用最简单的术语来说,业务弹性是一种系统的方法,可以消除组织中的竖井,从而为整个组织的利益增加协作, 尤其是在一个经常受到攻击威胁的环境中. 启动该流程的一种实用方法是通过从灾难恢复(DR)和业务连续性(BC)规划中获得的流程映射协同效应.
当从控制角度完成流程图时, 它自动完成了至少三个目标.
首先,它确定流程是什么以及什么地方可能出错. 是否存在威胁载体,是否有足够的风险需要控制? 因为这个过程正在被分析, 这也是寻找低效率的好时机, 哪个过程图可以帮助弄清楚. 一个有点过时的选择是使用鱼骨图来分解一个过程,寻找效率低下的地方,然后提出提高效率的建议. 一个做得好的过程图一次完成这两个任务比鱼骨图要好得多. An architect would not build a structure without architectural diagrams; the same goes for programs.
第二个, 一个做得好的流程图可以用来构建一个职责分配矩阵, 其中包括确定谁应该对此负责, 负责任的, 咨询或通知(RACI). 当团队不能达成一致时,过程图可以帮助建立责任,即使责任是共享的.
第三, 一旦流程图完成, DR/BC恢复时间目标的概念, 恢复时间能力, 恢复点目标, 估计恢复时间能力, 复合恢复时间能力, 单点故障, 皇冠珠宝和萨班斯-奥克斯利(SOX)控制可以使用. 该矩阵还可以根据对每个组织最重要的内容进行调整. 这些信息应该可以很容易地从DR/BC团队或许多组织中的集中式数据库中获得, 我们的目标是将视野扩展到这些团队之外.
流程图应每年更新一次,以跟上不断变化的威胁形势以及由于采用新技术和应用程序而发生的变化, 以及新工艺和法规要求的发展. 这需要来自领导层和资金的支持. 如果领导团队没有在财务上支持这项工作,那么这项工作很可能会失败. 好消息是,大部分工作都用于初始实现. 保持过程图更新所需要的努力不应该像使项目脱离实际那样多.
当风险部门披露其流程和差距时,澳门赌场官方下载有一种自然的倾向,即不信任风险部门. 业务部门有时可能不愿意分享,因为建立了激励结构,以便在发现差距时惩罚管理层. 将这种模式转变为一种奖励管理人员识别差距的模式,只要这些差距伴随着消除它们的计划,这将是有价值的. 如果我们能在思维上做出这种改变并将其与过程映射结合起来, 组织可以变得更具创新性, 积极主动的, 非常高效。, 和弹性, 并且更好地控制他们的风险环境和变化的时间.
编者按: 要进一步了解这个话题,请阅读西德尼沿岸最近在《澳门赌场官方软件》上发表的文章, “从BCP和DR中获得的过程映射协同效应”, ISACA杂志,第三卷,2022年.
ISACA杂志 今年满50岁! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 偏好中心 选择加入!
