Embedded Files
โปรโมชั่น ประจำปี 2568
RPO (Recovery Point Objective) ค่าพารามิเตอร์ที่สำคัญเพื่อความต่อเนื่องทางธุรกิจ
RPO (Recovery Point Objective) ค่าพารามิเตอร์ที่สำคัญเพื่อความต่อเนื่องทางธุรกิจ
แม้ว่าจะมี คำจำกัดความที่ชัดเจนของพารามิเตอร์นี้ (ISO 22300) เช่นเดียวกับคำอธิบายโดยละเอียดหลายประการในวิธีการและแนวทางปฏิบัติ (รวมถึงแนวทางปฏิบัติที่ดีของ BCI (Business Continuity Institue Good Practice Guidelines) หรือพจนานุกรมคำศัพท์ BCM ของ BCI) แต่การรับรู้ถึง RPO ในฐานะพารามิเตอร์ความต่อเนื่องมักจะแตกต่างกันมาก สาเหตุหลักคือ
RPO ได้รับการร้องขอจากแหล่งใด
RPO มีคำบรรยายและคำอธิบายอย่างไร
RPO ได้รับการร้องขอเพื่อจุดประสงค์ใด
แหล่งที่มาของคำขอ RPO
หาก RPO แสดงถึง พารามิเตอร์เดียวที่เหมือนกันในทั้งองค์กร ใครจะมีอิทธิพลที่ชี้ขาดต่อการตัดสินใจนั้นถือเป็นสิ่งสำคัญ ผู้ใช้เฉพาะ จะเป็นผู้ประเมินความสำคัญของความพร้อมใช้งานของแอปพลิเคชันเฉพาะ ด้วยข้อมูลปัจจุบันและสมบูรณ์สำหรับงาน ตลอดจน RTO ของกระบวนการ, กิจกรรม, หรือสินทรัพย์ที่เกี่ยวข้องหรือไม่ หรือจะเป็นผู้สนับสนุนทางธุรกิจที่รวบรวมข้อกำหนดของผู้ใช้ สำหรับการบำรุงรักษาและพัฒนาแอปพลิเคชัน, ประสานงานขั้นตอนที่เกี่ยวข้องกับซัพพลายเออร์/ผู้ดูแลระบบ, และรับผิดชอบงบประมาณสำหรับการลงทุนและการสนับสนุนการดำเนินงานของแอปพลิเคชัน, หรือเป็นผู้จำหน่าย/ผู้ดูแลระบบแอปพลิเคชันที่ทราบความสามารถทางเทคนิค, สถาปัตยกรรม, และการเชื่อมโยงระหว่างกระบวนการบริการไอทีที่เกี่ยวข้อง
คาดว่าแต่ละฝ่าย จะมีมุมมองเกี่ยวกับระดับของ RPO ที่แตกต่างกัน และการประเมินของฝ่ายต่างๆ ก็จะแตกต่างกันไป การประเมิน RPO จึงขึ้นอยู่กับหลายปัจจัย เช่น ต้นทุนในการบำรุงรักษา, การกู้คืนข้อมูลเทียบกับการประเมินความเสียหาย และการสูญเสียที่เกิดขึ้น และความเป็นไปได้ด้านเทคนิค/ความจุ
RPO (Recovery Point Objective) คืออะไร?
นิยามของ RPO ตามมาตรฐาน ISO22300:2018 กล่าวไว้ว่า
"Recovery Point Objective" (RPO) = Point to which information used by an activity is restored to enable the activity to operate on resumption
Note 1 to entry: Can also be referred to as "maximum data loss"
RPO หรือ เป้าหมายจุดที่สามารถย้อนกลับไปได้ โดยนิยามแล้ว หมายถึง จุดที่ข้อมูลสารสนเทศ ที่ใช้ในกิจกรรมได้ถูกจัดเก็บ สามารถเรียกกลับมาเพื่อให้สามารถดำเนินกิจกรรมใหม่ได้
หมายเหตุ: อาจเรียกอีกอย่างหนึ่งว่า "การสูญเสียข้อมูลสูงสุด"
ทั้งนี้ขึ้นอยู่กับความรู้ของผู้ดูแลระบบบริหารความต่อเนื่องทางธุรกิจ(BCMS) ซึ่งจะต้องสามารถกำหนดอัตรา RPO ในบริบทโดยรวมของการวางแผนความต่อเนื่องทางธุรกิจได้
ดังนั้น หากอธิบายจากแผนภาพ RPO หมายถึง จุดที่สามารถย้อนเวลากลับไปได้ และสามารถนำข้อมูลสารสนเทศที่มีการสำรองข้อมูล (Backup data) จากอดีตจนถึงเวลา ณ ขณะนั้น เช่น RPO กำหนดไว้ 24 ชั่วโมง เมื่อเกิดเหตุ แล้วหมายความว่า จะมีการสูญเสียข้อมูลหรือเสียหายสูงสุดที่ 24 ชั่วโมง
เราสามารถตัดสินใจเกี่ยวกับ RPO ได้หลายวิธี เช่น
