تفاوت میان طرح تداوم کسب و کار(BCP) و طرح بازیابی از حادثه (DRP)

امروزه دغدغه اکثر مدیران به خصوص در حوزه فناوری اطلاعات مدیریت فرآیند ها با بهترین کارایی می ­باشد به گونه ای که در مقابل تهدیدات و حملات و مشکلات و هر چیزی که ممکن است تجارت و سازمان شخص را دچار اختلال کند بعد از بروز هر گونه اتفاق نامتعارف بتوان فعالیت کاری را به حالت عادی برگرداند. در واقع بحث کارایی در کنار راه کار های خروج از بحران در موقع اضطرار بیان می شود. در مقاله قبلی به موضوع مدیریت تداوم کسب و کار به شیوه ای آسان در ISMSبه نحوه پیاده سازی مدیریت کسب وکار در سازمان اشاره کردیم اما در این مقاله هدف مشخص کردن مرز بین دو مبحث و طرح مهم در این خصوص با عنوان طرح تداوم کسب و کار(BCP) و طرح بازیابی از حادثه(DRP) می باشد.

BCP یا طرح تداوم کسب و کار چیست؟

BCP  مخفف Business Continuity Plan که به معنی طرح تداوم کسب و کار یا طرح تداوم/استمرار تجارت مشهور است در واقع به مجموعه ای از فرآیند ها و دستورالعمل ها اطلاق می شود که توسط یک سازمان پیاده سازی می شود تا سازمان بتواند بعد یا در هنگام بروز یک فاجعه به کار خود و روند فعالیتی روزمره خود همچنان ادامه دهد.(1) با استفاده از پیاده سازی یک طرح تداوم کسب و کار سازمان ها در واقع به دنبال حفاظت از سرویس های حساس و حیاتی خود هستند تا بتوانند بعد از بروز فاجعه این سرویس ها را بلافاصله به مدار برگردانند و تجارت و کسب و کار خود را ادامه دهند. این نوع طراحی و برنامه ریزی به سازمان اجازه می دهد تا بتوانند سرویس ها را به سرعت بازیابی و به سطح عملیاتی کامل خود در سریعترین زمان و با بالاترین کیفیت ممکن برسانند. در BCP معمولا تمامی فرآیندهای حساس تجاری سازمانی و همه عملیات های مهم و کلیدی تجاری تحت پوشش قرار می گیرد. BCP یک طرح کلان است و معمولا در سطح کلان هم اجرا می شود. در واقع در BCP ما باید به این می اندیشیم که برای مثال در صورت نابودی کل سیستم باید چگونه به حالت قبل بازگشت.

با توجه به اهمیت استمرار فرآیندها و فعالیت های کلیدی سازمان ها که منجر به تداوم ارائه محصولات و خدمات آنها می شود، به منظور تبیین چارچوب ها و الزامات این حوزه، استانداردها و مستندات مختلفی از سوی مجامع مختلف  جهانی و بین المللی ارائه گردیده است. از مهمترین این استانداردها می توان به استاندارد بین المللی ISO 22301 به عنوان استاندارد مرجع حوزه تداوم کسب و کار اشاره کرد ( برای مطالعه بیشتر در این خصوص به مقاله "مقدمه‌ای بر استاندارد ISO 22301 جهت پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار" و "گام‌های اساسی در پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار بر مبانی استاندارد ISO 22301" رجوع شود) که می توان گفت از استانداردهای  BS 25999-1:2006 – مدیریت تداوم کسب و کار – قسمت اول: راهنمای پیاده سازی و همچنین BS 25999-2:2007 – مدیریت تداوم کسب و کار – قسمت دوم: مشخصات (انتشار یافته توسط BSI) بهره گرفته است. همچنین این حوزه به عنوان یکی از دامین های کنترلی (A.17) در استاندارد بین المللی ISO 27001 مربوط به الزامات سیستم مدیریت امنیت اطلاعات (ISMS) آورده شده است.

DRP یا طرح بازیابی از حادثه چیست؟

DRP مخفف Disaster Recovery Plan که به معنی طرح بازیابی از حادثه/فاجعه است و در واقع ما می توانیم به DRP به عنوان یک زیر مجموعه از طرح کلان BCP نگاه کنیم. برای اینکه در یک سازمان ما بتوانیم یک طرح تداوم کسب و کار کامل و جامع داشته باشیم و پیاده سازی کنیم نیاز به طراحی و پیاده سازی مجموعه ای از DRP ها داریم.  DRP بر خلاف BCP که بسیار کلان به همه مسائل نگاه می کند، نگاه جرئی تر و دقیق تری به مشکلات دارد،DRP ها معمولا جهت طرح های کوچک فنی برای گروه های خاص در یک سازمان طراحی و تدوین می شوند و بعضا برای هر قسمت از فعالیت های سازمانی بصورت جداگانه یک طراح بازیابی از فاجعه جداگانه ایجاد می شود. یکی از شناخته شده ترین طرح های بازیابی از حادثه یا فاجعه ای که معمولا همه DRP را با آن می شناسند،DRP مخصوص حوزه فناوری اطلاعات یا IT DRP است. در این خصوص استاندارد ISO 27031 نیز منجصرا به آمادگی فناوری اطلاعات در حوزه تداوم کسب و کار می پردازد.

