program kesedaran pengurusan kesinambungan …
TRANSCRIPT
1 1
PROGRAM KESEDARANPENGURUSAN KESINAMBUNGAN
PERKHIDMATAN (PKP) KEPADA PEGAWAI KANAN SEKTOR AWAM
MAMPU, JPM
INSTITUT TADBIRAN AWAM NEGARA (INTAN)
26 SEPTEMBER 2017 (SELASA)
ISO 22301- BUSINESS CONTINUITY MANAGEMENT
2
MAMPU, JPM
Holistic management process that identifies potential threatsto an organization and the impacts to business operationsthose threats, if realized, might cause, and which provides aframework for building organizational resilience with thecapability of an effective response that safeguards the interestsof its key stakeholders, reputation, brand and value-creatingactivities
PENGURUSAN KESINAMBUNGAN PERKHIDMATAN (PKP)
3
Pengurusan holistik (sebelum, semasa, selepas) yangmengenal pasti ancaman, risiko, impak ancaman danrisiko tersebut terhadap fungsi kritikal agensi danpenentuan strategi pemulihan bagi memitigasi kesangangguan terhadap perkhidmatan agensi danmemastikan apabila berlaku gangguan, dapat diteruskanatau dipulihkan dalam tempoh masa yang ditetapkan
MAMPU, JPM
4
KENAPA PKP ? MAMPU, JPM
5
ARAHAN PELAKSANAAN PKPMAMPU, JPM
6 6
MAMPU, JPM
7
KEJADIAN BENCANA (ARAHAN MKN 20)MAMPU, JPM
Bencana alam seperti kejadian banjir, rebut/taufan, gempa bumi, tsunami, ombak besar, kemarau &
tanah runtuh
Bencana industri termasuklah kejadian letupan, kebakaran, pencemaran & kebocoran bahan-bahan
berbahaya (hazardous materials) di kilang, loji & depot yang memproses, mengeluar & menyimpan
bahan-bahan berkenaan
Kemalangan melibatkan pengangkutan, penyaluran & pemindahan bahan-bahan berbahaya
Keruntuhan bangunan dan struktur khas
Kemalangan udara yang berlaku di kawasan yang berkependudukan tinggi
Pelanggaran atau kegelinciran keretapi dan lain-lain sistem pengangkutan rel yang melibatkan jumlah
mangsa dan kemusnahan harta benda yang besar
Kebakaran yang melibatkan kawasan yang luas termasuklah kebakaran bangunan tinggi & struktur khas
yang mempunyai ramai orang
8
TANGGUNGJAWAB MKN DALAMPENGURUSAN BENCANA
MAMPU, JPM
Agensi peneraju utama (focal point) pengurusan bencana negara di peringkat negara, negeri &
daerah
Agensi peneraju utama (focal point) pengurusan bencana negara di peringkat serantau &
antarabangsa
Mengeluarkan strategi, arahan, pelan tindakan, hala tuju dan dasar dalam pengurusan bencana
Memastikan pengalaman seta pelaksanaan dasar & mekanisme pengurusan bencana berjalan lancar
Mengawal selia dan membuat pengauditan dalam pengurusan bencana yang dijalankan oleh agensi
kerajaan dan mengarahkan penambahbaikan untuk meningkatkan keberkesanan pengurusan
bencana negara
9
Bencana
BencanaPKP Agensi
PKP Agensi
PKP AgensiBencana Bencana
KAITAN PKP DENGAN PENGURUSAN BENCANA MAMPU, JPM
10
Bencana
BencanaPKP Agensi
PKP Agensi
PKP AgensiBencana Bencana
KAITAN PKP DENGAN PENGURUSAN BENCANA MAMPU, JPM
11 11
MAMPU
JENIS RISIKO
StrategikOperasiReputasiMaklumatKewanganOrangPeraturan
Risiko Strategikrisiko yang berkaitan denganmelakukan perkara yang salah
Risiko Operasirisiko yang berkaitan denganmelakukan perkara yang betuldengan cara yang salah
