Professional Documents
Culture Documents
BCP Draft V1
BCP Draft V1
(Ban hành kèm theo Quyết định số .... ngày .... của Hội đồng Quản trị
Tổng Công ty Cổ phần Bảo hiểm Bưu điện)
Điều 3: Vai trò, trách nhiệm cá nhân, đơn vị trong công tác QTKDLT
1. Hội đồng quản trị
Hội đồng quản trị chịu trách nhiệm cao nhất về chất lượng, hiệu quả của hệ thống
quản trị kinh doanh liên tục của PTI. Hội đồng quản trị có trách nhiệm sau:
- Phê duyệt văn bản Quy định Kế hoạch kinh doanh liên tục;
- Phê duyệt Kế hoạch kinh doanh liên tục tổng thể toàn hệ thống;
- Phê duyệt kích hoạt Kế hoạch kinh doanh liên tục toàn hệ thống khi xảy ra
những sự cố nghiêm trọng;
- Chỉ đạo xử lý kịp thời khắc phục những yếu kém, khuyến nghị, các điểm cần
cải tiến quan trọng trong hệ thống QLKDLT được phát hiện qua báo cáo của
BCMC và Ban QTRR.
- Ủy quyền cho BCMC chịu trách nhiệm về việc xây dựng, duy trì và phát triển
hệ thống QTKDLT; giao cho Ban QTRR rà soát, quản lý tuân thủ của các bộ
phận có liên quan trong BCP.
2. Ủy ban quản trị kinh doanh liên tục (BCMC)
- BCMC gồm một thành viên HĐQT, các thành viên còn lại gồm Tổng Giám
đốc, Người đứng đầu các Khối: Khối Quản trị tổ chức, Khối CNTT, Khối
Nghiệp vụ, Khối Kinh doanh, Khối TCKT và Khối Nhân sự, Khối Văn phòng.
- Chức năng, nhiệm vụ của BCMC như sau:
+ Chỉ đạo xây dựng văn bản Quy định kế hoạch kinh doanh liên tục tại PTI;
+ Ký quyết định thành lập Bộ phận ứng phó sự cố (IRT), Bộ phận phản hồi
chức năng (FRT);
+ Chỉ đạo công tác xây dựng BCP tại các Đơn vị, ký ban hành BCP các Đơn
vị;
+ Chỉ đạo, giám sát công tác công tác khắc phục và phục hồi hoạt động của
Đơn vị sau khi xảy ra sự cố gây gián đoạn hoạt động của Đơn vị;
+ Phê duyệt kích hoạt BCP đối với từng đơn vị;
+ Trình HĐQT xem xét, phê duyệt kích hoạt BCP toàn hệ thống đối với các sự
cố nghiêm trọng.
3. Bộ phận ứng phó sự cố (IRT)
- IRT được BCMC thành lập bao gồm các lãnh đạo đơn vị/mảng công việc chủ
chốt chịu trách nhiệm thực thi các biện pháp ứng phó với sự cố theo kế hoạch
và phương án mà BCMC đưa ra.
- Chức năng, nhiệm vụ của IRT như sau:
+ Xây dựng kế hoạch BCP cho đơn vị của mình trong trường hợp gặp sự cố
dẫn đến gián đoạn hoạt động của đơn vị;
+ Sau khi tiếp nhận thông tin về sự cố, IRT họp để phân tích, đánh giá tình hình
và xây dựng phương án chi tiết để ứng phó với sự cố, đảm bảo giảm thiểu tối
đa tác động của sự cố đến an toàn tính mạng của CBNV, an toàn tài sản của
PTI cũng như ngăn chặn tình trạng có thể trầm trọng hơn của sự cố…;
+ Hướng dẫn Văn phòng và Bộ phận phản hồi chức năng (FRT) để thực hiện
khảo sát hiện trường, thu thập thông tin về sự cố và thực hiện các biện pháp xử
lý sự cố kịp thời, chính xác, có hiệu quả nhất;
+ Tham mưu cho BCMC phương án kích hoạt BCP;
+ Báo cáo kết quả cho BCMC sau khi thực thi các biện pháp ứng phó sự cố;
+ Những vấn đề phát sinh vượt thẩm quyền của IRT phải được báo cáo ngay
cho BCMC xem xét ra quyết định.
