BCMS یا همان سیستم مدیریت تداوم کسب و کار از جمله سیستمهای مدیریتی است که اخیرا بشدت مورد توجه سازمانها و مدیران قرار گرفته است. وقوع تهدیدات، حوادث و اختلالات گوناگون طبیعی، محیطی و سایبری مختل کننده عملیات سازمانی باعث اهمیت روز افزون مفوم تابآوری در سازمانهای کشور شده است. در این مقاله قصد داریم شما را با مراحل طراحی، استقرار و پیاده سازی سیستم مدیریت تداوم کسب و کار (BCMS) آشنا کنیم. این مراحل مبتنی بر استاندارد ایزو 22301 و در قالب چرخه PDCA بصورت گام به گام تدوین شده است. این مقاله میتواند برای همه مدیران و کارشناسانی که در سازمان خود به دنبال اجرا و پیاده سازی BCMS هستند مفید باشد. همچنین این نوشته برای دانشجویان و علاقمندان به حوزه سیستمهای مدیریت تداوم کسب و کار نیز کاربردی خواهد بود.
در ادامه 30 گام پیاده سازی BCMS بر اساس استاندارد ایزو 22301 را به شما معرفی میکنیم. این گامها بر اساس چرخه دمینگ موسوم به PDCA (Plan, Do, Check, Act) یا همان چرخه طراحی، اجرا، بازبینی، اصلاح طراحی و مرتب شدهاند.
ضمنا پیشنهاد میکنیم چنانچه تا کنون با موضوعات مرتبط با تداوم کسب و کار آشنایی نداشتهاید ابتدا مقاله “مدیریت تداوم کسب و کار چیست؟” را بخوانید و سپس این مطلب را مطالعه نمایید.
فاز طراحی از چرخه PDCA
این مرحله از چرخه PDCA متشکل از مراحل 1 تا 15 است که در ادامه به آن پرداخته میشود.
1- ایجاد مقدمات استقرار ISMS
استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات یک تصمیم راهبردی و استراتژیک برای سازمان است. از این رو لازم است که در ابتدای فرایند، مدیران ارشد سازمان نسبت به تصمیم اتخاذ شده و ملاحظات آن بطور کامل توجیه شوند. همچنین لازم است که در این گام طرح مدیریت پروژه به تأیید طرفین (سازمان و مشاور) برسد.
2- شناخت زمینه سازمان
شناخت زمینه سازمان به عنوان اولین الزام مطرح شده در استاندارد ایزو 22301 بهطور کلی به موارد زیر میپردازد.
- شناسایی عوامل درونی و بیرونی: سازمان باید مسائل بیرونی و درونی (شامل عوامل مثبت و منفی یا شرایط قابل ملاحظه) را که با اهداف کلی، محصولات و خدماتش و میزان و نوع ریسکی که ممکن است متحمل شود یا نپذیرد مرتبط است، ارزیابی و درک کند. این اطلاعات باید هنگام پیاده سازی و نگهداری BCMS و تعیین اولویت ها در نظر گرفته شود.
- درک نیازها و انتظارات طرفهای ذینفع: سازمان وظیفه مراقبت از طیف وسیعی از افراد درون و بیرون سازمان را دارد. هنگام ایجاد سیستم مدیریت تداوم کسب و کار (BCMS)، سازمان باید اطمینان یابد که نیازها و الزامات همه طرفهای ذینفع در نظر گرفته شده است. سازمان باید تمام اشخاص ذینفعی را که با BCMS مرتبط هستند شناسایی کند و بر اساس نیازها و انتظارات آنها، الزامات خود را تعیین کند.
