PROGRAM KESEDARAN PENGURUSAN KESINAMBUNGAN PERKHIDMATAN (PKP) KEPADA PEGAWAI KANAN SEKTOR AWAM INSTITUT TADBIRAN AWAM NEGARA (INTAN) 26 SEPTEMBER 2017 (SELASA) 1 1
ISO 22301- BUSINESS CONTINUITY MANAGEMENT Holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities 2
PENGURUSAN KESINAMBUNGAN PERKHIDMATAN (PKP) Pengurusan holistik (sebelum, semasa, selepas) yang mengenal pasti ancaman, risiko, impak ancaman dan risiko tersebut terhadap fungsi kritikal agensi dan penentuan strategi pemulihan bagi memitigasi kesan gangguan terhadap perkhidmatan agensi dan memastikan apabila berlaku gangguan, dapat diteruskan atau dipulihkan dalam tempoh masa yang ditetapkan 3
KENAPA PKP? 4
ARAHAN PELAKSANAAN PKP 5
6 6
KEJADIAN BENCANA (ARAHAN MKN 20) Bencana alam seperti kejadian banjir, rebut/taufan, gempa bumi, tsunami, ombak besar, kemarau & tanah runtuh Bencana industri termasuklah kejadian letupan, kebakaran, pencemaran & kebocoran bahan-bahan berbahaya (hazardous materials) di kilang, loji & depot yang memproses, mengeluar & menyimpan bahan-bahan berkenaan Kemalangan melibatkan pengangkutan, penyaluran & pemindahan bahan-bahan berbahaya Keruntuhan bangunan dan struktur khas Kemalangan udara yang berlaku di kawasan yang berkependudukan tinggi Pelanggaran atau kegelinciran keretapi dan lain-lain sistem pengangkutan rel yang melibatkan jumlah mangsa dan kemusnahan harta benda yang besar Kebakaran yang melibatkan kawasan yang luas termasuklah kebakaran bangunan tinggi & struktur khas yang mempunyai ramai orang 7
TANGGUNGJAWAB MKN DALAM PENGURUSAN BENCANA Agensi peneraju utama (focal point) pengurusan bencana negara di peringkat negara, negeri & daerah Agensi peneraju utama (focal point) pengurusan bencana negara di peringkat serantau & antarabangsa Mengeluarkan strategi, arahan, pelan tindakan, hala tuju dan dasar dalam pengurusan bencana Memastikan pengalaman seta pelaksanaan dasar & mekanisme pengurusan bencana berjalan lancar Mengawal selia dan membuat pengauditan dalam pengurusan bencana yang dijalankan oleh agensi kerajaan dan mengarahkan penambahbaikan untuk meningkatkan keberkesanan pengurusan bencana negara 8
KAITAN PKP DENGAN PENGURUSAN BENCANA Bencana Bencana Bencana PKP Agensi Bencana PKP Agensi PKP Agensi 9
KAITAN PKP DENGAN PENGURUSAN BENCANA Bencana Bencana Bencana PKP Agensi Bencana PKP Agensi PKP Agensi 10
MAMPU Risiko Strategik risiko yang berkaitan dengan melakukan perkara yang salah Risiko Operasi risiko yang berkaitan dengan melakukan perkara yang betul dengan cara yang salah Risiko Reputasi risiko yang berkaitan dengan jenama organisasi atau imej JENIS RISIKO ERM : 7 Risiko Strategik Operasi Reputasi Maklumat Kewangan Orang Peraturan Risiko Maklumat risiko yang berkaitan dengan kehilangan atau ketidaktepatan data, sistem atau maklumat yang dilaporkan Risiko Kewangan risiko yang berkaitan dengan kehilangan sumber kewangan atau menanggung liabiliti tidak boleh diterima Risiko Orang risiko yang berkaitan dengan pekerja dan pengurusan Risiko Peraturan risiko berkaitan dengan persekitaran kawal selia ** BCM : Risiko berkaitan operasi 11 11
MAMPU ERM VS BCM ISO 31000: 2009 ISO 22301:2012 Coordinated activities to direct and control an organization with regard to risk (effect of uncertainty on objectives) Melihat penyebab risiko Holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities Melihat akibat (consequence) 12 12
