موضوع: سنجش میزان آمادگی سازمان برای تداوم عملیات ها مطابق با استاندارد جهانی سیستم مدیریت تداوم کسب و کار (مطالعۀ موردی: شرکت ماموت فناوری اطلاعات) |
نویسندگان: محمدرضا تقوا- عضو هیات علمی دانشگاه علامه طباطبایی-taghva@gmail.com میلاد یداللهی- مدیر فنی شرکت آشناایمن-m.yadollahi@ashnasecure.com |
ارائه شده در: همایش ملی پدافند غیرعامل و علوم انسانی- دانشگاه کاشان- 1393 |
چکیده
روند بیوقفه و فراهمبودن اطلاعات و فرآیندهای کلیدی مرتبط با خدمات زیرساختی فناوری اطلاعات، همواره یکی از مهمترین دغدغههای سازمانها در پدافندهای غیرعامل الکترونیکی و دفاع سایبری بوده که معمولاً از طریق استقرار استانداردهای امنیتی مدیریت میشوند. در این پژوهش به منظور تهیۀ مدلی برای سنجش میزان آمادگی سازمان برای پیادهسازی سیستم مدیریت تداوم کسب و کار، پس از مطالعۀ گسترده ادبیات موضوع، مهمترین عوامل حیاتی موفقیت این حوزه استخراج گردید. این عوامل در پرسشنامهای برای 83 نفر از خبرگان موضوع ارسال شد که پس از جمع آوری اطلاعات این پرسشنامه از 64 خبره، 36 شاخص شناسایی شده، با استفاده از تحلیل عاملی اکتشافی و آزمون دوجملهای در 9 دسته عامل قرار گرفته و تأیید شدند. توسط روش میانگین موزون، وزن هر یک از گویهها و عوامل محاسبه شد و مدل پیشنهادی شامل عوامل مؤثر به همراه میزان اهمیت هر یک در تعیین آمادگی سازمان برای پیادهسازی سیستم مدیریت تداوم کسب و کار ایجاد گردید. پس از تعیین وضعیت فعلی شاخصها در شرکت ماموت فناوری اطلاعات و تعدیل آنها مطابق با اوزان استنتاجی از مدل پیشنهادی، میزان آمادگی این شرکت تعیین گردید.
واژههای کلیدی: سیستم مدیریت تداوم کسب و کار، تداوم عملیاتها، پدافند غیرعامل، امنیت اطلاعات، آمادگی سازمانی.
1- مقدمه
محیط رقابتی تجارت در قرن بیست و یک از یکسو و چالشها و تهدیدهای این محیط از سوی دیگر، کسب و کار سازمانهای امروزی را در معرض مخاطرههای مختلفی قرار داده است. این مخاطرهها در گسترههای وسیعی اتفاق می افتند و از جملۀ آنها میتوان به بلایای طبیعی، حملههای تروریستی و اشتباههای سهوی یا عمدی کارکنان اشاره کرد. همچنین مخاطره میتواند در پی تغییرات درونی سازمان، متوجه آن شود. مواردی مانند تغییر راهبردهای سازمان، کوچکسازی شرکت، مهندسی مجدد یا برونسپاری کردن فرآیندها و خدمات که هرکدام تبعات خاص خود را دارد (گیب و بوچانان، 2006). وقوع این رخدادها ممکن است سبب اختلال در عملیات روزانۀ کسب و کار، ناراضی شدن مشتریان و به خطر افتادن اعتبار سازمان و ایجاد وقفه در جریان درآمدی گردد (ارنست-جونز، 2005). کمتر از 60 ثانیه لازم است تا کل اعتبار یک سازمان از بین برود و کسب و کار آن نابود شود. خرابی سرویس دهنده به مدت یک دقیقه یا حمله هکرها ممکن است تبعاتی برای کسب و کار داشته باشد که جبران آن ماهها و سالها به طول بینجامد و شاید هرگز نتوان آن را جبران نمود (استنتون، 2005). تحقیقات موسسه BSI نشان میدهد که 63 درصد از شرکتها در زمینه فناوری اطلاعات کاملاً آسیب پذیر هستند (پریتچارد، 2007). با وجود محیط مخاطرهای و همراه با تهدیدهای فناوری اطلاعات، معمولاً مدیران سازمانها به دنبال تضمین تداوم سرویسها و فعالیتهای سازمانی خود با بهرهگیری از طرحهای تداوم کسب و کار و بازیابی از حادثه میباشند. توانایی وفق پذیری و پاسخگویی به بحرانها و همچنین موقعیتها و فرصتها به منظور حفظ تداوم عملیاتهای کسب و کار با قابلیت اطمینان بالاتر و همچنین ایجاد بستر رشد و توسعه را تداوم کسب و کار گویند (بروکس، 2007(ب):2). مدیریت تداوم کسب و کار، فرآیندی را در اختیار سازمان قرار میدهد که توسط آن بتواند مأموریتهای اساسی کسب و کاری خویش را در زمان و پس از شناسایی وقایع، همراه با مخاطره انقطاع، ادامه دهد (اسمیت و بروکس، 2013).