ฉันได้เห็นผู้ดูแลระบบบริหารความต่อเนื่องทางธุรกิจ สอบถามกับพนักงานคนหนึ่งโดยไม่ได้อธิบายอะไรมากนักว่า "บอกข้อมูล หรือไม่ก็หาข้อมูลว่า ข้อมูลในแอปพลิเคชันได้รับการสำรองข้อมูลบ่อยแค่ไหน แล้วเราจะเพิ่ม RPO เข้าไปตามนั้น" หากเป็นวันละครั้ง RPO จะเป็น 24 ชั่วโมง"
หรือ ผู้ดูแลระบบบริหารความต่อเนื่องทางธุรกิจ จะส่งแบบสอบถามทางอีเมลจำนวนมาก โดยเลือกช่วงเวลาได้ตั้งแต่ 15 นาทีถึง 72 ชั่วโมง
หรือ การตั้งค่าเริ่มต้นของจำนวน RPO ขึ้นอยู่กับจำนวน RTO (Recovery Time Objective) (เช่น หาก RTO คือ ครึ่งวัน RPO จะเป็น 1 ชั่วโมง)
อย่างไรก็ตาม ในทางปฏิบัติ บ่อยครั้งที่เราอาจประสบกับสถานการณ์ต่างๆ มากมาย เช่น เจ้าของกระบวนการสามารถคืนค่ากระบวนการโดยไม่ต้องใช้ข้อมูล (หรือ รักษาความปลอดภัยของกระบวนการ โดยอิสระจาก ทีมกู้คืนจากแหล่งภายนอก), เจ้าของกระบวนการสามารถคืนค่ากระบวนการ โดยไม่ต้องใช้ข้อมูล แต่ร้องขอการกู้คืนในอนาคต เพื่อนำไปใช้กับข้อมูลนั้นในภายหลัง หรือเจ้าของกระบวนการไม่สามารถยอมรับการสูญเสียข้อมูลได้, เนื่องจากจะก่อให้เกิดอันตรายอย่างร้ายแรงต่อระดับ RTO ที่จำเป็น
จุดประสงค์ของการกำหนด RPO
ประเด็นนี้สำคัญที่สุด ทำไมเราถึงต้องการทราบค่า RPO และเราตั้งใจจะใช้มันเพื่ออะไร? มาดูคำจำกัดความที่ระบุว่า ต้องกู้คืนข้อมูลเพื่อให้กิจกรรมสามารถดำเนินการต่อได้ ซึ่งหมายความว่า เป้าหมายไม่ใช่ เพื่อค้นหาว่าในกรณีที่สูญเสียข้อมูลในที่เก็บข้อมูลหลัก เราจะสามารถเข้าถึงข้อมูลสำรอง (กู้คืน) ได้นานแค่ไหน แต่เพื่อให้แน่ใจว่าข้อมูลเหล่านั้นพร้อมใช้งาน สมบูรณ์ และน่าเชื่อถือในแอปพลิเคชันที่เกี่ยวข้อง เพื่อให้ผู้ใช้ที่เกี่ยวข้องสามารถใช้งานได้ (กู้คืน)
ในเวลาเดียวกัน มักจะเป็นเรื่องยากมากที่จะระบุปริมาณข้อมูลทั้งหมด ในแอปพลิเคชันด้วยตัวเลขเวลาเดียว ดังนั้น ค่า RPO ควรมีคำอธิบายถึงกิจกรรมเฉพาะภายในหัวข้อ BIA (Business Impact Analysis) ที่ข้อกำหนดการกู้คืนข้อมูลใช้ ตัวอย่างเช่น แอปพลิเคชัน XY – การดูตัวอย่างข้อเสนอการจัดหาและการสร้างใบแจ้งหนี้ – สูญเสียข้อมูลสูงสุด 1 ชั่วโมง
และความจริงก็คือ RPO แสดงถึงความคาดหวังหรือสถานะเป้าหมายที่เหมาะสมที่สุด ไม่ใช่ข้อผูกมัดที่ต้องสมจริงในปัจจุบัน
การนำระบบบริหารต่าง ๆ ขององค์กรมาประยุกต์ ช่วยให้สามารถบริหารสถานการณ์ฉุกเฉินได้ และสามารถตอบสนองภาวะการหยุดชะงักทั้งจากปัจจัยภายในและภายนอกองค์กร และยังคงสามารถดำเนินธุรกิจได้อย่างต่อเนื่อง การนำระบบบริหารความต่อเนื่องทางธุรกิจ (ISO22301 Business Continuity Management System) และระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) มาประยุกต์ใช้ เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความมุ่งมั่น ก้าวสู่การเป็นองค์กรที่มีความพร้อมในทุกสภาวะวิกฤติ, สร้างเสถียรภาพในการให้ผลิต/ให้บริการ, และเพิ่มสมรรถนะในการแข่งขันขององค์กร สร้างความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ
สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร
ติดต่อที่ปรึกษาจัดทำระบบ ISO22301, ISO27001, BCP หรืออื่น ๆ โทร. 084-1147666
#BCMS, #BusinessContinuity, #ISO22301, #BCM, #BCP, #ISMS, #ISO27001
Page updated
Google Sites
Report abuse