MAMPU Mengenal Pasti Risiko Pengurusan Risiko ERM VS BCM Pengurusan Bencana Sebarang kesan terhadap kesinambungan perkhidmatan (BC) 13 13
PENGURUSAN RISIKO PENGURUSAN KRISIS (CMP) PENGURUSAN KOMUNIKASI KRISIS (CCP) PENGURUSAN KESINAMBUNGAN PERKHIDMATAN (PKP) PENGURUSAN TINDAK BALAS KECEMASAN (ERP) PENGURUSAN PEMULIHAN BENCANA (DRP) 14
PENGURUSAN RISIKO PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 15
Penyelarasan menyeluruh tindak balas agensi terhadap sesuatu krisis bagi mengelakkan kerugian kepada agensi dan merosakkan imej agensi PENGURUSAN RISIKO Pengurusan proaktif mengawal risiko dan memperuntukkan sumber agensi dengan berkesan bagi menghadapi risiko Pengurusan Krisis ERP Pengurusan holistik (sebelum, semasa, selepas) bagi mengurangkan impak gangguan terhadap fungsi kritikal agensi Pengurusan Kesinambungan Perkhidmatan (PKP) DRP CCP Pengurusan Komunikasi Krisis Pengurusan komunikasi bagi melindungi agensi semasa berdepan dengan orang awam dalam menangani situasi kecemasan/krisis 16
Pengurusan Kesinambungan Perkhidmatan (PKP) Pelan Kesinambungan Perkhidmatan (Pelan PKP) Pelan Pemulihan Bencana Pusat Pemulihan Bencana 17
CIA MEMATUHI PRINSIP KESELAMATAN ICT ISMS : ISO/IEC 27001:2013 I - INTEGRITY C - CONFIDENTIALITY A - AVAILABILITY information should be accessible and usable 18
ISO/IEC 27001: 2013 - KAWALAN BERKAITAN PKP 19
MENGAPA PERLU PKP? 20
Program Kesedaran Latihan Pasukan Laksana Pengujian / Simulasi Audit PKP Penyelenggaraan PKP Dapatkan Kelulusan Pengurusan Pelan PKP Pelan Komunikasi Krisis (CCP) Pelan Tindak balas Kecemasan (ERP) Pelan Pemulihan Bencana (DRP) ICT Dapatkan Kelulusan Pengurusan Program Kesedaran Tentukan Polisi PKP Lantik Jawatankuasa Pemandu PKP Lantik Pasukan PKP Terma Rujukan PKP Dapatkan Kelulusan Pengurusan Penentuan Fungsi Kritikal Analisis Impak Perkhidmatan (BIA) Penilaian risiko (RA) Opsyen Strategi Pemulihan Dapatkan Kelulusan Pengurusan 21 21
POLISI PKP <nama agensi> menerusi Pasukan PKP akan melaksanakan dan menyelenggara Pelan Kesinambungan Perkhidmatan <nama agensi> selaras dengan garis panduan PKP yang telah dikeluarkan dan amalan baik standard antarabangsa Pasukan PKP <nama agensi> memastikan pelan-pelan yang dibangunkan berupaya menyelenggara standard minimum penyampaian perkhidmatan kritikal <nama agensi> Pasukan PKP <nama agensi> mengkaji semula Pelan Kesinambungan Perkhidmatan <nama agensi> setiap tahun dan apabila berlaku perubahan di <nama agensi> serta menguji keberkesanannya Kontrak bagi penyediaan perkhidmatan kritikal <nama agensi> perlu memuatkan keperluan bagi pelan kesinambungan perkhidmatan pembekal yang dapat memenuhi kehendak perkhidmatan <nama agensi> Pasukan Audit Dalam <nama agensi> memantau keberkesanan pelaksanaan PKP <nama agensi> secara tahunan <nama agensi> perlu patuh kepada sebarang pernyataan dasar <nama agensi> sedia ada yang ada kaitan baik secara lansung atau tidak lansung dengan pelaksanaan pengurusan kesinambungan perkhidmatan <nama agensi> 22
PENGURUSAN ATASAN AGENSI JAWATANKUASA PEMANDU PKP Koordinator PKP Bahagian Dasar dan Perancangan Strategik Sekretariat PKP Ketua ERT : Bahagian Khidmat Pengurusan PasukanTindakbalas Kecemasan Ketua CCT : Unit Perhubungan Awam & Inovasi Pasukan Komunikasi Krisis Ketua DRT : Seksyen Teknologi Maklumat Pasukan Pemulihan Bencana ICT Pasukan Penyelamat Kebakaran Seksyen Kewangan Seksyen Pentadiran Seksyen Sumber Manusia Wakil ERT Seksyen Komunikasi Korporat Wakil DRT Seksyen Operasi Seksyen Pembangunan Seksyen Rangkaian 23