Risiko Reputasirisiko yang berkaitan denganjenama organisasi atau imej
Risiko Maklumatrisiko yang berkaitan dengan kehilangan atauketidaktepatan data, sistem atau maklumat yangdilaporkan
Risiko Kewanganrisiko yang berkaitan dengankehilangan sumber kewanganatau menanggung liabilititidak boleh diterima
Risiko Orangrisiko yang berkaitan denganpekerja dan pengurusan
Risiko Peraturanrisiko berkaitan denganpersekitaran kawal selia
** BCM : Risiko berkaitan operasi
ERM : 7 Risiko
12 12
MAMPUERM VS BCM
ISO 31000: 2009 ISO 22301:2012
Coordinated activities to direct andcontrol an organization with regard torisk (effect of uncertainty on objectives)
Holistic management process that identifiespotential threats to an organization and theimpacts to business operations those threats,if realized, might cause and which provides aframework for building organizationalresilience with the capability of an effectiveresponse that safeguards the interests of itskey stakeholders, reputation, brand andvalue-creating activities
Melihat penyebab risiko
Melihat akibat (consequence)
13 13
MAMPU
ERM VS BCM
PengurusanRisiko
PengurusanBencana
MengenalPasti Risiko
Sebarang kesanterhadap
kesinambunganperkhidmatan
(BC)
PENGURUSAN RISIKO
PENGURUSAN KRISIS(CMP)
PENGURUSAN TINDAK BALAS KECEMASAN
(ERP)
PENGURUSAN KOMUNIKASI
KRISIS (CCP)
PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN (PKP)
PENGURUSANPEMULIHAN
BENCANA(DRP)
14
MAMPU, JPM
PENGURUSAN
RISIKO
PENGURUSAN
KESINAMBUNGAN
PERKHIDMATAN
15
MAMPU, JPM
PENGURUSAN RISIKO
Pengurusan Krisis
Pengurusan Kesinambungan Perkhidmatan
(PKP)
Pengurusan Komunikasi
Krisis
Pengurusan proaktifmengawal risiko danmemperuntukkan sumberagensi dengan berkesan bagimenghadapi risiko
Penyelarasan menyeluruhtindak balas agensiterhadap sesuatu krisis bagimengelakkan kerugiankepada agensi danmerosakkan imej agensi
Pengurusan holistik (sebelum,semasa, selepas) bagimengurangkan impakgangguan terhadap fungsikritikal agensi
Pengurusan komunikasi bagimelindungi agensi semasaberdepan dengan orangawam dalam menanganisituasi kecemasan/krisis
ERPCCP
DRP
16
MAMPU, JPM
Pengurusan Kesinambungan
Perkhidmatan (PKP)
Pelan Kesinambungan Perkhidmatan (Pelan PKP)
Pusat Pemulihan Bencana
Pelan Pemulihan Bencana
17
MAMPU, JPM
18
I - INTEGRITYC - CONFIDENTIALITY
A - AVAILABILITY
CIAMEMATUHI PRINSIP KESELAMATAN ICT
MAMPU, JPM
“information should be accessible and usable”
ISMS : ISO/IEC 27001:2013
19
ISO/IEC 27001: 2013 - KAWALAN BERKAITAN PKPMAMPU, JPM
20
MENGAPA PERLU PKP ? MAMPU, JPM
• Program Kesedaran
• Latihan Pasukan
• Laksana Pengujian /
Simulasi
• Audit PKP
• Penyelenggaraan
PKP
• Pelan PKP
• Pelan Komunikasi
Krisis (CCP)
• Pelan Tindak balas
Kecemasan (ERP)
• Pelan Pemulihan
Bencana (DRP) ICT
• Penentuan Fungsi
Kritikal
• Analisis Impak
Perkhidmatan (BIA)
• Penilaian risiko (RA)
• Opsyen Strategi
Pemulihan
• Program Kesedaran
• Tentukan Polisi PKP
• Lantik Jawatankuasa
Pemandu PKP
• Lantik Pasukan PKP
• Terma Rujukan PKP
Dapatkan Kelulusan
Pengurusan
Dapatkan Kelulusan
