طرح تداوم کسب و کار (در بحران)، Business Continuity Plan

بازدیدها: 99

بحران ها همیشه از جنس آتش یا انفجار و یا سیل نیستند. بحران ها گاهی با غرش و رعد همراهند و گاهی نیز ظاهری آرام دارند و فقط تداوم کسب و کار یک سازمان را به خطر می اندازند. از سایتی که مخازن آن در آتش مواد اولیه نفتی یا پلیمری خود میسوزد تا ساختمانی که مغازه ها و انبارهای آن در سیطره آتش نخ و ویسکوز هستند تا سازمانی که فقط آب باران از سقف آن چکه میکند و یا در اثر یک اتصال کوتاه، سیستم برق آن کاملا قطع شده است و همه اطلاعات فنی و سری از دسترس خارج شده است و یا سازمانی که ساختمان اصلی آن در اثر وقوع سیل یا آتش سوزی، از بین رفته است، همه با بحران مواجه هستند و در تمام آنها عده ای مشغول عملیات اطفاء حریق یا بازگردانی و ریکاوری اطلاعات مالی مشتریان میباشند و نیاز دارند تا هم برای گذر از حادثه، طرحی اندیشیده شود و هم تولید و یا فروش از سر گرفته شود. حال سوال اینست که علاوه بر طرح های گذر از حریق و حادثه، برای تداوم تولید و فروش خدمات نیز، طرح و برنامه ی اندشیده شده است؟

وقوع بحران و از دست رفتن درآمد، در کنار هزینه های مستقیم مدیریت حادثه قطعا به کاهش سود و یا ضرر خواهد انجامید. ابزارهایی همچون بیمه هم نمیتوانند تمامی این هزینه ها و یا مشتریهای از دست رفته را جبران کنند. در چنین شرایطی است که وجود طرح تداوم کسب و کار الزامی به نظر میرسد.

طرح تداوم کسب و کار (Business Continuity Plan) به طرحی گفته میشود که یک سازمان به کمک آن، خود را برای گذراندن شرایط غیر طبیعی آماده کرده است.

طرح تداوم کسب و کار، به عنوان بخشی از سیستم مدیریت استراتژیک سازمان محسوب می­شود که به طراحی، پیاده ­سازی، پایش و بازنگری مستمر فعالیت­های مرتبط با موضوع تداوم کسب و کار می­پردازد. طرح تداوم کسب و کار، یک فرایند مستمر در سازمان است و بر خلاف مدیریت بحران به صورت پروژه­ای و مقطعی به راهکارهای مقابله با بحران نمی­نگرد بلکه تا زمانی که سازمان به حیات خود ادامه می­دهد، همراه آن است.

در سال ۲۰۰۷ موسسه استاندارد انگلستان، استاندارد BS 25999-2 تحت عنوان “خصوصیات مدیریت استمرار کسب و کار” را منتشر کرد که در آن به تشریح الزامات مورد نیاز جهت پیاده سازی، اجرا و بهبود سیستم مدیریت استمرار خدمت یا BCMS (Business Continuity Management System) مستند سازی شده میپردازد.

نهادهای دولتی در آمریکا، ، از این فرآیند تحت عنوان “برنامه ریزی استمرار فعالیتها” یا COOP (Continuity Of Operations Planning ) یاد میکنند.

از استانداردهای مهم دیگر این حوزه، می توان به استاندارد بین المللی ISO 22301 به عنوان استاندارد مرجع حوزه تداوم کسب و کار اشاره کرد.

طرح تداوم کسب و کار عمدتا شامل چهار گام میشود
  • شناسایی واحدها و فرآیندهای بحرانی سازمان و منابع مورد نیاز جهت پشتیبانی از آنها “تحلیل تاثیر بر تداوم کسب و کار (Business Impact Analysis)”
  • شناسایی، مستندسازی و پیاده سازی روشهای بازیابی و احیای واحدها و فرآیندهای بحرانی کسب و کار
  • تشکیل تیم تداوم کسب و کار و تولید طرح تداوم کسب و کار به منظور مدیریت وقفه های احتمالی روند کسب و کار
  • برگزاری دوره های آموزشی برای تیم تداوم خدمت و همچنین آزمایش طرح تولید شده و ارزیابی میزان تاثیر آن در بازیابی روال عادی کسب و کار

پیاده سازی سیستم مدیریت تداوم تولید

شرح جزییات لازم برای پیاده سازی سیستم مدیریت تداوم تولید، طی سه مرحله اصلی و زیر مرحله های فرعی  بیان می­شود:

مرحله اول: ایجاد و طرح‌ریزی BCMS

۱-۱-تعیین راهبردها، اهداف و برنامه اقدامات توسعه‌ای سازمان

۱-۲- تحلیل و ارزیابی ریسک (RA)

۱-۳- تحلیل اثرات کسب و کار (BIA)

