Planificarea continuității afacerii - Business continuity planning

Planificarea continuității afacerii (sau continuitatea activității și planificarea rezilienței ) este procesul de creare a sistemelor de prevenire și recuperare pentru a face față amenințărilor potențiale pentru o companie. Pe lângă prevenire, obiectivul este de a permite operațiunile în curs de desfășurare înainte și în timpul executării recuperării dezastrelor .

Rezistența unei organizații la eșec este „capacitatea… de a rezista la schimbările din mediul său și funcționează în continuare”. Adesea numită rezistență, este o capacitate care permite organizațiilor să suporte schimbări de mediu fără a fi nevoie să se adapteze permanent, sau organizația este obligată să adapteze un nou mod de lucru care să se potrivească mai bine noilor condiții de mediu.

Prezentare generală

Orice eveniment care ar putea afecta negativ operațiunile ar trebui inclus în plan, cum ar fi întreruperea lanțului de aprovizionare , pierderea sau deteriorarea infrastructurii critice (mașini majore sau resurse de calcul / rețea). Ca atare, BCP este un subset de management al riscului . În SUA, entitățile guvernamentale se referă la proces ca la continuitatea planificării operațiunilor (COOP). Un plan de continuitate a afacerii prezintă o serie de scenarii de dezastru și pașii pe care întreprinderea îi va face în orice scenariu particular pentru a reveni la comerțul regulat. BCP sunt redactate înainte de timp și pot include, de asemenea, măsuri de precauție. Creat de obicei cu aportul personalului-cheie, precum și al părților interesate, un BCP este un set de contingențe pentru a minimiza daunele potențiale pentru întreprinderi în timpul scenariilor adverse.

elasticitate

O analiză din 2005 a modului în care întreruperile pot afecta negativ operațiunile corporațiilor și modul în care investițiile în rezistență pot oferi un avantaj competitiv față de entitățile care nu sunt pregătite pentru diverse contingențe, practici de planificare continuă a afacerilor comune. Organizațiile de afaceri precum Consiliul pentru competitivitate au îmbrăcat acest obiectiv de rezistență.

Adaptarea la schimbare într-o manieră aparent mai lentă, mai evolutivă - uneori de-a lungul mai multor ani sau decenii - a fost descrisă ca fiind mai rezistentă, iar termenul „rezistență strategică” este folosit acum pentru a depăși rezistența la o criză unică, ci mai degrabă continuu. anticipând și adaptând, „înainte ca cazul pentru schimbare să devină evident disperat”.

Această abordare este uneori rezumată ca: pregătire , protecție, răspuns și recuperare.

Teoria rezilienței poate fi legată de domeniul relațiilor publice. Rezistența este un proces comunicativ construit de cetățeni, familii, sistem media, organizații și guverne prin discuții de zi cu zi și conversație mediată.

Teoria se bazează pe activitatea lui Patrice M. Buzzanell , profesor la Școala de comunicare Brian Lamb de la Universitatea Purdue . În articolul ei din 2010, „Reziliența: vorbirea, rezistența și imaginarea noilor normalități în a fi”, Buzzanell a discutat despre capacitatea organizațiilor de a prospera după ce au avut o criză prin construirea rezistenței. Buzzanell observă că există cinci procese diferite pe care indivizii le folosesc atunci când încearcă să mențină rezistența - creează normalitatea, afirmă ancore de identitate, mențin și folosesc rețelele de comunicare, punând logica alternativă la treabă și redă sentimentele negative, în timp ce scoate în prim plan emoțiile pozitive.