4. Bộ phận phản hồi chức năng (FRT)
- Mỗi kế hoạch kinh doanh liên tục của Đơn vị đều xác định một Bộ phận phản
hồi chức năng (FRT) tương ứng gồm Trưởng bộ phận là Giám đốc các
Phòng/Ban chủ chốt tại đơn vị và thành viên là các CBNV có kinh nghiệm,
năng lực chuyên môn tốt tham gia trực tiếp quá trình khôi phục kinh doanh của
đơn vị khi sự cố xảy ra. Danh sách FRT của đơn vị do BCMC phê duyệt.
- Chức năng, nhiệm vụ của FRT như sau:
+ Ngay khi phát hiện sự cố, FRT cần thực hiện các phản ứng phù hợp, kịp thời
nhằm ngăn chặn, giảm thiểu tác động của sự cố đến hoạt động của đơn vị;
+ Thực hiện công tác ứng phó, xử lý sự cố theo phương án của IRT trong phạm
vi chức năng, nhiệm vụ của mỗi FRT;
+ Trong trường hợp HĐQT, BCMC ra quyết định kích hoạt BCP, FRT chịu
trách nhiệm triển khai các bước công việc đã chỉ rõ trong BCP; kịp thời báo
cáo mọi thông tin liên quan trong quá trình thực hiện, hướng tới mục tiêu khôi
phục nhanh nhất trạng thái hoạt động của đơn vị;
5. Ban QTRR
- Hướng dẫn, hỗ trợ đơn vị trên toàn hệ thống thực hiện xây dựng, rà soát định
kỳ và cập nhật/chỉnh sửa nội dung BIA, BCP của đơn vị;
- Tổng hợp nội dung BCP của các đơn vị toàn hệ thống;
- Là đầu mối tiếp nhận thông tin báo cáo sự cố từ các đơn vị ngay khi xảy ra,
đánh giá sơ bộ, tổng hợp thông tin để báo cáo BCMC;
- Phối hợp, hỗ trợ, giám sát mọi công tác ứng phó, xử lý sự cố;
- Đánh giá kết quả sau khi hoàn thành sự cố; tiến hành cập nhật, điều chỉnh các
nội dung trong công tác xây dựng BCP của Tổng công ty và đơn vị;
6. Ban CNTT
- Đầu mối xây dựng các kế hoạch khôi phục sau sự cố về hệ thống CNTT toàn
hệ thống;
- Đảm bảo các dữ liệu được sao lưu đầy đủ, chính xác và thuận lợi khi cần chiết
suất, sử dụng;
- Quản lý và đảm bảo hỗ trợ kỹ thuật kịp thời đối với hoạt động kinh doanh và
hoạt động của BCMC, lên kế hoạch chuẩn bị thiết bị cho CBNV làm việc tại
nhà, địa điểm dự phòng…
- Thành lập Nhóm khôi phục CNTT hỗ trợ giải quyết bất cứ vấn đề gì phát sinh
liên quan đến hệ thống CNTT.
7. Các Phòng/Ban khác tại Trụ sở chính
a) Văn phòng
- Là đầu mối thiết kế, triển khai xây dựng cơ sở vật chất Trung tâm dự phòng
trên cơ sở yêu cầu về trung tâm dự phòng dữ liệu của Ban CNTT và nhu cầu bố
trí sắp xếp chỗ ngồi làm việc dự phòng của các đơn vị;
- Phối hợp với Ban CNTT khảo sát, đánh giá khả năng đáp ứng tại địa điểm dự
phòng do các đơn vị đề xuất trong BIA, đảm bảo địa điểm dự phòng luôn sẵn
sàng sử dụng trong những tình huống khẩn cấp;
- Đảm bảo cung ứng đầy đủ nhu cầu về trang thiết bị, văn phòng phẩm phát sinh
theo yêu cầu trong quá trình khắc phục sự cố và khôi phục hoạt động của đơn
vị/PTI;
- Đầu mối để thông báo, điều phối các công việc theo phương án BCP đã được
BCMC và IRT ban hành đến với các bộ phận nội bộ và bên ngoài công ty:
+ Đối với nội bộ, Bộ phận điều phối hướng dẫn Bộ phận phản hồi chức năng
(FRT) và các nhân sự có liên quan để thực hiện các biện pháp cụ thể nhằm giải
quyết sự cố, phục hồi sau sự cố;
+ Đối với bên ngoài công ty, Bộ phận điều phối chuẩn bị các công văn, thông
báo về những thay đổi của Công ty khi kích hoạt BCP cho các cơ quan quản lý
nhà nước, đối tác và khách hàng (nếu cần thiết).