در طرح بازیابی از حادثه ای که برای سرویس های فناوری اطلاعات طراحی می شود یا در اصطلاح فنی تر IT DRP ها، اولویت فعال کردن سرویس ها و تکنولوژی های مورد استفاده توسط کاربران و ارائه کردن هر چه سریعتر این سرویس های از کار افتاده است. بعد از فعال کردن این سرویس ها برای کاربران، فعال کردن سرویس های دیگر برای سایر قسمت های سازمان در اولویت قرار می گیرد .

به طور کلی DRP  به مجموعه پردازش ها، سیاست ها و دستورالعمل های مربوطه ای گفته می شود كه با آن پس از وقوع یك فاجعه طبیعی (سیل، زلزله، طوفان و غیره) یا ساخته دست بشر (انفجار، خرابكاری، سرقت اطلاعات و غیره)، بازیابی یا تداوم كار زیر ساخت های حساس فناوری اطلاعات را بتوان تضمین كرد. همان که اشاره شد DRP یكی از سرفصل های BCP می باشد كه مشخصاً به رویكرد بازیابی خسارت های وارد شده به مجموعه زیر ساخت ها، داده ها و برنامه های كاربردی حوزه فناوری اطلاعات می پردازد.

 برای تهیه یك DRP می بایست در ابتدا محدوده طرح مشخص شود و سپس ارزیابی مخاطرات انجام می گیرد. معیار های كنترلی پیشگیری كننده، شناسائی كننده و اصلاح كننده در نظر گرفته می شوند و این معیارها بصورت مدون نگهداری و به طور مکرر مورد آزمون قرار می گیرند. برای هرDRP  نیاز به تعیین یك استراتژی مناسب است. اما قبل از آن می بایست به فاكتور های RPO و RTO كه در BCP در نظر گرفته شده توجه شود، تا بتوانند ارتباط منطقی ای بین آنها و زیرساخت ها و سیستم های فناوری اطلاعات بر قرار نمایند. همچنین می بایست توجه شود كه برای هر سیستم استراتژی بازیابی مناسبی در نظر گرفته شود و نهایتا استراتژی در نظر گرفته شده با بودجه تخصیص یافته همخوانی داشته باشد.

البته جهت درک بهتر المان های RTO و RPO به تعاریف این دو کلمه می پردازیم:

• RPO مخفف کلمه Recovery Point Objective است. تعریف کننده حداکثر داده ای است که سازمان پذیرش از دست دادن آن ها را دارد. به عنوان مثال اگر شما از سرور خود به صورت روزانه و در ساعت 23 یک نسخه پشتیبان تهیه می نماید، آنگاه RPO در این حال در بدترین وضعیت برابر 24 ساعت است.
• RTO مخفف Recovery Time Objective است که به معنی مدت زمان مورد نیاز جهت بازگرداندن سیستم پس از حادثه می باشد. در واقع به نوعی به Downtime تعیین شده  توسط سازمان در صورت بروز حادثه اشاره می نماید. البته اگر بخواهیم دقیقتر به این المان نگاه کنیم، RTO می بایست همواره کمتر از مدت زمان مجاز برای دسترس نبودن سرویس (که معمولا در SLA ها موجود است) باشد.

در این خصوص استراتژی های معمول به این ترتیب هستند كه نسخ پشتیبان بر روی رسانه های مختلف نظیر Tape یا دیسک قرار گرفته و به صورت Offline یا Online روی سایت بیرونی قرار می گیرند. بهترین حالت داشتن همزمان اطلاعات و سیستم ها در هر دو سایت عملیاتی و پشتیبان است كه به این حالت HA یا High availability گفته می شود.

در نظر گرفتن عواملی چون، مورد آزمون قرار گرفتن مداوم، بازیابی بر روی سخت افزارهای مورد نظر، آزمون بهترین و بدترین حالت های ممكن در تمام سطوح عملیاتی، قرار دادن دستور العمل ها در محلی امن و در دسترس بودن آخرین نسخه بروز شده آن ها در زمان لازم و قابل استفاده بودن دستورالعمل ها توسط كلیه افراد تیم فنی از جمله ملاحظاتی هستند كه بنا به تجربه بیشتر طرح های DRP را در نهایت عملیاتی، كارامد و موثر خواهند نمود. همچنین برای حصول اطمینان از اجرائی شدن DRP اخذ موافقت مدیریت، تفهیم مسئولیت و مشاركت تمام واحدهای سازمانی در موقع بروز بحران - نه فقط IT، تبعیت از استاندارها و الزامات قانونی و نهیتاً تصویب سرفصل بودجه سالانه مختص DRP الزامی است.

در پایان ذکر این نکته ضروری است که نباید به مباحث تداوم کسب و کار تنها از منظر تهیه نسخه پشتیبان و یا تامین تجهیزات اضافی برای سیستم های مختلف نگاه کرد، بلکه نایل آمدن به هدف استمرار فعالیت ها و فرآیندهای کلیدی سازمان تنها با بکارگیری دیدگاه همه جانبه و سیستماتیک و با در نظر گرفتن تمامی فاکتورهای تاثیرگذار نظیر فاکتورهای انسانی، تدوین قوانین و روش های اجرایی مورد نیاز، تعهد و حمایت مدیریت ارشد، بهبود مستمر و آزمون و تست تمهیدات در نظر گرفته شده و غیره میسر خواهد بود.