از سویی، همان گونه که متخصصان حوزۀ تغییر بیان میکنند، آمادگی سازمانی برای تغییر، یک پیشنیاز مهم برای پیادهسازی و اجرای موفقیت آمیز تغییر است (وینر، امیک و لی، 2008). به گفتۀ دیگر، سازمانهایی که برای هدایت و ناوبری تغییر، آمادگی بیشتری نشان میدهند، دورۀ گذار را اثربخشتر و موفقتر پشت سر خواهند گذاشت (دیسکاوری لِرنینگ، 2010).
2- بیان مسئله
با توجه به اهمیت تداوم کسب و کار و همچنین نیاز به یک چارچوب مناسب برای پیادهسازی آن در قالب سیستم مدیریت تداوم کسب و کار، برای تضمین تداوم فعالیتهای کلیدی و محوری سازمان میبایست تمامی ابعاد امنیت و تداوم کسب و کار را مورد نظر قرار داد. سازمانهای مختلف بنا به نیاز و اصول کسب و کار خود، شروع به برنامه ریزی جهت مدیریت تداوم کسب و کار و بازیابی حوادث میکنند. اما همانگونه که گفته شد، جهانی شدن کسب و کارها و شبکههای ارتباطی مانند اینترنت و ارتباط کسب و کارهای مختلف با یکدیگر، نیاز به داشتن برنامهای با اصول یکسان و بر پایۀ استانداردی جهانی و فراگیر که بتواند تمامی انواع کسب و کار را تحت پوشش قرار دهد را بیش از پیش نمایان و گریزناپذیر میسازد. در این راستا موسسههای معتبر بینالمللی، استانداردهایی را تدوین کردهاند تا تمامیت و یکپارچگی این موضوع را پوشش دهند. مهمترین استاندارد جهانی در این زمینه، استاندارد BS 25999 میباشد که در دو بخش و در سالهای 2006 و 2007 توسط موسسه استاندارد انگلستان و بر پایه استاندارد PAS56 تدوین شده است و به عنوان یک نقطه آغاز قابل اعتماد در این مقوله بکار میرود (فرنکلند، 2008). در سال 2012 نیز استاندارد ISO 22301 به عنوان نسخه معادل BS 25999-2 انتشار یافت. این استاندارد نیاز سازمان در تدوین، پیادهسازی، اجرا، نظارت، بازنگری، نگهداری و بهبود یک سیستم مستندشدۀ مدیریت تداوم کسب و کار را مشخص میسازد (دهموبد، 1388).
با توجه به شروع حرکت بسیاری از سازمانها به سوی پیادهسازی سیستم مدیریت تداوم کسب و کار و اهمیت یافتن موضوعاتی همچون پدافند غیرعامل و حفظ و تداوم کسب و کار سازمانها، این پژوهش به دنبال یافتن معیارهایی برای اندازه گیری سطح تداوم کسب و کار سازمانها جهت پیادهسازی سیستم مدیریت تداوم کسب و کار و همچنین تعیین میزان آمادگی و بلوغ سازمانهایی که قصد پیادهسازی این سیستم را بر مبنای استاندارد BS 25999 و یا استانداردهای معادل آن نظیر ISO 22301 را دارند، میباشد. بنابراین سؤالهای پژوهش به شرح زیر مطرح شد:
1. مقیاس و شاخصهای ارزیابی میزان آمادگی برای پیادهسازی سیستم مدیریت تداوم کسب و کار در سازمان چیست و هر یک به چه میزان تأثیرگذار میباشند؟
2. وضعیت تداوم کسب و کار شرکت ماموت فناوری اطلاعات با توجه به شاخصهای شناسایی شده، چگونه است و آیا آمادگی لازم برای پیادهسازی سیستم مدیریت تداوم کسب و کار را دارد؟
3- پیشینۀ پژوهش
در رابطه با ارزیابی آمادگی سازمانها در زمینه های مختلف، مطالعات مختلفی در سطوح متفاوت صورت پذیرفته است. در حقیقت ارزیابی آمادگی کسب و کار، فعالیتی است که در ابتدای پروژه پیادهسازی و به عنوان عاملی برای ادامه و یا عدم ادامه فعالیت در نظر گرفته میشود (باترل، 2008: 4). در مجموعه پژوهشهای انجام شده توسط (خلفان، آنومبا، سیمینیچ و سینکلر، 2001)، دستهبندی مناسبی از مدلها و روشهای معروف در این زمینه مطرح شده است. هرکدام از این مدلها، با توجه به روش مورد استفاده، ابعاد خاصی از سازمان شامل فرآیندها، فناوری، سازمانی و اطلاعاتی را مورد مطالعه خود قرار میدهند. از طرفی هر گونه پیادهسازی و استقرار سیستم مدیریتی نیز خود، یک تغییر سازمانی محسوب