PengurusanDapatkan Kelulusan
Pengurusan
Dapatkan Kelulusan
Pengurusan
21 21
MAMPU, JPM
22
POLISI PKP<nama agensi> menerusi Pasukan PKP akan melaksanakan dan menyelenggara Pelan KesinambunganPerkhidmatan <nama agensi> selaras dengan garis panduan PKP yang telah dikeluarkan dan amalan baik standardantarabangsa
Pasukan PKP <nama agensi> memastikan pelan-pelan yang dibangunkan berupaya menyelenggara standardminimum penyampaian perkhidmatan kritikal <nama agensi>
Pasukan PKP <nama agensi> mengkaji semula Pelan Kesinambungan Perkhidmatan <nama agensi> setiap tahundan apabila berlaku perubahan di <nama agensi> serta menguji keberkesanannya
Kontrak bagi penyediaan perkhidmatan kritikal <nama agensi> perlu memuatkan keperluan bagi pelankesinambungan perkhidmatan pembekal yang dapat memenuhi kehendak perkhidmatan <nama agensi>
Pasukan Audit Dalam <nama agensi> memantau keberkesanan pelaksanaan PKP <nama agensi> secara tahunan
<nama agensi> perlu patuh kepada sebarang pernyataan dasar <nama agensi> sedia ada yang ada kaitan baiksecara lansung atau tidak lansung dengan pelaksanaan pengurusan kesinambungan perkhidmatan <nama agensi>
MAMPU, JPM
23
PENGURUSAN ATASAN
AGENSI
JAWATANKUASA PEMANDU
PKP
Koordinator PKP
Bahagian Dasar dan
Perancangan Strategik
Pasukan
Penyelamat
Kebakaran
Seksyen
KewanganSeksyen
Pentadiran
Seksyen
Sumber
Manusia
Seksyen
Komunikasi
Korporat
Seksyen
Operasi
Seksyen
Pembangunan
Seksyen
Rangkaian
Ketua ERT : Bahagian Khidmat
Pengurusan
PasukanTindakbalas Kecemasan
Ketua CCT : Unit
Perhubungan Awam & Inovasi
Pasukan Komunikasi Krisis
Ketua DRT : Seksyen Teknologi
Maklumat
Pasukan Pemulihan Bencana ICT
Wakil
ERTWakil
DRT
Sekretariat PKP
MAMPU, JPM
BIL. ENTITI TERMA RUJUKAN
1. Pengurusan Atasan • Menentukan hala tuju pelaksanaan PKP di agensi• Membuat keputusan – isytihar bencana• Mengesahkan lantikan ahli JK Pemandu dan Pasukan PKP• Memberi sokongan pelaksanaan program• Memantau pelaksanaan program
2. Jawatankuasa Pemandu PKP JKR
• Mencadangkan pelantikan ahli dan TOR• Menyediakan skop, polisi dan jadual pelaksanaan PKP di agensi• Memastikan kelancaran pelaksanaan PKP di agensi• Memantau dan menilai keberkesanan pelaksanaan PKP di agensi
3. Koordinator PKP • Mengetuai pasukan PKP • Menyelaras pembangunan dan pelaksanaan PKP di agensi• Melaporkan status pembangunan dan pelaksanaan PKP kepada
JK Pemandu PKP dan Mesyuarat Pengurusan Kanan agensi
24
MAMPU, JPM
BIL. ENTITI TERMA RUJUKAN
4. SME Bahagian • Menentukan Fungsi kritikal agensi• Melaksana penilaian risiko, analisis impak perkhidmatan dan
menentukan opsyen strategi pemulihan
5. Pasukan PKP • Membangunkan pelan PKP berkaitan• Melaksana aktiviti kesedaran kepada warga agensi• Melaksana simulasi pelan PKP berkaitan• Melaksana aktiviti pembudayaan PKP
6. Sekretariat PKP • Melaksana kerja-kerja keurusetiaan• Mengumpul dan menyelaras semua maklumat yang
diperlukan dan mengkompilasi semua dokumentasi• Memantau dan menyelaras status pelaksanaan dan aktiviti
pasukan
25
MAMPU, JPM
26
Aktiviti utama yang dianggap kritikalmengikut susunan keutamaan