- الزامات قانونی و مقرراتی: آگاهی و تبعیت از الزامات قانونی و مقرراتی کاربرد پذیر در سازمان، پیش فرض بکارگیری استاندارد ایزو 22301 است. این الزامات ممکن است بطور ضمنی یا بصورت واضح بیان شده باشند و ممکن است اجباری باشند. اطلاعات مربوط به این الزامات باید مستند شده و به روز نگه داشته شوند. الزامات جدید یا تغییرات در الزامات موجود باید به کارکنان تحت تأثیر و سایر اشخاص ذینفع اطلاع داده شود
3- تعیین محدوده و دامنه کاربرد BCMS
هدف از تعیین دامنه BCMS شناسایی مرزها و کاربردپذیری آن برای اطمینان از پوشش همه محصولات و خدمات مرتبط، فعالیتها، مکانها، منابع، تامینکنندگان و سایر وابستگی هاست. دامنه باید با ملاحظه موضوعات مشخص شده در گام قبلی شامل الزامات اشخاص ذینفع و نیز ماموریت، اهداف و تعهدات سازمان تعیین شود. سازمان باید بیانیه ای تهیه کند که دامنه سیستم مدیریت تداوم کسب و کار (BCMS) را به شیوهای درست و با عباراتی متناسب با اندازه، ماهیت و پیچیدگی سازمان مشخص کند. بیانیه باید در دسترس طرفهای ذینفع باشد.
4- تحلیل شکاف (انطباق سنجی)
در این مرحله و پس از تعیین دامنه کاربرد استقرار و پیاده سازی سیستم مدیریت تداوم کسب و کار و پیش از شروع مراحل عملیاتی پیادهسازی سیستم مدیریت تداوم کسب و کار (BCMS) لازم است که تحلیلی بهمنظور شناسایی وضعیت فعلی سازمان بر اساس الزامات و کنترلهای استاندارد ایزو 22301 صورت پذیرد. هدف از این فعالیت بدست آوردن شناخت بهتر از میزان فعلی انطباق سازمان با استاندارد ISO 22301 است. سنجش فاصله سازمان در حوزه تداوم کسب و کار با حداقلهای تعریف شده در ایزو 22301 از دیگر اهداف این فعالیت است. این تحلیل کمک میکند تا مجریان استقرار سیستم بتوانند تصویر کلی از نقاط ضعف و قوت سازمان داشته باشند و نسبت به اولویتبندی امور در مراحل بعد اقدام کنند.
5- جلب حمایت و تعهد رهبری سازمان
در این گام لازم است که تمام سطوح مدیریت در سراسر سازمان رهبری و تعهد خود را در حوزه مسئولیتشان نشان دهند. مدیریت ارشد این تعهد را به طرق مختلفی میتواند نشان دهد. مواردی مانند تخصیص نقشهای مدیریتی، ایجاد خطمشی تداوم کسب و کار، تخصیص منابع کافی و مناسب، الزام دیگر سطوح مدیریتی به پشتیبانی از سیستم و غیره.
دیگر نقشهای مدیریتی نیز باید تعهد خود نسبت به سیستم را از طرق مناسب به نمایش بگذارند. مواردی مانند ایجاد اهداف BCMS همسو با اهداف استراتژیک، ادغام الزامات BCMS با فرایندهای کارd، حضور فعال در برنامههای آزمایشی و تمرینی، انجام ممیزیهای داخلی و غیره
6- ایجاد خطمشی تداوم کسب و کار
مدیریت ارشد باید خط مشی تداوم کسب و کار را بر اساس اهداف سازمان و تعهدات آن تعریف کند. برای سازمانهایی با سیستمهای مدیریت موجود، احتمالا بهتر است که خط مشی سیستم مدیریت تداوم کسب و کار (BCMS) با سایر سیستم های مدیریتی مرتبط شود. باید تمهیدات مناسبی برای تصویب خط مشی، نگهداری از خطمشی بصورت مستند و بررسی دوره ای (مثلاً سالانه) و هر زمان که تغییرات قابل توجهی در عوامل داخلی یا خارجی رخ داد (مانند تغییر در مدیریت ارشد، معرفی قوانین جدید) در نظر گرفته شود. خطمشی تداوم کسب و کار باید درون سازمان ابلاغ شود و در صورت تصویب مدیریت ارشد در اختیار طرفهای ذینفع بیرونی سازمان نیز قرار گیرد.