میگردد که میبایست با توجه به ماهیت سیستم مورد نظر، قابلیت سازمان برای پذیرش آن را اندازه گیری نمود. در حقیقت آمادگی همواره با خود مفهوم تغییر را به همراه دارد. آمادگی از یک احساس موضوعی و یا یک توانایی قابل قبول نشئت میگیرد. بدین ترتیب آمادگی میبایست به نحوی مفهوم سازی گردد که یک سازمان را به صورت آماده و یا غیر آماده دسته بندی نماید (امرایان و دیگران، 2008). در تحقیق انجام شده توسط (لِمن، گیرینر و سیمسون، 2002) دستهبندی مناسبی از عوامل مؤثر و نحوه اندازهگیری آنها در ارزیابی آمادگی سازمان در برابر تغییرات عنوان شدهاند که عبارتند از: عوامل انگیزشی برای تغییر، تناسب منابع بکار گرفته شده، ویژگی کارکنان و بلوغ و شرایط سازمان.
در حوزه مدیریت تداوم کسب و کار نیز موسسه IBM مطالعاتی گسترده همراه با ارائه فناوریهای نوین و تجهیزات خاص را انجام داده است که ثمرۀ آنها ارائه چارچوبها و سطحبندیهای تداوم کسب و کار با عنوان 7 لایه تداوم کسب و کار، به ویژه در حوزۀ فناوریهای مربوط به ذخیرهسازی دادهها میباشد (بروکس، 2007(الف):19-17) (بدرنجک، 2002: 31-21) (بروکس، 2007(ب):139-134). همچنین موسسه استاندارد انگلستان، به عنوان متولی استاندارد این سیستم به همراه انتشارات IT Governance روشهای پیادهسازی بهینه را برای درک بهتر مدیریت تداوم کسب و کار و پوشش الزامات استاندارد، در مجموعه کتب خود مورد بررسی قرار میدهند (درویت، 2008) (; شارپ و BSI، 2008کالدر، 2008). با این وجود با توجه به نوظهور بودن مفاهیم مذکور، تا به حال پژوهشی در رابطه با سنجش میزان آمادگی سازمانها برای پیادهسازی استانداردهای این حوزه و به طور کلی نگاه سیستماتیک به این مقوله صورت نپذیرفته است و بیشتر مطالعات، جنبه فناوری و تجهیزات را در بر میگیرند. بنابراین پژوهش پیشرو سعی در بررسی میزان آمادگی سازمانها برای پیادهسازی نظاممند تداوم کسب و کار را دارد، تا بدینوسیله سازمانها را برای پیادهسازی بهینه این سیستم و بیشتر کردن شانس موفقیت اجرا، یاری نماید.
در زمینه آمادگی سازمان برای پیادهسازی نظامهای مدیریتی بر اساس استانداردها، سیستمهای اطلاعاتی، فناوری و به طور کلی آمادگی برای تغییر، پژوهشهای مختلفی انجام پذیرفته است که در جدول 1 به برخی از آنها اشاره شده است.
جدول 1. پژوهشهای گذشته در زمینه سنجش آمادگی سازمانی برای تغییر در حوزۀ فناوری
4- روش پژوهش
پژوهش حاضر از منظر هدف، کاربردی است و روش آن نیز توصیفی-پیمایشی به شمار میرود. مشخصات دیگر این پژوهش در جدول 2 آورده شدهاند.
جدول 2. خلاصه اطلاعات مربوط به روش پژوهش
جامعه آماری این پژوهش جهت تعیین شاخصهای مطلوب اوزان مربوط به ابعاد سطح آمادگی سیستم مدیریت تداوم کسب و کار شامل اساتید، خبرگان و محققین با زمینه فعالیت یا پژوهش در حوزه امنیت اطلاعات، کارشناسان حوزه تداوم کسب و کار و بخش سیستماتیک امنیت اطلاعات در شرکتهای مشاور امنیتی و برخی از مدیران امنیت در سازمانهای بزرگ تهران میباشند. برای 82 نفر از این خبرگان جهت استخراج نظر آنها جهت میزان موافقت با اجزای مدل، پرسشنامهای با بهرهگیری از طیف لیکرت ارسال گردید که 64 پرسشنامه برگشت داده شده، به صورت تصادفی مورد پیمایش قرار گرفتند. باید توجه داشت که تعداد 64 نفر، حجم مطلوبی برای تحلیل عاملی به نظر نمیرسد و با توجه به تعداد عاملها، این تعداد میبایست حداقل 108 باشد. ولی با توجه به عدم دسترسی به افراد خبرۀ این حوزه و نوظهور بودن موضوع، محقق به این ضعف در اندازۀ نمونه اشعار میدارد. در این پژوهش برای تجزیه تحلیل دادهها از نرم افزار SPSS استفاده شده است.
