Instagram Linkedin Telegram
Menu
Instagram Linkedin Telegram
Menu

مدیریت

امنیت سایبری

پیاده سازی سیستم مدیریت تداوم کسب و کار (BCMS) در 30 گام

BCMS یا همان سیستم مدیریت تداوم کسب و کار از جمله سیستم‌های مدیریتی است که اخیرا بشدت مورد توجه سازمان‌ها و مدیران قرار گرفته است. وقوع تهدیدات، حوادث و اختلالات گوناگون طبیعی، محیطی و سایبری مختل کننده عملیات سازمانی باعث اهمیت روز افزون مفوم تاب‌آوری در سازمان‌های کشور شده است. در این مقاله قصد داریم شما را با مراحل طراحی، استقرار و پیاده سازی سیستم مدیریت تداوم کسب و کار (BCMS)  آشنا کنیم. این مراحل مبتنی بر استاندارد ایزو 22301 و در قالب چرخه PDCA بصورت گام به گام تدوین شده است. این مقاله می‌تواند برای همه مدیران و کارشناسانی که در سازمان خود به دنبال اجرا و پیاده سازی BCMS هستند مفید باشد. همچنین این نوشته برای دانشجویان و علاقمندان به حوزه سیستم‌های مدیریت تداوم کسب و کار نیز کاربردی خواهد بود.

در ادامه 30 گام پیاده سازی BCMS بر اساس استاندارد ایزو 22301 را به شما معرفی می‌کنیم. این گام‌ها بر اساس چرخه دمینگ موسوم به PDCA (Plan, Do, Check, Act)  یا همان چرخه طراحی، اجرا، بازبینی، اصلاح طراحی و مرتب شده‌اند.

ضمنا پیشنهاد میکنیم چنانچه تا کنون با موضوعات مرتبط با تداوم کسب و کار آشنایی نداشته‌اید ابتدا مقالهمدیریت تداوم کسب و کار چیست؟را بخوانید و سپس این مطلب را مطالعه نمایید.

فاز طراحی از چرخه PDCA

این مرحله از چرخه PDCA متشکل از مراحل 1 تا 15 است که در ادامه به آن پرداخته می‌شود.

1- ایجاد مقدمات استقرار ISMS

استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات یک تصمیم راهبردی و استراتژیک برای سازمان است. از این رو لازم است که در ابتدای فرایند، مدیران ارشد سازمان نسبت به تصمیم اتخاذ شده و ملاحظات آن بطور کامل توجیه شوند. همچنین لازم است که در این گام طرح مدیریت پروژه به تأیید طرفین (سازمان و مشاور) برسد.

2- شناخت زمینه سازمان

شناخت زمینه سازمان به عنوان اولین الزام مطرح شده در استاندارد ایزو 22301 به‌طور کلی به موارد زیر می‌پردازد.

  • شناسایی عوامل درونی و بیرونی: سازمان باید مسائل بیرونی و درونی (شامل عوامل مثبت و منفی یا شرایط قابل ملاحظه) را که با اهداف کلی، محصولات و خدماتش و میزان و نوع ریسکی که ممکن است متحمل شود یا نپذیرد مرتبط است، ارزیابی و درک کند. این اطلاعات باید هنگام پیاده سازی و نگهداری BCMS و تعیین اولویت ها در نظر گرفته شود.
  • درک نیازها و انتظارات طرف‌های ذینفع: سازمان وظیفه مراقبت از طیف وسیعی از افراد درون و بیرون سازمان را دارد. هنگام ایجاد سیستم مدیریت تداوم کسب و کار (BCMS)، سازمان باید اطمینان یابد که نیازها و الزامات همه طرف‌های ذینفع در نظر گرفته شده است. سازمان باید تمام اشخاص ذینفعی را که با BCMS مرتبط هستند شناسایی کند و بر اساس نیازها و انتظارات آنها، الزامات خود را تعیین کند.
  • الزامات قانونی و مقرراتی: آگاهی و تبعیت از الزامات قانونی و مقرراتی کاربرد پذیر در سازمان، پیش فرض بکارگیری استاندارد ایزو 22301 است. این الزامات ممکن است بطور ضمنی یا بصورت واضح بیان شده باشند و ممکن است اجباری باشند. اطلاعات مربوط به این الزامات باید مستند شده و به روز نگه داشته شوند. الزامات جدید یا تغییرات در الزامات موجود باید به کارکنان تحت تأثیر و سایر اشخاص ذینفع اطلاع داده شود