7- سازماندهی مدیریت تداوم کسب و کار در سازمان
مدیریت ارشد باید از تخصیص و ابلاغ مسئولیت ها و اختیارات در سیستم مدیریت تداوم کسب و کار (BCMS) اطمینان حاصل کند. یکی از مدیران ارشد باید به عنوان فرد تام الاختیار در قبال BCMS مسئول و پاسخگو باشد. مدیریت ارشد ممکن است نهادهای دیگری (مانند یک کمیته راهبری) را برای نظارت بر اجرا و نظارت مستمر این سیستم مدیریتی منصوب کند. همچنین میتوان نمایندگانی از ادارات مختلف سازمان برای کمک به اجرای BCMS مشخص شوند (مثلاً کسانی که مسئول امور مربوط به ریسک هستند). تمامی نقشها، مسئولیتها و اختیارات سیستم مدیریت تداوم کسب و کار (BCMS) باید تعریف و مستند شده و مشمول ممیزی شوند.
8- تعیین اقدامات مناسب جهت رسیدگی به ریسکها و فرصتها
سازمان باید اقداماتی را برای رسیدگی به مسائل داخلی و خارجی، نیازها و انتظارات اشخاص ذینفع و نیز الزامات قانونی و مقرراتی مشخص کند. به این انتظارات و الزامات در بند 4 استاندارد ایزو 22301 که در این نوشته در گام 2 به آنها اشاره شد پرداخته شده است. تعیین این اقدامات باید باید شامل ملاحظه ریسکها و فرصتها و تأثیر بالقوه آنها بر اثربخشی سیستم مدیریت تداوم کسب و کار (BCMS) باشد. سازمان باید اقدامات مورد نیاز برای مقابله با این ریسکها و فرصتها را برنامهریزی نماید.
9- تعیین اهداف تداوم کسب و کار و برنامهریزی جهت تحقق آنها
سازمان باید اهدافی را برای پیاده سازی و حفظ مدیریت تداوم کسب و کار تعیین کند. این اهداف باید در راستای اهداف کلی سازمان باشد و همچنین برای اینکه بدرستی محقق شوند باید دربرگیرنده تعیین مسئولیتها و اهداف مناسب و واقع بینانه باشد. برنامهریزی صورت گرفته برای تحقق اهداف باید در سراسر سازمان ابلاغ و پیشرفت در اجرای آن باید نظارت و مستند شود. همانطور که سیستم مدیریت تداوم کسب و کار (BCMS) تکامل می یابد، این برنامه نیز باید به طور منظم بازنگری و در صورت لزوم به روز شود.
10- مدیریت تغییرات
مدیریت تغییرات یک ملاحظه مهم برای تمام فرآیندهای مدیریتی است. تغییرات در سیستم مدیریت تداوم کسب و کار (BCMS) باید به دقت برنامه ریزی شوند تا اطمینان حاصل شود که هدف مورد نظر به طور کامل بررسی و درک شده است. این امر باید شامل تأمل در مورد پیامدهای تغییرات پیشنهادی، اطمینان از در نظر گرفتن پیامدهای پیشبینیشده و ناخواسته، و اطمینان از حفظ یکپارچگی BCMS باشد. سازمان همچنین باید اطمینان حاصل کند که منابع مناسب و کافی در دسترس است و مسئولیت ها و اختیارات در صورت لزوم تخصیص مییابد.