تعیین پایایی پرسشنامه با استفاده از آلفای کرونباخ انجام گردید و برای اندازهگیری روایی ظاهری و محتوایی پرسشنامه، از نظر خبرگان و اساتید مربوطه استفاده شد و اشکالات ساختاری آن شناسایی و اصلاحات لازم جهت برآورده ساختن روایی محتوا انجام شد. برای اندازه گیری روایی سازه از تحلیل عاملی اکتشافی و تأییدی استفاده شده است. پس از آن برای آزمون فرضیهها از آزمون دوجملهای استفاده میشود و جهت تعیین وزن و اهمیت هر شاخص و همچنین وزن عوامل نهایی نیز از روش میانگین موزون استفاده شده است. در پایان، شرکت ماموت فناوری اطلاعات که قصد پیادهسازی سیستم مدیریت تداوم کسب و کار را دارد، به عنوان نمونه انتخاب گردید. وضعیت موجود این شرکت به منظور مقداردهی شاخصهای بدستآمده با بهکارگیری مدل 5 سطحی مهندسی امنیتی بلوغ قابلیتهای امنیتی (SSE-CMM ) (پالک، کرتیس، کیریسیس و وِبر، 1993) و استفاده از مصاحبه ساخت یافته با مدیران این مجموعه، استخراج شده و میزان آمادگی پیادهسازی این سیستم در آن شرکت تعیین گردید.
5- یافتههای پژوهش
با توجه به دریافت 64 پرسشنامه از پاسخدهندگان، پایایی پرسشنامه با استفاده از ضریب آلفای کرونباخ، 0/950 بدست آمد که با توجه به بیشتر بودن از 0/6 و اختلاف زیاد آن، رقمی بسیار قابل قبول است. بر روی دادههای جمع آوری شده با استفاده از روش مؤلفههای اصلی تحلیل عاملی صورت گرفت و نتیجه آزمونKMO ، 0/786 محاسبه گردید که با توجه به اینکه بیشتر از 0/5 میباشد، نمایانگر کفایت نمونهگیری و درجه تناسب دادهها برای اجرای تحلیل عاملی میباشد. همچنین آزمون کرویت بارتلت که نشاندهنده همبستگی دادههای ماتریس میباشد نیز با ضریب اهمیت 0/0001 مورد تأیید قرار گرفت. به علاوه، مقدار آزمون بارتلت برابر با 1462 است و معنیداری آن در سطح 99 درصد، نشان میدهد از یک سو بین گویههای داخل هر عامل همبستگی بالایی وجود دارد و از سوی دیگر، بین گویههای یک عامل با گویههای عامل دیگر، هیچگونه همبستگی مشاهده نمیشود.
با توجه به جدول 3، ماتریس همبستگی دادهها که با روش مؤلفه های اصلی بدست آمده است، نشان میدهد که از مجموع 36 گویۀ پرسشنامه، 9 گویه دارای مقدار ویژۀ بالاتر از 1 میباشند و این 9 عامل میتوانند حدود 71 درصد از واریانس متغیر کمی را تبیین کنند و در واقع نشاندهندۀ روایی سؤالات میباشد.
جدول 3. ماتریس همبستگی دادهها و اطلاعات توصیفی
تحلیل سنگریزه که در نمودار 1 نشان داده شده است، نشان دهندۀ مقدار ویژه عوامل شناساییشده میباشد. این نمودار نشان میدهد که 9 عامل از گویهها استخراج شده است. در نهایت برای دستهبندی عوامل از چرخش پروماکس استفاده شد که در ماتریس چرخشیافته برای متغیرهای سیستم مدیریت تداوم کسب و کار (BCMS )، در مجموع 9 عامل کلی شناسایی و با توجه به ادبیات پژوهش نامگذاری شد. این عوامل عبارتند از: 1.شناخت سازمان، 2.بهبود مستمر، 3.ایجاد و مدیریت سیستم، 4.ایجاد واکنش و طرح تداوم، 5.بازبینی و کنترل سیستم، 6.تعبیه سیستم در فرهنگ سازمانی، 7.مستندسازی سیستم، 8.تعیین راهبردهای تداوم و 9.تمرین، نگهداشت و بازنگری سیستم.
