ビジネス継続性管理の概要と証明書
このページは機械翻訳を使用して翻訳されています。
概要
この文書は、Coupa SoftwareがCoupa Spendプラットフォームを介して本番用のSoftware as a Service製品のために維持しているビジネス継続性プログラムの概要を示しています。このプログラムは最高情報セキュリティ責任者によって監視され、最高レベルの経営幹部によってサポートされています。
Coupa内のビジネス継続性管理(BCM)は、重要なビジネスプロセスとオペレーションを維持するために必要な主要な担当者、リソース、サービス、アクションをカバーしています。この計画は、長期にわたるビジネスの混乱に対処することを目的としており、以下のポリシーとプロセスに含まれる情報に基づいています。
- 事業継続ポリシー
- ビジネス影響評価
- 事業継続計画
- データセンターの回復-支出プラットフォーム
- インシデント対応計画
- 活動回復計画
- 緊急時テスト-支出プラットフォーム
- ビジネス継続性-アクティビティ回復テスト
- インシデント対応テストと卓上演習
- 年間ビジネス継続性およびインシデント対応トレーニング
目的
BCMの目的は、以下を達成するための明確な行動方針を提示することです:
- 人命を保護し、Coupaの従業員、請負業者、訪問者の安全と幸福を確保します。
- 金融資産、商業資産、Coupaの競争力、評判、信用などの無形資産を含む、会社の資産、資産、記録、情報を保護することで、物理的資産の不要な損失の大きさを制限します。
- 深刻なビジネスの中断を引き起こすイベントにCoupaがどのように対応すべきかについて継続的な準備と教育を行うことで、危機の結果として生じるあらゆる対立、混乱、優柔不断を減らします。危機への対応は、Coupaの従業員と事業活動への中断の影響を低減することを目的として、組織化された、効果的かつ専門的なものでなければなりません。
- 重要なビジネスプロセスとコンポーネントに関する優先順位を設定します。
- 株主、従業員、顧客の信頼を維持します。
- 適用される法律や規制を遵守することで、法執行機関、規制当局、およびその他の政府機関との生産的な関係を維持します。
- できるだけ早く通常の業務に戻ります。
事業継続計画
Coupaは、すべての重要なビジネス活動の活動回復計画を含むビジネス継続計画を維持しています。事業継続戦略は毎年見直され、回復のための重要なプロセスと戦略が決定されます。ビジネス継続性プランの最終更新/レビューは9月21日です, 2020. 年次レビューおよび計画の一環として、各アクティビティはビジネス影響評価を完了し、変更または修正が必要かどうかを判断します。これらの影響評価は、年次プラットフォームリスク評価に組み込まれます。Coupaエンタープライズリスクマネジメント(ERM)チームは、リスクを特定、評価、修正するために設立されました。このチームは組織の横断的であり、すべての部門にわたって代表を持っています。ERMのリーダーシップは毎月、リスク環境の許容できない変化の監視と優先順位付けを行います。
事業継続計画と災害復旧活動をサポートするために、復旧戦略をサポートするBCMチームが作成され、危機管理チームとしても機能します。このチームは、危機や災害へのCoupaの対応の全体的な調整を効果的かつタイムリーに管理し、組織の収益性、評判、および運営能力へのダメージを回避または最小化します。
BCMのコンポーネントは、特定されたチームメンバーによって毎年1回以上レビューおよび更新されます。さらに、Coupaはビジネス継続性とインシデント対応計画の毎年のトレーニングとテストを必要とします。次に、特定された調査結果は文書化され、リスクが許容レベルに緩和されるまで追跡されます。
データセンターの回復
