مدیریت تداوم کسب و کار به شیوه ای آسان در ISMS

  • نویسنده: فرزانه عابدی
  • تاریخ انتشار: چهارشنبه ، ۱۷ خرداد ماه ۹۶
  • تعداد بازدید: 1811
  • تعداد نظرها: 4
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

در دنیای پرتلاطم امروزی استمرار و تداوم فعالیت­های حیاتی و کلیدی سازمان در زمان بروز یک اختلال و نیز ترمیم سریع و بازگشت به حالت عادی پس از بروز حادثه برای حفظ بقا و دستیابی به موفقیت پایدار یک ضرورت می باشد.

در این زمینه استاندارد ISO22301:2012 سیستم مدیریت تداوم کسب و کار بخشی از سیستم مدیریتی است که به ایجاد، استقرار، عملیاتی کردن، نظارت، بازنگری، نگهداری و بهبود تداوم کسب و کار می پردازد. به توانایی استراتژیک و تاکتیکی سازمان برای برنامه ­ریزی و ارائه‌ی پاسخ مناسب در مواجهه با حوادث و انقطاع کسب‌ و کار، به‌ منظور استمرار فعالیت‌ های سازمان در یک سطح قابل‌ قبول از پیش تعیین‌ شده تداوم کسب و کار می­ گویند. در این مقاله سعی شده است مراحل مدیریت تداوم کسب و کار به شیوه­ ای آسان در سیستم مدیریت امنیت اطلاعات تدوین و ارائه شود.

طرح تداوم کسب و کار (BCP) و طرح بازیابی حوادث (DRP) به سازمان ­ها این توانایی را می ­دهد تا از فرآیند های بحرانی و اقدامات ضروری به منظور آمادگی جهت مقابله با بحران و حوادث آگاه شوند، به نحوی که قادر باشند بحران پیش آمده را مدیریت نموده و فعالیت­ های لازم در مواجهه با آن را به موقع انجام دهند تا از حیات سازمان محافظت گردد.(در این مقاله در خصوص تفاوت میان طرح تداوم کسب و کار(BCP) و طرح بازیابی از حادثه (DRP)  مطالعه نمایید) در شکل 1 چرخه عمر مدیریت تداوم کسب و کار نمایش داده شده است.

شکل 1: چرخه عمر مدیریت تداوم کسب و کار

 

  • شناسایی فرآیند های فناوری اطلاعات

در این بخش ابتدا می ­بایست کلیه فرآیند های فناوری اطلاعات توسط تیم استمرار کسب و کار شناسایی و ثبت گردد و سپس تیم استمرار کسب و کار موظف است کلیه تهدیدات مرتبط به فرآیندهای فناوری اطلاعات را شناسایی نماید. همچنین می ­بایست فرآیند های لیست شده را با توجه به گروه بندی زیر دسته بندی نمایند:

  • فعالیت ­ها و فرآیند هاي کلیدي و محوري شامل گروهی از فعالیت­ ها و فرآِیند هایی می ­باشند که به­ صــورت مداوم به فعالیت­ هاي خود ادامه می­ دهند و عدم فعالیت­ هاي آنها باعث اختلال مستقیم در مأموریت­ ها و رسالت­ هاي سازمان می ­شود.
  • فعالیت­ ها و فرآیند هاي نیمه کلیدي و محوري شامل گروهی از فعالیت ­ها و فرآِیند هایی می­ باشند که ازلحاظ اهمیت کسب وکاري در سطح متوسطی قرار دارند و عدم فعالیت­ هاي آنها در بازه غیرمجاز باعث خسارات و هزینه­ هاي مالی و گاه جبران ­ناپذیر می­ شود.
  • فعالیت­ ها و فرآیند هاي معمولی شامل گروهی از فعالیت­ ها و فرآِیندهایی می­باشند که از لحاظ اولویت و اهمیت کسب وکاري در سطح پایینی قرار دارند و عدم فعالیت­های آن­ها در بازه غیرمجاز باعث خسارات و هزینه­های مالی کم و جبران پذیر می ­شود.

 

  • استراتژی مقابله با تهدیدات
  1. با توجه به آنچه که در مرحله قبل ذکر کردیم، در این مرحله می­ بایست برای کلیه تهدید هایی که در مرحله قبل برای هر یک از فرآیندها شناسایی شده است، اقداماتی جهت مواجهه و مقابله با آن­ها در قالب یک برنامه ایجاد گردد و همچنین مسئول فراخوانی آن­ها نیز باید مشخص شود.
  2. در این مرحله فهرست و شماره تماس افرادی که در صورت وقوع یک واقعه و تهدید می ­بایست با آن­ها تماس حاصل شود، مشخص و ثبت می­ گردد. مشخصات این افراد می ­بایست جهت بهره­ گیری در شرایط اضطراری چاپ و در نقاط مناسب نصب شود.
  3. تیم استمرار کسب و کار می­ بایست اطلاعات تماس با سایر سازمان­ ها و نهاد های خارجی را مشخص نماید. مانند مراکز آتش نشانی، پلیس فتا، شرکت برق و غیره.
  4. در ادامه طرح های ارائه شده می­ بایست در شرایط بازسازی شده بحران و وقوع یک یا چند انقطاع کسب و کاری را مورد آزمایش و ارزیابی قرار دهند. انجام آزمایش می­ بایست زمان و مکانی صورت پذیرد که فرآیند­های کاری معمول و عادی سازمان را با اخلال روبرو نکند و تحت هیچ شرایطی آن­ها را قطع ننماید. در آزمایش برنامه استمرار کسب و کار، بحران ­های ممکن شبیه ­سازی شده و طبق برنامه اقدامات لازم صورت پذیرد.