3- تعیین محدوده و دامنه کاربرد BCMS

هدف از تعیین دامنه BCMS شناسایی مرزها و کاربردپذیری آن برای اطمینان از پوشش همه محصولات و خدمات مرتبط، فعالیت‌ها، مکان‌ها، منابع، تامین‌کنندگان و سایر وابستگی هاست. دامنه باید با ملاحظه موضوعات مشخص شده در گام قبلی شامل الزامات اشخاص ذینفع و نیز ماموریت، اهداف و تعهدات سازمان تعیین شود. سازمان باید بیانیه ای تهیه کند که دامنه سیستم مدیریت تداوم کسب و کار (BCMS) را به شیوه‌ای درست و با عباراتی متناسب با اندازه، ماهیت و پیچیدگی سازمان مشخص کند. بیانیه باید در دسترس طرف‌های ذینفع باشد.

4- تحلیل شکاف (انطباق سنجی)

در این مرحله و پس از تعیین دامنه کاربرد استقرار و پیاده سازی سیستم مدیریت تداوم کسب و کار و پیش از شروع مراحل عملیاتی پیاده‌سازی سیستم مدیریت تداوم کسب و کار (BCMS) لازم است که تحلیلی به‌منظور شناسایی وضعیت فعلی سازمان بر اساس الزامات و کنترل‌های استاندارد ایزو 22301 صورت پذیرد. هدف از این فعالیت بدست آوردن شناخت بهتر از میزان فعلی انطباق سازمان با استاندارد ISO 22301 است. سنجش فاصله سازمان در حوزه تداوم کسب و کار با حداقل‌های تعریف شده در ایزو 22301 از دیگر اهداف این فعالیت است. این تحلیل کمک می‌کند تا مجریان استقرار سیستم بتوانند تصویر کلی از نقاط ضعف و قوت سازمان داشته باشند و نسبت به اولویت‌بندی امور در مراحل بعد اقدام کنند.

5- جلب حمایت و تعهد رهبری سازمان

در این گام لازم است که تمام سطوح مدیریت در سراسر سازمان رهبری و تعهد خود را در حوزه مسئولیتشان نشان دهند. مدیریت ارشد این تعهد را به طرق مختلفی میتواند نشان دهد. مواردی مانند تخصیص نقش‌های مدیریتی، ایجاد خط‌مشی تداوم کسب و کار، تخصیص منابع کافی و مناسب، الزام دیگر سطوح مدیریتی به پشتیبانی از سیستم و غیره.

دیگر نقش‌های مدیریتی نیز باید تعهد خود نسبت به سیستم را از طرق مناسب به نمایش بگذارند. مواردی مانند ایجاد اهداف BCMS همسو با اهداف استراتژیک، ادغام الزامات BCMS با فرایندهای کارd، حضور فعال در برنامه‌های آزمایشی و تمرینی، انجام ممیزی‌های داخلی و غیره 

6- ایجاد خط‌مشی تداوم کسب و کار

مدیریت ارشد باید خط مشی تداوم کسب و کار را بر اساس اهداف سازمان و تعهدات آن تعریف کند. برای سازمان‌هایی با سیستم‌های مدیریت موجود، احتمالا بهتر است که خط مشی سیستم مدیریت تداوم کسب و کار (BCMS) با سایر سیستم های مدیریتی مرتبط شود. باید تمهیدات مناسبی برای تصویب خط مشی، نگهداری از خط‌مشی بصورت مستند و بررسی دوره ای (مثلاً سالانه) و هر زمان که تغییرات قابل توجهی در عوامل داخلی یا خارجی رخ داد (مانند تغییر در مدیریت ارشد، معرفی قوانین جدید) در نظر گرفته شود. خط‌مشی تداوم کسب و کار باید درون سازمان ابلاغ شود و در صورت تصویب مدیریت ارشد در اختیار طرف‌های ذینفع بیرونی سازمان نیز قرار گیرد.