BIL. ENTITI TERMA RUJUKAN 1. Pengurusan Atasan Menentukan hala tuju pelaksanaan PKP di agensi Membuat keputusan isytihar bencana Mengesahkan lantikan ahli JK Pemandu dan Pasukan PKP Memberi sokongan pelaksanaan program Memantau pelaksanaan program 2. Jawatankuasa Pemandu PKP JKR Mencadangkan pelantikan ahli dan TOR Menyediakan skop, polisi dan jadual pelaksanaan PKP di agensi Memastikan kelancaran pelaksanaan PKP di agensi Memantau dan menilai keberkesanan pelaksanaan PKP di agensi 3. Koordinator PKP Mengetuai pasukan PKP Menyelaras pembangunan dan pelaksanaan PKP di agensi Melaporkan status pembangunan dan pelaksanaan PKP kepada JK Pemandu PKP dan Mesyuarat Pengurusan Kanan agensi 24
BIL. ENTITI TERMA RUJUKAN 4. SME Bahagian Menentukan Fungsi kritikal agensi Melaksana penilaian risiko, analisis impak perkhidmatan dan menentukan opsyen strategi pemulihan 5. Pasukan PKP Membangunkan pelan PKP berkaitan Melaksana aktiviti kesedaran kepada warga agensi Melaksana simulasi pelan PKP berkaitan Melaksana aktiviti pembudayaan PKP 6. Sekretariat PKP Melaksana kerja-kerja keurusetiaan Mengumpul dan menyelaras semua maklumat yang diperlukan dan mengkompilasi semua dokumentasi Memantau dan menyelaras status pelaksanaan dan aktiviti pasukan 25
Aktiviti utama yang dianggap kritikal mengikut susunan keutamaan Perlu dipulihkan segera bila berlaku gangguan atau bencana Tidak boleh terganggu sehingga memberi kesan kepada keupayaan organisasi mencapai objektif minimum kesinambungan perkhidmatan 26
PIAGAM PELANGGAN STAKEHOLDERS/ PELANGGAN PERUNDANGAN SEJARAH 27
Analisis ke atas impak gangguan (kewangan dan bukan kewangan) terhadap operasi perkhidmatan agensi Mentaksirkan kerugian bagi menyediakan maklumat kepada pengurusan atasan untuk mengurangkan risiko yang dihadapi dan untuk perancangan kesinambungan 28
KURANG (PKP) ELAK PINDAH TERIMA Bersetuju untuk melaksanakan perancangan PKP supaya impak gangguan terhadap penyampaian perkhidmatan dapat diminimumkan dan penyampaian perkhidmatan masih tetap dapat diteruskan walaupun berlaku gangguan/bencana Tidak terlibat dalam sesuatu projek/perkara tertentu supaya risiko berkenaan dapat dielakkan Mengalihkan tanggungjawab atau risiko kepada pihak lain (bahagian lain dalam organisasi) atau pihak ketiga (pembekal) Sanggup menanggung risiko yang dihadapi oleh organisasi 29
Backup terakhir Sistem Terganggu Isytihar Bencana 2 RTO Perkhidmatan Kembali Normal RPO 4 RTO Sistem 3 WRT SOP 1 MTD Maximum Tolerable Downtime (MTD) Masa maksimum fungsi kritikal tidak berfungsi yang boleh diterima oleh pelanggan/stakeholders agensi Objektif Masa Pemulihan (RTO) Tempo h masa yang perlu bagi melaksanakan strategi pemulihan apabila berlaku gangguan atau bencana. Work Recovery Time (WRT) - Tempoh masa diperlukan untuk memasukkan data yang hilang dari backup terakhir yang dilaksanakan Recovery Point Objective (RPO) Kekerapan backup data dilaksana berdasarkan kadar transaksi dan keupayaan sumber untuk memasukkan data 30
PERSONEL TEKNOLOGI PREMIS 31
Dokumentasi Back-up Data /Maklumat Prosedur Operasi Standard (SOP) bagi sistem kritikal Manual Pengguna/Sistem DRP, ERP, CCP dan BCP Teknologi Sediakan redundancy bagi rangkaian dan gateway Backup Perkakasan Backup dan restore perisian sistem dan data Premis Bekerja dari rumah atau pejabat alternatif Hot site, warm site or cold site Data Recovery Centre (DRC) Opsyen Strategi Pemulihan Bekalan Selenggara perkhidmatan utiliti Backup genset BCP Pembekal SLA dengan pembekal Sumber Manusia Boleh bekerja dari rumah Kompeten dan mahir Mempunyai backup personel 32