11- تدارک منابع
سازمان باید در دسترس بودن منابع مورد نیاز برای سیستم مدیریت تداوم کسب و کار (BCMS) را تعیین و تضمین کند. منابع باید بهشیوهای کارآمد و بهنگام در دسترس باشند. منابع و تخصیص آنها باید به صورت دوره ای مورد بررسی قرار گیرد تا از کفایت آنها اطمینان حاصل شود. شاید لازم باشد که مدیریت ارشد در این بررسی مشارکت نماید.
12- مدیریت شایستگی و صلاحیت افراد
سازمان باید یک سیستم مناسب و مؤثر برای مدیریت شایستگی افرادی که کار سیستم مدیریت تداوم کسب و کار (BCMS) را تحت کنترل خود بر عهده می گیرند، ایجاد کند. مدیریت باید شایستگیهای مورد نیاز برای همه نقشها و مسئولیتهای سیستم مدیریت تداوم کسب و کار (BCMS) و آگاهی، دانش، درک، مهارتها و تجربه مورد نیاز برای تحقق آنها را تعیین کند. همه افرادی که در سازمان نقشهایی دارند باید شایستگیهای مورد نیاز را نشان دهند و از آموزش، تحصیلات، توسعه و سایر حمایتهای لازم برای انجام این کار برخوردار شوند. میتوان از این برناهم با عنوان “برنامه توسعه شایستگی” نام برد.
13- آگاهیرسانی
سازمان باید اطمینان حاصل کند که همه افرادی که تحت کنترل آن کار می کنند (به عنوان مثال کارکنان، پیمانکاران، تأمین کنندگان) از خط مشی تداوم کسب و کار و اهداف تداوم کسب و کار سازمان آگاه هستند. سازمان باید مدیریت تداوم کسب و کار را در فرهنگ سازمان ایجاد، ترویج و تعبیه کند. تغییرات در محیط کسب و کار و عملیات بر رویکرد و نحوه برنامه ریزی، طراحی و اجرای فعالیت های تداوم کسب و کار تأثیر می گذارد.
14- ایجاد ارتباطات مناسب سازمانی
باید ارتباطات و مراودات مورد نیاز سیستم مدیریت تداوم کسب و کار (BCMS) در سازمان تعیین شود. ارتباطات مربوط به BCMS سازمان را قادر می سازد تا به نیازها و انتظارات طرف های ذینفع پاسخ دهد. برای اینکه ارتباطات مؤثر باشد، سازمان باید معیارهای مناسبی را ایجاد و مشخص نماید. جهت برقراری ارتباطات مؤثرتر، سازمان میتواند در خبرنامه ها و جلسات توجیهی تأمین کنندگان و مشتریان خود ارجاعاتی به سیستم مدیریت تداوم کسب و کار (BCMS) و تمهیدات در نظر گرفته شده برای تداوم کسب و کار خود داشته باشد. سازمان باید در صورت نیاز ارتباطات خارجی مؤثری به عنوان بخشی از برنامه آگاهیرسانی خود و هنگام پاسخ به یک حادثه برقرار سازد.
15- مدیریت مستندات و سوابق
اطلاعات مستند مورد نیاز ISO 22301 شواهدی از انطباق با الزامات و عملکرد مؤثر این سیستم مدیریتی را ارائه می دهد. اصطلاح «رویه» به معنای روش مشخصی برای انجام یک فعالیت یا یک فرآیند است. “رویه مستند” به این معنی است که رویه باید بر روی یک رسانه مناسب ایجاد و نگهداری شود. یک سند ممکن است الزامات یک یا چند رویه مستند را برآورده کند و یا یک الزام برای یک رویه مستند ممکن است توسط بیش از یک سند پوشش داده شود. وسعت اطلاعات مستند برای سیستم مدیریت تداوم کسب و کار (BCMS) ممکن است بین سازمان ها به دلایلی همچون اندازه، نوع و پیچیدگیهای آنها متفاوت باشد.
فاز اجرا از چرخه PDCA
این فاز از چرخه PDCA متشکل از مراحل 16 تا 26 است که در ادامه به آن پرداخته میشود.