7- سازماندهی مدیریت تداوم کسب و کار در سازمان

مدیریت ارشد باید از تخصیص و ابلاغ مسئولیت ها و اختیارات در سیستم مدیریت تداوم کسب و کار (BCMS) اطمینان حاصل کند. یکی از مدیران ارشد باید به عنوان فرد تام الاختیار در قبال BCMS مسئول و پاسخگو باشد. مدیریت ارشد ممکن است نهادهای دیگری (مانند یک کمیته راهبری) را برای نظارت بر اجرا و نظارت مستمر این سیستم مدیریتی منصوب کند. همچنین می‌توان نمایندگانی از ادارات مختلف سازمان برای کمک به اجرای BCMS مشخص شوند (مثلاً کسانی که مسئول امور مربوط به ریسک هستند). تمامی نقش‌ها، مسئولیت‌ها و اختیارات سیستم مدیریت تداوم کسب و کار (BCMS) باید تعریف و مستند شده و مشمول ممیزی شوند.

8- تعیین اقدامات مناسب جهت رسیدگی به ریسک‌ها و فرصت‌ها

سازمان باید اقداماتی را برای رسیدگی به مسائل داخلی و خارجی، نیازها و انتظارات اشخاص ذینفع و نیز الزامات قانونی و مقرراتی مشخص کند. به این انتظارات و الزامات در بند 4 استاندارد ایزو 22301 که در این نوشته در گام 2 به آنها اشاره شد پرداخته شده است. تعیین این اقدامات باید باید شامل ملاحظه ریسک‌ها و فرصت‌ها و تأثیر بالقوه آنها بر اثربخشی سیستم مدیریت تداوم کسب و کار (BCMS) باشد. سازمان باید اقدامات مورد نیاز برای مقابله با این ریسک‌ها و فرصت‌ها را برنامه‌ریزی نماید.

9- تعیین اهداف تداوم کسب و کار و برنامه‌ریزی جهت تحقق آنها

سازمان باید اهدافی را برای پیاده سازی و حفظ مدیریت تداوم کسب و کار تعیین کند. این اهداف باید در راستای اهداف کلی سازمان باشد و همچنین برای اینکه بدرستی محقق شوند باید دربرگیرنده تعیین مسئولیت‌ها و اهداف مناسب و واقع بینانه باشد. برنامه‌ریزی صورت گرفته برای تحقق اهداف باید در سراسر سازمان ابلاغ و پیشرفت در اجرای آن باید نظارت و مستند شود. همانطور که سیستم مدیریت تداوم کسب و کار (BCMS) تکامل می یابد، این برنامه نیز باید به طور منظم بازنگری و در صورت لزوم به روز شود.

10- مدیریت تغییرات

مدیریت تغییرات یک ملاحظه مهم برای تمام فرآیندهای مدیریتی است. تغییرات در سیستم مدیریت تداوم کسب و کار (BCMS) باید به دقت برنامه ریزی شوند تا اطمینان حاصل شود که هدف مورد نظر به طور کامل بررسی و درک شده است. این امر باید شامل تأمل در مورد پیامدهای تغییرات پیشنهادی، اطمینان از در نظر گرفتن پیامدهای پیش‌بینی‌شده و ناخواسته، و اطمینان از حفظ یکپارچگی BCMS باشد. سازمان همچنین باید اطمینان حاصل کند که منابع مناسب و کافی در دسترس است و مسئولیت ها و اختیارات در صورت لزوم تخصیص می‌یابد.

11- تدارک منابع

سازمان باید در دسترس بودن منابع مورد نیاز برای سیستم مدیریت تداوم کسب و کار (BCMS) را تعیین و تضمین کند. منابع باید به‌شیوه‌ای کارآمد و بهنگام در دسترس باشند. منابع و تخصیص آنها باید به صورت دوره ای مورد بررسی قرار گیرد تا از کفایت آنها اطمینان حاصل شود. شاید لازم باشد که مدیریت ارشد در این بررسی مشارکت نماید.