نمودار 1. تحلیل سنگریزه
پس از تحلیل عاملی بر روی متغیرها و تعیین متغیرهای نهایی و عاملهای شناساییشده، فرضیههای پژوهش که نظر موافق پاسخ دهندگان در مورد تأثیر عوامل کشف شده بر روی آمادگی سازمان برای پیادهسازی سیستم مدیریت تداوم کسب و کار را مورد آزمون قرار میدهد، با استفاده از توزیع دوجملهای مورد بررسی قرار گرفتند. همانطور که در جدول 4 نشان داده شده است، کلیه عوامل اصلی و همچنین کلیه گویهها، با نسبت بالاتر از 0/6 درصد مورد تأیید قرار گرفتند.
جدول 4. نتایج آزمون دوجمله ای بر روی عوامل و شاخصها
برای محاسبه وزن هر یک از شاخصها از روش میانگین موزون استفاده میشود. بدین منظور، ارزش هر گویه که بر اساس طیف لیکرت، عددی بین 1 تا 5 است، در فراوانی نسبی هر یک از گویهها ضرب میشود. مجموع این حاصلضربها، ارزش هر شاخص را تشکیل میدهد. از آنجایی که برای تحلیل ارزش هر عامل لازم است تا این اعداد بین صفر و 1 باشند، این ارزشها باید نرمال سازی شوند. بدین منظور، مجموع ارزش همۀ شاخصهای هر عامل، جمع شده و عددی به دست میآید که ارزش هر شاخص بر این عدد تقسیم میشود. بدین ترتیب، ارزش هر یک از شاخصها نرمال شده و میتوان از آنها برای محاسبۀ ارزش هر عامل استفاده نمود. نتایج حاصلشده در جدول 5 نشان داده شدهاند.
با توجه به نتایج حاصلشده مطابق با جدول 5، در مورد عامل شناخت سازمان، شاخص تعیین الزامات استمرار، بیشترین امتیاز را به خود اختصاص داده است. همچنین مواردی همچون ارزیابی مخاطره و تحلیل اثرات کسب و کار دارای ارزشی برابر بوده و از درجه اهمیت بالایی در مدل برخوردار میباشند. با توجه به اهمیت خاصی که استاندارد برای این دو مبحث در قسمت برنامهریزی سیستم قائل است، به نظر میرسد که در این مورد، پاسخ دهندگان نیز نظری یکسان با استاندارد را دارند. در مورد عامل بهبود مستمر، با توجه به مکمل بودن دو شاخص اقدامات اصلاحی و پیشگیرانه، امتیازات نزدیک به هم را از دید خبرگان کسب کردهاند. با توجه به نتایج حاصلشده برای عامل ایجاد و مدیریت BCMS، شاخص تدارک منابع بیشترین امتیاز را به خود اختصاص داد. بدین ترتیب پاسخدهندگان بر این باورند که تدارک منابع از ابعاد مختلف میتواند نقشی اساسی در شروع پیادهسازی را به خود اختصاص دهد. کنترل مستندات و رکوردهای مربوط به سیستم مدیریت تداوم کسب و کار نیز در عامل هفتم قرار میگیرند. این دو مبحث به عنوان دو فعالیت مستمر و بنیادین در سیستم در نظر گرفته میشوند که با توجه به استاندارد بودن اهداف، مستندسازی بسیار مهم و حیاتی میباشد. از این نتایج میتوان دریافت که پاسخ دهندگان تفاوت محسوسی بین این دو شاخص قائل نگردیدهاند. عامل هشتم شامل راهبرد برای استمرار منابع مختلف سازمان نظیر: افراد، محل کار، فناوری، اطلاعات، موجودی و ذینفعان میباشد که در بررسی نظر پاسخ دهندگان، تفاوت زیادی بین اهمیت این شاخصها مشاهده نمیشود، ولی میتوان راهبرد تداوم برای سایت کاری را پررنگتر دید. این یافته نشان میدهد که خبرگان اعتقاد دارند که در بررسی آمادگی سازمان، تنها وجود راهبرد، جدا از نوع آن کفایت مینماید.