Când privim teoria rezistenței, teoria comunicării crizei este similară, dar nu aceeași. Teoria comunicării de criză se bazează pe reputația companiei, dar teoria rezistenței se bazează pe procesul de recuperare a companiei. Există cinci componente principale ale rezistenței. Acestea sunt următoarele: elaborarea normalității, afirmarea ancorelor de identitate, menținerea și utilizarea rețelelor de comunicare, punerea în funcțiune a logicii alternative și redarea sentimentelor negative, în timp ce se pun în prim plan emoțiile negative. Fiecare dintre aceste procese poate fi aplicabil întreprinderilor în perioade de criză, ceea ce face ca rezistența să fie un factor important pentru companii care să se concentreze în timp ce se antrenează.

Există trei grupuri principale care sunt afectate de o criză. Sunt micro (individuale), meso (grup sau organizație) și macro (naționale sau interorganizaționale). Există, de asemenea, două tipuri principale de rezistență, care sunt proactive și post rezistență. Rezistența proactivă se pregătește pentru o criză și creează o bază solidă pentru companie. Post reziliența include continuarea menținerii comunicării și a check-in-ului cu angajații. Rezistența proactivă se ocupă de problemele disponibile înainte de a provoca o posibilă schimbare în mediul de muncă și post-rezistență menținând comunicarea și acceptând șansele după ce un incident s-a întâmplat. Rezistența poate fi aplicată oricărei organizații.

Continuitatea afacerii

Continuitatea activității este rezultatul intenționat al executării corecte a planificării continuității afacerii și recuperarea dezastrelor . Este compensația pentru cumpărarea rentabilă a mașinilor și serverelor de rezervă, efectuarea copiilor de rezervă și aducerea lor în afara amplasamentului, atribuirea responsabilității, efectuarea de exerciții, educarea angajaților și vigilența.

Un cost major în planificarea acestui lucru este pregătirea documentelor de gestionare a conformității auditului; instrumente de automatizare sunt disponibile pentru a reduce timpul și costurile asociate cu producerea manuală a acestor informații.

Mai multe standarde de continuitate a afacerilor au fost publicate de diferite organisme de standarde pentru a ajuta la listarea acestor verificări în curs.

Inventar

Planificatorii trebuie să aibă informații despre:

• echipament
• Furnizori și furnizori
• Locații, inclusiv alte birouri și de backup / recuperare (WAR) site - uri din zona de lucru
• Documente și documentație, inclusiv care au copii de rezervă în afara site-ului:
  • Documente de afaceri
  • Documentația de procedură

Analiză

Faza de analiză constă din

• analiza impactului
• analiza amenințărilor și
• scenarii de impact.

Cuantificarea ratelor de pierderi trebuie să includă, de asemenea, „dolari pentru apărarea unui proces”. S-a estimat că un dolar cheltuit în prevenirea pierderilor poate preveni „șapte dolari de pierderi economice legate de dezastre”.

Analiza impactului asupra afacerilor (BIA)

O analiză a impactului asupra afacerii (BIA) diferențiază funcțiile / activitățile organizației critice (urgente) și non-critice (non-urgente). O funcție poate fi considerată critică dacă este dictată de lege.

Fiecare funcție / activitate se bazează, de obicei, pe o combinație de componente constitutive pentru a opera:

• Resurse umane (personal cu normă întreagă, personal part-time sau contractori)
• Sisteme IT
• Active fizice (telefoane mobile, laptopuri / stații de lucru etc.)
• Documente (electronice sau fizice)

Pentru fiecare funcție, sunt atribuite două valori:

• Obiectivul punctului de recuperare (RPO) - latența acceptabilă a datelor care nu vor fi recuperate. De exemplu, este acceptabil ca firma să piardă 2 zile de date? Obiectivul punctului de recuperare trebuie să se asigure că pierderea maximă de date tolerabilă pentru fiecare activitate nu este depășită.
• Obiectivul timpului de recuperare (RTO) - intervalul de timp acceptabil pentru restabilirea funcției

RTO maximă

Limitele de timp maxime pentru cât timp produsele sau serviciile cheie ale unei întreprinderi pot fi indisponibile sau redistribuite înainte ca părțile interesate să perceapă consecințe inacceptabile au fost denumite:

