گام های اساسی در پیاده سازی سیستم مدیریت تداوم کسب و کار بر مبنای استاندارد ISO 22301

  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: سه‌شنبه ، ۰۴ اردیبهشت ماه ۹۷
  • تعداد بازدید: 1324
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

در هر سازمان فرآیندهای کسب‌وکار از اهمیت حیاتی برخوردار است به‌نحوی‌که حیات یک سازمان به فرآیندهای کسب‌وکار آن بستگی دارد. در مقالات قبلی حوزه تداوم کسب‌وکار درخصوص"مدیریت تداوم کسب‌وکار به شیوه‌ای آسان در ISMS" و همچنین "تفاوت میان طرح تداوم کسب‌وکار(BCP) و طرح بازیابی از حادثه (DRP)" آشنا شده‌ایم. در ادامه نیز در مقاله‌ای با عنوان "مقدمه‌ای بر استاندارد ISO 22301 جهت پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار" با استاندارد مرجع در پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار آشنایی پیدا کردیم. لذا در این مقاله در نظر داریم به گام‌های اساسی در پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار بر مبانی استاندارد ISO 22301  بپردازیم.

برای پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار یا  BCMS می‌توان به 14 گام به شرح ذیل به‌صورت مختصر اشاره نمود:

گام 1- هماهنگی و اخذ تائید مدیریت برای پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار

شروع هر پروژه جدید در سازمان نیاز به تائید مدیریت ارشد برای تأمین منابع مالی و انسانی موردنیاز می‌باشد. لذا پیاده‌سازی هر استاندارد جدید در سازمان نیز به‌عنوان یک پروژه جدید نیاز به حمایت و پشتیبانی مدیریت دارد که در نسخه‌های جدید استاندارد نیز به‌صورت یکپارچه به اهمیت آن در یک بند مجزا با عنوان "Support" اشاره شده است. آنچه که می‌تواند منجر به تائید مدیریت برای پشتیبانی از یک سیستم جدید گردد تشریح مزیت‌های آن برای مدیریت است. ازجمله مزیت‌های این سیستم که می‌تواند موردتوجه مدیران قرار گیرد می‌توان به موارد زیر اشاره نمود:

    1-   افزایش سازگاری با الزامات و تعهدات قراردادی فی‌مابین سازمان‌ها: معمولاً سازمان‌ها در تنظیم قراردادهای کاری با شرکت‌ها و پیمانکاران خارجی خود شرایط و جریمه‌هایی را در قالب توافق‌نامه‌های ارائه سرویس یا خدمت (SLA) مدنظر قرار می‌دهند که به‌عنوان الزامات و تعهدات سازمانی بسیار می‌تواند حائز اهمیت باشد چراکه در صورت بروز اختلال یا عدم سرویس‌دهی مناسب ممکن است با جریمه‌های سنگین مواجه شود. سیستم مدیریت تداوم کسب‌وکار می‌تواند تضمین نماید در زمان بروز اختلال در سرویس‌دهی، سرویس موردنظر را در حداقل زمان بازیابی نموده و هزینه‌های ناشی از جریمه به حداقل ممکن برساند.

    2-   امکان اخذ گواهینامه و ارتقاء برند سازمان: اخذ گواهینامه جزء مزیت‌های این استاندارد بوده و به شرکت‌ها و سازمان‌هایی که به تداوم خدمات خود نگاه ویژه‌ای دارند این اطمینان را حاصل می‌دهد که سازمان با استقرار این سیستم می‌تواند تضمین‌کننده حداقل اختلال در سرویس‌ها و خدمات خود باشد.

    3-   کاهش وابستگی به افراد: در بیشتر سازمان‌ها فرآیندهایی از کسب‌وکار وجود دارند که وابستگی زیاد به برخی از کارکنان دارند و مدیران نیز نسبت به این مسئله آگهی دارند. لذا سازمان‌ها می‌توانند از طریق سیستم مدیریت تداوم کسب‌وکار و با استفاده از طرح جایگزینی و مستندسازی وظایف، ریسک ناشی از عدم حضور افراد و درنتیجه اختلال در فرآیندهای کسب‌وکار را کاهش نمایند.

    4- جلوگیری از خسارت‌های بزرگ در سازمان: برای بسیاری از سازمان‌ها به دلیل وجود وابستگی در فرآیندهای کسب‌وکار ممکن است بروز مشکل در یک سرویس یا خدمت به سایر خدمات و سرویس‌ها دیگر منتقل‌شده و موجب خسارت‌های بزرگ برای سازمان گردد. همچنین برای شرکت‌هایی که معمولاً بر روی ارائه یک سرویس خاص ولی مهم تمرکز دارند مانند شرکت‌های مخابراتی و ارائه‌دهنده اینترنت ممکن است یک سرویس از اهمیت ویژه‌ای برخوردار باشد که پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار می‌تواند از بروز خسارت‌های مهم در سازمان جلوگیری و موجب صرفه‌جویی هزینه‌ای گردد.

