BCLF-2000 Leçon 6: Élaborer et implanter les plans de continuité d’activités
Les pratiques professionnelles pour professionnels en continuité d’activités Démarrage et gestion du programme Évaluation et contrôle des risques Bilan des impacts d’affaires Élaborer les stratégies de continuité d’activités Préparation et interventions d’urgence Élaborer et implanter les plans de continuité d’activités Programmes de sensibilisation et de formation Exercice, audit et maintenance du plan de continuité d’activités Communications de crise Coordination avec les agences externes GP 6-2
Élaborer et implanter les plans de continuité d’activités Le Plan de continuité d’activités est un ensemble de processus et procédures documentés qui permettront à l’entité de continuer ou de rétablir ses processus urgents à un niveau minimum acceptable et à l’intérieur de délais acceptables pour l’entité. Durant cette phase du programme de gestion de la continuité d’activités, les équipes pertinentes conçoivent, élaborent et mettent en œuvre les stratégies approuvées par l’entité et documentent les plans à utiliser pour faire face à un incident ou un événement. GP 6-2
Objectif de la leçon À la fin de cette leçon, vous devriez pouvoir: Définir les termes associés à la Pratique professionnelle 6 Décrire les méthodologies utilisées dans la pratique professionnelle 6 Répondre correctement aux questions du test de connaissance à la fin de cette leçon GP 6-2
Le rôle du professionnel est de ... Concevoir, élaborer et mettre en œuvre les stratégies de rétablissement approuvées. Concevoir le cadre général et déterminer la structure de documentation du Plan. Coordonner les efforts de documentation des plans de rétablissement des activités de l’entité et des technologies qui les soutiennent. Publier les plans documentés GP 6-2 © 2009 DRI International
Concevoir, élaborer et mettre en œuvre les stratégies de rétablissement Objective Travailler avec les équipes de planification pour concevoir, élaborer et mettre en œuvre : les stratégies de rétablissement des activités de l’entité les stratégies de relève informatique de l’entité Travailler avec les partenaires et fournisseurs d’affaires et de technologies selon le cas Gérer le budget de mise en œuvre des stratégies. Faire rapport sur l’avancement au Comité de direction S’assurer que les tâches nécessaires pour la mise en œuvre du Plan sont complétées GP 6-3
Concevoir le cadre général pour l’élaboration du plan Objective Déterminer comment le Plan sera organisé et identifier les équipes requises pour documenter les Plans L’organisation – Déterminer comment le Plan sera organisé Les équipes – experts individuels requis pour documenter les procédures de rétablissement Les types de plans à documenter Les scenarii de planification à utiliser pour la documentation des plans Refer participants to an example of the plan in the Appendix and walk them through it. GP 6-3
Concevoir le cadre général pour l’élaboration du plan --- suite Définir les rôles et responsabilités pour élaborer le Plan Identifier les tâches à accomplir. Définir des plans d’action ou des listes de vérification pour élaborer le Plan. Élaborer un échéancier pour compléter le Plan. Analyser, évaluer et recommander des outils (par ex. logiciel de planification, base(s) de données ou logiciel spécialisé, gabarits, etc.) Élaborer des gabarits ou modèles pour collecter l’information sur les processus, des tableaux et diagrammes de flux informatiques. Identifier tout autre besoin de soutien à la documentation. S’assurer de mécanismes intégrés pour faciliter la maintenance, par ex. le contrôle de version Refer participants to an example of the plan in the Appendix and walk them through it. GP 6-3
Définir la table des matières du Plan Introduction Énoncés de politique Politiques sur la continuité d’activités Énoncé sur la confidentialité Portée / Objectifs en lien avec la stratégie organisationnelle et les politiques sur la continuité d’activités Identification des activités, et des systèmes les soutenant, sensibles aux délais ou aux interruptions Hypothèses / Exclusions Description de l’équipe de rétablissement, de l’organisation et des responsabilités Procédures de déclenchement du Plan Refer participants to an example of the plan in the Appendix and walk them through it. This will cover slides TOC through Appendix #20 – 24. Refer back to the appendix example plan for slides 24 through up to # 42. GP 6-4
Documenter les plans de rétablissement des activités et des technologies Types de plans Plan d’urgence / Plan de gestion d’incident Activation du site de relève Plans opérationnels/ de rétablissement Évaluation des dégâts Plan de gestion et de communication de crise Plan de continuité d’activités Plan de relève informatique GP 6-4
Documenter les plans de rétablissement des activités et des technologies ---suite Plan d’urgence / Plan de gestion des incidents Procédures de protection des personnes Procédures de commandement et de contrôle des incidents Rôles et responsabilités Ouverture et emplacement du Centre d’opérations d’urgence (COU) GP 6-5