16- برنامهریزی عملیاتی
سازمان باید فرایندهای مورد نیاز برای ایجاد و حفظ مدیریت تداوم کسب و کار را که الزامات این سیستم را نیز برآورده می کنند، تعیین، برنامه ریزی، اجرا و کنترل نماید. همچنین سازمان باید اقدامات مرتبط با ریسکها و فرصتهای شناسایی شده (گام 8 این مقاله) را اجرا نماید. این فرایندها باید در فرایندهای کسب و کار سازمان ادغام شوند تا اطمینان حاصل شود که آنها به درستی مدیریت می شوند و اثربخشی آنها حفظ میشود. سازمان باید اطمینان حاصل کند که تغییرات برنامهریزی شده کنترل، تغییرات ناخواسته بررسی و اقدامات مناسب انجام میشود. همچنین سازمان باید نسبت به کنترل فرایندهای برونسپاری شده و زنجیره تأمین اطمینان حاصل نماید.
17- تحلیل پیامد کسب و کار
تجزیه و تحلیل پیامد کسب و کار، سازمان را قادر می سازد تا اولویت هایی را برای از سرگیری فعالیت هایی که مختل شدهاند تعیین کند. هدف اصلی این مرحله این است که سازمان را قادر سازد تا هر فعالیتی را که ممکن است به اقدام فوری نیاز داشته باشد، شناسایی و طبقهبندی کند. زیرا عدم از سرگیری سریع این فعالیتها میتواند منجر به ایجاد پیامدهای نامطلوبی در سطوح غیرقابل قبول شود. البته ممکن است غیر از فعالیتهای فوقالذکر که نیاز به بازیابی سریع دارند، فعالیتهای دیگری نیز اولویتبندی شوند. به عنوان مثال فعالیتی که لزومی به از سرگیری شش ماهه ندارد، اما حداقل هشت ماه طول می کشد تا بتواند از سر گرفته شود، باید اولویت بندی شود. از این رو فعالیتهای اولویتدار را میتوان بهعنوان فعالیتهایی اطلاق کرد که ممکن است به پیادهسازی راهحلهای تداوم کسبوکار قبل از مختل شدن نیاز داشته باشند.
18- ارزیابی ریسک
هدف از ارزیابی ریسک، توانمندسازی سازمان در ارزیابی ریسکهای ناشی از اختلال در فعالیت های اولویت بندی شده است. از طریق ارزیابی ریسک سازمان میتواند اقدامات مناسب را برای رسیدگی به این ریسکها انجام دهد. سازمان باید یک فرایند رسمی ارزیابی ریسک را اجرا و حفظ کند. این فرایند باید به طور سیستماتیک ریسک اختلال در فعالیتهای اولویتبندی شده سازمان و فرایندها، سیستمها، اطلاعات، افراد، داراییها، تأمینکنندگان و سایر منابعی را که از این فعالیتها پشتیبانی میکنند، شناسایی، تحلیل و ارزیابی نماید.
ارزیابی ریسک یک فرایند ساختارمند برای تحلیل ریسک برحسب احتمال و پیامد قبل از تصمیم گیری در مورد بکارگیری اقدامات مقابلهای و درمانی احتمالی بیشتر است. این فرآیند باید با در نظر گرفتن زمینه سازمان و نیازها و انتظارات طرف های ذینفع انجام شود. همچنین لازمه انجام مناسب این فعالیت، درک مناسب سازمان از تهدیدات و آسیب پذیریهای مرتبط با منابع مورد نیاز فعالیتهایش است. سازمان باید روش مناسبی را برای شناسایی، تجزیه و تحلیل و ارزیابی مخاطراتی که می تواند منجر به اختلال شود، انتخاب کند. ISO 31000 اصول مدیریت ریسک و دستورالعمل های مرتبط را تعیین کرده است.