گام 2- شناسایی ذی‌نفعان، نیازمندی‌ها و الزامات

شناسایی ذی‌نفعان یکی از قدم‌های ابتدایی و بسیار مهم در پیاده‌سازی سیستم‌های مدیریتی و استانداردهای مربوطه می‌باشد. می‌توان گفت مهم‌ترین علت در شناسایی ذی‌نفعان، شناخت نیازمندی‌ها و الزامات آن‌ها می‌باشد. همان‌طور که اشاره شده این الزامات ممکن است در قالب‌های تعهدات قراردادی نظیر SLA و OLA وجود داشته باشد.

گام 3- تدوین خط‌مشی و اهداف تداوم کسب‌وکار

استاندارد ISO 22301 نیز مطابق با سایر استانداردها نیاز به یک خط‌مشی مستند جهت سیاست‌گذاری کلان و سپس تعیین اهداف مشخص در جهت دستیابی به سیستم مدیریت تداوم کسب‌وکار می‌باشد. خط‌مشی تداوم کسب‌وکار می‌بایست با توجه به سه المان 1-  انعطاف‌پذیری 2- بازیابی 3- برنامه‌ریزی احتمالی تدوین گردد.

 در تعیین اهداف تداوم کسب‌وکار می‌توان به موارد ذیل اشاره نمود:

  • نحوه طبقه‌بندی نمودن حوادث و بحران‌ها در سطح سازمان
  • تعیین روش‌ها و فرآیندهای جایگزین
  • پشتیبان‌گیری و انجام بازیابی به‌صورت مطمئن
  • تست‌های منظم و سیستماتیک
  • انجام آموزش‌های موردنیاز
  • انجام نظارت و پایش به‌صورت مستمر
  • مسئولیت‌های داخلی و خارجی سازمان
  • تدوین طرح‌های ازسرگیری و تداوم کسب‌وکار
  • انجام فعالیت‌های مربوطه به ارزیابی و مدیریت ریسک
  • شناسایی و ارزیابی نقاط تک شکست SPOF یا (Single Point Of Failure) در سیستم‌ها
  • شناسایی مقادیر RTO و RPO
  • تدوین مجموعه‌ای از طرح‌های تداوم کسب‌وکار BCP(Business Continuity Plans)
  • تدوین فرآیندهایی جهت تهیه بودجه اضطراری
  • شناسایی ذی‌نفعان کلیدی شامل سهامداران، پیمانکاران، فروشندگان و تأمین‌کنندگان خدمات و سایر اشخاص ثالث

گام 4- مستندسازی جهت پشتیبانی از سیستم مدیریت تداوم کسب‌وکار

سیستم مدیریت تداوم کسب‌وکار(ISO 22301) نیز مانند سایر سیستم‌های مدیریت نظیر مدیریت کیفیت (ISO 9001)، سیستم مدیریت محیط‌زیست (ISO 14001)، سیستم مدیریت امنیت اطلاعات (ISO 27001) شامل مجموعه‌ای از فرآیندها و رویه‌هایی بوده که نیازمند به مستندسازی می‌باشد.

 برخی از مستندات الزامی در سیستم مدیریت تداوم کسب‌وکار شامل موارد ذیل می‌باشد:

  • خط‌مشی تداوم کسب‌وکار (بند 5.3)
  • محدوده سیستم تداوم کسب‌وکار (بند 4.3)
  • متدهای انجام ارزیابی ریسک RA و تحلیل اثر کسب‌وکار BIA (بند 8.2.1)
  • نتایج تحلیل تأثیر کسب‌وکار Business Impact Analysis (BIA) (بند 8.2.2)

گام  5- ارزیابی و مقابله با ریسک

برای اینکه سازمان بتواند  با استفاده از تحلیل اثر کسب‌وکار BIA  اقدام به تدوین طرح‌های تداوم کسب‌وکار BCP نماید می‌بایست در ابتدا اقدام با ارزیابی ریسک نموده و از نتایج آن بدین منظور استفاده نماید. برای این کار می‌توان از متد‌های ارزیابی ریسک مورداستفاده در پیاده‌سازی سیستم مدیریت امنیت اطلاعات استفاده نمود.

گام 6- تحلیل تأثیر بر روی کسب‌وکار Business Impact Analysis

همان‌طور که در بند قبلی اشاره شد انجام ارزیابی ریسک به‌تنهایی کافی نیست چراکه می‌بایست در تحلیل اثر کسب‌وکار به موارد ذیل پاسخ داده شود:

  • چگونه می‌توانیم در سریع‌ترین زمان ممکن فرآیندها یا سرویس‌های کسب‌وکار را بازیابی نماییم؟
  • برای موفقیت در بازیابی به چه مواردی نیازمند هستیم؟

لذا با انجام تحلیل تأثیر بر روی کسب‌وکار (BIA) می‌توان با تعیین Recovery Time Objective (RTO) و منابع موردنیاز به سؤالات فوق پاسخ داد

گام 7- تعیین استراتژی تداوم کسب‌وکار Business continuity strategy

تعیین استراتژی تداوم کسب‌وکار بدان معناست که چگونه می‌توان با منابع، امکانات موجود و الزامات تعیین‌شده و همچنین حداقل صرف هزینه بتوان بهترین راه‌حل و استراتژی را برای تدوین و به‌کارگیری تداوم کسب‌وکار مورد استفاده قرار داد. به‌عنوان مثال در هنگام بروز بحران در اتاق سرور آیا استراتژی برون‌سپاری نمودن سرویس (اجاره مرکز داده از شرکت‌های خارجی) یا استراتژی ساخت مرکز داده جایگزین توسط خود سازمان می‌بایست مورد توجه قرار گیرد.