12- مدیریت شایستگی و صلاحیت افراد

سازمان باید یک سیستم مناسب و مؤثر برای مدیریت شایستگی افرادی که کار سیستم مدیریت تداوم کسب و کار (BCMS) را تحت کنترل خود بر عهده می گیرند، ایجاد کند. مدیریت باید شایستگی‌های مورد نیاز برای همه نقش‌ها و مسئولیت‌های سیستم مدیریت تداوم کسب و کار (BCMS) و آگاهی، دانش، درک، مهارت‌ها و تجربه مورد نیاز برای تحقق آنها را تعیین کند. همه افرادی که در سازمان نقش‌هایی دارند باید شایستگی‌های مورد نیاز را نشان دهند و از آموزش، تحصیلات، توسعه و سایر حمایت‌های لازم برای انجام این کار برخوردار شوند. می‌توان از این برناهم با عنوان “برنامه توسعه شایستگی” نام برد.

13- آگاهی‌رسانی

سازمان باید اطمینان حاصل کند که همه افرادی که تحت کنترل آن کار می کنند (به عنوان مثال کارکنان، پیمانکاران، تأمین کنندگان) از خط مشی تداوم کسب و کار و اهداف تداوم کسب و کار سازمان آگاه هستند. سازمان باید مدیریت تداوم کسب و کار را در فرهنگ سازمان ایجاد، ترویج و تعبیه کند. تغییرات در محیط کسب و کار و عملیات بر رویکرد و نحوه برنامه ریزی، طراحی و اجرای فعالیت های تداوم کسب و کار تأثیر می گذارد.

14- ایجاد ارتباطات مناسب سازمانی

باید ارتباطات و مراودات مورد نیاز سیستم مدیریت تداوم کسب و کار (BCMS) در سازمان تعیین شود. ارتباطات مربوط به BCMS سازمان را قادر می سازد تا به نیازها و انتظارات طرف های ذینفع پاسخ دهد. برای اینکه ارتباطات مؤثر باشد، سازمان باید معیارهای مناسبی را ایجاد و مشخص نماید. جهت برقراری ارتباطات مؤثرتر، سازمان می‌تواند در خبرنامه ها و جلسات توجیهی تأمین کنندگان و مشتریان خود ارجاعاتی به سیستم مدیریت تداوم کسب و کار (BCMS) و تمهیدات در نظر گرفته شده برای تداوم کسب و کار خود داشته باشد. سازمان باید در صورت نیاز ارتباطات خارجی مؤثری به عنوان بخشی از برنامه آگاهی‌رسانی خود و هنگام پاسخ به یک حادثه برقرار سازد.

15- مدیریت مستندات و سوابق

اطلاعات مستند مورد نیاز ISO 22301 شواهدی از انطباق با الزامات و عملکرد مؤثر این سیستم مدیریتی را ارائه می دهد. اصطلاح «رویه» به معنای روش مشخصی برای انجام یک فعالیت یا یک فرآیند است. “رویه مستند” به این معنی است که رویه باید بر روی یک رسانه مناسب ایجاد و نگهداری شود. یک سند ممکن است الزامات یک یا چند رویه مستند را برآورده کند و یا یک الزام برای یک رویه مستند ممکن است توسط بیش از یک سند پوشش داده شود. وسعت اطلاعات مستند برای سیستم مدیریت تداوم کسب و کار (BCMS) ممکن است بین سازمان ها به دلایلی همچون اندازه، نوع و پیچیدگی‌های آنها متفاوت باشد.

فاز اجرا از چرخه PDCA

این فاز از چرخه PDCA متشکل از مراحل 16 تا 26 است که در ادامه به آن پرداخته می‌شود.

