موضوع:

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار (مطالعۀ موردی: شرکت ماموت فناوری اطلاعات)

نویسندگان:

محمدرضا تقوا- عضو هیات علمی دانشگاه علامه طباطبایی-taghva@gmail.com

میلاد یداللهی- مدیر فنی شرکت آشناایمن-m.yadollahi@ashnasecure.com

ارائه شده در:

همایش ملی پدافند غیرعامل و علوم انسانی- دانشگاه کاشان- 1393

چکیده
روند بی‌وقفه و فراهم‌بودن اطلاعات و فرآیند‌های کلیدی مرتبط با خدمات زیرساختی فناوری اطلاعات، همواره یکی از مهم‌ترین دغدغه‌های سازمان‌ها در پدافند‌های غیرعامل الکترونیکی و دفاع سایبری بوده که معمولاً از طریق استقرار استانداردهای امنیتی مدیریت می‌شوند. در این پژوهش به منظور تهیۀ مدلی برای سنجش میزان آمادگی سازمان برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار، پس از مطالعۀ گسترده ادبیات موضوع، مهم‌ترین عوامل حیاتی موفقیت این حوزه استخراج گردید. این عوامل در پرسش‌نامه‌ای برای 83 نفر از خبرگان موضوع ارسال شد که پس از جمع آوری اطلاعات این پرسش‌نامه از 64 خبره، 36 شاخص شناسایی شده، با استفاده از تحلیل عاملی اکتشافی و آزمون دوجمله‌ای در 9 دسته عامل قرار گرفته و تأیید شدند. توسط روش میانگین موزون، وزن هر یک از گویه‌ها و عوامل محاسبه شد و مدل پیشنهادی شامل عوامل مؤثر به همراه میزان اهمیت هر یک در تعیین آمادگی سازمان برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار ایجاد گردید. پس از تعیین وضعیت فعلی شاخص‌ها در شرکت ماموت فناوری اطلاعات و تعدیل آن‌ها مطابق با اوزان استنتاجی از مدل پیشنهادی، میزان آمادگی این شرکت تعیین گردید.

واژه‌های کلیدی: سیستم مدیریت تداوم کسب و کار، تداوم عملیات‌ها، پدافند غیرعامل، امنیت اطلاعات، آمادگی سازمانی.