Perlu dipulihkan segera bila berlakugangguan atau bencana
Tidak boleh terganggu sehingga memberikesan kepada keupayaan organisasimencapai objektif minimum kesinambunganperkhidmatan
MAMPU, JPM
STAKEHOLDERS/ PELANGGAN
SEJARAH
PIAGAM PELANGGAN
PERUNDANGAN
27
MAMPU, JPM
Analisis ke atas impak gangguan(kewangan dan bukan kewangan)terhadap operasi perkhidmatan agensi
Mentaksirkan kerugian bagi menyediakanmaklumat kepada pengurusan atasanuntuk mengurangkan risiko yangdihadapi dan untuk perancangankesinambungan
28
MAMPU, JPM
KURANG (PKP)
ELAK
PINDAH
TERIMA
29
Bersetuju untuk melaksanakan perancanganPKP supaya impak gangguan terhadappenyampaian perkhidmatan dapatdiminimumkan dan penyampaianperkhidmatan masih tetap dapat diteruskanwalaupun berlaku gangguan/bencana
Tidak terlibat dalam sesuatu projek/perkaratertentu supaya risiko berkenaan dapatdielakkan
Mengalihkan tanggungjawab atau risikokepada pihak lain (bahagian lain dalamorganisasi) atau pihak ketiga (pembekal)
Sanggup menanggung risiko yang dihadapioleh organisasi
MAMPU, JPM
Sistem Terganggu
Isytihar Bencana
RTO Perkhidmatan
RTO Sistem WRT
MTD
SOP
RPO
Backup terakhir
Maximum Tolerable Downtime (MTD) – Masa maksimum fungsi kritikal tidak berfungsi yang boleh diterima olehpelanggan/stakeholders agensi
Objektif Masa Pemulihan (RTO) – Tempoh masa yang perlu bagi melaksanakan strategi pemulihan apabila berlakugangguan atau bencana.
Work Recovery Time (WRT) - Tempoh masa diperlukan untuk memasukkan data yang hilang dari backup terakhir yangdilaksanakan
Recovery Point Objective (RPO) – Kekerapan backup data dilaksana berdasarkan kadar transaksi dan keupayaan sumber untukmemasukkan data
Kembali Normal
1
2
34
30
MAMPU, JPM
PERSONEL
PREMISTEKNOLOGI
31
MAMPU, JPM
Opsyen Strategi
Pemulihan
Dokumentasi
Teknologi Premis
Bekalan
Sumber Manusia
Boleh bekerja dari rumah
Kompeten dan mahir
Mempunyai backup personel
Sediakan redundancybagi rangkaian dangateway
Backup Perkakasan
Backup dan restoreperisian sistem dandata
Bekerja dari rumah atau pejabat alternatif
Hot site, warm site or cold site Data Recovery Centre (DRC)
Back-up Data /Maklumat
Prosedur Operasi Standard (SOP) bagi sistem kritikal
Manual Pengguna/Sistem
DRP, ERP, CCP dan BCP
Selenggaraperkhidmatanutiliti
Backup genset BCP Pembekal SLA dengan
pembekal
32
MAMPU, JPM
Hak cipta Terpelihara
©MDPP, 2014
33
MAMPU, JPM
34
Dokumen/Pelan Pelan Induk PKP Pelan Tindak Balas Kecemasan (ERP) Pelan Komunikasi Krisis (CCP) Pelan Pemulihan Bencana (DRP)
Pasukan Pelaksana Pasukan Tindak Balas Kecemasan (ERT) Pasukan Komunikasi Krisis (CCT) Pasukan Pemulihan Bencana ICT (DRT)
SIMULASI
Semua pelan perlu disimulasikan
MAMPU, JPM
35
Perancangan yang sistematik bagi memastikan tindakan segera dalammengawal kejadian kecemasan dijalankan secara strategik lagi efektif
MAMPU, JPM
36
Tubuh pasukan & TOR Ketua dan Ahli ERT
Maklumat kakitangan & ahlikeluarga/waris kakitangan
Senarai kakitangan,OKU dan mengandung
Maklumat pembekal
pelan bangunan dan pelan setiap aras Peralatan logistik
