مقدمه ای بر استاندارد ISO 22301 جهت پیاده سازی سیستم مدیریت تداوم کسب و کار BCMS
  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: یک‌شنبه ، ۱۹ فروردین ماه ۹۷
  • تعداد بازدید: 5069
  • تعداد نظرها: 1
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

فرآیند‌ یا فرآیندهای کسب و کار در هر سازمان مهم‌ترین و حیاتی ترین فرآیندهایی می‌باشد که بقا و تداوم یک سازمان به آن بستگی دارد. به همین دلیل یکی از دغدغه‌ها و چالش‌های مدیران بکارگیری سیاست‌ها و مکانیزم‌هایی است که بتوانند تدوام در کسب و کار سازمان را تضمین نماید. در همین راستا استانداردها و سیستم‌های مدیریتی نظیر سیستم مدیریت امنیت اطلاعات ISMS که مطابق با استاندارد ISO/IEC 27001 در تلاش جهت ارتقاء امنیت اطلاعات می‌باشد می‌تواند در راستای حفظ و اطمینان از تداوم کسب و کار مورد استفاده قرار گیرد. اما اهمیت کسب و کار و تداوم آن موجب شده است که در این خصوص نیز یک استاندارد مجزا تحت عنوان ISO 22301 سیستم مدیریت تداوم کسب و کار (BCMS) منتشر گردد. در مقالات قبلی حوزه تداوم کسب و کار با عناوین "مدیریت تداوم کسب و کار به شیوه ای آسان در ISMS" و همچنین "تفاوت میان طرح تداوم کسب و کار(BCP) و طرح بازیابی از حادثه (DRP)" سعی کردیم تا به این مبحث مهم بپردازیم، در این مقاله نیز سعی داریم به صورت مختصر نگاهی به استاندارد مرجع این حوزه داشته باشیم وهمچنین اصطلاحات و پارامترهای پرکاربرد در آن را تعریف نماییم.

 

استاندارد ISO 22031 چیست؟

نام کامل این استاندارد ISO 22301:2012 Societal security – Business continuity management systems – Requirements یا الزامات سیستم های مدیریت تداوم کسب و کار می باشد که توسط کمیته فنی ISO/TC 223 در حوزه امنیت اجتماعی تدوین شده است. این استاندارد توسط متخصصان تداوم کسب و کار نوشته شده است و چارچوب مناسبی را برای مدیریت تداوم کسب و کار در یک سازمان را فراهم می کند. یکی از ویژگی‌هایی که این استاندارد را از دیگر چارچوب‌ها و استانداردهای دیگر تداوم کسب و کار (نظیر ISO 24762، NIST SP 800-34) متمایز می‌کند، این است که یک سازمان می تواند توسط این استاندارد گواهینامه انطباق معتبر دریافت نماید که جهت افزایش رضایت مشتریان، شرکاء و صاحبان شرکت موثر است.

 

ارتباط بین استاندارد ISO 22301  و BS 25999

استاندارد BS 25999 برای اولین بار توسط انجمن استانداردهای انگلیس (BSI) در سال 2006 و 2007 در 2 نسخه زیر ارائه شده است:

 Business Continuity Management. Code of Practice: BS 25999-1:2006 (1 که شامل اصول، فرآیندها و راهنمایی‌های کلی توصیه شده در مدیریت تداوم کسب و کار می‌باشد.

 Specification for Business Continuity Management: BS 25999-2:2007 (2 که شامل مجموعه الزامات لازم جهت اجراء، پیاده‌سازی و بهبود سیستم مدیریت تداوم کسب و کار می‌باشد.

اما با گذشت زمان و انتشار اولین نسخه از استاندارد ISO 22301 در سال 2012 موجب می‌گردد این استاندارد جایگرین بخش دوم استاندارد BS 25999-2 گردد. البته لازم به ذکر است با انتشار ISO 22301 تفاوت عمده‌ای در این دو استاندارد مشاهده نمی شود و تغییرات به صورت کلی شامل افزوده شدن برخی از اصطلاحات نظیر Maximum Acceptable Outage (MAO), Minimum Business Continuity Objective (MBCO) در نسخه ISO 22301 جدید می‌باشد. به صورت کلی می‌توان گفت استاندارد ISO 22301 دارای بیشترین  تأکید بر روی قسمت مدیریتی استاندارد نظیر درک الزامات، تعیین اهداف و اندازه گیری عملکرد می‌باشد که می‌‌تواند توسط مدیریت راحت‌تر مورد پذیرش قرار گرفته و از طرفی به لحاظ ساختاری متناسب با سایر استانداردهای خانواده ISO نظیر ISO 27001، ISO 9001،  ISO 14001 باشد.

 

مدیریت تداوم کسب و کار دارای چه مزیت‌ برای سازمان می‌باشد؟

به صورت کلی ‌می‌توان گفت مهم‌ترین مزیت در پیاده‌سازی سیستم مدیریت تداوم کسب و کار کاهش احتمال و اثرات ناشی از رخداد‌های مخرب می‌باشد. به‌نحوی که سازمان آمادگی لازم را در خصوص مواجه با هرگونه رخدادی که باعث انقطاع در فرآیند کسب و کار می‌گردد داشته باشد. همچنین این استاندارد برای هر نوع سازمانی اعم از سودده یا غیرانتفاعی و یا عمومی و خصوصی در هر اندازه‌ای از کوچک تا بزرگ می‌تواند مورد استفاده قرار گیرد. ضمن اینکه برای سازمان‌های بزرگ با فرآیندها حیاتی پیاده‌سازی سیستم مدیریت تداوم کسب و کار می‌تواند بسیار سودمند باشد.