1- مقدمه
محیط رقابتی تجارت در قرن بیست و یک از یک‌سو و چالش‌ها و تهدیدهای این محیط از سوی دیگر، کسب و کار سازمان‌های امروزی را در معرض مخاطره‌های مختلفی قرار داده است. این مخاطره‌ها در گستره‌های وسیعی اتفاق می افتند و از جملۀ آن‌ها می‌توان به بلایای طبیعی، حمله‌های تروریستی و اشتباه‌های سهوی یا عمدی کارکنان اشاره کرد. همچنین مخاطره می‌تواند در پی تغییرات درونی سازمان، متوجه آن شود. مواردی مانند تغییر راهبردهای سازمان، کوچک‌سازی شرکت، مهندسی مجدد یا برون‌سپاری کردن فرآیندها و خدمات که هرکدام تبعات خاص خود را دارد (گیب و بوچانان، 2006). وقوع این رخدادها ممکن است سبب اختلال در عملیات روزانۀ کسب و کار، ناراضی شدن مشتریان و به خطر افتادن اعتبار سازمان و ایجاد وقفه در جریان درآمدی گردد (ارنست-جونز، 2005). کمتر از 60 ثانیه لازم است تا کل اعتبار یک سازمان از بین برود و کسب و کار آن نابود شود. خرابی سرویس دهنده به مدت یک دقیقه یا حمله هکرها ممکن است تبعاتی برای کسب و کار داشته باشد که جبران آن ماه‌ها و سال‌ها به طول بینجامد و شاید هرگز نتوان آن را جبران نمود (استنتون، 2005). تحقیقات موسسه BSI نشان می‌دهد که 63 درصد از شرکت‌ها در زمینه فناوری اطلاعات کاملاً آسیب پذیر هستند (پریتچارد، 2007). با وجود محیط مخاطره‌ای و همراه با تهدیدهای فناوری اطلاعات، معمولاً مدیران سازمان‌ها به دنبال تضمین تداوم سرویس‌ها و فعالیت‌های سازمانی خود با بهره‌گیری از طرح‌های تداوم کسب و کار و بازیابی از حادثه می‌باشند. توانایی وفق پذیری و پاسخگویی به بحران‌ها و همچنین موقعیت‌ها و فرصت‌ها به منظور حفظ تداوم عملیات‌های کسب و کار با قابلیت اطمینان بالاتر و همچنین ایجاد بستر رشد و توسعه را تداوم کسب و کار گویند (بروکس، 2007(ب):2). مدیریت تداوم کسب و کار، فرآیندی را در اختیار سازمان قرار می‌دهد که توسط آن بتواند مأموریت‌های اساسی کسب و کاری خویش را در زمان و پس از شناسایی وقایع، همراه با مخاطره انقطاع، ادامه دهد (اسمیت و بروکس، 2013).
از سویی، همان گونه که متخصصان حوزۀ تغییر بیان می‌کنند، آمادگی سازمانی برای تغییر، یک پیش‌نیاز مهم برای پیاده‌سازی و اجرای موفقیت آمیز تغییر است (وینر، امیک و لی، 2008). به گفتۀ دیگر، سازمان‌هایی که برای هدایت و ناوبری تغییر، آمادگی بیشتری نشان می‌دهند، دورۀ گذار را اثربخش‌تر و موفق‌تر پشت سر خواهند گذاشت (دیسکاوری لِرنینگ، 2010).
2- بیان مسئله
با توجه به اهمیت تداوم کسب و کار و همچنین نیاز به یک چارچوب مناسب برای پیاده‌سازی آن در قالب سیستم مدیریت تداوم کسب و کار، برای تضمین تداوم فعالیت‌های کلیدی و محوری سازمان می‌بایست تمامی ابعاد امنیت و تداوم کسب و کار را مورد نظر قرار داد. سازمان‌های مختلف بنا به نیاز و اصول کسب و کار خود، شروع به برنامه ریزی جهت مدیریت تداوم کسب و کار و بازیابی حوادث می‌کنند. اما همان‌گونه که گفته شد، جهانی شدن کسب و کارها و شبکه‌های ارتباطی مانند اینترنت و ارتباط کسب و کارهای مختلف با یکدیگر، نیاز به داشتن برنامه‌ای با اصول یکسان و بر پایۀ استانداردی جهانی و فراگیر که بتواند تمامی انواع کسب و کار را تحت پوشش قرار دهد را بیش از پیش نمایان و گریزناپذیر می‌سازد. در این راستا موسسه‌های معتبر بین‌المللی، استانداردهایی را تدوین کرده‌اند تا تمامیت و یکپارچگی این موضوع را پوشش دهند. مهم‌ترین استاندارد جهانی در این زمینه، استاندارد BS 25999 می‌باشد که در دو بخش و در سال‌های 2006 و 2007 توسط موسسه استاندارد انگلستان و بر پایه استاندارد PAS56 تدوین شده است و به عنوان یک نقطه آغاز قابل اعتماد در این مقوله بکار می‌رود (فرنکلند، 2008). در سال 2012 نیز استاندارد ISO 22301 به عنوان نسخه معادل BS 25999-2 انتشار یافت. این استاندارد نیاز سازمان در تدوین، پیاده‌سازی، اجرا، نظارت، بازنگری، نگهداری و بهبود یک سیستم مستندشدۀ مدیریت تداوم کسب و کار را مشخص می‌سازد (ده‌موبد، 1388).