19- شناسایی و انتخاب استراتژیها و راهکارها
استراتژیهای تداوم کسبوکار معرف راههای ممکن جهت تحقق و برآوردن الزامات تداوم کسبوکار در سازمان است. استراتژیهای تداوم کسبوکار باید شامل حداقل یک راهحل تداوم کسبوکار باشند. اما ممکن است یک استراتژی برای برآورده کردن الزامات تداوم کسبوکار به بیش از یک راهحل نیاز داشته باشد. راهحلهای تداوم کسبوکار شامل رویکردها، تمهیدات، روشها، رویهها، اقدامات درمانها و اقداماتی است که میتوان برای اجرای استراتژیهای کسب و کار بکار بست. راهحلها را می توان برای بیش از یک استراتژی استفاده کرد.
شناسایی استراتژیهای تداوم کسبوکار و انتخاب راهحلهای تداوم کسبوکار باید بر اساس تحلیل پیامد کسبوکار و ارزیابی ریسک با در نظر گرفتن هزینههای مرتبط باشد. سازمان باید رویههایی برای شناسایی و انتخاب راهحلها و استراتژیهای تداوم کسبوکار از جمله بررسی و تأیید راهحلهای پیشنهادی داشته باشد. سازمان میبایست گزینه هایی را که ممکن است قبل، در حین و بعد از یک اختلال پیادهسازی شوند را در نظر بگیرد.
20- تعیین و تخصیص منابع جهت اجرای راهکارها
در این مرحله سازمان باید منابع مورد نیاز را برای اجرای راهحلهای انتخاب شده تعیین کند. این منابع شامل موارد زیر است:
- افراد
- اطلاعات و دیتا
- ساختمانها، محلهای کار و تاسیسات مرتبط
- تجهیزات و مواد مصرفی
- سیستمهای ICT
- حمل و نقل و تدارکات
- تأمین مالی
- شرکا و زنجیره تأمین
21- پیادهسازی راهکارها
راه حل های انتخاب شده باید در طول زمان اجرا و نگهداری شوند. پس از انتخاب راه حل های تداوم کسب و کار، مدیریت باید در انتخاب منابع تداوم کسب و کار (مانند فضای کاری، افراد، تجهیزات) مشارکت داشته باشد. باید مراقب بود که این منابع در زمان وقوع حادثه در دسترس باشند. برای اطمینان از دسترسی به استراتژیهای از سرگیری و کاهش، سازمان باید تمام راه حل هایی را که باید قبل از ایجاد اختلال وجود داشته باشد، تعریف و اجرا کند. اگر زمان فعالسازی یک راه حل از الزامات تداوم کسب و کار بیشتر باشد، سازمان باید راهحل انتخابی را قبل از ایجاد اختلال پیادهسازی نماید.
22- ایجاد ساختار واکنش
ساختار واکنش مؤثر سازمان ها را قادر می سازد تا رویدادها را تشخیص، حوادث را شناسایی و تعیین کنند که آیا احتمال دارد که اینحوادث منجر به اختلال در عملیات سازمان شوند یا خیر. سازمان باید یک ساختار واکنش به حادثه ایجاد کند که بدون توجه به علت، پاسخی مؤثر به اختلالات ارائه دهد. اگر ساختار مورد توافق و مستندی وجود نداشته باشد، این احتمال وجود دارد که سازمان قادر به پاسخگویی موثر به اختلال نباشد و نتواند فعالیتهای مختل شده را در بازه های زمانی لازم از سر بگیرد.
