Documente Academic
Documente Profesional
Documente Cultură
DS4
Planifier et Organiser
Ef fi c a Eff ci t ici e Co nce nf In iden t ti g a Di rit l it sp Co oni b nf ili t o Fi rm ab it il it
Acqurir et Implmenter
Dlivrer et Supporter
Surveiller et Evaluer
sassurer quune interruption dun service informatique nait quun impact minimum sur lactivit mtier
en se concentrant sur
donner une capacit de rsistance aux solutions automatises et dvelopper, tenir jour et tester les plans de continuit des SI
atteint son objectif en
dveloppant et en actualisant/amliorant les plans de secours des SI sexerant sur les plans de secours des SI et en les testant stockant hors site des copies des plans de secours et des donnes
et est mesur par
le nombre dheures perdues par mois par les utilisateurs du fait dinterruptions imprvues le nombre de processus mtier critiques dpendants des SI qui ne sont pas pris en compte par le plan de continuit des SI
T EN UE EM IQ G N EG LI A T A R ST
L LA DE E C RE NC S UR M ME FORMA R P PER
AP P VA OR LE T D UR E
DES SI
GE STIO RIS N DE QU ES S
GOUVERNANCE
Primaire
Secondaire
115
DS4
116
DS4
GUIDE DE MANAGEMENT
DS4 Assurer un service continu
De
PO2 PO9 AI2 AI4
Entres
Classifications attribues aux donnes valuation des risques Spcifications de disponibilit, continuit et restauration Manuels utilisateur, dassistance, technique et dadministration CNS et CNO
Sorties
Rsultats des tests durgence Elments de configuration informatique critiques Plan de stockage et de protection hors site Seuils incidents/sinistres Exigences de service en cas de sinistres, y compris rles et responsabilits Rapports sur la performance des processus
Vers
PO9 DS9 DS11 DS13 DS8 DS1 SE1 DS2
DS1
Tableau RGCI
Fonctions
DS I
DG
DF
En
Dvelopper un rfrentiel de continuit des SI. Raliser des analyses dimpact et des valuations des risques au niveau des mtiers. Dvelopper et maintenir les plans de continuit des SI. Identifier et rpartir par catgories les ressources informatiques en fonction des objectifs de restauration. Dfinir et mettre en uvre des procdures de contrle des changements pour sassurer que le plan de continuit des SI est jour. Tester rgulirement le plan de continuit des SI. laborer un plan dactions entreprendre la suite des rsultats des tests. Planifier et mettre en oeuvre la formation la continuit des SI. Planifier la restauration et la reprise des services informatiques. Planifier et mettre en place le stockage et la protection des sauvegardes. laborer des procdures pour conduire des revues aprs reprise. Un tableau RGCI identifie qui est Responsable, Garant, Consult et/ou Inform.
C C C
C C C
G C C C I I C I C I C
Pr
Activits
Objectifs et mtriques
Objectifs activit Objectifs processus Objectifs informatique
Dvelopper et maintenir (amliorer) les plans de secours informatiques. Sexercer sur les plans de secours informatiques et les tester. Stocker hors site des copies des plans de secours et des donnes.
I n d u c t e u r
tablir un plan de continuit des SI qui sappuie sur les plans de continuit des mtiers. Dvelopper des plans de continuit des SI tests et tenus jour, qui puissent tre mis en uvre. Rduire le plus possible la probabilit dinterruption des services informatiques.
Dlai entre les tests de tout lment du plan de continuit des SI. Nombre annuel dheures de formation sur la continuit des SI suivies par employ informatique concern. % de composants d'infrastructure critiques dont la disponibilit est surveille automatiquement. Frquence des revues du plan de continuit des SI.
% de conventions de services disponibles satisfaites. Nb de processus mtier critiques dpendants des SI qui ne sont pas pris en compte par le plan de continuit des SI. % de tests qui atteignent les objectifs de secours. Frquence des interruptions de services des systmes critiques.
ti er op ri tai re Re pro sp ce on ss sa Re us ble sp m ex on tie plo sa r ble ita Re tio sp arc n on hit sa ec ble Re tur sp d e on ve sa lop ble Bu pe re a ad me up mi nts nis ro Co jet tr a nfo tif rm it ,a ud it, ris qu ee ts c uri t
C C I R G/R G/R G/R G/R I I R C I G/R G/R G/R G/R G/R G/R C C R C R C C C R C R C R C C C C C I R C R R R C C C C C C R I R I R I R C C I I I I I C I C
ca dr em
en tm
I n d u c t e u r
Sassurer que les services informatiques sont disponibles dans les conditions requises. Sassurer quun incident ou une modification dans la fourniture dun service informatique nait quun impact minimum sur lactivit. Sassurer que les services et linfrastructure informatique peuvent rsister une panne due une erreur, une attaque dlibre ou un sinistre, et se rtablir.