با توجه به شروع حرکت بسیاری از سازمان‌ها به سوی پیاده‌سازی سیستم مدیریت تداوم کسب و کار و اهمیت یافتن موضوعاتی همچون پدافند غیرعامل و حفظ و تداوم کسب و کار سازمان‌ها، این پژوهش به دنبال یافتن معیارهایی برای اندازه گیری سطح تداوم کسب و کار سازمان‌ها جهت پیاده‌سازی سیستم مدیریت تداوم کسب و کار و همچنین تعیین میزان آمادگی و بلوغ سازمان‌هایی که قصد پیاده‌سازی این سیستم را بر مبنای استاندارد BS 25999 و یا استانداردهای معادل آن نظیر ISO 22301 را دارند، می‌باشد. بنابراین سؤال‌های پژوهش به شرح زیر مطرح شد:
1. مقیاس و شاخص‌های ارزیابی میزان آمادگی برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار در سازمان چیست و هر یک به چه میزان تأثیرگذار می‌باشند؟
2. وضعیت تداوم کسب و کار شرکت ماموت فناوری اطلاعات با توجه به شاخص‌های شناسایی شده، چگونه است و آیا آمادگی لازم برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار را دارد؟
3- پیشینۀ پژوهش
در رابطه با ارزیابی آمادگی سازمان‌ها در زمینه های مختلف، مطالعات مختلفی در سطوح متفاوت صورت پذیرفته است. در حقیقت ارزیابی آمادگی کسب و کار، فعالیتی است که در ابتدای پروژه پیاده‌سازی و به عنوان عاملی برای ادامه و یا عدم ادامه فعالیت در نظر گرفته می‌شود (باترل، 2008: 4). در مجموعه پژوهش‌های انجام شده توسط (خلفان، آنومبا، سیمینیچ و سینکلر، 2001)، دسته‌بندی مناسبی از مدل‌ها و روش‌های معروف در این زمینه مطرح شده است. هرکدام از این مدل‌ها، با توجه به روش مورد استفاده، ابعاد خاصی از سازمان شامل فرآیندها، فناوری، سازمانی و اطلاعاتی را مورد مطالعه خود قرار می‌دهند. از طرفی هر گونه پیاده‌سازی و استقرار سیستم مدیریتی نیز خود، یک تغییر سازمانی محسوب می‌گردد که می‌بایست با توجه به ماهیت سیستم مورد نظر، قابلیت سازمان برای پذیرش آن را اندازه گیری نمود. در حقیقت آمادگی همواره با خود مفهوم تغییر را به همراه دارد. آمادگی از یک احساس موضوعی و یا یک توانایی قابل قبول نشئت می‌گیرد. بدین ترتیب آمادگی می‌بایست به نحوی مفهوم سازی گردد که یک سازمان را به صورت آماده و یا غیر آماده دسته بندی نماید (امرایان و دیگران، 2008). در تحقیق انجام شده توسط (لِمن، گیرینر و سیمسون، 2002) دسته‌بندی مناسبی از عوامل مؤثر و نحوه اندازه‌گیری آن‌ها در ارزیابی آمادگی سازمان در برابر تغییرات عنوان شده‌اند که عبارتند از: عوامل انگیزشی برای تغییر، تناسب منابع بکار گرفته شده، ویژگی کارکنان و بلوغ و شرایط سازمان.
در حوزه مدیریت تداوم کسب و کار نیز موسسه IBM مطالعاتی گسترده همراه با ارائه فناوری‌های نوین و تجهیزات خاص را انجام داده است که ثمرۀ آن‌ها ارائه چارچوب‌ها و سطح‌بندی‌های تداوم کسب و کار با عنوان 7 لایه تداوم کسب و کار، به ویژه در حوزۀ فناوری‌های مربوط به ذخیره‌سازی داده‌ها می‌باشد (بروکس، 2007(الف):19-17) (بدرنجک، 2002: 31-21) (بروکس، 2007(ب):139-134). همچنین موسسه استاندارد انگلستان، به عنوان متولی استاندارد این سیستم به همراه انتشارات IT Governance روش‌های پیاده‌سازی بهینه را برای درک بهتر مدیریت تداوم کسب و کار و پوشش الزامات استاندارد، در مجموعه کتب خود مورد بررسی قرار می‌دهند (درویت، 2008) (; شارپ و BSI، 2008کالدر، 2008). با این وجود با توجه به نوظهور بودن مفاهیم مذکور، تا به حال پژوهشی در رابطه با سنجش میزان آمادگی سازمان‌ها برای پیاده‌سازی استانداردهای این حوزه و به طور کلی نگاه سیستماتیک به این مقوله صورت نپذیرفته است و بیشتر مطالعات، جنبه فناوری و تجهیزات را در بر می‌گیرند. بنابراین پژوهش پیش‌رو سعی در بررسی میزان آمادگی سازمان‌ها برای پیاده‌سازی نظام‌مند تداوم کسب و کار را دارد، تا بدین‌وسیله سازمان‌ها را برای پیاده‌سازی بهینه این سیستم و بیشتر کردن شانس موفقیت اجرا، یاری نماید.
در زمینه آمادگی سازمان برای پیاده‌سازی نظام‌های مدیریتی بر اساس استانداردها، سیستم‌های اطلاعاتی، فناوری و به طور کلی آمادگی برای تغییر، پژوهش‌های مختلفی انجام پذیرفته است که در جدول 1 به برخی از آن‌ها اشاره شده است.

