แผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan)
1.1 ที่มาและความสำคัญ ตระหนักถึงความเสี่ยงหลากหลายที่อาจส่งผลกระทบต่อการดำเนินงาน ทั้งภัยธรรมชาติ ระบบสารสนเทศล่ม เกิดเหตุฉุกเฉินด้านความปลอดภัย หรือการระบาดของโรค แผนบริหารความต่อเนื่องทางธุรกิจ ฉบับนี้จึงจัดทำขึ้นเพื่อรักษาความต่อเนื่องของบริการ ลดความสูญเสียด้านการเงิน ทรัพย์สิน และภาพลักษณ์องค์กร
1.2 เหตุผลการณ์ เพื่อให้มั่นใจว่าบริษัทฯ สามารถดำเนินต่อเนื่องได้ภายใต้สถานการณ์วิกฤตหรือภาวะฉุกเฉิน ทุกรูปแบบ ได้แก่
- ภัยธรรมชาติ (น้ำท่วม แผ่นดินไหว ไฟป่า)
- เหตุการณ์ฉุกเฉินทางเทคนิค (ไฟดับ ระบบสารสนเทศล่ม)
- ภัยคุกคามด้านความมั่นคง (ก่อการร้าย จลาจล)
- การระบาดของโรคติดต่อ
1.3 กรอบอ้างอิงมาตรฐาน แผนบริหารความต่อเนื่องทางธุรกิจนี้จัดทำให้สอดคล้องกับข้อกำหนดของมาตรฐานสากล ISO 22301:2019 ซึ่งกำหนดกรอบการจัดตั้งระบบบริหารความต่อเนื่องทางธุรกิจ (BCMS) เพื่อวางแผน ดำเนินการ ติดตาม และปรับปรุงอย่างต่อเนื่อง
1.4 การทบทวนแผนบริหารความต่อเนื่องทางธุรกิจ บริษัทฯ มีการทบทวนแผนบริหารความต่อเนื่องทางธุรกิจ เป็นระยะ เพื่อให้การจัดการภาวะฉุกเฉินเป็นไปอย่างเป็นระบบ มีประสิทธิภาพ และสอดคล้องกับนโยบายความเสี่ยงขององค์กร
1.5 ความสำคัญต่อผู้มีส่วนได้ส่วนเสีย แผนบริหารความต่อเนื่องทางธุรกิจ นี้ถือเป็นเครื่องมือสำคัญในการ
- สร้างความเชื่อมั่นแก่ลูกค้าและพันธมิตรธุรกิจ
- ปกป้องทรัพย์สินบุคคล และข้อมูลสำคัญ
- รักษาภาพลักษณ์และชื่อเสียงของแบรนด์ในตลาดไทยและต่างประเทศ
- ลดผลกระทบเชิงมูลค่าทางธุรกิจเมื่อเกิดเหตุฉุกเฉิน
2.1 ลดระยะเวลาหยุดชะงักของระบบและการให้บริการ
2.1.1 กำหนดเป้าหมายเวลา (RTO & RPO)
- Recovery Time Objective (RTO) สำหรับระบบสำคัญ ไม่เกิน 7 วัน
- Recovery Point Objective (RPO) สำหรับฐานข้อมูลลูกค้า ระยะเวลา ไม่เกิน 7 วัน
2.1.2 มาตรการสำรองระบบ
- จัดเตรีม DR Cold Site ของ ระบบปฏิบัติการหลัก
- สำรองข้อมูลบน Cloud Backup อย่างสม่ำเสมอ
- จัดหาและบำรุงรักษาอุปกรณ์รวมทั้งซอฟแวร์ที่เกี่ยวข้อง
2.1.3 การทดสอบและปรับปรุง
- จัดซ้อม Full-Scale Drill อย่างน้อยปีละ 1 ครั้ง เพื่อประเมินประสิทธิภาพและปรับปรุงแผนให้มีความพร้อมสูงสุด
2.2 ปกป้องทรัพย์สิน บุคลากร และข้อมูลสำคัญ
การสำรองและเข้ารหัสข้อมูล
- สำรองข้อมูลประจำวัน(Daily Backup) และสำรองข้อมูลเชิงกลยุทธ์ (Off-site Backup)
- ใช้เทคโนโลยีเข้ารหัสข้อมูลทั้งขณะพัก (Data at Rest) และระหว่างโอนย้าย (Data in Transit)
2.2.2 ความปลอดภัยด้านกายภาพและระบบ
- ระบบควบคุมการเข้า–ออกอาคาร พร้อมกล้องวงจรปิด (Access Control & CCTV)
- จัดเตรียมระบบสำรองไฟฟ้า UPS/Generator เพื่อดูแลอุปกรณ์สำคัญ
2.2.3 การดูแลบุคลากร