جدول 5. وزن عوامل و گویهها و نتایج اجرای آن در شرکت
در مجموع با توجه به نتایج حاصلشده مطابق با جدول 5، همانطور که در نمودار 2 نشان داده شده است، عامل ایجاد واکنش و طرح تداوم با اختلاف نسبتاً زیادی به عنوان مهمترین عامل از سوی خبرگان در مدل اندازه گیری میزان آمادگی سیستم مدیریت تداوم کسب و کار سازمان شناسایی گردید. این نتیجه بیانگر این است که تمامی خبرگانی که در این پژوهش مورد سؤال قرار گرفتهاند، بر عملی و مشهود بودن فعالیتهای صورت گرفته نگاهی ویژه دارند. همچنین دو عامل شناخت سازمان و تعیین راهبردهای تداوم که جزء مراحل اولیه پیادهسازی سیستم میباشند در رتبۀ بعدی قرار گرفتند که باز هم نتیجهگیری فوق را تأیید مینمایند.
نمودار 2. اوزان مدل برای عوامل مرتبط با آمادگی پیادهسازی BCMS
6- بهکارگیری مدل در شرکت مورد مطالعه
برای آزمودن مدل بدست آمده، شرکت ماموت فناوری اطلاعات به عنوان یکی از شرکتهای ارائه دهنده خدمات فناوری اطلاعات که قصد پیادهسازی سیستم مدیریت تداوم کسب و کار را دارد، انتخاب گردید. با توجه به اینکه ارائه خدمات مشاوره در زمینه استقرار سیستمهای مدیریتی از جمله سیستم مدیریت امنیت اطلاعات، جزء سبد محصول این شرکت میباشد و از طرفی سیستم مذکور در این شرکت پیادهسازی شده است، برخی از فعالیتهای مشترک میان سیستمهای مدیریتی دیگر و سیستم مدیریت تداوم کسب و کار در این شرکت از پیش پیادهسازی شدهاند.
با توجه به شاخصها و اوزانی که در مدل به دست آمد، جهت سنجش میزان پیادهسازی این شاخصها در شرکت ماموت فناوری اطلاعات از طریق مصاحبه با مدیران میانی و ارشد، برای هر کدام از شاخصها مطابق با روش CMM سطوح پنجگانهای شامل:1-اولیه، 2-تکرارپذیر، 3-تعریف شده، 4- مدیریتشده و 5-بهبودیافته (پالک و دیگران، 1993)، در نظر گرفته شد. امتیاز موزون هر شاخص از ضرب سطح CMM در وزن آن مطابق مدل، بدست میآید. سطح CMM هر عامل در شرکت از میانگین سطوح CMM شاخصهای آن عامل به دست میآید. از ضرب این سطح در وزن عامل مطابق مدل، امتیاز موزون عامل در شرکت بدست میآید. نتایج حاصل شده در جدول 5 آورده شدهاند.
برای درک بهتر وضعیت آمادگی شرکت مورد بررسی، میتوان از نمودار 3 استفاده نمود. در این نمودار میتوان سطح CMM هر یک از عاملها در مقایسه با امتیاز موزون آن را در قالب نمودار رادار مقایسه نمود.
همانطور که در نمودار 3 مشاهده میشود، سطح CMM اظهارشده برای عامل پنجم که مواردی همچون بازنگری مدیریت و ممیزی داخلی را شامل میشود، با توجه به پیادهسازی دیگر سیستمهای مدیریتی در شرکت، امتیاز بالاتری را معادل 4/50 ، به خود اختصاص داده است و دیگر عاملها در بازۀ امتیازیِ 1/85 تا 2/83 قرار گرفتهاند. پس از اعمال مدل پیشنهادی، مشاهده میشود که عامل اول- شناخت سازمان، به همراه عوامل چهارم- ایجاد واکنش و طرحهای تداوم و هشتم- تعیین راهبردهای تداوم، به دلیل برخورداری از اوزان بالاتر و یا همچنین وضعیت CMM بهتر در شرکت، امتیازات بهتری را کسب کردهاند.
نمودار 3. وضعیت عوامل آمادگی پیادهسازی BCMS در شرکت
7- نتیجه گیری و پیشنهادها
در عصر فناوری اطلاعات و محیط رقابتی امروز، در بسیاری از کسب و کارها و به ویژه کسب و کارهای مرتبط با فضای دیجیتال، فرآیندهای کلیدی و محوری سازمان شدیداً به زیرساختهای فناوری اطلاعات وابسته میباشند و از کارافتادگی سیستمهای بنیادین و اساسی، سازمانها و حتی در بعضی موارد کشورها را با مشکلات جدی و هزینه های بالایی روبرو خواهد کرد. در این بین، بسیاری از مدیران به منظور حصول اطمینان از عدم بروز انقطاع در فرآیندهای سازمانی و به دنبال آن عدم بروز اختلال در ارائه خدمات و محصولات خود، سعی در بهکارگیری روشها، چارچوبها و استانداردهای مرتبط با مدیریت تداوم کسب و کار را دارند. با توجه به لزوم شناخت مناسب از وضعیت فعلی سازمان، قبل از شروع پروژه های پیادهسازی سیستم مدیریت تداوم کسب و کار، جهت بهینهشدن منابعی همچون هزینه و زمان پیادهسازی، نیاز به ابزار اندازهگیری مناسب برای سنجش میزان آمادگی سازمان در این حوزه احساس میشود. در این راستا، پس از بررسی ادبیات موضوع و استخراج ویژگیها و فرآیندهای مورد نیاز در این سیستم، در نهایت 36 گویۀ پایا و معتبر حاصل گردید که با توجه به محاسبه میزان تأثیرگذاری هر یک در آمادگی سازمان از طریق اختصاص وزن به آنها، ابزاری جهت سنجش میزان آمادگی سازمان برای پیادهسازی سیستم مدیریت تداوم کسب و کار بر مبنای استاندارد جهانی BS 25999 تهیه گردید.