16- برنامه‌ریزی عملیاتی

سازمان باید فرایندهای مورد نیاز برای ایجاد و حفظ مدیریت تداوم کسب و کار را که الزامات این سیستم را نیز برآورده می کنند، تعیین، برنامه ریزی، اجرا و کنترل نماید. همچنین سازمان باید اقدامات مرتبط با ریسک‌ها و فرصت‌های شناسایی شده (گام 8 این مقاله) را اجرا نماید. این فرایندها باید در فرایندهای کسب و کار سازمان ادغام شوند تا اطمینان حاصل شود که آنها به درستی مدیریت می شوند و اثربخشی آنها حفظ می‌شود. سازمان باید اطمینان حاصل کند که تغییرات برنامه‌ریزی شده کنترل، تغییرات ناخواسته بررسی و اقدامات مناسب انجام می‌شود. همچنین سازمان باید نسبت به کنترل فرایندهای برون‌سپاری شده و زنجیره تأمین اطمینان حاصل نماید.

17- تحلیل پیامد کسب و کار

تجزیه و تحلیل پیامد کسب و کار، سازمان را قادر می سازد تا اولویت هایی را برای از سرگیری فعالیت هایی که مختل شده‌اند تعیین کند. هدف اصلی این مرحله این است که سازمان را قادر سازد تا هر فعالیتی را که ممکن است به اقدام فوری نیاز داشته باشد، شناسایی و طبقه‌بندی کند. زیرا عدم از سرگیری سریع این فعالیت‌ها می‌تواند منجر به ایجاد پیامدهای نامطلوبی در سطوح غیرقابل قبول شود. البته ممکن است غیر از فعالیت‌های فوق‌الذکر که نیاز به بازیابی سریع دارند، فعالیت‌های دیگری نیز اولویت‌بندی شوند. به عنوان مثال فعالیتی که لزومی به از سرگیری شش ماهه ندارد، اما حداقل هشت ماه طول می کشد تا بتواند از سر گرفته شود، باید اولویت بندی شود. از این رو فعالیت‌های اولویت‌دار را می‌توان به‌عنوان فعالیت‌هایی اطلاق کرد که ممکن است به پیاده‌سازی راه‌حل‌های تداوم کسب‌وکار قبل از مختل شدن نیاز داشته باشند.

18- ارزیابی ریسک

هدف از ارزیابی ریسک، توانمندسازی سازمان در ارزیابی ریسک‌های ناشی از اختلال در فعالیت های اولویت بندی شده است. از طریق ارزیابی ریسک سازمان میتواند اقدامات مناسب را برای رسیدگی به این ریسک‌ها انجام دهد. سازمان باید یک فرایند رسمی ارزیابی ریسک را اجرا و حفظ کند. این فرایند باید به طور سیستماتیک ریسک اختلال در فعالیت‌های اولویت‌بندی شده سازمان و فرایندها، سیستم‌ها، اطلاعات، افراد، دارایی‌ها، تأمین‌کنندگان و سایر منابعی را که از این فعالیت‌ها پشتیبانی می‌کنند، شناسایی، تحلیل و ارزیابی نماید.

ارزیابی ریسک یک فرایند ساختارمند برای تحلیل ریسک برحسب احتمال و پیامد قبل از تصمیم گیری در مورد بکارگیری اقدامات مقابله‌ای و درمانی احتمالی بیشتر است. این فرآیند باید با در نظر گرفتن زمینه سازمان و نیازها و انتظارات طرف های ذینفع انجام شود. همچنین لازمه انجام مناسب این فعالیت، درک مناسب سازمان از تهدیدات و آسیب پذیری‌های مرتبط با منابع مورد نیاز فعالیت‌هایش است. سازمان باید روش مناسبی را برای شناسایی، تجزیه و تحلیل و ارزیابی مخاطراتی که می تواند منجر به اختلال شود، انتخاب کند. ISO 31000 اصول مدیریت ریسک و دستورالعمل های مرتبط را تعیین کرده است.

