План непрерывности бизнеса (BCP): как составить за 7 шагов

Что такое BCP простыми словами

План непрерывности бизнеса (Business Continuity Plan, BCP) — это документ, который отвечает на вопрос «что мы делаем, если ключевой процесс остановился»: кто за что отвечает, в какой последовательности действует и за какое время восстанавливает работу. Хороший BCP — это не сотни страниц, а набор коротких пошаговых сценариев на 2–3 страницы каждый.

BCP — часть более широкой системы управления непрерывностью (BCM). Он опирается на анализ воздействия на бизнес (BIA) и строится в логике стандарта ISO 22301.

Из чего состоит рабочий BCP

• Критичные процессы и приоритеты восстановления — что поднимаем в первую очередь (из BIA).
• Целевые показатели: RTO (максимально допустимое время простоя) и RPO (допустимый объем потери данных) по каждому процессу.
• Сценарии — отдельная инструкция под каждый тип сбоя (кибератака, отказ ИТ, потеря офиса, потеря поставщика, потеря ключевого сотрудника).
• Роли и контакты — кто принимает решения, кого оповещаем, телефоны и резервные каналы связи.
• Резервные ресурсы — альтернативные площадки, поставщики, оборудование, данные.
• План коммуникаций — что и как сообщаем клиентам, партнерам, сотрудникам.

Как составить BCP за 7 шагов

1. Определите критичные процессы. Без чего бизнес не работает ни дня.
2. Проведите BIA. Оцените стоимость простоя каждого процесса и задайте RTO/RPO.
3. Найдите точки концентрации риска. Один сервер, поставщик, человек, канал.
4. Опишите сценарии восстановления. Пошагово, простым языком, по одному на угрозу.
5. Назначьте роли и резервы. Кто что делает; чем заменяем выпавшее звено.
6. Проведите учения. Только тренировка покажет, что план работает.
7. Поддерживайте план. Пересматривайте при изменениях в компании и на рынке.

Типичные ошибки

• План пишут «для галочки» и не тестируют — в кризис он не работает.
• Слишком объемный документ, который никто не открывает.
• Нет владельцев и контактов — непонятно, кто принимает решения.
• План не обновляется — за год бизнес и риски изменились.

Частые вопросы

Чем BCP отличается от плана аварийного восстановления (DRP)?

BCP — про бизнес целиком (процессы, люди, поставщики, коммуникации). DRP — про восстановление ИТ-систем и данных. DRP обычно входит в BCP как его ИТ-часть. Подробнее — в статье об отличиях BCM, BCP и DRP.

Сколько страниц должен занимать BCP?

Рабочий план — это короткие сценарии по 2–3 страницы на каждую угрозу плюс контакты и приоритеты. Главное не объем, а то, чтобы команда могла действовать по нему без раздумий.

С чего начать составление плана?

С анализа воздействия на бизнес (BIA): определить критичные процессы и стоимость их простоя. Можно начать с бесплатной диагностики устойчивости на этом сайте.

Евгений Теленков

Директор по рискам · к.э.н. · «Лучший риск-менеджер России 2020»

20 лет в управлении рисками. Возглавлял риск-менеджмент в Билайн, Норникеле, Роснефти и EY. Разрабатывал планы непрерывности бизнеса для Норникеля, Ростеха, НРД и АСВ. Обучил 300+ специалистов по рискам и BCM.

Все курсы и услуги — на risk-place.ru →