جدول 1. پژوهش‌های گذشته در زمینه سنجش آمادگی سازمانی برای تغییر در حوزۀ فناوری

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار

4- روش پژوهش
پژوهش حاضر از منظر هدف، کاربردی است و روش آن نیز توصیفی-پیمایشی به شمار می‌رود. مشخصات دیگر این پژوهش در جدول 2 آورده شده‌اند.

جدول 2. خلاصه اطلاعات مربوط به روش پژوهش

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار

جامعه آماری این پژوهش جهت تعیین شاخص‌های مطلوب اوزان مربوط به ابعاد سطح آمادگی سیستم مدیریت تداوم کسب و کار شامل اساتید، خبرگان و محققین با زمینه فعالیت یا پژوهش در حوزه امنیت اطلاعات، کارشناسان حوزه تداوم کسب و کار و بخش سیستماتیک امنیت اطلاعات در شرکت‌های مشاور امنیتی و برخی از مدیران امنیت در سازمان‌های بزرگ تهران می‌باشند. برای 82 نفر از این خبرگان جهت استخراج نظر آن‌ها جهت میزان موافقت با اجزای مدل، پرسش‌نامه‌ای با بهره‌گیری از طیف لیکرت ارسال گردید که 64 پرسش‌نامه برگشت داده شده، به صورت تصادفی مورد پیمایش قرار گرفتند. باید توجه داشت که تعداد 64 نفر، حجم مطلوبی برای تحلیل عاملی به نظر نمی‌رسد و با توجه به تعداد عامل‌ها، این تعداد می‌بایست حداقل 108 باشد. ولی با توجه به عدم دسترسی به افراد خبرۀ این حوزه و نوظهور بودن موضوع، محقق به این ضعف در اندازۀ نمونه اشعار می‌دارد. در این پژوهش برای تجزیه تحلیل داده‌ها از نرم افزار SPSS استفاده شده است.
تعیین پایایی پرسش‌نامه با استفاده از آلفای کرونباخ انجام گردید و برای اندازه‌گیری روایی ظاهری و محتوایی پرسش‌نامه، از نظر خبرگان و اساتید مربوطه استفاده شد و اشکالات ساختاری آن شناسایی و اصلاحات لازم جهت برآورده ساختن روایی محتوا انجام شد. برای اندازه گیری روایی سازه از تحلیل عاملی اکتشافی و تأییدی استفاده شده است. پس از آن برای آزمون فرضیه‌ها از آزمون دوجمله‌ای استفاده می‌شود و جهت تعیین وزن و اهمیت هر شاخص و همچنین وزن عوامل نهایی نیز از روش میانگین موزون استفاده شده است. در پایان، شرکت ماموت فناوری اطلاعات که قصد پیاده‌سازی سیستم مدیریت تداوم کسب و کار را دارد، به عنوان نمونه انتخاب گردید. وضعیت موجود این شرکت به منظور مقداردهی شاخص‌های بدست‌آمده با به‌کارگیری مدل 5 سطحی مهندسی امنیتی بلوغ قابلیت‌های امنیتی (SSE-CMM ) (پالک، کرتیس، کیریسیس و وِبر، 1993) و استفاده از مصاحبه ساخت یافته با مدیران این مجموعه، استخراج شده و میزان آمادگی پیاده‌سازی این سیستم در آن شرکت تعیین گردید.

5- یافته‌های پژوهش
با توجه به دریافت 64 پرسش‌نامه از پاسخ‌دهندگان، پایایی پرسش‌نامه با استفاده از ضریب آلفای کرونباخ، 0/950 بدست آمد که با توجه به بیشتر بودن از 0/6 و اختلاف زیاد آن، رقمی بسیار قابل قبول است. بر روی داده‌های جمع آوری شده با استفاده از روش مؤلفه‌های اصلی تحلیل عاملی صورت گرفت و نتیجه آزمونKMO ، 0/786 محاسبه گردید که با توجه به اینکه بیش‌تر از 0/5 می‌باشد، نمایانگر کفایت نمونه‌گیری و درجه تناسب داده‌ها برای اجرای تحلیل عاملی می‌باشد. همچنین آزمون کرویت بارتلت که نشان‌دهنده همبستگی داده‌های ماتریس می‌باشد نیز با ضریب اهمیت 0/0001 مورد تأیید قرار گرفت. به علاوه، مقدار آزمون بارتلت برابر با 1462 است و معنی‌داری آن در سطح 99 درصد، نشان می‌دهد از یک سو بین گویه‌های داخل هر عامل همبستگی بالایی وجود دارد و از سوی دیگر، بین گویه‌های یک عامل با گویه‌های عامل دیگر، هیچ‌گونه همبستگی مشاهده نمی‌شود.
با توجه به جدول 3، ماتریس همبستگی داده‌ها که با روش مؤلفه های اصلی بدست آمده است، نشان می‌دهد که از مجموع 36 گویۀ پرسش‌نامه، 9 گویه دارای مقدار ویژۀ بالاتر از 1 می‌باشند و این 9 عامل می‌توانند حدود 71 درصد از واریانس متغیر کمی را تبیین کنند و در واقع نشان‌دهندۀ روایی سؤالات می‌باشد.


جدول 3. ماتریس همبستگی داده‌ها و اطلاعات توصیفی

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار

تحلیل سنگریزه که در نمودار 1 نشان داده شده است، نشان دهندۀ مقدار ویژه عوامل شناسایی‌شده می‌باشد. این نمودار نشان می‌دهد که 9 عامل از گویه‌ها استخراج شده است. در نهایت برای دسته‌بندی عوامل از چرخش پروماکس استفاده شد که در ماتریس چرخش‌یافته برای متغیرهای سیستم مدیریت تداوم کسب و کار (BCMS )، در مجموع 9 عامل کلی شناسایی و با توجه به ادبیات پژوهش نام‌گذاری شد. این عوامل عبارتند از: 1.شناخت سازمان، 2.بهبود مستمر، 3.ایجاد و مدیریت سیستم، 4.ایجاد واکنش و طرح تداوم، 5.بازبینی و کنترل سیستم، 6.تعبیه سیستم در فرهنگ سازمانی، 7.مستندسازی سیستم، 8.تعیین راهبردهای تداوم و 9.تمرین، نگهداشت و بازنگری سیستم.