وجود یک طرح تداوم کسب و کار مناسب با شرایط آن سازمان امری بسیار مهم و ضروری می­ باشد. بنابراین کلیه طرح های ارائه شده برای استمرار کسب و کار می­ بایست توسط مدیر امنیت اطلاعات تائید و در بازه­­ های زمانی یکساله مورد بازنگری و بازبینی قرار گیرد.

 همچنین جهت عملکرد مناسب مسئولین فراخوانی و پرسنل سازمان می­ بایست قبل از آزمایش و ارزیابی هر طرح­ استمرار کسب و کار، آموزش­ های لازم به مخاطبین و کارکنان درگیر در طرح­ های مقابله با حوادث و مخاطرات ارائه شود.

  1. در پایان آزمایش و ارزیابی طرح­ های استمرار کسب و کار، نتیجه حاصل از ارزیابی توسط کارشناسان مورد نظر مورد تحلیل قرار گرفته و در صورت نیاز تغییراتی در طرح می ­بایست اعمال شود و مجدداً به تائید مدیر امنیت اطلاعات رسانده شود.

 

  • مزایا و پیامدهای مدیریت تداوم کسب و کار

در این قسمت به برخی از مزایا و پیامدهای مدیریت تداوم کسب و کار اثربخش در سازمان می­ پردازیم:

  • توانایی شناسایی تأثیرات ناشی از ایجاد وقفه در فرآیندهای عملیاتی، پیش از وقوع؛
  • توانایی مدیریت مخاطراتی که قابل بیمه شدن نیستند مانند مخاطراتی که متوجه شهرت و اعتبار سازمان می شود؛
  • وجود یک برنامه پاسخگویی اثربخش به وقفه های ایجاد شده؛
  • آموزش کارکنان و حضور در فعالیت های تیمی و گروهی به منظور پاسخگویی اثربخش و مؤثر به یک حادثه یا وقفه در کسب و کار؛
  • گسترش شهرت سازمان؛
  • داشتن توانایی تحویل و ارائه به موقع محصولات و خدمات و در نتیجه کسب مزیت رقابتی؛
  • شناسایی فعالیت ها و خدمات کلیدی و حفظ تداوم آنها؛
  • توانایی مدیریت حادثه و ایجاد یک واکنش مناسب؛
  • شناسایی و برآوردن نیاز ذینفعان؛
  • حمایت از اعتبار و شهرت سازمان؛
  • سازمان همواره در مقابل قوانين و الزامات خود پاسخگو خواهد بود؛
  • فعاليت ها و خدمات كليدي شناسايي و حفظ شده و استمرار آنها تضمين مي شود.

 برای مطالعه بیشتر در این خصوص به مقاله "مقدمه‌ای بر استاندارد ISO 22301 جهت پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار" و "گام‌های اساسی در پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار بر مبانی استاندارد ISO 22301" رجوع شود.

 

نظرات کاربران

میثم ارجمندفر

جمعه ، ۰۶ مرداد ماه ۹۶

با سلام و تشکر از مقاله ارائه شده. سوال بنده در خصوص تفاوت بین طرح تداوم کسب و کار (BCP) و طرح بازیابی حوادث (DRP) می باشد.؟ آیا با یکدیگر تفاوتی دارند یا دقیقاً مشابه یکدیگر می باشند؟

فرزانه عابدی

شنبه ، ۲۲ مهر ماه ۹۶

با سلام پیشنهاد میدهم مقاله تفاوت میان طرح تداوم کسب و کار(BCP) و طرح بازیابی از حادثه (DRP) که در همین بخش است را مطالعه بفرمائید.

ممنون

امیر خوانی

چهارشنبه ، ۲۴ خرداد ماه ۹۶

با تشکر از مقاله تدوین شده. رویکرد برقرارذی بین فرآیندهای سازمان و طرح تداوم کسب و کار در این مقاله جالب بود. آیا می توان به جای فرآیند، سرویس ها را نیز در نظر گرفت.

فرزانه عابدی

دوشنبه ، ۲۹ خرداد ماه ۹۶

با سلام

با توجه به این موضوع که در بسیاری از سازمان هایی که مبنای کسب و کارشان براساس فناوری اطلاعات و ارتباطات می باشد و همچنین به علت ارتباط بسیار نزدیکی که بین فرآیندها و سرویس های آنها وجود دارد، می توان از طرح تداوم کسب و کار نیز برای سرویس ها هم استفاده نمود.