23- ایجاد ساختار ارتباطی و اطلاعرسانی
مدیریت موثر ارتباطات اولیه از همان ابتدای بروز اختلال می تواند تفاوت بزرگی در اثربخشی واکنش سازمان ایجاد کند. ارتباط موثر تنها زمانی حاصل میشود که سازمان مشخص کند که چه چیزی، چه زمانی، با چه کسی و چگونه باید ارتباط برقرار کند. بنابراین سازمان باید رویههای مستندی را برای هشدارها و اقدامات مرتبط با ارتباطات ایجاد کند و مشخص کند چه کسی مسئول انجام آنها خواهد بود. سازمان باید اطمینان حاصل کند که رویهها و امکانات مؤثر برای دریافت، مستندسازی و پاسخگویی به هشدارها، اخطارها و ارتباطات خارجی از نهادهای ملی یا منطقهای مرتبط را داشته باشد. برخی از سازمانها ممکن است نیاز به ایجاد تسهیلات اختصاصی یا موقتی جهت ایجاد سایتی به اندازه کافی دور از سایت آسیبدیده داشته باشند تا عملیات آنها با وقوع حادثه مختل نشود.
24- ایجاد طرحهای تدوام کسب و کار
طرحهای تداوم کسبوکار نحوه واکنش تیمها به اختلالات و از سرگیری فعالیتها در محدوده BCMS را مشخص میکند. از آنجایی که اصطلاحات بین سازمانها متفاوت است و در بسیاری از موارد، اصطلاحات خاص به جای یکدیگر استفاده میشوند، ضروری است که نقشها و مسئولیتهای تیمها به وضوح بیان شود و رویههای مستند پشتیبان از آنها به وضوح هدف، دامنه و اهداف آنها را بیان کند. سازمان باید از قبل تعیین کند که چگونه به طور معمول پس از یک اختلال به کسب و کار باز میگردد. همچنین سازمان باید رویههای مستندی برای بازیابی و بازگرداندن عملیات کسب و کار از اقدامات موقت اتخاذ شده در طول یک حادثه داشته باشد.
25- ایجاد برنامههای تمرین و مانور
رویهها و تمهیدات تداوم کسبوکار یک سازمان را نمیتوان تا زمانی که به کار گرفته شود و قدرت آن سنجیده شود، قابل اعتماد تلقی کرد. تمرین و مانور منجر به توسعه کار تیمی، شایستگی، اعتماد به نفس و دانش میشود. تمارین باید شامل کسانی باشد که احتمال دارد از روش ها استفاده کنند.
26- سنجش مستندات و قابلیتهای تداوم کسب و کار
سازمان باید سنجشهایی از تحلیل پیامد کسب و کار، ارزیابی ریسک، استراتژیها و راهحلها، طرح ها و رویه های تداوم کسب و کار خود انجام دهد تا از تناسب، کفایت و اثربخشی مستمر آنها اطمینان یابد. سنجشها باید به نیاز احتمالی برای تغییر در خطمشی، اهداف و سایر عناصری که BCMS بر مبانی آنها بنا گذاشته شده، مانند نتایج تمرین، بررسیهای پس از حادثه و تغییر شرایط سازمانی توجه کنند. سنجشها ممکن است به صورت ممیزی داخلی یا خارجی یا خود ارزیابی باشد. تعداد دفعات و زمان بررسیها میتواند تحت تأثیر قوانین و مقررات بسته به اندازه، ماهیت و شرایط قانونی سازمان باشد. بررسیها همچنین میتوانند تحت تأثیر الزامات طرفهای ذینفع قرار گیرند.
فاز اصلاح از چرخه PDCA
این فاز از چرخه PDCA متشکل از مراحل 27 تا 29 است که در ادامه به آن پرداخته میشود.
27- پایش، اندازهگیری، تحلیل و سنجش
سازمان باید رویههای پایش، اندازهگیری، تحلیل و ارزیابی عملکرد و اثربخشی سیستم مدیریت تداوم کسب و کار (BCMS) را ایجاد نماید. سازمان باید اطلاعات مستند مناسب از کلیه سنجشهای دورهای و نتایج آنها را حفظ کند. همچنین سازمان باید از شاخصهای عملکرد برای ارزیابی عملکرد و اثربخشی BCMS و نتایج آن به منظور شناسایی موفقیتها و زمینه هایی که نیاز به اصلاح یا بهبود دارند استفاده کند. داده های به دست آمده را میتوان برای شناسایی الگوها و قادر ساختن سازمان برای به دست آوردن اطلاعات مربوط به عملکرد BCMS استفاده کرد.