117
DS4
MODELE DE MATURITE
DS4 Assurer un service continu
La gestion du processus Assurer un service continu qui rpond lexigence du mtier vis--vis de linformatique sassurer quune interruption dun service informatique nait quun impact minimum sur lactivit mtier est : 0 Inexistante quand On n'a pas conscience des risques, ni des menaces qui psent sur linformatique, de ses points vulnrables, ni de limpact dune perte de services informatiques sur lactivit. On ne considre pas que la continuit des services doive mobiliser l'attention du management. 1 Initialis, au cas par cas quand Les responsabilits pour assurer un service continu sont informelles, et lautorit pour exercer ces responsabilits est limite. Le management commence prendre conscience du besoin d'une continuit des services, et des risques lis au manque de continuit. Lattention que prte le management la continuit se porte davantage sur les ressources de linfrastructure que sur les services informatiques. Les utilisateurs mettent en place des solutions de contournement lorsque le service sinterrompt. Les rponses de linformatique aux interruptions majeures de continuit dpendent des circonstances et ne sont pas prpares. On programme des interruptions de services en fonction des besoins de l'informatique mais elles ne tiennent pas compte des exigences des mtiers. 2 Reproductible mais intuitive quand On a nomm des responsables de la continuit des services. Les approches du problme sont fragmentaires. Les rapports sur la disponibilit des systmes sont sporadiques, ventuellement incomplets, et ne prennent pas en compte l'impact sur le mtier. Il n'existe pas de plans de continuit des SI documents, bien qu'il y ait un engagement assurer un service continu et qu'on en connaisse les principes essentiels. Un inventaire des systmes et des composants critiques existe, mais il nest pas toujours fiable. On voit merger des pratiques de service continu, mais leur succs repose sur certaines personnes. 3 Dfinie quand Il ny a pas dambigut sur la responsabilit finale de la gestion de la continuit. On a clairement dfini et attribu les responsabilits oprationnelles de la planification et des tests de continuit du service. Les plans de continuit des SI sont documents et axs sur les points vitaux des systmes et sur limpact mtier. Les tests de continuit de services donnent lieu des rapports rguliers. Certaines personnes prennent linitiative de suivre les normes et de recevoir une formation pour affronter des incidents majeurs ou des sinistres. Le management communique constamment sur la ncessit dun plan de continuit des services. On utilise des composants de haute disponibilit et des systmes redondants. On tient jour un inventaire des systmes et composants les plus vitaux. 4 Gre et mesurable quand On impose les responsabilits et les standards du service continu. Les responsables de la maintenance du plan de continuit sont dsigns. Les activits de maintenance se basent sur les rsultats des tests de service continu, sur les bonnes pratiques internes et sur les volutions de lenvironnement informatique et mtier. On recueille dans une base structure des informations sur la continuit des services, on les analyse, on labore des rapports et on agit en consquence. Il existe une formation formalise et obligatoire sur les processus de service continu. On dploie systmatiquement les bonnes pratiques de disponibilit des systmes. Les pratiques de redondance et de planification de la continuit des services s'influencent rciproquement. Les incidents de rupture de continuit sont rpartis par catgorie et les procdures descalade graduelles pour y remdier sont bien connues de toutes les personnes concernes. On a dvelopp et fait adopter des ICO et ICP pour la continuit des services, mais ils ne sont pas toujours systmatiquement mesurs. 5 Optimise quand Les processus de continuit de services intgre tiennent compte des tests comparatifs et des meilleures pratiques externes. Le plan de continuit des SI est intgr aux plans de continuit des mtiers et il est systmatiquement tenu jour. On s'assure auprs des vendeurs et des fournisseurs principaux qu'ils respecteront les exigences de continuit des services. On pratique des tests globaux du plan de continuit des SI, et leurs rsultats servent mettre le plan jour. On utilise la collecte et l'analyse de donnes pour lamlioration continue du processus. Les pratiques de disponibilit et de service continu sont compltement alignes. Le management vrifie quun sinistre ou un incident majeur ne se produiront pas du fait dun seul maillon faible. On comprend et on applique compltement les procdures d'escalade. On mesure systmatiquement les ICP et ICO qui concernent les rsultats du service continu. Le management ajuste les plans de continuit des services en fonction des ICO et ICP.
118