با استفاده از ابزار ایجادشده، میزان آمادگی شرکت ماموت فناوری اطلاعات برای پیادهسازی سیستم مدیریت تداوم کسب و کار بر مبنای استاندارد مذکور اندازهگیری شد. با توجه به نتایج پژوهش، مبنای بررسی امتیازات و نتیجهگیریها در هر عامل، امتیاز موزون کسب شده توسط آن عامل خواهد بود. بدین ترتیب عامل اول- شناخت سازمان با کسب امتیاز 0/475، دارای بالاترین آمادگی میباشد. میتوان نتیجه گرفت که این شرکت در مهمترین عامل شناساییشده با ضریب 0/195، امتیاز نسبتاً بالایی معادل 0/361 را دریافت کرده و نتیجتاً در مدل، در سطح خوبی قرار میگیرد. از سوی دیگر عاملهای مرتبط با فرهنگ سازمانی و آگاهی افراد از این سیستم مدیریتی، از امتیازات پایینی در این شرکت برخوردار میباشند. در این خصوص مواردی همچون عامل ششم-تعبیه سیستم در فرهنگ سازمانی با امتیاز 0/140 و عامل هفتم- مستندسازی سیستم با امتیاز 0/112، برای پیاده سازی موفقتر سیستم در این شرکت باید بیشتر مورد توجه قرار گیرند. از حاصل جمع امتیاز موزون 9 عامل میتوان به یک عدد واحد دست یافت که وضعیت کلی آمادگی سازمانی را نشان میدهد و قابلیت اندازه گیری مجدد در طول زمان و یا مقایسه وضعیت آمادگی سازمانهای مختلف را امکانپذیر میسازد. شرکت ماموت فناوری اطلاعات با کسب امتیاز نهایی 2/46، مطابق با مدل CMM بین سطوح دوم (تکرار پذیر) و سوم (تعریف شده) قرار میگیرد که در مجموع وضعیت مناسبی برای پیادهسازی سیستم را دارد.
در پایان برای پژوهشهای آتی این حوزه، پیشنهاد میشود تا مدل اندازهگیری طراحیشده در دیگر شرکتها و سازمانهای متعلق به بخش خصوصی و دولتی مورد اعتباریابی قرار گرفته و نتایج حاصل از سازمانهای مختلف با یکدیگر مقایسه گردند. همچنین با توجه به نوظهور بودن مفاهیم این حوزه و تعریف پروژههای جدید استقرار این سیستم در سازمانهای مختلف، پیشنهاد میشود اثربخشی بهکارگیری سیستم مدیریت تداوم کسب و کار نیز مورد مطالعه قرار گیرد.
منابع:
1- ده موبد، بیژن (1388). ارزیابی مدیریت تداوم کسب و کار در پایانههای فروش فروشگاههای زنجیرهای بر اساس استاندارد جهانی BS25999 و ارائه راهکارهایی برای بهبود آن. (پایاننامه کارشناسی ارشد) رشته مدیریت فنآوری اطلاعات دانشگاه تهران.
2- رعنایی کردشولی، ح.، و قهرمانیفرد، م. (1392). ساخت و اعتباریابی مقیاسی جهت سنجش آمادگی سازمانی برای پیادهسازی اینترانت اجتماعی (مطالعۀ موردی: شرکت برق منطقهای فارس). مدیریت فناوری اطلاعات، 5 (1): 60-37.
3- شهیدی، سید عماد (1386). ارائه مدلی جهت سنجش میزان آمادگی سازمان برای پیادهسازی سیستم مدیریت امنیت اطلاعات. (پایاننامه کارشناسی ارشد) رشته مدیریت فنآوری اطلاعات دانشگاه علامه طباطبایی.
4- Ahonen, J. (2011). Implementing a social intranet: A study of organizational readiness for change. (Master), Aalto University.