• Perioada maximă de perturbare ( MTPoD )
• Timp de oprire maxim tolerat ( MTD )
• O întrerupere maximă tolerabilă ( MTO )
• Oprirea maximă admisă ( MAO )

Conform ISO 22301, termenii întreruperii maxime acceptabile și perioada maximă de perturbare acceptabilă înseamnă același lucru și sunt definiți folosind exact aceleași cuvinte.

consecvență

Când mai multe sisteme se prăbușesc, planurile de recuperare trebuie să echilibreze nevoia de coerență a datelor cu alte obiective, precum RTO și RPO. Obiectivul de consistență la recuperare (RCO) este numele acestui obiectiv. Acesta aplică obiective de coerență a datelor , pentru a defini o măsurare pentru coerența datelor de afaceri distribuite în sistemele interconectate după un incident de dezastru. Termenii similari folosiți în acest context sunt „Caracteristicile consistenței la recuperare” (CCR) și „Granularitatea obiectelor de recuperare” (ROG).

În timp ce RTO și RPO sunt valori per-sistem absolute, RCO este exprimată ca un procent care măsoară abaterea dintre starea reală și țintită a datelor de afaceri din sisteme pentru grupuri de procese sau procese individuale de afaceri.

Următoarea formulă calculează RCO cu „n” reprezentând numărul de procese de afaceri și „entități” reprezentând o valoare abstractă pentru datele de afaceri: ${\ displaystyle {\ text {RCO}} = 1 - {\ frac {({\ text {număr de entități inconsistente}}) _ {n}} {({\ text {număr de entități}}) _ {n} }}}$

100% RCO înseamnă că după recuperare, nu are loc abaterea datelor comerciale.

Analiza amenințărilor și riscurilor (TRA)

După definirea cerințelor de recuperare, fiecare amenințare potențială poate necesita pași unici de recuperare Amenințările comune includ:

Zonele de mai sus se pot cascada: Răspunsurile pot să se poticnească. Livrările pot fi epuizate. În timpul focarului SARS 2002-2003 , unele organizații au compartimentat și s-au rotit echipe pentru a se potrivi cu perioada de incubație a bolii. De asemenea, au interzis contactul în persoană, atât în ​​timpul orelor de afaceri, cât și al celui de afaceri Aceasta a crescut rezistența împotriva amenințării.

Scenarii de impact

Scenariile de impact sunt identificate și documentate:

• nevoie de rechizite medicale
• nevoie de opțiuni de transport
• impactul civil al dezastrelor nucleare
• necesitatea furnizării de afaceri și de prelucrare a datelor

Acestea ar trebui să reflecte cele mai mari daune posibile.

Niveluri de pregătire

Cele șapte niveluri de recuperare în caz de dezastru ale SHARE , lansate în 1992, au fost actualizate în 2012 de către IBM ca model de opt niveluri:

• Nivelul 0 - Fără date în afara site-ului • Companiile cu o soluție de recuperare în caz de dezastru Tier 0 nu au un plan de recuperare în caz de dezastre. Nu există informații salvate, nici o documentație, nici un hardware de rezervă și nici un plan de urgență. Timp tipic de recuperare: Durata timpului de recuperare în această instanță este imprevizibilă . De fapt, este posibil să nu se recupereze deloc.