- Đầu mối tiếp nhận và xử lý các thông tin truyền thông liên quan đến hoạt động
của PTI, báo cáo và xử lý kịp thời các thông tin bất lợi gây ảnh hưởng đến uy
tín và hình ảnh của PTI.
b) Ban TCKT: thanh toán các chi phí theo phê duyệt của BCMC;
c) Ban TCNS: Theo dõi những biến động về nhân sự do sự cố gây ra; kịp thời
điều động bổ sung nhân sự tham gia khắc phục sự cố (nếu cần thiết); xây dựng
hệ thống quản lý báo cáo chi tiết đến từng CBNV cũng như hệ thống đo lường
hiệu quả làm việc (KPI) của mỗi CBNV trong tình huống xảy ra sự cố.
8. Trách nhiệm của các đơn vị trên toàn hệ thống
a) Lãnh đạo đơn vị
- Cử cán bộ đầu mối thực hiện phân tích tác động kinh doanh và xây dựng/cập
nhật kế hoạch kinh doanh liên tục cho đơn vị;
- Chỉ đạo và giám sát công tác đào tạo, phổ biến, thử nghiệm các kế hoạch kinh
doanh liên tục đến tất cả CBNV trong đơn vị;
- Khi có sự cố xảy ra gây gián đoạn hoạt động kinh doanh của đơn vị:
(i) Kiểm soát và bảo đảm tính chính xác của các thông tin liên quan đến sự cố
trước khi gửi thông báo đến BCMC
(ii) Chỉ đạo việc xác định nguyên nhân và triển khai các biện pháp/kế hoạch
kinh doanh liên tục để khắc phục sự cố và duy trì các hoạt động kinh doanh
của Đơn vị theo sự hướng dẫn của IRT
(iii) Giám sát việc thực hiện các biện pháp khắc phục/các kế hoạch kinh doanh
liên tục cho đến khi hoạt động của đơn vị trở lại bình thường
(iv) Chỉ đạo FRT của đơn vị phối hợp với các đơn vị khác trong việc khắc phục
sự cố.
b) Các CBNV khác trong đơn vị
- Chủ động phát hiện và báo cáo sự cố gây gián đoạn/có khả năng gây gián đoạn
hoạt động phát sinh tại đơn vị cho Lãnh đạo đơn vị;
- Cung cấp, giải trình đầy đủ, chính xác tất cả các thông tin liên quan đến sự cố
phát sinh cho Lãnh đạo đơn vị;
- Tuân thủ chặt chẽ các hướng dẫn triển khai các biện pháp/bước công việc trong
kế hoạch kinh doanh liên tục để khắc phục sự cố của IRT, FRT.
Mục 2
XÂY DỰNG KẾ HOẠCH KINH DOANH LIÊN TỤC
Mục 3
VẬN HÀNH KẾ HOẠCH KINH DOANH LIÊN TỤC
Điều 8: Tiêu chí kích hoạt kế hoạch kinh doanh liên tục
BCMC căn cứ các tiêu chí sau đây và các nội dung quy định tại Điều 3 Quy định này
để phê duyệt hoặc trình HĐQT xem xét, quyết định phê duyệt kích hoạt BCP, bao
gồm:
1. Sự kiện rủi ro gây tổn thất tài chính ước tính từ 50 tỷ đồng trở lên;
2. Mất kết nối đối với hệ thống thiết yếu về CNTT trong vòng 01 ngày làm việc;
3. Mất tất cả các nguồn cung cấp phục vụ cho hoạt động bình thường hàng ngày của
tòa nhà/trụ sở trong vòng 01 ngày làm việc;
4. Bị mất liên lạc đối với tất cả các dịch vụ điện thoại gọi đến và gọi đi trong vòng 01
ngày làm việc;
5. Không tiếp cận được tòa nhà/trụ sở trong vòng 01 ngày làm việc;
6. Từ 50% nhân viên vắng mặt tại địa điểm làm việc trong vòng 02 ngày làm việc;
7. Mất hoặc thất lạc từ 30% trở lên của một hay nhiều hơn các dữ liệu quan trọng;
8. Các sự kiện thiên tai, dịch bệnh, khủng bố... gây gián đoạn hoặc có nguy cơ gây
gián đoạn hoạt động của PTI;
