Kuidas võib saada kahjustada talitluspidevus?
Bondora talitluspidevuse planeerimise eesmärk on kindlustada tegevuse jätkumine erakorralistes olukordades ning, et ettevõtte tegevused ja IT-süsteemid saaksid pärast erakorralisi olukordi taastuda. Selles artiklis käsitleme neid talitluspidevuse tegevusi, mis pole seotud infotehnoloogiaga. IT-alaseid talitluspidevuse riske käsitletakse IT-riskide artiklis.
Eriolukorrad on igasugused äritegevuse katkestused, mis ei sõltu Bondorast, muuhulgas, kuid mitte ainult, töötajate lahkumine, Bondora füüsilise asukoha või taristuga seotud probleemid; Bondora infosüsteemide tõrked; õnnetused (nt tulekahju).
Bondora talitluspidevuse protsessi juhib ettevõtte juhatus kooskõlas iga konkreetse valdkonna jaoks koostatud talitluspidevuse plaaniga, mida on kirjeldatud allpool.
- Klienditeenindus ja suhtluskanalid – hõlmab sündmusi, mis mõjutavad klienditeenindust ja kommunikatsioonikanaleid.
- Hooned, füüsiline turvalisus ja transport – hõlmab tulekahjusid, veeuputusi jt sarnased sündmuseid Bondora asukohtades; turvalisusega seotud ohtusid, nagu röövimisi, terrorismi ja kelmusi; töötajate ja andmekandjate transportimist.
- IT ja kommunikatsiooniga seotud infoturve – hõlmab infoturbeintsidente, IT tuge eriolukordades, mis pole IT-ga seotud, ning andme- ja telefonisidega seotud probleemide lahendamist.
- Personal – hõlmab situatsioone, mis mõjutavad inimressursse, nagu inimelu kaotus, massiline haigestumine jne, sugulaste ja teiste asjakohaste osapooltega suhtlemise organiseerimine vastavalt vajadusele.
- Krediit – hõlmab krediidiprotsessiga seonduvate olukordade lahendamist.
- Õiguslik – hõlmab õigusabi pakkumist eriolukordades ning juriidilistele eriolukordadele reageerimist.
- Osakonnajuhid – hõlmab äritegevuse talitluspidevuse plaanide rakendamist asjaomastes valdkondades.
- Muud valdkonnad, mis on ettevõtte juhatuse poolt kindlaks määratud.
Iga äritegevuse talitluspidevuse plaan paneb paika selged kohustused ja võimupiirid. Muutused Bondora äriprotsessides, personalis ning ressurssides (nt infosüsteemides, tarkvararakendustes) saavad kajastatud asjaomastes äritegevuse talitluspidevuse plaanides.
Kõik äritegevuse talitluspidevuse plaanid sisaldavad järgmisi komponente.
- Hädaolukorra protseduurid personali ohutuse tagamiseks.
- Infoteenuste otstarve, taasteteenuseid pakkuvate tarnijate rollid ja kohustused, ning teenuste kasutajaid toetav administratiivne tugipersonal.
- Kommunikatsiooniplaanid huvitatud isikute, sh personali, klientide ja Eesti Finantsinspektsiooni teavitamiseks erakorralisest sündmusest ja taasteprotsessi olekust.
- Loetelu süsteemiressurssidest, mis võivad vajada alternatiive, nagu riistvara, välised seadmed, tarkvara jm.
- Tähtsuse järjekorda seatud loetelu rakendustest, nõutud taasteaegadest ja eeldatava jõudluse normidest.
- Piisavalt üksikasjalikud samm-sammulised taastestsenaariumid koos sobivate meetmetega, alustades piiratud kahjudega olukordadest ning lõpetades oluliselt suuremate kahjudega olukordadega.
- Võimalike vajalike eriseadmete ja -tarvikute (nt sideseadmed, telefonid jms) kirjeldus koos primaarsete (määratud) ja alternatiivsete allikatega.
- Testide ajakava, varasemate testide tulemused ja lisameetmed, mis on varasemate testide tulemusel võetud.
- Loetelu lepingulistest teenusepakkujatest, nende pakutavatest teenustest ja eeldatavatest reaktsioonidest.
- Teave oluliste ressursside asupaikade kohta, sh kriitilise tähtsusega lepingute, klienditoimikute, operatsioonisüsteemide, rakenduste, andmefailide, kasutusjuhendite ja programmide ning süsteemi- ja kasutajadokumentatsiooni varukoopiate kohta.
- Ajakohane teave kriitilise tähtsusega ametipostidel töötajate kohta – nimed, aadressid, telefoninumbrid jm sideseadmed.
- Professionaalse tegevuse uuesti alustamise alternatiivid, nt juhtudel, kui süsteemid on taastatud alternatiivses asukohas, kuid töötajate töökohad on hävinud.
Äritegevuse talitluspidevuse plaanid nõuavad, et kriitiliste andmete, ressursside jm materjalide varukoopiaid hoitaks sobivates asukohtades.
Ettevõtte juhatus või viimase määratud töötaja või kolmas isik teavitab äritegevuse talitluspidevuse plaanis nimetatud isikuid selle kasutuselevõtmisest. Ettevõtte juhatus vastutab Eesti Finantsinspektsiooni teavitamise eest.
Hiljemalt kolme tööpäeva jooksul pärast tavapärase äritegevuse taastamisest tuleb esitada Eesti Finantsinspektsioonile intsidendi kirjeldus, sh järgmised andmed.
- Katkestuse aeg
- Katkestuse ulatus ja mõju
- Katkestuse lahendamiseks võetud meetmete kirjeldus
- Katkestuse põhjus
- Meetmed, mis võetakse, et vältida sarnaseid katkestusi tulevikus.
Ettevõtte juhatus revideerib ja kinnitab äritegevuste talitluspidevuse plaane ja testide tulemusi korrapäraselt ning vähemalt kord aastas. Pärast uue kriitilise tähtsusega äriprotsessi infrastruktuuri komponendi või tarkvararakenduse kasutuselevõttu, olulist personalimuutust või pärast muud olulist arengut revideerib ettevõtte juhatus äritegevuse talitluspidevuse plaane ja testitulemusi sagedamini.
Äritegevuse talitluspidevuse plaane hindab siseaudiitor; vajadusel võib selleks korraldada ka välise auditi.