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار

نمودار 1. تحلیل سنگریزه

پس از تحلیل عاملی بر روی متغیرها و تعیین متغیرهای نهایی و عامل‌های شناسایی‌شده، فرضیه‌های پژوهش که نظر موافق پاسخ دهندگان در مورد تأثیر عوامل کشف شده بر روی آمادگی سازمان برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار را مورد آزمون قرار می‌دهد، با استفاده از توزیع دوجمله‌ای مورد بررسی قرار گرفتند. همان‌طور که در جدول 4 نشان داده شده است، کلیه عوامل اصلی و همچنین کلیه گویه‌ها، با نسبت بالاتر از 0/6 درصد مورد تأیید قرار گرفتند.

جدول 4. نتایج آزمون دوجمله ای بر روی عوامل و شاخص‌ها

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار

برای محاسبه وزن هر یک از شاخص‌ها از روش میانگین موزون استفاده می‌شود. بدین منظور، ارزش هر گویه که بر اساس طیف لیکرت، عددی بین 1 تا 5 است، در فراوانی نسبی هر یک از گویه‌ها ضرب می‌شود. مجموع این حاصل‌ضرب‌ها، ارزش هر شاخص را تشکیل می‌دهد. از آنجایی که برای تحلیل ارزش هر عامل لازم است تا این اعداد بین صفر و 1 باشند، این ارزش‌ها باید نرمال سازی شوند. بدین منظور، مجموع ارزش همۀ شاخص‌های هر عامل، جمع شده و عددی به دست می‌آید که ارزش هر شاخص بر این عدد تقسیم می‌شود. بدین ترتیب، ارزش هر یک از شاخص‌ها نرمال شده و می‌توان از آن‌ها برای محاسبۀ ارزش هر عامل استفاده نمود. نتایج حاصل‌شده در جدول 5 نشان داده شده‌اند.
با توجه به نتایج حاصل‌شده مطابق با جدول 5، در مورد عامل شناخت سازمان، شاخص تعیین الزامات استمرار، بیشترین امتیاز را به خود اختصاص داده است. همچنین مواردی همچون ارزیابی مخاطره و تحلیل اثرات کسب و کار دارای ارزشی برابر بوده و از درجه اهمیت بالایی در مدل برخوردار می‌باشند. با توجه به اهمیت خاصی که استاندارد برای این دو مبحث در قسمت برنامه‌ریزی سیستم قائل است، به نظر می‌رسد که در این مورد، پاسخ دهندگان نیز نظری یکسان با استاندارد را دارند. در مورد عامل بهبود مستمر، با توجه به مکمل بودن دو شاخص اقدامات اصلاحی و پیشگیرانه، امتیازات نزدیک به هم را از دید خبرگان کسب کرده‌اند. با توجه به نتایج حاصل‌شده برای عامل ایجاد و مدیریت BCMS، شاخص تدارک منابع بیشترین امتیاز را به خود اختصاص داد. بدین ترتیب پاسخ‌دهندگان بر این باورند که تدارک منابع از ابعاد مختلف می‌تواند نقشی اساسی در شروع پیاده‌سازی را به خود اختصاص دهد. کنترل مستندات و رکوردهای مربوط به سیستم مدیریت تداوم کسب و کار نیز در عامل هفتم قرار می‌گیرند. این دو مبحث به عنوان دو فعالیت مستمر و بنیادین در سیستم در نظر گرفته می‌شوند که با توجه به استاندارد بودن اهداف، مستندسازی بسیار مهم و حیاتی می‌باشد. از این نتایج می‌توان دریافت که پاسخ دهندگان تفاوت محسوسی بین این دو شاخص قائل نگردیده‌اند. عامل هشتم شامل راهبرد برای استمرار منابع مختلف سازمان نظیر: افراد، محل کار، فناوری، اطلاعات، موجودی و ذینفعان می‌باشد که در بررسی نظر پاسخ دهندگان، تفاوت زیادی بین اهمیت این شاخص‌ها مشاهده نمی‌شود، ولی می‌توان راهبرد تداوم برای سایت کاری را پررنگ‌تر دید. این یافته نشان می‌دهد که خبرگان اعتقاد دارند که در بررسی آمادگی سازمان، تنها وجود راهبرد، جدا از نوع آن کفایت می‌نماید.