- จัดทำและฝึกซ้อมแผนอพยพและฝึกซ้อมหนีไฟ (Fire Drill)
2.3 รักษาชื่อเสียงและความเชื่อมั่นของลูกค้า
2.3.1 แผนสื่อสารภายนอก
- แต่งตั้งโฆษก (Spokesperson) เพื่อให้ข้อมูลที่ถูกต้องและสอดคล้องกัน
- กำหนดช่องทางหลักสำหรับการสื่อสาร ได้แก่ เว็บไซต์บริษัท (Website), โซเชียลมีเดีย (Social Media) และอีเมล (Email)
- จัดทำและเก็บรักษาแบบฟอร์มต้นแบบสำหรับแจ้งเตือนเหตุการณ์และอัปเดตสถานการณ์ (Incident Notification Template) พร้อมระบุกรอบเวลาการแจ้งครั้งแรกภายใน 2 ชั่วโมงหลังตรวจพบเหตุการณ์
2.3.2 การจัดการประชาสัมพันธ์ในภาวะวิกฤต (PR Crisis Management)
- เรียกประชุมฉุกเฉินระหว่างทีมประชาสัมพันธ์ แผนกกฎหมาย สายงานทรัพยากรมนุษย์ และสายงานอื่นๆที่เกี่ยวข้อง ทันทีเมื่อเกิดเหตุการณ์ เพื่อประเมินความเสี่ยงและกำหนดแนวทางตอบโต้
- จัดเตรียมเอกสารมาตรฐานสำหรับตอบคำถามลูกค้า (FAQ) ครอบคลุมประเด็นสำคัญและช่องทางติดต่อกลับ
- กำหนดแนวทางการชดเชย (Compensation Guidelines) แยกตามระดับความรุนแรงและผลกระทบ เพื่อสร้างความเป็นธรรมและเรียกคืนความเชื่อมั่น
2.3.3 การประเมินความพึงพอใจหลังวิกฤต
- ตรวจสอบระดับความพึงพอใจของผู้ใช้งาน/ผู้มีส่วนได้ส่วนเสียต่อการตอบสนองและการฟื้นฟู
- เก็บข้อมูลจุดแข็งและจุดอ่อนของกระบวนการ BCP ที่เกิดขึ้นจริง
- นำ Feedback มาปรับปรุงแผน เพิ่มประสิทธิภาพการตอบสนองในอนาคต
คณะกรรมการบริหารความเสี่ยง (Crisis & Risk Management Committee) มีหน้าที่หลักในการกำหนดทิศทาง นโยบาย และกรอบการบริหารความเสี่ยงควบคู่กับการเตรียมความพร้อมรับมือภาวะวิกฤต โดยมีนโยบายสำคัญดังนี้
3.1 กรอบการบริหารความเสี่ยง (Risk Management Framework)
- คัดกรองและประเมินความเสี่ยงทั้งภายในและภายนอกองค์กร เพื่อให้เห็นภาพรวมที่รอบด้าน
- ออกแบบมาตรการควบคุมที่เหมาะสม เพื่อลดผลกระทบหากเกิดเหตุไม่คาดฝัน
3.2 2. ระบบความต่อเนื่องทางธุรกิจ (BCMS)
- วางแผนและจัดสรรทรัพยากรอย่างเป็นระบบ เพื่อให้การดำเนินงานสำคัญยังคงเดินหน้าต่อได้
- กำหนดเกณฑ์ชัดเจนสำหรับการดำเนินมาตรการฉุกเฉิน (Activation Criteria) เพื่อเรียกใช้แผนได้ทันท่วงที
3.3 ติดตามและทบทวนอย่างสม่ำเสมอ
- นำข้อเสนอแนะจากการซ้อม (Drill & Exercise) มาปรับปรุงแผน ให้สอดคล้องกับสถานการณ์จริง
4.1 การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยง (Risk Assessment) เป็นขั้นตอนสำคัญในการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan – BCP) ของบริษัท ดิเอราวัณ กรุ๊ป โดยมีวัตถุประสงค์เพื่อ:
4.1.1 ระบุภาวะวิกฤตที่อาจเกิดขึ้น พิจารณาภัยคุกคามและเหตุการณ์ที่อาจส่งผลกระทบต่อการดำเนินงาน เช่น ไฟไหม้ น้ำท่วม ไฟดับ โรคระบาด แผ่นดินไหว และการรั่วไหลของข้อมูล
