์กรด้วย การวิเคราะห์ผลกระทบทางธุรกิจต้องรวมถึงสิ่งต่างๆ ต่อไปนี้ ก) การชี้บ่งกิจกรรมที่สนับสนุนการส่งมอบผลิตภัณฑ์และบริการ ข) การประเมินผลกระทบตลอดช่วงระยะเวลาที่กิจกรรมเหล่านี้หยุดชะงัก ค) กำหนดลำดับความสำคัญของกรอบระยะเวลาเพื่อการกลับมาดำเนินการได้อีก ครั้งของกิจกรรมเหล่านี้ในระดับขั้นต่ำสุดที่กำหนดซึ่งสามารถยอมรับได้ โดย คำนึงถึงระยะเวลาที่ไม่สามารถยอมรับได้หากไม่มีการแก้ไขผลกระทบนั้น ง) การชี้บ่งถึงการพึ่งพาและทรัพยากรที่สนับสนุนกิจกรรมเหล่านี้ รวมทั้งผู้ส่งมอบ ผู้รับจ้าง(outsource partner) และผู้มีส่วนได้เสียอื่นๆ ที่เกี่ยวข้อง 05/04/2017

226 05/04/2017 Form A - BIA 05/04/2017

227 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ
05/04/2017 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ 05/04/2017

228 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ
05/04/2017 8.2.2 การวิเคราะห์ผลกระทบทางธุรกิจ By Department Survey Form ? 05/04/2017

229 แผนที่คุณอาจมีอยู่แล้ว
05/04/2017 แผนที่คุณอาจมีอยู่แล้ว Evacuation plan • Fire protection plan • Safety and health program • Environmental policies • Security procedures • Insurance program • Finance and purchasing procedures Plant closing policy • Employee manuals • Hazardous materials plan • Process safety assessment • Risk management plan • Capital improvement program • Mutual aid agreements 05/04/2017

230 หาข้อมูล ความช่วยเหลือ จากภายนอก
05/04/2017 หาข้อมูล ความช่วยเหลือ จากภายนอก Community emergency management office • Mayor or Community Administrator’s office • Local Emergency Planning Committee (LEPC) • Fire Department • Police Department • Emergency Medical Services organizations • Red Cross Planning Commission • Telephone Companies • Electric Utilities • Neighboring businesses National Weather Service • Public Works Department 05/04/2017