19- شناسایی و انتخاب استراتژی‌ها و راهکارها

استراتژی‌های تداوم کسب‌وکار معرف راه‌های ممکن جهت تحقق و برآوردن الزامات تداوم کسب‌وکار  در سازمان است. استراتژی‌های تداوم کسب‌وکار باید شامل حداقل یک راه‌حل تداوم کسب‌وکار باشند. اما ممکن است یک استراتژی برای برآورده کردن الزامات تداوم کسب‌وکار به بیش از یک راه‌حل نیاز داشته باشد. راه‌حل‌های تداوم کسب‌وکار شامل رویکردها، تمهیدات، روش‌ها، رویه‌ها، اقدامات درمان‌ها و اقداماتی است که می‌توان برای اجرای استراتژی‌های کسب و کار بکار بست. راه‌حل‌ها را می توان برای بیش از یک استراتژی استفاده کرد.

شناسایی استراتژی‌های تداوم کسب‌وکار و انتخاب راه‌حل‌های تداوم کسب‌وکار باید بر اساس تحلیل پیامد کسب‌وکار و ارزیابی ریسک با در نظر گرفتن هزینه‌های مرتبط باشد. سازمان باید رویه‌هایی برای شناسایی و انتخاب راه‌حل‌ها و استراتژی‌های تداوم کسب‌وکار از جمله بررسی و تأیید راه‌حل‌های پیشنهادی داشته باشد. سازمان میبایست گزینه هایی را که ممکن است قبل، در حین و بعد از یک اختلال پیاده‌سازی شوند را در نظر بگیرد.

20- تعیین و تخصیص منابع جهت اجرای راهکارها

در این مرحله سازمان باید منابع مورد نیاز را برای اجرای راه‌حل‌های انتخاب شده تعیین کند. این منابع شامل موارد زیر  است:

  • افراد
  • اطلاعات و دیتا
  • ساختمان‌ها، محل‌های کار و تاسیسات مرتبط
  • تجهیزات و مواد مصرفی
  • سیستم‌های ICT
  • حمل و نقل و تدارکات
  • تأمین مالی
  • شرکا و زنجیره تأمین
21- پیاده‌سازی راهکارها

راه حل های انتخاب شده باید در طول زمان اجرا و نگهداری شوند. پس از انتخاب راه حل های تداوم کسب و کار، مدیریت باید در انتخاب منابع تداوم کسب و کار (مانند فضای کاری، افراد، تجهیزات) مشارکت داشته باشد. باید مراقب بود که این منابع در زمان وقوع حادثه در دسترس باشند. برای اطمینان از دسترسی به استراتژی‌های از سرگیری و کاهش، سازمان باید تمام راه حل هایی را که باید قبل از ایجاد اختلال وجود داشته باشد، تعریف و اجرا کند. اگر زمان فعال‌سازی یک راه حل از الزامات تداوم کسب و کار بیشتر باشد، سازمان باید راه‌حل انتخابی را قبل از ایجاد اختلال پیاده‌سازی نماید.

22- ایجاد ساختار واکنش

ساختار واکنش مؤثر سازمان ها را قادر می سازد تا رویدادها را تشخیص، حوادث را شناسایی و تعیین کنند که آیا احتمال دارد که این‌حوادث منجر به اختلال در عملیات سازمان شوند یا خیر. سازمان باید یک ساختار واکنش به حادثه ایجاد کند که بدون توجه به علت، پاسخی مؤثر به اختلالات ارائه دهد. اگر ساختار مورد توافق و مستندی وجود نداشته باشد، این احتمال وجود دارد که سازمان قادر به پاسخگویی موثر به اختلال نباشد و نتواند فعالیت‌های مختل شده را در بازه های زمانی لازم از سر بگیرد.

23- ایجاد ساختار ارتباطی و اطلاع‌رسانی

مدیریت موثر ارتباطات اولیه از همان ابتدای بروز اختلال می تواند تفاوت بزرگی در اثربخشی واکنش سازمان ایجاد کند. ارتباط موثر تنها زمانی حاصل می‌شود که سازمان مشخص کند که چه چیزی، چه زمانی، با چه کسی و چگونه باید ارتباط برقرار کند. بنابراین سازمان باید رویه‌های مستندی را برای هشدارها و اقدامات مرتبط با ارتباطات ایجاد کند و مشخص کند چه کسی مسئول انجام آنها خواهد بود. سازمان باید اطمینان حاصل کند که رویه‌ها و امکانات مؤثر برای دریافت، مستندسازی و پاسخگویی به هشدارها، اخطارها و ارتباطات خارجی از نهادهای ملی یا منطقه‌ای مرتبط را داشته باشد. برخی از سازمان‌ها ممکن است نیاز به ایجاد تسهیلات اختصاصی یا موقتی جهت ایجاد سایتی به اندازه کافی دور از سایت آسیب‌دیده داشته باشند تا عملیات آنها با وقوع حادثه مختل نشود.