Documenter les plans de rétablissement des activités et des technologies ---suite Évaluation des dégâts Rapport d’évaluation initiale des dégâts pour aider la prise de décision Évaluation complète des dégâts Protection du site contre des pertes additionnelles Coûts de réparation versus remplacement Délai pour réparer ou remplacer versus le déclenchement des plans Méthodes approuvées pour restaurer les actifs d’affaires (par ex. les équipements, l’électronique, les documents, les données, l’ameublement, les installations, les usines, les ordinateurs, etc.) Processus d’autorisation pour la restauration et les conséquences sur les garanties Processus de sauvetage GP 6-5
Documenter les plans de rétablissement des activités et des technologies ---suite Plan de gestion et de communication de crise Identifier l’équipe de gestion de crise(EGC) Procédures de transition de l’intervention d’urgence à la gestion de crise et la continuité d’activités (décision de l’EGC) Procédures documentées pour communiquer avec les parties prenantes tout au long d’un événement Procédures de notification Mises à jour sur la situation Communiqués de presse Communications ciblées (parties prenantes) GP 6-5
Documenter les plans de rétablissement des activités et des technologies ---suite Activation du site de relève Procédures de continuité des fonctions ou processus critiques Autres façons de réaliser les activités lorsque les ressources habituelles ne sont pas disponibles Fournir l’infrastructure de rétablissement Administration et logistique Nouveaux équipements ou livraisons juste-à-temps Services et procédures techniques GP 6-6
Documenter les plans de rétablissement des activités et des technologies ---suite Plans opérationnels ou de rétablissement Équipes de rétablissement Logistique Déplacement et hébergement du personnel de rétablissement Transport des données requises pour le rétablissement Acquisition de ressources additionnelles Ressources requises Ordinateurs de table requis Dossiers essentiels Communication voix et données Contacts ou fournisseurs clés Équipements requis GP 6-6
Documenter les plans de rétablissement des activités et des technologies ---suite Plan de continuité d’activités Processus, procédures et communication de continuité d’activités Mobilisation de ressources de remplacement Gestion des ressources de remplacement Plans de relève informatique Équipes de relève Mobilisation des ressources Ressources requises (i.e., stockage de données, équipements de communication voix et données, matériel et logiciel, infrastructure, sécurité de l’information, contacts/fournisseurs clés, équipement) Processus de soutien pour le rétablissement GP 6-6
Procédure de création du plan Objective Préparer une ébauche de départ (par ex., gabarit de plan, assignation des tâches de rédaction, sauvegarde des documents, etc.) Rédiger une ébauche de plan Transmettre l’ébauche à l’équipe d’élaboration du plan ou aux responsables de processus Réviser le plan et valider l’information clé Réviser le contenu du plan GP 6-7
Publier les plans documentés Objective Publication et distribution des plans complétés Fournir une version finale aux équipes d’élaboration du plan ou aux responsables des processus d’affaires. Obtenir l’approbation finale de la direction Publier et distribuer le plan Définir les procédures de distribution et de contrôle du plan (par ex. des listes de distribution) Définir les procédures de distribution et de contrôles des changements et mises à jour du plan GP 6-7
Pratique professionnelle 6: Élaborer et implanter les plans de continuité d’activités Application pratique et exercice en classe GP 6-8
Composants d’un Plan de GCA GP 6-8
Rédiger les Plans de GCA Suivre les étapes suivantes pour publier le plan. Préparer une version préliminaire Transmettre la version préliminaire aux équipes de développement du plan ou aux responsables de fonctions d’affaires Réviser le plan Réviser le contenu du plan Fournir une version finale du plan aux équipes de développement du plan ou aux responsables de fonctions d’affaires Obtenir l’approbation de la direction Publier les plans complétés GP 6-8
Documenter le Plan Assurez-vous d’avoir ce qui suit avant d’avoir besoin du plan de continuité d’activités Une référence rapide en cas d’urgence Les rôles des équipes dans le rétablissement La liste d’alerte/notification en cas d’urgence La gestion d’incident Les procédures de déclaration Les listes de vérification et plans d’action Les procédures de reprise détaillées Le soutien humain, financier et administratif Les communications Once the recovery strategies have been agreed upon, the plan must be defined and documented. Each business unit plan should be flexible enough to respond to any type of incident. The two major scenarios you must plan for are as follows: · The building you physically do your work in is not available to you and you must recover at an alternate site · The systems services you depend upon are not available and you must continue the critical functions without them GP 6-8
Table des matières (exemple) Introduction Énoncés de politique Continuité des activités Confidentialité de l’information Gestion de risques Sécurité Portée / Objectifs Faire le lien avec la stratégie organisationnelle et les politiques sur la continuité d’activités Hypothèses Refer participants to an example of the plan in the Appendix and walk them through it. This will cover slides TOC through Appendix #20 – 24. Refer back to the appendix example plan for slides 24 through up to # 42. GP 6-9