28- ممیزی داخلی
سازمان باید ممیزیهای داخلی را در فواصل زمانی برنامهریزی شده برای ارزیابی عملکرد سیستم مدیریت تداوم کسب و کار (BCMS) انجام دهد. ممیزی داخلی BCMS مکانیزمی را برای اندازه گیری میزان دستیابی BCMS به اهداف، مطابقت با تمهیدات برنامهریزی شده، و درستی اجرا و نگهداری سیستم و شناسایی فرصت های بهبود ارائه میدهد. ممیزی های داخلی سیستم مدیریت تداوم کسب و کار (BCMS) باید در فواصل زمانی برنامه ریزی شده انجام شود. تا از این طریق اطلاعاتی در مورد تناسب و اثربخشی BCMS به مدیریت عالی ارائه شود. همچنین ممیزی داخلی میتواند مبنایی برای تعیین اهداف برای بهبود مستمر عملکرد BCMS فراهم نماید.
29- بازنگری مدیریت
مدیریت ارشد باید سیستم مدیریت تداوم کسب و کار (BCMS) سازمان را در فواصل زمانی برنامه ریزی شده بررسی و بازنگری کند. تا بدین ترتیب از تناسب، کفایت و اثربخشی مستمر سیستم، از جمله عملکرد مؤثر رویهها و قابلیتهای تداوم آن اطمینان یابد. بازنگری مدیریت باید دامنه BCMS و هرگونه استثناء را پوشش دهد. اگرچه لازم نیست همه عناصر در یک زمان بررسی شوند و فرایند بازنگری میتواند در یک بازه زمانی انجام شود. بازنگری اجرا و نتایج BCMS توسط مدیریت ارشد باید به طور منظم برنامهریزی و سنجش شود. همانگونه که بازنگری مداوم سیستم توصیه می شود، بازنگری رسمی باید ساختار یافته و به طور مناسب مستند شده و بهشیوه مناسبی برنامهریزی شود. افرادی که در اجرای سیستم مدیریت تداوم کسب و کار (BCMS) و تخصیص منابع آن دخیل هستند باید در بازنگری مدیریت مشارکت داشته باشند.
فاز بازنگری از چرخه PDCA
آخرین مرحله از مراحل پیادهسازی BCMS در فاز اصلاح قرار دارد که در ادامه توضیحات آن آورده شده است.
30- بهبود مستمر
سازمان باید فرصتهایی را برای بهبود سیستم مدیریت تداوم کسب و کار (BCMS) تعیین کند و اقدامات لازم برای دستیابی به نتایج مورد نظر خود را اجرا کند.سازمان باید عدم انطباق ها را شناسایی کند، برای کنترل، مهار و اصلاح آنها اقدام کند، با پیامدهای آنها برخورد کند و نیاز به اقدام برای از بین بردن علل آنها را ارزیابی کند. بهبود مستمر، از نظر تناسب، کفایت و اثربخشی BCMS، در تمام سطوح در چرخه PDCA عمل می کند و باید بر اساس سیاست تداوم کسب و کار و اهداف، نتایج ممیزی، تحلیل اختلالات، بازنگری مدیریت، جاهطلبیها و سطح بلوغ مطلوب هدایت شود.
چنانچه علاقمند به آشنایی با خدمات شرکت آبشار در حوزه سیستم مدیریت تداوم کسب و کار هستید، به صفحه “سیستم مدیریت تداوم کسب و کار (BCMS)” مراجعه کنید. همچنین چنانچه تمایل به آشنایی با پیادهسازی ISMS دارید، مقاله “22 گام پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)” را بخوانید.