Hak cipta Terpelihara MDPP, 2014 33
Dokumen/Pelan Pelan Induk PKP Pelan Tindak Balas Kecemasan (ERP) Pelan Komunikasi Krisis (CCP) Pelan Pemulihan Bencana (DRP) Pasukan Pelaksana Pasukan Tindak Balas Kecemasan (ERT) Pasukan Komunikasi Krisis (CCT) Pasukan Pemulihan Bencana ICT (DRT) Semua pelan perlu disimulasikan SIMULASI 34
Perancangan yang sistematik bagi memastikan tindakan segera dalam mengawal kejadian kecemasan dijalankan secara strategik lagi efektif 35
Tubuh pasukan & TOR Ketua dan Ahli ERT Maklumat kakitangan & ahli keluarga/waris kakitangan Senarai kakitangan, OKU dan mengandung Maklumat pembekal pelan bangunan dan pelan setiap aras Peralatan logistik Tempat berkumpul Lokasi alternatif Pelan ERP Latihan ahli ERT nombor telefon kecemasan bagi agensi-agensi kecemasan SOP aktiviti kecemasan 36
Pelan ini menyediakan polisi dan prosedur untuk mengkoordinasi makluman bagi orang awam, ahli keluarga dan saudara mara warga organisasi mengenai keadaan mereka apabila berlaku gangguan. Pelan ini menerangkan mengenai apa yang perlu dimaklumkan, siapa yang perlu memberi makluman, bila digunakan untuk memberi makluman dan templat makluman 37
Tubuh Pasukan CCT SOP mengenai komunikasi semasa kecemasan/krisis Semua nombor telefon dan nombor hubungan bagi semua media utama sama ada media elektronik atau media cetak Peranan & Tanggungjawab o Ketua CCT o Ahli CCT Maklumat kakitangan maklumat orang yang ingin dihubungi ketika kecemasan/krisis di dalam dan di luar agensi Templat kenyataan yang standard bagi digunakan untuk situasi kecemasan sama ada untuk tujuan dalaman agensi atau dengan pihak luar Lokasi pusat komunikasi krisis 38
Pelan Pemulihan Bencana ICT atau ICT Disaster Recovery Plan merujuk kepada dokumen pelan yang menetapkan sumber, tindakan, tanggungjawab dan data yang diperlukan untuk mengurus proses pemulihan selepas berlaku gangguan dalam perkhidmatan agensi. Pelan ini direka bentuk untuk membantu agensi mengembalikan semula proses perkhidmatan dalam tempoh ditetapkan 39
SENARAI SEMAK PELAN PEMULIHAN BENCANA ICT (DRP) Tubuh Pasukan DRT Sediakan peta rangkaian Senaraikan semua sistem dan aplikasi yang beroperasi Peranan & Tanggungjawab o Ketua DRT o Ahli DRT Sediakan analisis risiko terhadap perkhidmatan kritikal Pastikan sistem-sistem yang beroperasi menggunakan rangkaian berkenaan Sediakan maklumat kakitangan dan pembekal serta lokasi mereka bertugas Backup setiap sistem dan aplikasi berkenaan Backup Internet Service Provider (ISP) Backup hendaklah disimpan di offsite Sediakan set generator untuk backup bekalan elektrik Sediakan perkakasan dan DRC untuk pemulihan Sediakan semua dokumen manual yang berkaitan (manual pengguna, manual instalasi, manual sistem konfigurasi dan sebagainya 40
41
Aktiviti Latihan Latihan Awareness PKP Ceramah Kebakaran dan Bencana Pasukan/Warga Pasukan Warga Pasukan Warga Bil. Kekerapan 2 kali setahun 1 kali setahun 2 kali setahun 1 kali setahun Latihan Pengurusan Stress Pasukan 1 kali setahun Latihan Kecergasan Pasukan 1 kali setahun Team Building Pasukan 1 kali setahun Latihan Paramedik Pasukan 1 kali setahun 42