5- Bedernjak, M. J., Igor; Merryman, John. (2002). Disaster recovery strategies with Tivoli Storage management (1st ed ed.). San Jose, Calif.: International Business Machines, Corporation.
6- Bottrell, E. G. (2008). Business Rediness Assessment Plan-Project Implementation ERP Deliverable Series, Retrieved from http://www.docstoc.com/docs/37728080/ERP-Deliverables-Series
7- Brooks, C. L., Clem; Mirza, Aslam; Curtis, Neal; Qiu, Y. L.; Sing, John; Wong, Francis TH; Wright, Ian R. (2007a). IBM System Storage Business Continuity Solutions overview (2nd ed ed.). Poughkeepsie, NY: International Business Machines, Corporation.
8- Brooks, C. L., Clem; Mirza, Aslam; Curtis, Neal; Qiu, Y. L.; Sing, John; Wong, Francis TH; Wright, Ian R. (2007b). IBM System Storage business continuity: Part 1 Planning Guide. United States: International Business Machines, Corporation.
9- Calder, A. (2008). Business continuity and BS25999 a combined glossary. Ely, U.K.: IT Governance Pub.
10- Discovery Learning, I. (2010). Research Summary 14- Development of the Change Readiness Gauge. 4. Retrieved from website: http://www.discoverylearning.com/images/document/Research%20Summaray14%20CRG.pdf
11- Drewitt, T. (2008). A manager’s guide to BS25999 a practical guide to developing and Implementing a business continuity management system. Ely: IT Governance Pub.
12- Ernest-Jones, T. (2005). Business continuity strategy – the life line. Network Security, 2005(8), 5-9. doi: 10.1016/s1353-4858(05)70268-3
13- Frankland, J. (2008). IT security metrics: implementation and standards compliance. Network Security, 2008(6), 6-9. doi: 10.1016/s1353-4858(08)70075-8
14- Gibb, F., & Buchanan, S. (2006). A framework for business continuity management. International Journal of Information Management, 26(2), 128-141. doi: 10.1016/j.ijinfomgt.2005.11.008
15- Khalfan, M. M. A., Anumba, C. J., Siemieniuch, C. E., & Sinclair, M. A. (2001). Readiness Assessment of the construction supply chain for concurrent engineering. European Journal of Purchasing & Supply Management, 7(2), 141-153. doi: 10.1016/s0969-7012(00)00023-x
16- Kwahk, K.-Y., & Lee, J.-N. (2008). The role of readiness for change in ERP implementation: Theoretical bases and empirical validation. Information & Management, 45(7), 474-481. doi: 10.1016/j.im.2008.07.002
17- Lehman, W. E. K., Greener, J. M., & Simpson, D. D. (2002). Assessing organizational readiness for change. Journal of Substance Abuse Treatment, 22(4), 197-209. doi: 10.1016/s0740-5472(02)00233-7
18- Mankins, J. C. (2009). Technology readiness assessments: A retrospective. Acta Astronautica, 65(9-10), 1216-1223. doi: 10.1016/j.actaastro.2009.03.058
19- Mrayyan, M. T., Modallal, R., Awamreh, K., Atoum, M., Abdullah, M., & Suliman, S. (2008). Readiness of organizations for change, motivation and conflict-handling intentions: Senior nursing students’ perceptions. Nurse Education in Practice, 8(2), 120-128. doi: 10.1016/j.nepr. 2007.04.001
20- Paulk, M. C., Curtis, B., Chrissis, M. B., & Weber, C. V. (1993). Capability maturity model, version 1.1. IEEE Software, 10(4), 18-27. doi: 10.1109/52.219617
21- Pritchard, S. (2007). Continuity in a disaster. Infosecurity, 4(8), 24-25. doi: 10.1016/s1754-4548(07)70200-0
22- Sharp, J., & British Standards, I. (2008). The route map to business continuity management: meeting the requirements of BS 25999. London: BSI.
23- Smith, C. L., & Brooks, D. J. (2013). Business Continuity Management. 199-223. doi: 10.1016/b978-0-12-394436-8.00009-6
24- Stanton, R. (2005). Beyond disaster recovery: the benefits of business continuity. Computer Fraud & Security, 2005(7), 18-19. doi: 10.1016/s1361-3723(05)70234-7
25- Weiner, B. J. (2009). A theory of organizational readiness for change. Implementation Science, 4(1), 67. doi: 10.1186/1748-5908-4-67
26- Weiner, B. J., Amick, H., & Lee, S. Y. D. (2008). Review: Conceptualization and Measurement of Organizational Readiness for Change: A Review of the Literature in Health Services Research and Other Fields. Medical Care Research and Review, 65(4), 379-436. doi: 10.1177/1077558708317802
سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار سیستم مدیریت تداوم کسب و کار