Tempat berkumpul Lokasi alternatif
nombor telefon kecemasanbagi agensi-agensi kecemasan
SOP aktiviti kecemasan
Pelan ERP Latihan ahli ERT
MAMPU, JPM
37
Pelan ini menyediakan polisi dan prosedur untukmengkoordinasi makluman bagi orang awam, ahlikeluarga dan saudara mara warga organisasi mengenaikeadaan mereka apabila berlaku gangguan. Pelan inimenerangkan mengenai apa yang perlu dimaklumkan,siapa yang perlu memberi makluman, bila digunakanuntuk memberi makluman dan templat makluman
MAMPU, JPM
38
Tubuh Pasukan CCT
Peranan & Tanggungjawab
o Ketua CCT
o Ahli CCT
Maklumat kakitangan
SOP mengenai komunikasisemasa kecemasan/krisis
maklumat orang yang ingin dihubungiketika kecemasan/krisis di dalam dandi luar agensi
Lokasi pusat komunikasi krisis
Semua nombor telefon dan nombor hubunganbagi semua media utama sama ada mediaelektronik atau media cetak
Templat kenyataan yang standard bagidigunakan untuk situasi kecemasan samaada untuk tujuan dalaman agensi ataudengan pihak luar
MAMPU, JPM
39
Pelan Pemulihan Bencana ICT atau ICT DisasterRecovery Plan merujuk kepada dokumen pelanyang menetapkan sumber, tindakan,tanggungjawab dan data yang diperlukan untukmengurus proses pemulihan selepas berlakugangguan dalam perkhidmatan agensi. Pelan inidireka bentuk untuk membantu agensimengembalikan semula proses perkhidmatandalam tempoh ditetapkan
MAMPU, JPM
40
SENARAI SEMAK PELAN PEMULIHAN BENCANA ICT (DRP)
Tubuh Pasukan DRT
Peranan & Tanggungjawab
o Ketua DRT
o Ahli DRT
Sediakan analisis risikoterhadap perkhidmatankritikal
Sediakan peta rangkaian
Pastikan sistem-sistem yangberoperasi menggunakanrangkaian berkenaan
Sediakan maklumat kakitangandan pembekal serta lokasi merekabertugas
Sediakan set generatoruntuk backup bekalanelektrik
Senaraikan semua sistem dan aplikasi yang beroperasi
Backup setiap sistem dan aplikasi berkenaan
Backup hendaklah disimpan di offsite
Backup Internet Service Provider (ISP)
Sediakan perkakasan danDRC untuk pemulihan
Sediakan semua dokumen manual yang berkaitan(manual pengguna, manual instalasi, manualsistem konfigurasi dan sebagainya
MAMPU, JPM
41
MAMPU, JPM
Aktiviti Latihan Pasukan/WargaBil.
Kekerapan
Latihan Awareness PKPPasukan 2 kali setahun
Warga 1 kali setahun
Ceramah Kebakaran dan BencanaPasukan 2 kali setahun
Warga 1 kali setahun
Latihan Pengurusan Stress Pasukan 1 kali setahun
Latihan Kecergasan Pasukan 1 kali setahun
Team Building Pasukan 1 kali setahun
Latihan Paramedik Pasukan 1 kali setahun
42
MAMPU, JPM
Aktiviti Simulasi Pasukan/Warga Bil. Kekerapan
Latihan Walk-through Pasukan 1 kali setahun
Latihan Senario Kecemasan Pasukan 3 kali setahun
Latihan Call-Tree Pasukan 3 kali setahun
Latihan PengungsianPasukan 3 kali setahun
Warga 2 kali setahun
Fire Drill (termasuk Pelan Pengujian) Pasukan/Warga 2 kali setahun
Simulasi Keseluruhan (ERT, CCT danDRT)
Pasukan 2 kali setahun
43
MAMPU, JPM
Hj Norazman Abd Ghani
Koordinator PKP
3a.
Ali Kasim
Komander I
3b.
Abu Isa
Komander II
3c.
Subra Maniam
Ahli CCT
3f.
Azni Amin
3g.
Shaiful Hatim
3h.
Amelia Rosdi
3d.
Azman Hisham
Wakil ERT
3e.