4.1.2 ประเมินความน่าจะเป็น (Likelihood) กำหนดระดับความเป็นไปได้ของแต่ละเหตุการณ์ที่จะเกิดขึ้น แบ่งเป็น “ต่ำ”, “ปานกลาง” และ “สูง”
4.1.3 ประเมินผลกระทบ (Impact) พิจารณาความรุนแรงของผลกระทบทั้งในด้านการเงิน ชื่อเสียง และการปฏิบัติการ หากเหตุการณ์นั้นเกิดขึ้น
4.1.4 กำหนดระดับความเสี่ยง (Risk Level) ประเมินร่วมกันระหว่างความน่าจะเป็นและผลกระทบ เพื่อกำหนดลำดับความสำคัญในการจัดการและจัดสรรทรัพยากร
4.1.5 กำหนดมาตรการควบคุมหลัก (Key Controls) วางแนวทางป้องกันและลดผลกระทบเฉพาะเหตุการณ์ พร้อมทั้งมาตรการเตรียมความพร้อมและตอบสนองอย่างมีประสิทธิภาพ
| ภาวะวิกฤต | ความน่าจะเป็น | ผลกระทบ | ระดับความเสี่ยง | มาตรการควบคุมหลัก |
|---|---|---|---|---|
| ไฟไหม้ | ปานกลาง | สูง | สูง |
|
| น้ำท่วม | ต่ำ | ปานกลาง | ปานกลาง |
|
| ไฟดับ | ต่ำ | ต่ำ | ต่ำ |
|
| โรคระบาด | ปานกลาง | สูง | สูง |
|
| แผ่นดินไหว | ต่ำ | ปานกลาง | ปานกลาง |
|
| ข้อมูลรั่วไหล | ปานกลาง | สูง | สูง |
|
4.2 การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis (BIA) เพื่อระบุระบบและกระบวนการปฏิบัติการหลักที่สนับสนุนการดำเนินงานในภาพรวม ทั้งด้านการเงิน การบัญชี การจัดซื้อ–จัดหา ทรัพยากรบุคคล IT และบริการสนับสนุนกลาง
| กิจกรรมหลัก | คำอธิบาย | ผลกระทบหากล่ม |
|---|---|---|
| ระบบ “Enterprise Resource Planning “ | ระบบบันทึก–ประมวลผลข้อมูลบัญชี รายรับ–รายจ่าย และต้นทุน | ขาดภาพรวมทางการเงิน, ล่าช้าการจัดทำงบการเงิน |
| ระบบการจัดทำงบการเงิน และรายงาน | การจัดทำรายงานงบการเงิน |
|
| ระบบบริหารทรัพยากรบุคคลและเงินเดือน | การบันทึกข้อมูลพนักงาน, คำนวณเงินเดือน, สวัสดิการ และภาษี |
|
| ระบบเทคโนโลยีสารสนเทศ | ระบบเครือข่าย ระบบสำรองหลัก การเข้ารหัส การดูแลรักษาความปลอดภัย |
|
เมื่อเกิดเหตุขัดข้อง ทีมฟื้นฟูระบบฉุกเฉินจะดำเนินการดังนี้
5.1 แจ้งเหตุทันที
เจ้าหน้าที่ปฏิบัติการรายงานสถานการณ์ไปยังผู้รับผิดชอบหลักทันทีที่พบปัญหา
5.2 แต่งตั้งผู้นำทีมสำรอง
หากผู้รับผิดชอบหลักไม่พร้อมปฏิบัติ ให้ผู้บริหารสำรองเข้ามารับหน้าที่นำทีมและตัดสินใจ
5.3 ตรวจสอบความปลอดภัยพื้นที่
ยืนยันว่าพื้นที่ปฏิบัติการปลอดภัยก่อนเข้าไปทำงาน ทั้งไฟฟ้าและแก๊สดับเพลิง
5.4 ประเมินความเสียหายเบื้องต้น
ตรวจดูอุปกรณ์ ไฟล์ และสำรองข้อมูล เพื่อคำนวณเวลาและทรัพยากรที่ต้องใช้
5.5 เรียกใช้บริการภายนอก
ประสานงานกับผู้ให้บริการ DR Cold Site, ระบบสำรองข้อมูลบนคลาวด์ และผู้จำหน่ายอุปกรณ์ที่จำเป็น
5.6 วางแผนและจัดสรรทรัพยากร
กำหนดลำดับขั้นตอนและกำหนดกรอบเวลา (RTO/RPO) ให้สอดคล้องกับนโยบาย
5.7 เริ่มกระบวนการกู้คืน
- ดำเนินการกู้คืนตามแผนสำรองข้อมูลหรือใช้ระบบสำรอง (Short-term Plan / Backup-driven Recovery)
- ติดตามผลจนระบบกลับมาใช้งานได้ตามเป้าหมาย