บทนำ

หากเกิดเหตุภัยพิบัติส่งผลให้การดำเนินธุรกิจเกิดการหยุดชะงักไม่สามารถส่งมอบผลิตภัณฑ์และบริการให้ลูกค้าได้ หัวหน้าได้มอบหมายให้คุณกู้ระบบกลับคืนมาหลังเกิดเหตุ คุณจะทราบได้อย่างไรว่า คุณจะต้องดำเนินการกู้คืนอะไรบ้าง และต้องกู้คืนอะไรก่อนและหลังเพื่อให้ธุรกิจสามารถดำเนินงานส่งมอบผลิตภัณฑ์และบริการให้ลูกค้าได้อย่างต่อเนื่อง การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis หรือ BIA) และการประเมินความเสี่ยง (Risk Assessment หรือ RA) เป็นกิจกรรมสำคัญที่ต้องดำเนินการในการจัดทำการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management หรือ BCM) ผลลัพธ์ที่ได้จากการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงคือข้อมูลสำคัญที่นำไปกำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) และนำไปประกอบการจัดทำเอกสารแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) ซึ่งเป็นกรอบและแนวทางในการปฏิบัติงานให้กับองค์กรเพื่อให้องค์กรสามารถดำเนินการกู้คืนกิจกรรมสำคัญ (Critical Business Function) หลังจากเกิดเหตุหยุดชะงัก และสามารถกลับมาดำเนินธุรกิจได้อีกครั้งภายในระยะเวลาเป้าหมายที่กำหนด

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA)

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis หรือ BIA) คือกระบวนการในการวิเคราะห์กิจกรรมการดำเนินงานในองค์กร และผลกระทบที่อาจเกิดขึ้นต่อการดำเนินธุรกิจหากกิจกรรมดังกล่าวเกิดการหยุดชะงักขึ้น ในการวิเคราะห์ผลกระทบทางธุรกิจมีขั้นตอนหลัก ๆ 4 ขั้นตอน ดังนี้คือ

  1. การระบุกิจกรรมการดำเนินงาน (Business Process) เพื่อส่งมอบผลิตภัณฑ์หรือบริการขององค์กร
  2. การประเมินผลกระทบหากกิจกรรมดังกล่าวเกิดการหยุดชะงักตามระยะเวลาที่กำหนด เพื่อหากิจกรรมสำคัญ (Critical Business Process) ขององค์กร
  3. การกำหนดกรอบระยะเวลาและเป้าหมายในการกลับมาดำเนินงานได้ของกิจกรรมสำคัญ (Critical Business Process) ขององค์กรหลังการหยุดชะงัก ซึ่งกรอบระยะเวลาและเป้าหมายที่ต้องกำหนดประกอบด้วยค่าต่าง ๆ ดังนี้คือ
      • 3.1) วัตถุประสงค์ความต่อเนื่องทางธุรกิจขั้นต่ำสุด (Minimum Business Continuity Objective หรือ MBCO) หมายถึง ระดับต่ำสุดของการบริการ และ/หรือ ผลิตภัณฑ์ที่องค์กรยอมรับโดยยังคงสามารถบรรลุวัตถุประสงค์ทางธุรกิจในระหว่างเกิดการหยุดชะงัก
      • 3.2) ช่วงเวลาการหยุดชะงักที่ยอมรับได้สูงสุด (Maximum Tolerable Period of Disruption หรือ MTPD) หมายถึง ช่วงเวลาที่ส่งผลกระทบต่อองค์กรทำให้ไม่สามารถยอมรับได้จากการจัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หรือระยะเวลาที่การดำเนินงานขององค์กรสามารถหยุดชะงักได้นานที่สุด
      • 3.3) ระยะเวลาเป้าหมายในการฟื้นคืนสภาพ (Recovery Time Objective หรือ RTO) หมายถึง ระยะเวลาภายหลังจากเกิดอุบัติการณ์ขึ้นที่ทำให้ ผลิตภัณฑ์หรือบริการต้องกลับคืนสภาพเดิม กิจกรรมต้องกลับมาดำเนินการได้ และทรัพยากรต้องได้รับการฟื้นฟู
      • 3.4) เป้าหมายของการฟื้นคืนสภาพ (Recovery Point Objective หรือ RPO) หมายถึง จุดซึ่งสารสนเทศที่ใช้ในกิจกรรมต้องได้รับการฟื้นฟูเพื่อให้สามารถกลับมาดำเนินกิจกรรมต่อไปได้ หรือ ความถี่ในการสำรอง (backup) ข้อมูลขององค์กร
  4. การระบุทรัพยากรที่สนับสนุนกิจกรรมสำคัญ เพื่อให้กิจกรรมสำคัญเหล่านี้สามารถกลับมาดำเนินการได้ตามกรอบระยะเวลาที่กำหนดไว้หลังจากเกิดเหตุหยุดชะงัก