Aktiviti Simulasi Pasukan/Warga Bil. Kekerapan Latihan Walk-through Pasukan 1 kali setahun Latihan Senario Kecemasan Pasukan 3 kali setahun Latihan Call-Tree Pasukan 3 kali setahun Latihan Pengungsian Pasukan Warga 3 kali setahun 2 kali setahun Fire Drill (termasuk Pelan Pengujian) Pasukan/Warga 2 kali setahun Simulasi Keseluruhan (ERT, CCT dan DRT) Pasukan 2 kali setahun 43
Hj Norazman Abd Ghani Koordinator PKP 2a. Nik Raisnan Hj Daud Ketua ERT 2b. Abd Razak Deraman Ketua CCT 2c. Ahmad Osman Ketua DRT 3a. Ali Kasim Komander I 3b. Abu Isa Komander II 3c. Subra Maniam Ahli CCT 3d. Azman Hisham Wakil ERT 3e. Yaakob Idris Wakil DRT 3f. Azni Amin 3g. Shaiful Hatim 3h. Amelia Rosdi Wakil Aras 1 Logistik 1 Wakil Aras 2 Logistik 2 Wakil Aras 3 44
Level 1 Level 2 Bil. Nama Pegawai Telefon 2a Nik Raisnan 012 200 7093 3a Ali 019 554 3671 2b Abd Razak 016 342 6823 3c Subra 014 987 3254 2c Ahmad 012 672 3563 1. Mengetuai pasukan PKP Peranan Koordinator PKP 2. Menghubungi pegawai dalam senarai call tree 3. Melaporkan maklumat taksiran bencana 4. Melaporkan status aktiviti bencana 5. Melaporkan penamatan bencana 3f Azni 011 234 9292 45 45
Nik Raisnan Hj Daud Ketua ERT 2a. Ali Kasim Komander I 3a. Idris Amin Wakil Aras 1 2b. Abu Isa Komander II 3d. Eline Tan Logistik 1 Bil. Nama Pegawai Telefon 2a Ali 019 554 3671 3a Idris 013 264 3728 2b Abu 018 349 3672 3d Eline 011 287 3862 Peranan Ketua ERT 3b. Tan Hoe Seng Wakil Aras 2 3c. Willam Ng Wakil Aras 3 3e. Adha Husin Logistik 2 1. Mengetuai pasukan ERT 2. Menghubungi pegawai dalam senarai call tree ERT 3. Melaporkan maklumat taksiran bencana 4. Mengaktifkan Pelan ERT sekira bencana 5. Melaporkan penamatan bencana 46
2a. Subra Maniam Ahli CCT Abd Razak Deraman Ketua CCT 2b. Azman Hisham Wakil ERT 2c. Yaakob Idris Wakil DRT Bil. Nama Pegawai Telefon 2a Subra 014 987 3254 3a Aziz 012 543 2378 2b Azman 012 561 2988 2c Yaakob 012 762 3723 Peranan Ketua CCT 3a. Aziz Daud PP 3b. Normala Saad PPK 1. Mengetuai pasukan CCT 2. Menghubungi pegawai dalam senarai call tree CCT 3. Mengaktifkan Pelan CCT sekira bencana 4. Menyerahkan skrip bencana kepada jurucakap 5. Melaporkan penamatan bencana 47
Ahmad Osman Ketua DRT Bil. Nama Pegawai Telefon 2a Azni 011 234 9292 3a Danial 012 765 2987 2b Shaiful 019 983 2463 2a. Azni Amin 2b. Shaiful Hatim 2c. Amelia Rosdi 3e Wildan 019 998 3476 2c Amelia 013 342 5628 3d Atiqah 017 376 2988 Peranan Ketua DRT 3a. Danial PTM1 3b. Akif SME1 3c. Danish SME2 3d. Irfan PPTM2 3e. Wildan PTM2 3d. Atiqah PPTM2 1. Mengetuai pasukan DRT 2. Menghubungi pegawai dalam senarai call tree DRT 3. Melaporkan maklumat taksiran bencana 4. Mengaktifkan Pelan DRT sekira bencana 5. Melaporkan penamatan bencana 48
Latihan berterusan Laksana kajian semula dan kemaskini Pelan PKP Sediakan SOP / dokumentasi berkaitan B ack-up semua maklumat / data / sistem kritikal 49
Dokumenkan maklumat (SOP,Pelan-pelan) Pelan yang disediakan perlu ada pemilik dan edaran kepada yang berkenaan Kawalan dokumentasi/versi Salinan di simpan di Lokasi Alternatif Kaji semula dan kemas kini secara berkala 50
1. Untuk memastikan program yang di laksanakan adalah sesuai dan berkesan 2. Pegawai bagi audit dalam PKP: * personel agensi yang terlatih * bukan ahli Pasukan PKP 3. Audit Luar Hanya diperlukan sekiranya agensi bercadang untuk mendapat pensijilan dalam PKP 51
52
Disediakan Oleh : Unit Pengurusan Keselamatan Maklumat Bahagian Perundingan ICT (BPI) MAMPU pkeselamatan@mampu.gov.my 53