گام 8- تدوین طرح‌های تداوم کسب‌وکار Business continuity plans

پس از تعیین استراتژی توسط مدیریت، می‌بایست طرح‌های تداوم کسب‌وکار نیز در راستای استراتژی تعیین‌شده تدوین ‌گردد. لذا استراتژی های انتخابی نقش مهمی در تدوین طرح‌های تداوم کسب‌وکار دارد.

گام 9- آموزش و آگاهی‌رسانی

داشتن طرح‌های تداوم کسب‌وکار به‌تنهایی کافی نیست. مخاطبین طرح‌های تداوم کسب‌وکار اعم از کارکنان داخلی و اشخاص ثالث می‌بایست آموزش‌های لازم را در خصوص نحوه شناسایی، اولویت‌بندی و انجام مسئولیت‌هایشان در زمان بروز بحران و رخداد دیده باشند.

گام 10- آزمایش و تمرین

پس از انجام آموزش‌های موردنیاز برای کارکنان و مخاطبین طرح تداوم کسب‌وکار لازم است طرح‌های تدوین‌شده به‌صورت دوره‌ای مورد آزمایش قرار گیرد تا نسبت به کارایی آنها اطمینان حاصل گردد و همچنین نقاط ضعف آن‌ها شناسایی و برطرف گردد. همچنین آزمایش طرح‌های تداوم کسب‌وکار می‌تواند به‌عنوان یک تمرین موثر باعث افزایش سرعت عملکرد در شرایط واقعی بروز رخداد گردد. به‌عنوان مثال می‌توان با برگزاری مانور و شبیه‌سازی شرایط بحرانی و تعریف سناریو‌های محتمل سرویس‌های حیاتی سازمان را در این شرایط مورد ارزیابی قرار داد ضمن اینکه برگزاری مانور نیاز به هماهنگی بالا دارد و ممکن است در شرایطی برای سازمان دارای هزینه باشد.

گام 11- بازنگری پس از رخداد

هیچ چیز به‌اندازه یک رخداد واقعی نمی‌تواند برای ارزیابی سیستم مدیریت تداوم کسب‌وکار مفید باشد. لذا مهم است فرآیندهایی تدوین شود که بتوان از طریق آن دانش حاصل از یک رخداد را ثبت و به منظور یادگیری از آن استفاده نمود. در این شرایط است که می‌توان درک نمود که افراد و کارکنان به چه میزان در مواجه با بروز رخداد از آمادگی برخوردار می‌باشند.

گام 12- سنجش و ارزیابی

همان‌طور که در گام 10 اشاره شد طرح‌های تداوم کسب‌وکار می‌بایست با انجام آزمایش و تمرین مورد ارزیابی قرار گیرند. بدین منظور می‌توان با تعریف شاخص‌های ارزیابی عملکرد به‌عنوان مثال با استفاده از پارامترهای تعریف‌شده نظیر RTO  میزان انحراف از نقطه مطلوب را به‌صورت دقیق اندازه‌گیری نمود.

گام 13- ممیزی و اقدام اصلاحی

یکی دیگر از مکانیزم‌‌های ارزیابی سیستم مدیریت تداوم کسب‌وکار انجام فرآیندهای ممیزی است. چراکه فرآیند ممیزی توسط یک نگاه بیرونی می‌تواند یک دید دقیق و کامل‌تری نسبت به عملکرد سیستم مدیریت تداوم کسب‌وکار به ما ارائه نماید و همچنین تعریف فرآیندهایی جهت انجام اقدامات اصلاحی می‌تواند تضمین‌کننده جلوگیری از مشاهده مجدد عدم انطباق و سپس بهبود در سیستم مدیریت تداوم کسب‌وکار مطابق با چرخه PDCA گردد.

گام 14- بازنگری مدیریت

در گام آخر این سیستم مطابق با سایر استانداردهای مدیریتی نظیر ISO 27001  نیاز است کل سیستم مدیریت تداوم کسب‌وکار توسط مدیریت ارشد موردبازنگری قرار گردید تا بتوان در خصوص استراتژی های جدید، به‌روزرسانی اهداف و تأمین بودجه موردنیاز جهت بهبود و ارتقاء این سیستم تصمیم‌گیری گردد.

همان‌طور که ملاحظه گردید پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار نیز مشابه ساختار یکپارچه در سایر استاندارد‌ها نظیر ISO 27001 مطابق با چرخه PDCA بوده و پیاده‌سازی  آن برای سازمان‌ها با سرویس‌های حیاتی می‌تواند بسیار مفید و ارزشمند باشد.