Table des matières (suite) Fonctions d’affaires essentielles Commandement d’incident Déclenchement de plans Déclaration Plan de succession (transfert des pouvoirs) Évaluation des dommages Plans de continuité des activités Mobilisation de ressources de remplacement Gestion des ressources de remplacement Incident Command Steering Committee (CMT) when we transition from response to recovery! GP 6-9
Table des matières (suite) Plans opérationnels Équipes de relève Description des équipes, de l’organisation et des responsabilités Personnel – primaire et substituts Ressources requises, pouvant inclure : Besoins des utilisateurs Documents essentiels Communications voix et données Contacts et fournisseurs clés Besoins d’entreposage Besoins d’équipement GP 6-10
Table des matières (suite) Communication Avis (notification) États de situation Communiqué de presse Exercice / maintenance Annexes(diapo suivante) Notification – a really important element of a BC Plan is the business and recovery personnel contact list! GPG 6-11
Annexes Cette section du Plan comprend l’information générale pouvant être utile en cas de sinistre, telle que : Formulaires Itinéraires Procédures communes Listes d’hôtels, de traiteurs GP 6-11
Listes de vérification et procédures Développer une liste de vérification étape par étape pour chaque membre d’équipe : L’équipe de direction L’équipe de gestion Les équipes d’intervention Procédures détaillées pour minimiser le temps de rétablissement Les besoins de rétablissement Les procédures de rétablissement Une liste de vérification étape par étape pour chaque processus de rétablissement GP 6-12
Référence rapide La section de référence rapide doit inclure l’information de base suivante : Où s’assembler Comment faire l’évaluation Quelles décisions doivent être prises Comment mobiliser les équipes Comment communiquer Comment rétablir le service Gestion des incidents Plan de notification d’urgence Liste / cascade d’appel des équipes Listes de notification Instructions pour la déclaration Activation des équipes d’intervention/de rétablissement Critères et procédures d’ouverture du COU Communication GP 6-12
Approbation et maintenance de dirigeant Historique des révisions du plan Signé par le Président Historique du document Confirme l’approbation Date d’émission Respecte la politique relative aux responsabilités de la direction Date des modifications Type de modifications GP 6-13
Parties prenantes au Plan GCA Agences de gestion d’urgence Groupes utilisateurs Fournisseurs Ressources humaines corporatives Communauté d’utilisateurs Direction générale Gestion des systèmes informatiques corporatifs Médias Gestion des immeubles et services publics Agences gouvernementales Courtiers d’assurance Auditeurs Programme de continuité des activités This is a representative list. GP 6-13 © 2009 DRI International
Concepts importants Types de Plans Objectif/but du plan de continuité d’activités Importante des renseignements de contact Importance des listes de vérification et diagrammes Responsabilité du responsable du secteur fonctionnel Distribution/Maintenance du Plan GP 6-14
Exercice en classe Travail en équipe Identifier un plan de GCA requis pour votre organisation . Documenter sa portée, ses objectifs et vos hypothèses L’information de base concernant le plan et comment il s’intègre avec les tâches précédentes dans un programme de GCA Choisissez un présentateur pour l’équipe. GP 6-15 © 2009 DRI International
Test de connaissance Pratique professionnelle 6 Élaborer et implanter les plans de continuité d’activités GP 6-16 © 2006 DRI International v.1
Question 1 Comment appelle-t-on le plan qui rétablit les technologies d’une organisation ? Le Plan COOP Le Plan de relève après sinistre Le Plan d’intervention d’urgence Le Plan d’unité d’affaires GP 6-16 © 2006 DRI International v.1
Question 2 Le Plan qui inclut l’information relative à la protection des personnes se nomme : Plan de relève après sinistre Plan d’unité d’affaires Plan d’intervention d’urgence Plan COOP GP 6-16 © 2006 DRI International v.1
Question 3 Quel est l’élément le plus important à inclure au moment d’élaborer le scénario pour développer le Plan ? L’accès limité au lieu de travail La perte de services et ressources non critiques Les procédures détaillées Les pires conditions GP 6-16 © 2006 DRI International v.1
Question 4 Quel est la meilleure façon pour assurer la distribution et la sécurité du plan ? Le propriétaire du plan devrait prendre toutes les décisions concernant la distribution et la sécurité du plan Le président ou le CIO devrait prendre les décisions concernant la distribution Le Plan devrait être classifié et ne pas être distribué Le plan devrait être un document ouvert afin d’être immédiatement accessible durant une urgence GP 6-16 © 2006 DRI International v.1
Ai-je répondu à vos questions? GP 6-17
Résumé Vous avez maintenant les connaissances et les techniques pour : Définir les termes associés à la pratique professionnelle 6 Décrire les méthodologies utilisées dans la pratique professionnelle 6 Utiliser vos connaissances pour passer l’examen de qualification GP 6-17
Félicitations pour avoir terminé la leçon 6!