Yaakob Idris
Wakil DRT
2a. Nik Raisnan Hj Daud
Ketua ERT
2b. Abd Razak Deraman
Ketua CCT2c. Ahmad Osman
Ketua DRT
Wakil Aras 1
Wakil Aras 2
Wakil Aras 3
Logistik 2
Logistik 1
44
MAMPU, JPM
Bil. Nama Pegawai
Telefon
2a Nik Raisnan 012 200 7093
3a Ali 019 554 3671
2b Abd Razak 016 342 6823
3c Subra 014 987 3254
2c Ahmad 012 672 3563
3f Azni 011 234 9292 45
Peranan Koordinator PKP
1. Mengetuai pasukan PKP
2. Menghubungi pegawai dalam senarai call tree
3. Melaporkan maklumat taksiran bencana
4. Melaporkan status aktiviti bencana
5. Melaporkan penamatan bencana
Level 1
Level 2
MAMPU, JPM
45
2a.
Ali Kasim
Komander I
2b.
Abu Isa
Komander II
Nik Raisnan Hj Daud
Ketua ERT
3a.
Idris Amin
Wakil Aras 1
3b.
Tan Hoe Seng
Wakil Aras 2
3c.
Willam Ng
Wakil Aras 3
3d.
Eline Tan
Logistik 1
Bil. Nama Pegawai Telefon
2a Ali 019 554 3671
3a Idris 013 264 3728
2b Abu 018 349 3672
3d Eline 011 287 3862
46
3e.
Adha Husin
Logistik 2
Peranan Ketua ERT
1. Mengetuai pasukan ERT
2. Menghubungi pegawai dalam senarai call tree ERT
3. Melaporkan maklumat taksiran bencana
4. Mengaktifkan Pelan ERT sekira bencana
5. Melaporkan penamatan bencana
MAMPU, JPM
2a.
Subra Maniam
Ahli CCT
2b.
Azman Hisham
Wakil ERT
2c.
Yaakob Idris
Wakil DRT
Abd Razak Deraman
Ketua CCT
Bil. Nama Pegawai Telefon
2a Subra 014 987 3254
3a Aziz 012 543 2378
2b Azman 012 561 2988
2c Yaakob 012 762 3723
3a.
Aziz Daud
PP
3b.
Normala Saad
PPK
47
Peranan Ketua CCT
1. Mengetuai pasukan CCT
2. Menghubungi pegawai dalam senarai call tree CCT
3. Mengaktifkan Pelan CCT sekira bencana
4. Menyerahkan skrip bencana kepada jurucakap
5. Melaporkan penamatan bencana
MAMPU, JPM
2a.
Azni Amin
2b.
Shaiful Hatim2c.
Amelia Rosdi
Ahmad Osman
Ketua DRT
3a.
Danial
PTM1
3b.
Akif
SME1
3c.
Danish
SME2
3d.
Irfan
PPTM2
3e.
Wildan
PTM2
3d.
Atiqah
PPTM2
Bil. Nama Pegawai Telefon
2a Azni 011 234 9292
3a Danial 012 765 2987
2b Shaiful 019 983 2463
3e Wildan 019 998 3476
2c Amelia 013 342 5628
3d Atiqah 017 376 2988
48
Peranan Ketua DRT
1. Mengetuai pasukan DRT
2. Menghubungi pegawai dalam senarai call tree DRT
3. Melaporkan maklumat taksiran bencana
4. Mengaktifkan Pelan DRT sekira bencana
5. Melaporkan penamatan bencana
MAMPU, JPM
49
Back-up semua maklumat / data / s i s tem kr i t i ka l
Sediakan SOP / dokumentas i berka i tan
Laksana ka j ian semula dan kemask in i Pe lan PKP
Lat ihan ber terusan
MAMPU, JPM
50
Dokumenkan maklumat (SOP,Pelan-pelan)
Pelan yang disediakan perlu ada pemilik dan edaran kepada yang berkenaan
Kawalan dokumentasi/versi
Salinan di simpan di Lokasi Alternatif
Kaji semula dan kemas kini secara berkala
MAMPU, JPM
1. Untuk memastikan program yang dilaksanakan adalah sesuai danberkesan
2. Pegawai bagi audit dalam PKP:
* personel agensi yang terlatih
* bukan ahli Pasukan PKP
3. Audit Luar – Hanya diperlukansekiranya agensi bercadang untukmendapat pensijilan dalam PKP
51
MAMPU, JPM
52
MAMPU, JPM
Disediakan Oleh :Unit Pengurusan Keselamatan MaklumatBahagian Perundingan ICT (BPI)MAMPU
53
MAMPU, JPM