 

ผลลัพธ์ที่ได้จากการวิเคราะห์ผลกระทบทางธุรกิจคือ กิจกรรมสำคัญขององค์กร (Critical Business Function) รวมถึงลำดับของกิจกรรมที่ต้องได้รับการกู้คืนตามระยะเวลาเป้าหมายที่กำหนด โดยใช้ทรัพยากรสนันสนุนตามที่ได้ระบุไว้ ซึ่งข้อมูลเหล่านี้จะถูกนำไปประกอบกับผลลัพธ์ที่ได้จากการประเมินความเสี่ยง เพื่อใช้กำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) และจัดทำเอกสารแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) ขององค์กร



การประเมินความเสี่ยง (Risk Assessment: RA)

การประเมินความเสี่ยง (Risk Assessment หรือ RA) คือการวิเคราะห์ความเสี่ยงของภัยคุกคามต่างๆ ที่อาจส่งผลกระทบต่อการหยุดชะงักของกิจกรรมการดำเนินงานในองค์กร โดยในแต่ละภัยคุกคามจะมีโอกาสการเกิดและมีผลกระทบต่อการดำเนินงานขององค์กรในระดับที่แตกต่างกัน เพื่อให้ทราบถึงความยืดหยุ่นขององค์กรต่อภัยคุกคามต่าง ๆ โดยในการประเมินความเสี่ยงมีขั้นตอนหลัก ๆ 4 ขั้นตอนดังนี้คือ

      1. ระบุภัยคุกคามต่าง ๆ ที่มีความเสี่ยงต่อการหยุดชะงักของกิจกรรมการดำเนินงานขององค์กร โดยประเภทของภัยคุกคามที่นำมาพิจารณาสามารถแบ่งได้เป็น 
          • 1.1) ภัยคุกคามที่เกิดขึ้นเองจากธรรมชาติ (Natural Disaster) เช่น ไฟไหม้ แผ่นดินไหว อุทกภัย วาตภัย โรคระบาด ฯลฯ
          • 1.2) ภัยคุกคามที่เกิดจากมนุษย์ (Manmade Disaster) เช่น การก่อการร้าย การชุมนุมประท้วง การชุมนุมทางการเมือง ฯลฯ
          • 1.3) ภัยคุกคามด้านเทคโนโลยี (Technology Disaster) เช่น ไฟฟ้าดับ การโจมตีทางไซเบอร์ ระบบสื่อสารใช้งานไม่ได้ ระบบไอทีล่ม ข้อมูลสูญหาย ฯลฯ
      2. ประเมินระดับผลกระทบ (Impact) ของภัยคุกคามดังกล่าวต่อองค์กรและวิเคราะห์โอกาสการเกิด (Likelihood) ของภัยคุกคามดังกล่าว เพื่อนำมาหาระดับความเสี่ยง (Risk Score) ของแต่ละภัยคุกคามที่มีต่อองค์กร 
      3. พิจารณาระดับความเสี่ยงของแต่ละภัยคุกคาม เพื่อประเมินว่ามีความเสี่ยงที่เกี่ยวข้องกับการหยุดชะงักใดที่จำเป็นต้องมีการจัดการความเสี่ยง
      4. กรณีเป็นความเสี่ยงที่อยู่ในระดับที่องค์กรไม่สามารถยอมรับได้ องค์กรต้องมีการระบุมาตรการจัดการความเสี่ยงที่มีความเหมาะสม

 

ผลลัพธ์ที่ได้จากการประเมินความเสี่ยงคือ ภัยคุกคามต่างๆ ที่อาจส่งผลกระทบต่อการดำเนินกิจกรรมสำคัญขององค์กร (Critical Business Function) และระดับความเสี่ยงของภัยคุกคามดังกล่าวที่องค์กรยอมรับได้และยอมรับไม่ได้ กรณีที่องค์กรยอมรับไม่ได้ต้องมีการจัดการความเสี่ยงเพื่อลดหรือบรรเทาผลกระทบที่อาจเกิดขึ้น ซึ่งข้อมูลที่ได้จากการประเมินความเสี่ยงจะถูกนำไปประกอบกับผลลัพธ์ที่ได้จากการวิเคราะห์ผลกระทบทางธุรกิจ เพื่อใช้กำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) และจัดทำเอกสารแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) ขององค์กร

 

Reference:

https://zecuboy.wordpress.com

หากบริษัท/องค์กรของท่านมีความสนใจจัดทำและขอใบรับรองมาตรฐาน ISO 22301 ติดต่อเราได้ที่นี่