یکپارچگی در مدیریت تداوم کسب و کار

در هر سازمان مفهوم کلانی به عنوان مدیریت ریسک وجود دارد که در هر حوزه از فعالیت‌های سازمان می‌تواند به صورت مجزا تعریف گردد. به عنوان مثال یک سازمان می‌تواند در حوزه فناوری اطلاعات، حوزه مالی و سرمایه‌گذاری، حوزه منابع انسانی، حوزه زنجیره تامین و حوزه‌های دیگر ریسک‌های هر حوزه را شناسایی و مدیریت نماید. البته در خصوص مدیریت ریسک استاندارد‌هایی نیز تدوین شده است که می‌توانید به منظور اطلاعات بیشتر درخصوص 2 استاندارد پرکاربرد در حوزه مدیریت ریسک به مقاله "مقایسه استاندارد ISO/IEC 27005 و استاندارد ISO 31000 در حوزه مدیریت ریسک" مراجعه نمایید.

سیستم مدیریت تداوم کسب و کار نیز می‌تواند بخشی از مدیریت ریسک کلان در سازمان محسوب گردد که با سایر حوزه‌های دیگر به شکل زیر می‌تواند همپوشانی داشته باشد.

 

برخی از اصطلاحات مورد استفاده در استاندارد ISO 22301

  • Business Continuity Management System یا BCMS: سیستم مدیریت تداوم کسب و کار می‌تواند به عنوان بخشی یک سیستم مدیریت جامع در سازمان فرآیندهای لازم در خصوص برنامه‌ریزی، پیاده سازی، نگهداری و بهبود مستمر در تداوم کسب و کار یک سازمان را برنامه‌ریزی و اجرا نمود.
  • Maximum Acceptable Outage یا MAO: حداکثر زمانی است که یک فعالیت می‌تواند دچار وقفه شده بدون اینکه به آسیب‌دیدگی غیرقابل پذیرشی منجر گردد این اصطلاح به نام Maximum Tolerable Period of Disruption یا MTPD تعریف می گردد. (به عنوان مثال می‌توان حداکثر زمان وقفه در سرویس ایمیل سازمانی را 1 ساعت در نظر گرفت.)
  • Recovery Time Objective یا RTO: مدت زمانی است که می‌بایست صرف شود تا یک فعالیت به حالت اصلی خود بازیابی گردد. این زمان معمولاً از قبل تعیین می‌گردد و درصورتیکه این زمان از مقدار MAO بیشتر باشد می‌تواند منجر بروز شرایط بحرانی برای سازمان گردد. (به عنوان مثال مدت زمان لازم برای بازیابی سرویس ایمیل حداقل 3 ساعت پیش‌بینی می‌گردد.)
  • Recovery Point Objective یا RPO: میزان حجم اطلاعاتی است که می‌بایست در دسترسی باشد تا ادامه یک فعالیت میسر باشد. همچنین این اصطلاح را به عنوان حداکثر حجم اطلاعات مجاز جهت فقدان نیز استفاده می‌نمایند. (به عنوان مثال دسترسی به اطلاعات 6 ماه گذشته سرویس ایمیل برای کارکنان یک سازمان جهت ادامه فعالیت‌هایشان نیاز است.)
  • Minimum Business Continuity Objective یا MBCO: حداقل سطح سرویس مورد نیاز برای بازیابی مجدد یک فعالیت یا فرآیند پس از بروز یک رخداد. (به عنوان مثال در صورت قطع شدن اینترنت از 3 شرکتISP سرویس دهنده در سازمان می‌بایست جهت برقراری مجدد اتصال اینترنت حداقل یکی از ISP های سرویس‌دهنده‌ متصل گردد.)

 

چرخه اجرای مدیریت تداوم کسب و کار

از آنجا حیات هر سازمان به تداوم کسب و کار آن سازمان بستگی دارد، لازم است که سیستم مدیریت تداوم کسب و کار (BCMS) نیز خود را به منظور اطمینان از اثربخش بودن (به عنوان مثال اهداف و روش های آن) به‌روز رسانی نماید. لذا با توجه به رویکرد یکپارچه کلیه استانداردهای خانواده ISO نظیر ISO 27001، ISO 9001،  ISO 14001 در استفاده از چرخه PDCA ، این استاندارد نیز با استفاده از این رویکرد تدوین و سازمان‌دهی شده است.

در مقاله بعدی با عنوان "گام‌های اساسی در پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار بر مبانی استاندارد ISO 22301" نحوه پیاده سازی سیستم BCMS و فرآیندهای اصلی آن را بررسی خواهیم نمود.

برچسب ها:
ISO 22301 BS 25999 سیستم مدیریت تداوم کسب و کار BCMS MAO RTO RPO
نویسنده: میثم ارجمندفر دسته بندی: سیستم مدیریت امنیت اطلاعات
نظرات کاربران

امیر خوانی

یک‌شنبه ، ۱۹ فروردین ماه ۹۷

0

بسیار عالی. در بسیاری از موارد RTO و MAO بجای هم بکار می روند که در این مقاله این تفکیک صورت پذیرفته است.