24- ایجاد طرح‌های تدوام کسب و کار

طرح‌های تداوم کسب‌وکار نحوه واکنش تیم‌ها به اختلالات و از سرگیری فعالیت‌ها در محدوده BCMS را مشخص می‌کند. از آنجایی که اصطلاحات بین سازمان‌ها متفاوت است و در بسیاری از موارد، اصطلاحات خاص به جای یکدیگر استفاده می‌شوند، ضروری است که نقش‌ها و مسئولیت‌های تیم‌ها به وضوح بیان شود و رویه‌های مستند پشتیبان از آنها به وضوح هدف، دامنه و اهداف آن‌ها را بیان کند. سازمان باید از قبل تعیین کند که چگونه به طور معمول پس از یک اختلال به کسب و کار باز می‌گردد. همچنین سازمان باید رویه‌های مستندی برای بازیابی و بازگرداندن عملیات کسب و کار از اقدامات موقت اتخاذ شده در طول یک حادثه داشته باشد.

25- ایجاد برنامه‌های تمرین و مانور

رویه‌ها و تمهیدات تداوم کسب‌وکار یک سازمان را نمی‌توان تا زمانی که به کار گرفته شود و قدرت آن سنجیده شود، قابل اعتماد تلقی کرد. تمرین و مانور منجر به توسعه کار تیمی، شایستگی، اعتماد به نفس و دانش می‌شود. تمارین باید شامل کسانی باشد که احتمال دارد از روش ها استفاده کنند.

26- سنجش مستندات و قابلیت‌های تداوم کسب و کار

سازمان باید سنجش‌هایی از تحلیل پیامد کسب و کار، ارزیابی ریسک، استراتژی‌ها و راه‌حل‌ها، طرح ها و رویه های تداوم کسب و کار خود انجام دهد تا از تناسب، کفایت و اثربخشی مستمر آنها اطمینان یابد. سنجش‌ها باید به نیاز احتمالی برای تغییر در خط‌مشی، اهداف و سایر عناصری که BCMS بر مبانی آنها بنا گذاشته شده، مانند نتایج تمرین، بررسی‌های پس از حادثه و تغییر شرایط سازمانی توجه کنند. سنجش‌ها ممکن است به صورت ممیزی داخلی یا خارجی یا خود ارزیابی باشد. تعداد دفعات و زمان بررسی‌ها می‌تواند تحت تأثیر قوانین و مقررات بسته به اندازه، ماهیت و شرایط قانونی سازمان باشد. بررسی‌ها همچنین می‌توانند تحت تأثیر الزامات طرف‌های ذینفع قرار گیرند.

فاز اصلاح از چرخه PDCA

این فاز از چرخه PDCA متشکل از مراحل 27 تا 29 است که در ادامه به آن پرداخته می‌شود.

27- پایش، اندازه‌گیری، تحلیل و سنجش

سازمان باید رویه‌های پایش، اندازه‌گیری، تحلیل و ارزیابی عملکرد و اثربخشی سیستم مدیریت تداوم کسب و کار (BCMS) را ایجاد نماید. سازمان باید اطلاعات مستند مناسب از کلیه سنجش‌های دوره‌ای و نتایج آنها را حفظ کند. همچنین سازمان باید از شاخص‌های عملکرد برای ارزیابی عملکرد و اثربخشی BCMS و نتایج آن به منظور شناسایی موفقیت‌ها و زمینه هایی که نیاز به اصلاح یا بهبود دارند استفاده کند. داده های به دست آمده را می‌توان برای شناسایی الگوها و قادر ساختن سازمان برای به دست آوردن اطلاعات مربوط به عملکرد BCMS استفاده کرد.