Coupaは世界クラスのデータセンターを持つインフラストラクチャプロバイダー(IaaS)を選択し、Coupaが高レベルの中断のないサービスをクライアントに提供できるようにします。Coupaの顧客のほとんどは、アマゾンウェブサービス(AWS)グローバルインフラストラクチャでホストされています。AWSは、信頼性が高く、スケーラブルで安全な環境を提供します。Coupaは、AWSグローバルインフラストラクチャ内で実行されることから、いくつかのプロセスとスケーラビリティ保護を継承します。Coupaは、AWSアーキテクトと定期的に協力して、セキュリティ、可用性、整合性に関するAWSのベストプラクティスとの整合性を検証します。下の図に示すように、Coupaの本番バックアップ構成は、2つの異なる地理的領域にわたる3つの異なる一意のデータセンター全体で、ソース、レプリカ、および3次レプリカアーキテクチャで実行されます。データセンターの復旧計画プロセスは、インフラストラクチャプロバイダーおよびサブプロセッサーによって管理されます。本番環境をサポートする各プロバイダーは、リスクアセスメントを受け、セキュリティと回復の戦略をレビューします。
内部年次レビューの一環として、目標復旧時間(RTO)と最大許容ダウンタイム(MTD)が計算され、更新されます。データセンターの復旧計画のため、ダウンタイムはまれであると予想されますが、災害が発生した場合、RTOは60分です。
重要なプロセス | RTO | MTD |
---|---|---|
顧客へのCoupaアプリケーションの提供 | 1時間 | 24時間 |
Coupa顧客へのサポートの利用可能性(コールセンターとポータル) | 4時間 | 24時間 |
運用担当者の対応可能性(サイト信頼性エンジニアリング) | 1時間 | 24時間 |
開発担当者の対応可能性 | 2時間 | 24時間 |
主要なドキュメントと手順へのアクセスと可用性 | 1時間 | 24時間 |
テスト、演習、トレーニング
緊急時対応計画およびテスト-支出プラットフォーム
クラウド運用チームは、緊急時対応計画の開始、管理、実装を担当します。クラウド運用チームは、インシデント対応や予防的なメンテナンスなどの日常業務も担当します。Coupaはアマゾンウェブサービス(AWS)でホストされており、AWSは世界中の複数のデータセンターや地域で大規模な容量と冗長性を持っているので、これらの要素はCoupaと顧客にとってリスクが低いです。Coupaは現在、ホットサイトと呼ばれる災害復旧サイト戦略で実行されています。
Coupaデータセンターの緊急時テストは、少なくとも毎年実施され、回復プロセスと手順が成功することを確認します。最新のテストは9月9日に完了しましたth、次の目的で2020
- システム有効化の有効性を評価する
- 自動システム回復の有効性を評価する
- 復旧チームのエスカレーションと調整の有効性を評価する
- 通知手順の有効性を評価する
- リカバリドキュメント内で運用手順書とプロセス改善の機会を特定する
チェックリストには、計画が正確であるかどうかを確認するタスク、および提供されたリソースが含まれます。各アクティビティのリカバリ計画の実装、リカバリの責任者がプランの詳細に精通しているかどうかのチェック、プランで指定されたすべてのステップの実装のチェック、事前定義された期限内のすべての義務の完了、代替手順を開始し(必要な場合)、必要なすべてのリソース(復旧データを含む)を確保し、個々のチームメンバー間で、他の復旧チーム、危機管理チーム、およびその他の関係者に連絡して警告手順を有効にし、復旧計画との調和を図る他の活動の、および計画を改善するためにコメントや提案を作成する。
ビジネス継続性およびアクティビティ回復テスト
効果的な事業継続計画と手順を実行するためのCoupa機能を検証するために、チェックリストとレビュー演習を実施して、Coupa事業継続計画、アクティビティ回復計画、インシデント対応計画に関連するプロセスと手順を分析します。
各アクティビティには、ビジネス継続性目標の完了とレビューのためのチェックリストが表示されます。チェックリストのテストには、アクティビティとコンプライアンスマネージャーによる回復のための技術のレビュー、監査、検証、検証が含まれます。次に、これらのチェックリストを使用して、以下の方法で内部のディスカッションとチームのトレーニングを促進し、Coupaのビジネス継続性の成熟を支援します。
- 特定された手順がBCPの目的を確実に満たすようにする。
- BCPが組織のニーズを満たすようにする
- Coupaの担当者に必要なトレーニングを特定し、
- BCPと手順の欠点を特定する。