• Nivel 1 - Backup de date fără site-ul fierbinte • Companiile care folosesc soluțiile de recuperare de calamități de nivel 1 de rezervă își rezervă copii de date într-o instalație în afara site-ului. În funcție de cât de des se fac copii de rezervă, acestea sunt pregătite să accepte câteva zile până la săptămâni de pierdere a datelor , dar copiile de rezervă ale acestora sunt sigure în afara site-ului. Cu toate acestea, acest nivel nu are sistemele pe care să restaureze datele. Metoda de acces la camion de preluare (PTAM).
• Nivelul 2 - Backup de date cu site-ul fierbinte • Soluțiile de recuperare de calamitate de nivel 2 realizează backup-uri regulate pe bandă. Acest lucru este combinat cu o instalație și infrastructură în afara amplasamentului (cunoscut sub numele de site fierbinte) în care să restaurați sistemele din aceste casete în caz de dezastru. Această soluție de nivel va duce în continuare la necesitatea de a recrea date în valoare de câteva ore până la zile, dar este mai puțin imprevizibilă în timpul recuperării . Printre exemple se numără: PTAM cu site-ul fierbinte disponibil, IBM Tivoli Storage Manager.
• Nivelul 3 - Robotarea electronică • Soluțiile de nivel 3 utilizează componente ale nivelului 2. În plus, unele date critice despre misiune sunt boltite electronic. Aceste date boltite electronic sunt de obicei mai actuale decât cele care sunt livrate prin PTAM. Drept urmare, există mai puține recăderi de date sau pierderi după un dezastru .
• Nivelul 4 - Copii punctuale în timp • Soluțiile de nivel 4 sunt utilizate de întreprinderile care necesită atât o monedă de date mai mare, cât și o recuperare mai rapidă decât utilizatorii de niveluri inferioare. În loc să se bazeze în mare parte pe bandă de transport, așa cum este obișnuit în nivelurile inferioare, soluțiile de nivel 4 încep să încorporeze mai multe soluții bazate pe disc. Mai multe ore de pierderi de date sunt încă posibile , dar este mai ușor să faceți astfel de copii punctuale în timp (PIT) cu o frecvență mai mare decât datele care pot fi replicate prin soluții pe bandă.
• Nivelul 5 - Integritatea tranzacțiilor • Soluțiile de nivel 5 sunt utilizate de către întreprinderile cu o cerință pentru consecvența datelor între centrele de date de producție și recuperare. Nu există prea puține pierderi de date în astfel de soluții; cu toate acestea, prezența acestei funcționalități depinde în totalitate de aplicația utilizată.
• Nivelul 6 - Zero sau pierdere mică de date • Soluțiile de recuperare în caz de catastrofe de nivel 6 mențin cele mai înalte niveluri de monedă de date . Acestea sunt utilizate de către întreprinderile cu toleranță mică sau deloc la pierderea datelor și care trebuie să restaureze rapid datele în aplicații. Aceste soluții nu au dependență de aplicații pentru a oferi consistența datelor.
• Nivelul 7 - Soluție extrem de automatizată, integrată în afaceri • Soluțiile de nivel 7 includ toate componentele majore utilizate pentru o soluție de nivel 6 cu integrarea suplimentară a automatizării. Acest lucru permite unei soluții de nivel 7 să asigure consistența datelor peste aceea care este acordată de soluțiile de nivel 6. În plus, recuperarea aplicațiilor este automatizată, permițând restaurarea sistemelor și aplicațiilor mult mai rapid și mai fiabil decât ar fi posibil prin procedurile manuale de recuperare în caz de catastrofe.

Proiectarea soluției

Două cerințe principale din etapa de analiză a impactului sunt:

• Pentru IT: cerințele minime de aplicare și date și timpul în care acestea trebuie să fie disponibile.
• În afara IT: păstrarea unei copii tipărite (cum ar fi contractele). Un plan de proces trebuie să ia în considerare personal calificat și tehnologie încorporată.

Această fază se suprapune planificării recuperării dezastrelor .