جدول 5. وزن عوامل و گویه‌ها و نتایج اجرای آن در شرکت

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار

در مجموع با توجه به نتایج حاصل‌شده مطابق با جدول 5، همان‌طور که در نمودار 2 نشان داده شده است، عامل ایجاد واکنش و طرح تداوم با اختلاف نسبتاً زیادی به عنوان مهم‌ترین عامل از سوی خبرگان در مدل اندازه گیری میزان آمادگی سیستم مدیریت تداوم کسب و کار سازمان شناسایی گردید. این نتیجه بیانگر این است که تمامی خبرگانی که در این پژوهش مورد سؤال قرار گرفته‌اند، بر عملی و مشهود‌ بودن فعالیت‌های صورت گرفته نگاهی ویژه دارند. همچنین دو عامل شناخت سازمان و تعیین راهبردهای تداوم که جزء مراحل اولیه پیاده‌سازی سیستم می‌باشند در رتبۀ بعدی قرار گرفتند که باز هم نتیجه‌گیری فوق را تأیید می‌نمایند.

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کارنمودار 2. اوزان مدل برای عوامل مرتبط با آمادگی پیاده‌سازی BCMS

6- به‌کارگیری مدل در شرکت مورد مطالعه
برای آزمودن مدل بدست آمده، شرکت ماموت فناوری اطلاعات به عنوان یکی از شرکت‌های ارائه دهنده خدمات فناوری اطلاعات که قصد پیاده‌سازی سیستم مدیریت تداوم کسب و کار را دارد، انتخاب گردید. با توجه به اینکه ارائه خدمات مشاوره در زمینه استقرار سیستم‌های مدیریتی از جمله سیستم مدیریت امنیت اطلاعات، جزء سبد محصول این شرکت می‌باشد و از طرفی سیستم مذکور در این شرکت پیاده‌سازی شده است، برخی از فعالیت‌های مشترک میان سیستم‌های مدیریتی دیگر و سیستم مدیریت تداوم کسب و کار در این شرکت از پیش پیاده‌سازی شده‌اند.
با توجه به شاخص‌ها و اوزانی که در مدل به دست آمد، جهت سنجش میزان پیاده‌سازی این شاخص‌ها در شرکت ماموت فناوری اطلاعات از طریق مصاحبه با مدیران میانی و ارشد، برای هر کدام از شاخص‌ها مطابق با روش CMM سطوح پنج‌گانه‌ای شامل:1-اولیه، 2-تکرارپذیر، 3-تعریف شده، 4- مدیریت‌شده و 5-بهبودیافته (پالک و دیگران، 1993)، در نظر گرفته شد. امتیاز موزون هر شاخص از ضرب سطح CMM در وزن آن مطابق مدل، بدست می‌آید. سطح CMM هر عامل در شرکت از میانگین سطوح CMM شاخص‌های آن عامل به دست می‌آید. از ضرب این سطح در وزن عامل مطابق مدل، امتیاز موزون عامل در شرکت بدست می‌آید. نتایج حاصل شده در جدول 5 آورده شده‌اند.
برای درک بهتر وضعیت آمادگی شرکت مورد بررسی، می‌توان از نمودار 3 استفاده نمود. در این نمودار می‌توان سطح CMM هر یک از عامل‌ها در مقایسه با امتیاز موزون آن را در قالب نمودار رادار مقایسه نمود.
همان‌طور که در نمودار 3 مشاهده می‌شود، سطح CMM اظهارشده برای عامل پنجم که مواردی همچون بازنگری مدیریت و ممیزی داخلی را شامل می‌شود، با توجه به پیاده‌سازی دیگر سیستم‌های مدیریتی در شرکت، امتیاز بالاتری را معادل 4/50 ، به خود اختصاص داده است و دیگر عامل‌ها در بازۀ امتیازیِ 1/85 تا 2/83 قرار گرفته‌اند. پس از اعمال مدل پیشنهادی، مشاهده می‌شود که عامل اول- شناخت سازمان، به همراه عوامل چهارم- ایجاد واکنش و طرح‌های تداوم و هشتم- تعیین راهبردهای تداوم، به دلیل برخورداری از اوزان بالاتر و یا همچنین وضعیت CMM بهتر در شرکت، امتیازات بهتری را کسب کرده‌اند.

سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کارنمودار 3. وضعیت عوامل آمادگی پیاده‌سازی BCMS در شرکت