チェックリストには、計画が正確であるかどうかを確認するタスク、および提供されたリソースが含まれます。各アクティビティの復旧計画の実装、復旧担当者が計画の詳細に精通しているかどうかの確認、計画で指定されたすべてのステップの実装の確認、事前定義された期限内のすべての義務の完了、代替手順を開始し(必要な場合)、必要なすべてのリソース(リカバリデータを含む)を確保し、個々のチームメンバー間で、他のリカバリチーム、危機管理チーム、および他の関係者への連絡および警告手順を有効にして、のリカバリ計画との整合を達成します。他の活動、および計画を改善するためにコメントや提案を作成する。
インシデント対応の演習とテスト
上記と同じ方法を使用して、インシデント対応チームのためにチェックリスト演習が使用されました。さらに、このチェックリスト方法に加えて、卓上演習も実施されました。テーブルトップの演習は、参加者がインシデントに対応して取るアクションに対処するために「教室」の設定で参加者が行うディスカッションベースのイベントです。テーブルトップは、担当者が危機シナリオに関連するあらゆる問題を話し合うための効果的な最初のステップです。これらの演習は、役割と責任を調査し、相互依存関係を発掘し、計画を評価するための優れたフォーラムを提供します。
この演習の参加者には、インシデント対応計画に影響を与えるシナリオが提示されます。進行役は、演習の目的に取り組むための質問をすることで、ディスカッションのガイドを手助けします。進行役は、シナリオに変更を加えてさらに議論を促すこともできます。参加者は互いに質問することも推奨されます。
この演習の目的は次のとおりです。
- インシデントを識別するチームの能力を検証します。
- 確認されたインシデントに対応するチームの能力を検証します。
- インシデント対応の責任を持つすべての担当者が割り当てられた役割に精通していることを確認するために行う必要がある追加のトレーニングを特定します。
- インシデント対応計画の欠点を特定します。
目的は、提示されたシナリオのインシデント対応の処理段階(準備、特定、封じ込め、根絶、回復、フォローアップ)の議論を通して満たされます。インシデント対応チームのメンバーは、インシデント対応プロセスにおけるファシリテーターの役割に関してグループに提示された質問に回答します。インシデント対応計画は、テストの参照としてすべてのチームメンバーに提供されました。これはテストではなく、Coupaがインシデントに対応するための現在の能力を測定するために使用するツールであることに注意してください。これは、インシデント対応チームメンバーにとって、エクササイズファシリテーターにとっての学習メカニズムです。これらの演習のデータは、Coupaが学んだ教訓をまとめ、インシデント対応能力を管理するポリシーと手順に組み込むのに役立ちます。これらの演習は、チームメンバーがIRプロセス内の責任の領域外のすべての役割を理解するのに役立ち、プロセスと手順を完全に理解することで、将来のインシデントへの円滑な対応を促進します。
ビジネス継続性、アクティビティ回復、インシデント対応テスト結果
ビジネス継続性およびインシデント対応のテスト/演習の結果はレビューされ、1つの企業レポートにまとめられます。このレポートは、レビューとアクションのために、リーダーシップとERMチームに送信されます。不適合または調査結果は、修復および終了のためにERM発券キューに文書化されます。コンプライアンスマネージャーは、レポートの完成と不適合の追跡を担当します。最新のテストおよびエクササイズ期間中、大きな発見はありませんでした。軽微な発見はすべて文書化されており、解決されるまで追跡されます。
有効化/通知
Coupaでは、顧客向けの災害復旧コミュニケーション計画を策定しています。災害発生時に、さまざまな販売店を通じて顧客と連絡を取るためのプロセスが確立されています。顧客および利害関係者は、CoupaサポートポータルまたはCoupaウェブサイトを介してCoupa支出プラットフォームのステータスを確認できます。
インシデント対応トレーニング
CoupaUコンピューターベースのトレーニングライブラリにインシデント対応トレーニングが追加されました。インシデント対応プロセスに不可欠なチームメンバーは、毎年このコースを受講する必要があります。
コース内容:
- はじめに
- インシデント対応手順
- 通知
- トリアージ
- 開いている/進行中
- 封じ込め
- 問題管理
- ナレッジチェック-インシデントシナリオ
- クイズ