Faza de soluție determină:

• structura de comandă a gestionării crizelor
• arhitectura telecomunicațiilor între locurile de lucru primare și secundare
• metodologia de replicare a datelor între site-urile de lucru primare și secundare
• Site de rezervă - aplicații, date și spațiu de lucru necesar pe site-ul de lucru secundar

Standardele britanice actuale

British Standards Institution (BSI) a lansat o serie de standarde:

• BS 7799 , proceduri de securitate a informațiilor adresate periferic.
• 2006: BCP— BS 25999 -1,
• 2007: BS 25999-2 "Specificația pentru managementul continuității afacerii", care specifică cerințele pentru implementarea, operarea și îmbunătățirea unui sistem documentat de gestionare a continuității afacerii (BCMS).
• 2008: BS25777, special pentru alinierea continuității computerului la continuitatea activității. (retras martie 2011)
• 2011: ISO / IEC 27031 - Tehnici de securitate - Linii directoare pentru pregătirea tehnologiei informației și comunicațiilor pentru continuitatea activității.
• BS EN ISO 22301: 2019, standardul actual pentru planificarea continuității afacerii.

ITIL a definit unii dintre acești termeni.

În Marea Britanie, BS 25999-2: 2007 și BS 25999-1: 2006 sunt utilizate pentru gestionarea continuității afacerii în toate organizațiile, industriile și sectoarele. Aceste documente oferă un plan practic pentru a trata cele mai multe eventuale - de la condiții meteorologice extreme la terorism, eșecul sistemului IT și îmbolnăvirea personalului.

Legea privind contingențele civile

În 2004, în urma crizelor din anii precedenți, guvernul britanic a aprobat Legea privind contingențele civile din 2004 : Întreprinderile trebuie să aibă măsuri de planificare a continuității pentru a supraviețui și a continua să prospere în timp ce lucrează pentru a menține incidentul cât mai puțin posibil.

Actul a fost separat în două părți:

• Partea 1: protecția civilă, acoperirea rolurilor și responsabilităților pentru respondenții locali
• Partea 2: puteri de urgență

Australia și Noua Zeelandă

Regatul Unit și Australia au încorporat rezistența în planificarea lor de continuitate. În Regatul Unit, rezistența este pusă în aplicare la nivel local de Forumul local de reziliență .

În Noua Zeelandă, programul organizațiilor reziliente de la Universitatea Canterbury a dezvoltat un instrument de evaluare pentru evaluarea comparativă a rezistenței organizațiilor. Acesta acoperă 11 categorii, fiecare având între 5 și 7 întrebări. Un raport de reziliență rezumă această evaluare.

Implementare și testare

Faza de implementare implică modificări de politică, achiziții materiale, personal și testare.

Testarea și acceptarea organizațională

Cartea 2008 Exercising for Excellence , publicată de The British Standards Institution, a identificat trei tipuri de exerciții care pot fi folosite la testarea planurilor de continuitate a afacerii.

• Exerciții pe tablă - un număr mic de persoane se concentrează asupra unui aspect specific al unui BCP. O altă formă implică un singur reprezentant din fiecare din mai multe echipe.
• Exerciții medii - Mai multe departamente, echipe sau discipline se concentrează asupra mai multor aspecte ale BCP; domeniul de aplicare poate varia de la câteva echipe de la o clădire la mai multe echipe care operează în locații dispersate. Se adaugă „surprize” pre-scriptate.
• Exerciții complexe - rămân toate aspectele unui exercițiu mediu, dar pentru maximul realismului nu se adaugă nici o notificare de activare, evacuarea efectivă și invocarea unui site de recuperare a dezastrelor.

În timp ce orele de pornire și oprire sunt stabilite în prealabil, durata reală poate fi necunoscută dacă evenimentelor li se permite să își desfășoare cursul.

întreținere

Întreținerea semestrială sau anuală a ciclului de întreținere a unui manual BCP este împărțită în trei activități periodice.

• Confirmarea informațiilor din manual, transmite personalului pentru conștientizare și pregătire specifică pentru persoanele critice.
• Testarea și verificarea soluțiilor tehnice stabilite pentru operațiunile de recuperare.
• Testarea și verificarea procedurilor de recuperare a organizației.

Problemele găsite în faza de testare adesea trebuie reintroduse în faza de analiză.