7- نتیجه گیری و پیشنهادها
در عصر فناوری اطلاعات و محیط رقابتی امروز، در بسیاری از کسب و کارها و به ویژه کسب و کارهای مرتبط با فضای دیجیتال، فرآیندهای کلیدی و محوری سازمان شدیداً به زیرساخت‌های فناوری اطلاعات وابسته می‌باشند و از کارافتادگی سیستم‌های بنیادین و اساسی، سازمان‌ها و حتی در بعضی موارد کشورها را با مشکلات جدی و هزینه های بالایی روبرو خواهد کرد. در این بین، بسیاری از مدیران به منظور حصول اطمینان از عدم بروز انقطاع در فرآیندهای سازمانی و به دنبال آن عدم بروز اختلال در ارائه خدمات و محصولات خود، سعی در به‌کارگیری روش‌ها، چارچوب‌ها و استانداردهای مرتبط با مدیریت تداوم کسب و کار را دارند. با توجه به لزوم شناخت مناسب از وضعیت فعلی سازمان، قبل از شروع پروژه های پیاده‌سازی سیستم مدیریت تداوم کسب و کار، جهت بهینه‌شدن منابعی همچون هزینه و زمان پیاده‌سازی، نیاز به ابزار اندازه‌گیری مناسب برای سنجش میزان آمادگی سازمان در این حوزه احساس می‌شود. در این راستا، پس از بررسی ادبیات موضوع و استخراج ویژگی‌ها و فرآیندهای مورد نیاز در این سیستم، در نهایت 36 گویۀ پایا و معتبر حاصل گردید که با توجه به محاسبه میزان تأثیرگذاری هر یک در آمادگی سازمان از طریق اختصاص وزن به آن‌ها، ابزاری جهت سنجش میزان آمادگی سازمان برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار بر مبنای استاندارد جهانی BS 25999 تهیه گردید.
با استفاده از ابزار ایجادشده، میزان آمادگی شرکت ماموت فناوری اطلاعات برای پیاده‌سازی سیستم مدیریت تداوم کسب و کار بر مبنای استاندارد مذکور اندازه‌گیری شد. با توجه به نتایج پژوهش، مبنای بررسی امتیازات و نتیجه‌گیری‌ها در هر عامل، امتیاز موزون کسب شده توسط آن عامل خواهد بود. بدین ترتیب عامل اول- شناخت سازمان با کسب امتیاز 0/475، دارای بالاترین آمادگی می‌باشد. می‌توان نتیجه گرفت که این شرکت در مهم‌ترین عامل شناسایی‌شده با ضریب 0/195، امتیاز نسبتاً بالایی معادل 0/361 را دریافت کرده و نتیجتاً در مدل، در سطح خوبی قرار می‌گیرد. از سوی دیگر عامل‌های مرتبط با فرهنگ سازمانی و آگاهی افراد از این سیستم مدیریتی، از امتیازات پایینی در این شرکت برخوردار می‌باشند. در این خصوص مواردی همچون عامل ششم-تعبیه سیستم در فرهنگ سازمانی با امتیاز 0/140 و عامل هفتم- مستندسازی سیستم با امتیاز 0/112، برای پیاده سازی موفق‌تر سیستم در این شرکت باید بیشتر مورد توجه قرار گیرند. از حاصل جمع امتیاز موزون 9 عامل می‌توان به یک عدد واحد دست یافت که وضعیت کلی آمادگی سازمانی را نشان می‌دهد و قابلیت اندازه گیری مجدد در طول زمان و یا مقایسه وضعیت آمادگی سازمان‌های مختلف را امکان‌پذیر می‌سازد. شرکت ماموت فناوری اطلاعات با کسب امتیاز نهایی 2/46، مطابق با مدل CMM بین سطوح دوم (تکرار پذیر) و سوم (تعریف شده) قرار می‌گیرد که در مجموع وضعیت مناسبی برای پیاده‌سازی سیستم را دارد.
در پایان برای پژوهش‌های آتی این حوزه، پیشنهاد می‌شود تا مدل اندازه‌گیری طراحی‌شده در دیگر شرکت‌ها و سازمان‌های متعلق به بخش خصوصی و دولتی مورد اعتباریابی قرار گرفته و نتایج حاصل از سازمان‌های مختلف با یکدیگر مقایسه گردند. همچنین با توجه به نوظهور بودن مفاهیم این حوزه و تعریف پروژه‌های جدید استقرار این سیستم در سازمان‌های مختلف، پیشنهاد می‌شود اثربخشی به‌کارگیری سیستم مدیریت تداوم کسب و کار نیز مورد مطالعه قرار گیرد.

منابع:

1- ده موبد، بیژن (1388). ارزیابی مدیریت تداوم کسب و کار در پایانه‌های فروش فروشگاه‌های زنجیرهای بر اساس استاندارد جهانی BS25999 و ارائه راهکارهایی برای بهبود آن. (پایان‌نامه کارشناسی ارشد) رشته مدیریت فن‌آوری اطلاعات دانشگاه تهران.
2- رعنایی کردشولی، ح.، و قهرمانی‌فرد، م. (1392). ساخت و اعتباریابی مقیاسی جهت سنجش آمادگی سازمانی برای پیاده‌سازی اینترانت اجتماعی (مطالعۀ موردی: شرکت برق منطقه‌ای فارس). مدیریت فناوری اطلاعات، 5 (1): 60-37.
3- شهیدی، سید عماد (1386). ارائه مدلی جهت سنجش میزان آمادگی سازمان برای پیاده‌سازی سیستم مدیریت امنیت اطلاعات. (پایان‌نامه کارشناسی ارشد) رشته مدیریت فن‌آوری اطلاعات دانشگاه علامه طباطبایی.