28- ممیزی داخلی

سازمان باید ممیزی‌های داخلی را در فواصل زمانی برنامه‌ریزی شده برای ارزیابی عملکرد سیستم مدیریت تداوم کسب و کار (BCMS) انجام دهد. ممیزی داخلی BCMS مکانیزمی را برای اندازه گیری میزان دستیابی BCMS به اهداف، مطابقت با تمهیدات برنامه‌ریزی شده، و درستی اجرا و نگهداری سیستم و شناسایی فرصت های بهبود ارائه می‌دهد. ممیزی های داخلی سیستم مدیریت تداوم کسب و کار (BCMS) باید در فواصل زمانی برنامه ریزی شده انجام شود. تا از این طریق اطلاعاتی در مورد تناسب و اثربخشی BCMS به مدیریت عالی ارائه شود. همچنین ممیزی داخلی میتواند مبنایی برای تعیین اهداف برای بهبود مستمر عملکرد BCMS فراهم نماید.

29- بازنگری مدیریت

مدیریت ارشد باید سیستم مدیریت تداوم کسب و کار (BCMS) سازمان را در فواصل زمانی برنامه ریزی شده بررسی و بازنگری کند. تا بدین ترتیب از تناسب، کفایت و اثربخشی مستمر سیستم، از جمله عملکرد مؤثر رویه‌ها و قابلیت‌های تداوم آن اطمینان یابد. بازنگری مدیریت باید دامنه BCMS و هرگونه استثناء را پوشش دهد. اگرچه لازم نیست همه عناصر در یک زمان بررسی شوند و فرایند بازنگری می‌تواند در یک بازه زمانی انجام شود. بازنگری اجرا و نتایج BCMS توسط مدیریت ارشد باید به طور منظم برنامه‌ریزی و سنجش شود. همانگونه که بازنگری مداوم سیستم توصیه می شود، بازنگری رسمی باید ساختار یافته و به طور مناسب مستند شده و به‌شیوه مناسبی برنامه‌ریزی شود. افرادی که در اجرای سیستم مدیریت تداوم کسب و کار (BCMS) و تخصیص منابع آن دخیل هستند باید در بازنگری مدیریت مشارکت داشته باشند.

فاز بازنگری از چرخه PDCA

آخرین مرحله از مراحل پیاده‌سازی BCMS در فاز اصلاح قرار دارد که در ادامه توضیحات آن آورده شده است.

30- بهبود مستمر

سازمان باید فرصت‌هایی را برای بهبود سیستم مدیریت تداوم کسب و کار (BCMS) تعیین کند و اقدامات لازم برای دستیابی به نتایج مورد نظر خود را اجرا کند.سازمان باید عدم انطباق ها را شناسایی کند، برای کنترل، مهار و اصلاح آنها اقدام کند، با پیامدهای آنها برخورد کند و نیاز به اقدام برای از بین بردن علل آنها را ارزیابی کند. بهبود مستمر، از نظر تناسب، کفایت و اثربخشی BCMS، در تمام سطوح در چرخه PDCA عمل می کند و باید بر اساس سیاست تداوم کسب و کار و اهداف، نتایج ممیزی، تحلیل اختلالات، بازنگری مدیریت، جاه‌طلبی‌ها و سطح بلوغ مطلوب هدایت شود.

چنانچه علاقمند به آشنایی با خدمات شرکت آبشار در حوزه سیستم مدیریت تداوم کسب و کار هستید، به صفحهسیستم مدیریت تداوم کسب و کار (BCMS)مراجعه کنید. همچنین چنانچه تمایل به آشنایی با پیاده‌سازی ISMS دارید، مقاله22 گام پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)را بخوانید. 

تعداد بازدیدها: 1,732

این مطالب را هم بخوانید

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

برای امنیت، استفاده از سرویس reCAPTCHA گوگل مورد نیاز است که موضوع گوگل است Privacy Policy and Terms of Use.

من با این شرایط موافق هستم .

در دوره‌های آموزشی رایگان شرکت کنید

منابع مورد نیاز خود را دانلود کنید

Scroll to Top
اسکرول به بالا