Informații / obiective

Manualul BCP trebuie să evolueze cu organizația și să păstreze informații despre cine trebuie să știe ce

• o serie de liste de verificare
  • fișele postului, competențele necesare, cerințele de formare
  • documentare și gestionarea documentelor
• definiții ale terminologiei pentru a facilita comunicarea la timp în timpul recuperării dezastrelor ,
• liste de distribuție (personal, clienți importanți, furnizori / furnizori)
• informatii despre infrastructura de comunicare si transport (drumuri, poduri)

Tehnic

Trebuie menținute resurse tehnice specializate. Verificările includ:

• Distribuția de definire a virusului
• Securitatea aplicației și distribuția de patch-uri de servicii
• Operabilitate hardware
• Operabilitatea aplicației
• Verificarea datelor
• Aplicație de date

Testarea și verificarea procedurilor de recuperare

Modificările software-ului și ale procesului de lucru trebuie (re) documentate și validate, inclusiv verificarea faptului că activitățile documentate de recuperare a procesului de lucru și sprijinirea infrastructurii de recuperare a dezastrelor permit personalului să se recupereze în cadrul obiectivului de timp de recuperare predeterminat.

Standarde

Există multe standarde disponibile pentru a sprijini planificarea și managementul continuității afacerii. ISO a dezvoltat, de exemplu, o serie întreagă de standarde privind sistemele de management al continuității afacerilor:

• ISO 22301 : 2019 Securitate și reziliență - Sisteme de gestionare a continuității afacerii - Cerințe
• ISO 22313 : 2013 Securitate societală - Sisteme de gestionare a continuității afacerii - Orientare
• ISO / TS 22317 : 2015 Securitate societală - Sisteme de management al continuității afacerilor - Orientări pentru analiza impactului asupra afacerilor
• ISO / TS 22318 : 2015 Securitate societală - Sisteme de management al continuității afacerilor - Orientări pentru continuitatea lanțului de aprovizionare
• ISO / TS 22330 : 2018 Securitate și rezistență - Sisteme de gestionare a continuității afacerii - Orientări pentru aspectele oamenilor privind continuitatea afacerii
• ISO / TS 22331 : 2018 Securitate și rezistență - Sisteme de gestionare a continuității afacerii - Orientări pentru strategia de continuitate a afacerii
• ISO / IEC / TS 17021-6 : 2015 Evaluarea conformității - Cerințe pentru organismele care asigură auditul și certificarea sistemelor de management - Partea 6: Cerințe de competență pentru auditul și certificarea sistemelor de gestionare a continuității afacerii

Vezi si

Referințe

Citirea ulterioară

Statele Unite ale Americii

Bibliografie

• Planificarea continuității afacerii, FEMA , preluat: 16 iunie 2012
• Continuitatea planificării operațiunilor (fără dată). Departamentul SUA de Securitate Interioară . Preluat pe 26 iulie 2006.
• Scopul criteriilor de listă de verificare standard pentru recuperarea afacerilor (fără dată). Agenția Federală pentru Managementul Urgențelor . Preluat pe 26 iulie 2006.
• Standardul NFPA 1600 privind programele de gestionare a calamităților / situațiilor de urgență și de continuitate a afacerilor (2010). NFPA .
• Ghidul Y2k BCP al Oficiului General de Contabilitate al Statelor Unite (august 1998). Biroul de responsabilitate al Guvernului Statelor Unite .
• SPC.1-2009, "Rezistență organizațională: sisteme de securitate, pregătire și gestionare a continuității - Cerințe cu ghid pentru utilizare", aprobată de Institutul Național de Standarde American