4- Ahonen, J. (2011). Implementing a social intranet: A study of organizational readiness for change. (Master), Aalto University.
5- Bedernjak, M. J., Igor; Merryman, John. (2002). Disaster recovery strategies with Tivoli Storage management (1st ed ed.). San Jose, Calif.: International Business Machines, Corporation.
6- Bottrell, E. G. (2008). Business Rediness Assessment Plan-Project Implementation ERP Deliverable Series, Retrieved from http://www.docstoc.com/docs/37728080/ERP-Deliverables-Series
7- Brooks, C. L., Clem; Mirza, Aslam; Curtis, Neal; Qiu, Y. L.; Sing, John; Wong, Francis TH; Wright, Ian R. (2007a). IBM System Storage Business Continuity Solutions overview (2nd ed ed.). Poughkeepsie, NY: International Business Machines, Corporation.
8- Brooks, C. L., Clem; Mirza, Aslam; Curtis, Neal; Qiu, Y. L.; Sing, John; Wong, Francis TH; Wright, Ian R. (2007b). IBM System Storage business continuity: Part 1 Planning Guide. United States: International Business Machines, Corporation.
9- Calder, A. (2008). Business continuity and BS25999 a combined glossary. Ely, U.K.: IT Governance Pub.
10- Discovery Learning, I. (2010). Research Summary 14- Development of the Change Readiness Gauge. 4. Retrieved from website: http://www.discoverylearning.com/images/document/Research%20Summaray14%20CRG.pdf
11- Drewitt, T. (2008). A manager’s guide to BS25999 a practical guide to developing and Implementing a business continuity management system. Ely: IT Governance Pub.
12- Ernest-Jones, T. (2005). Business continuity strategy – the life line. Network Security, 2005(8), 5-9. doi: 10.1016/s1353-4858(05)70268-3
13- Frankland, J. (2008). IT security metrics: implementation and standards compliance. Network Security, 2008(6), 6-9. doi: 10.1016/s1353-4858(08)70075-8
14- Gibb, F., & Buchanan, S. (2006). A framework for business continuity management. International Journal of Information Management, 26(2), 128-141. doi: 10.1016/j.ijinfomgt.2005.11.008
15- Khalfan, M. M. A., Anumba, C. J., Siemieniuch, C. E., & Sinclair, M. A. (2001). Readiness Assessment of the construction supply chain for concurrent engineering. European Journal of Purchasing & Supply Management, 7(2), 141-153. doi: 10.1016/s0969-7012(00)00023-x
16- Kwahk, K.-Y., & Lee, J.-N. (2008). The role of readiness for change in ERP implementation: Theoretical bases and empirical validation. Information & Management, 45(7), 474-481. doi: 10.1016/j.im.2008.07.002
17- Lehman, W. E. K., Greener, J. M., & Simpson, D. D. (2002). Assessing organizational readiness for change. Journal of Substance Abuse Treatment, 22(4), 197-209. doi: 10.1016/s0740-5472(02)00233-7
18- Mankins, J. C. (2009). Technology readiness assessments: A retrospective. Acta Astronautica, 65(9-10), 1216-1223. doi: 10.1016/j.actaastro.2009.03.058
19- Mrayyan, M. T., Modallal, R., Awamreh, K., Atoum, M., Abdullah, M., & Suliman, S. (2008). Readiness of organizations for change, motivation and conflict-handling intentions: Senior nursing students’ perceptions. Nurse Education in Practice, 8(2), 120-128. doi: 10.1016/j.nepr. 2007.04.001
20- Paulk, M. C., Curtis, B., Chrissis, M. B., & Weber, C. V. (1993). Capability maturity model, version 1.1. IEEE Software, 10(4), 18-27. doi: 10.1109/52.219617
21- Pritchard, S. (2007). Continuity in a disaster. Infosecurity, 4(8), 24-25. doi: 10.1016/s1754-4548(07)70200-0
22- Sharp, J., & British Standards, I. (2008). The route map to business continuity management: meeting the requirements of BS 25999. London: BSI.
23- Smith, C. L., & Brooks, D. J. (2013). Business Continuity Management. 199-223. doi: 10.1016/b978-0-12-394436-8.00009-6
24- Stanton, R. (2005). Beyond disaster recovery: the benefits of business continuity. Computer Fraud & Security, 2005(7), 18-19. doi: 10.1016/s1361-3723(05)70234-7
25- Weiner, B. J. (2009). A theory of organizational readiness for change. Implementation Science, 4(1), 67. doi: 10.1186/1748-5908-4-67
26- Weiner, B. J., Amick, H., & Lee, S. Y. D. (2008). Review: Conceptualization and Measurement of Organizational Readiness for Change: A Review of the Literature in Health Services Research and Other Fields. Medical Care Research and Review, 65(4), 379-436. doi: 10.1177/1077558708317802