9. Một sự kiện được dự báo sẽ gây ra bất kỳ tình huống nào nói trên;
10. Các trường hợp khác do BCMC trình HĐQT quyết định.
Các tiêu chí trên có thể thay đổi trong từng trường hợp cụ thể hoặc ở các giai đoạn
khác nhau cho phù hợp với thực tiễn hoạt động của PTI. Việc thay đổi sẽ do Hội
đồng quản trị quyết định.
Điều 9: Quy định về nơi làm việc dự phòng
1. Địa điểm dự phòng:
Khi xây dựng BCP, các đơn vị phải thống nhất với Ban CNTT, Văn phòng về việc bố
trí, sắp xếp địa điểm dự phòng chính, địa điểm dự phòng phụ (nếu cần thiết) để
chuyển đến làm việc tạm thời trong trường hợp cần thiết khi sự cố xảy ra gây gián
đoạn hoạt động tại địa điểm chính. Địa điểm dự phòng phải đảm bảo những yêu cầu
sau:
- Cung đường di chuyển giữa địa điểm chính và địa điểm dự phòng thuận tiện,
phù hợp về thời gian và địa lý;
- Cơ sở vật chất, các hệ thống ứng dụng, trang thiết bị phải đáp ứng được việc
duy trì các hoạt động chính của đơn vị trong khoảng thời gian khắc phục sự cố
tại địa điểm chính;
- Việc được bố trí là địa điểm dự phòng không ảnh hưởng đến các hoạt động
chính vẫn diễn ra hàng ngày tại địa điểm đó (nếu có).
2. Trung tâm dự phòng:
Tùy vào điều kiện cụ thể, HĐQT có thể cân nhắc việc triển khai xây dựng Trung tâm
dự phòng. Ban CNTT là đầu mối xây dựng và đề xuất phương án lựa chọn địa điểm,
triển khai xây dựng Trung tâm dự phòng của PTI. Trung tâm dự phòng cần đáp ứng
được các yêu cầu sau:
- Đáp ứng tiêu chuẩn về hạ tầng hệ thống CNTT đối với một trung tâm dữ liệu
dự phòng;
- Cung đường di chuyển giữa Trụ sở chính với Trung tâm dự phòng phải thuận
tiện, đảm bảo thời gian di chuyển phù hợp;
- Đảm bảo năng lực về cơ sở vật chất, hệ thống/ứng dụng, trang thiết bị, nhân lực
để sẵn sàng đảm nhận vai trò của Trụ sở chính trong trường hợp cần thiết;
- Hệ thống dự phòng CNTT phải thay thế được hệ thống chính trong vòng 02 giờ
kể từ khi hệ thống chính gặp sự cố không khắc phục được;
- Hệ thống dự phòng CNTT đặt tại Trung tâm dự phòng phải có đủ năng lực thực
hiện nhiệm vụ của hệ thống chính trong trường hợp xảy ra sự cố làm gián đoạn
hoạt động của Trung tâm CNTT chính;
- Tuân thủ các tiêu chuẩn về an toàn, bảo mật theo quy định hiện hành của PTI
và pháp luật.
Điều 10: Quy định thực hiện kế hoạch kinh doanh liên tục tại PTI
1. Quy trình thực hiện kế hoạch kinh doanh liên tục tại PTI quy định chi tiết các bước
công việc cần thực hiện từ khi phát hiện ra sự cố gây gián đoạn hoạt động của PTI
cho đến khi hoàn thành công tác xử lý, khắc phục sự cố, khôi phục hoạt động PTI
trở lại bình thường.
2. Quy trình được xây dựng với mục đích đảm bảo tối đa việc duy trì cung cấp các
sản phẩm, dịch vụ trọng yếu của PTI cho khách hàng trong bất kỳ hoàn cảnh nào.
3. Việc tham gia của các đơn vị và các cá nhân theo Quy trình thực hiện BCP (kể từ
khi xảy ra sự cố đến khi khôi phục hoàn toàn hoạt động) được nêu tại Phụ lục kèm
theo quy định này.