Organizația Internațională pentru Standardizare

• ISO / IEC 27001: 2005 (fost BS 7799-2: 2002) Sistem de gestionare a securității informațiilor
• ISO / IEC 27002: 2005 (renumerat ISO17999: 2005) Managementul securității informațiilor - Cod de practică
• ISO / IEC 27031: 2011 Tehnologia informației - Tehnici de securitate - Orientări pentru pregătirea tehnologiei informației și comunicațiilor pentru continuitatea activității
• ISO / PAS 22399: 2007 Orientare pentru pregătirea incidentelor și gestionarea continuității operaționale
• ISO / IEC 24762: 2008 Orientări pentru serviciile de recuperare a dezastrelor în tehnologia informației și comunicațiilor
• IWA 5: 2006 Pregătirea de urgență
• ISO 22301: 2012 Securitate societală - Sisteme de gestionare a continuității afacerii - Cerințe
• ISO 22313: 2012 Securitate societală - Sisteme de gestionare a continuității afacerii - Orientare
• ISO / TS 22315: 2015 Securitate societală - Sisteme de gestionare a continuității afacerilor - Linii directoare pentru analiza impactului asupra afacerilor (BIA)
• ISO / IEC 27031 : 2011, "Securitatea informațiilor - Tehnici de securitate - Orientări pentru tehnologia informației și comunicațiilor [TIC] pregătire pentru continuitatea afacerii"

Instituția British Standards

• BS 25999 -1: 2006 Managementul continuității afacerii Partea 1: Codul de practică
• BS 25999-2: 2007 Managementul continuității activității Partea 2: Specificații

Standarde din Australia

• HB 292-2006, "Un ghid practicieni pentru managementul continuității afacerii"
• HB 293-2006, "Ghid executiv pentru managementul continuității afacerii"

Alții

• James C. Barnes (2001-06-08). Un ghid pentru planificarea continuității afacerii . ISBN 978-0471530152.
• Kenneth L Fulmer (2004-10-04). Planificarea continuității afacerii, un ghid pas cu pas . ISBN 978-1931332217.
• Richard Kepenach. Proiectarea planului de continuitate a afacerii, 8 pași pentru a începe să proiectăm un plan .
• Judy Bell. Planificarea supraviețuirii în caz de catastrofe: un ghid practic pentru afaceri . ISBN 978-0963058003.
• Dimattia, S. (15 noiembrie 2001). „Planificarea continuității” . Jurnalul Bibliotecii . 126 (19): 32–34.
• Andrew Zolli; Ann Marie Healy (2013). Rezistență: De ce lucrurile revin înapoi . Simon & Schuster. ISBN 978-1451683813.
• Glosar internațional pentru reziliență , DRI International.

linkuri externe

• Nivelurile de recuperare în caz de catastrofe și TSM. Charlotte Brooks, Matthew Bedernjak, Igor Juran și John Merryman. În, Strategii de recuperare în caz de dezastre cu Tivoli Storage Management. Capitolul 2. Pagini 21–36. Seria de cărți roșii. IBM. Software Tivoli. 2002.
• Gateway de stocare în cloud SteelStore: Ghid de bune practici pentru recuperarea în caz de catastrofe. Riverbed Technology, Inc. octombrie 2011.
• Niveluri de recuperare în caz de catastrofe. Robert Kern și Victor Peltz. Revista IBM Systems. Noiembrie 2003.
• Continuitatea afacerii: cele 7 niveluri ale recuperării dezastrelor. Specialități de recuperare. 2007.
• Operațiuni continue: Cele șapte niveluri ale recuperării dezastrelor. Mary Hall. Comunitatea de stocare (IBM). 18 iulie 2011. Adus la 26 martie 2013. </ref>
• Perioada maximă de perturbare (MTPOD)
• Perioada maximă de perturbare (MTPOD): răspunsul comisiei BSI
• https://web.archive.org/web/20160303215200/http://www.bccmanagement.com/mtpod.html
• https://web.archive.org/web/20090717220729/http://e-janco.com/MaximumTolerablePeriodofDisruption%20.html

• Ghidul planului de urgență al departamentului de securitate internă
• CIDRAP / SHRM Pandemic HR Ghid Toolkit
• Adaptați și răspundeți la riscuri cu un plan de continuitate a afacerii (BCP)