۱-۴- شناسایی ذینفعان کسب و کار

۱-۵- تعیین گستره BCMS

۱-۶- تعیین نقش‌ها و مسئولیت کارکنان در BCMS

مرحله دوم: پیاده‌سازی و اجرای BCMS

۲-۱-تعیین سطح ریسک‌پذیری سازمان در فعالیت‌های کلیدی

۲-۲- تدوین راهبردهای BCMS

۲-۳- تهیه مستندات نقشه تداوم کسب و کار

۲-۴- طراحی ساختار پاسخ سریع به حادثه (IRS)

۲-۵- طراحی سیستم اخطار و ارتباطات برای پرسنل سازمان

۲-۶- تدوین برنامه‌های تداوم کسب و کار

۲-۷- تدوین برنامه‌های بازیابی

مرحله سوم: نظارت، بازنگری و حفظ BCMS

۳-۱- برنامه‌ریزی دوره‌های آموزشی و تعیین گستره، زمان‌بندی، الزامات و اهداف هر دوره

۳-۲- برگزاری آزمایشات مختلف در قالب طراحی تمارین گوناگون

۳-۳- طراحی ساختار تحلیل و ارزیابی BCMS

۳-۴- تهیه الزامات BCMS جهت بازبینی و ممیزی داخلی بر اساس استاندارد مورد توافق با سازمان

۳-۵- شناسایی عدم انطباق‌ها و ارائه مستند نظام‌نامه بهبود مستمر برای سازمان

برنامه ریزی مدیریت بحران (DRP)

DRP به مجموعه پردازش‌ها، سیاست‌ها و دستورالعمل‌های مربوطه‌ای گفته می‌شود که با آن پس از وقوع یک فاجعه طبیعی (سیل، زلزله، طوفان …) یا ساخته دست بشر (انفجار، خرابکاری، سرقت اطلاعات …)، بازیابی یا تداوم کار زیر ساخت‌های حساس فن آوری اطلاعات را بتوان تضمین کرد. DRP یکی از سرفصلهای BCP می‌باشد که مشخصاً به رویکرد بازیابی خسارت‌های وارد شده به مجموعه زیر ساخت‌ها، داده‌ها و برنامه‌های کاربردی حوزه فن آوری اطلاعات می‌پردازد.

یرای تهیه یک DRP در ابتدا محدوده طرح مشخص شده و سپس ارزیابی مخاطرات انجام می‌شود. معیارهای کنترلی پیشگیری کننده، شناسائی کننده و اصلاح کننده در نظر گرفته می‌شوند و این معیارها بصورت مدون نگهداری شده و مورد آزمون مرتب قرار می‌گیرند. برای هر DRP نیاز به تعیین یک استراتژی مناسب است. اما قبل از آن به فاکتورهای “مقصد بازیابی” RPO و “زمان بازیابی” RTO که در BCP در نظر گرفته شده توجه شده و سعی می‌شود ارتباط منطقی ای بین آنها و زیرساخت‌ها و سیستم‌های فن آوری اطلاعات بر قرار گردد. ضمناً توجه می‌گردد که برای هر سیستم استراتژی بازیابی مناسبی در نظر گرفته شود و نهایتاً استراتژی در نظر گرفته شده با بودجه تخصیص یافته همخوانی داشته باشد.

استراتژی‌های معمول به این ترتیب هستند که نسخ پشتیبان بر روی Tape یا Disk قرار گرفته و به صورت Offline یا Online روی سایت بیرونی قرار می‌گیرند. بهترین حالت داشتن همزمان اطلاعات و سیسمتها در هر دو سایت عملیاتی و پشتیبان است که به این حالت Hot Availability – در دسترس بودن آنی گفته می‌شود.

در نظر گرفتن عواملی چون، مورد آزمون قرار گرفتن مداوم، بازیابی بر روی سخت افزارهای مورد نظر، آزمون بهترین و بدترین حالت‌های ممکن در تمام سطوح عملیاتی، قرار دادن دستور العمل‌ها در محلی امن و در دسترس بودن آخرین نسخه به‌روز شده آنها در زمان لازم و قابل استفاده بودن دستورالعمل ها توسط کلیه افراد تیم فنی از جمله ملاحظاتی هستند که بنا به تجربه بیشتر طرح‌های DRP را در نهایت عملیاتی، کارآمد و مؤثر خواهند نمود. همچنین برای حصول اطمینان از اجرائی شدن DRP اخذ موافقت مدیریت، تفهیم مسئولیت و مشارکت تمام واحدهای سازمانی در موقع بروز بحران – نه فقط IT، تبعیت از استانداردها و الزامات قانونی و نهایتاً تصویب سرفصل بودجه سالانه مختص DRP الزامی است.

تهیه نسخ پشتیبان به صورت online و ایجاد Recovery Pointهای متعدد و نهایتاً مجازی سازی به عنوان بهترین راهکارها برای بازیابی بحران و تداوم کسب و کار مورد نظر قرار گرفته است. روش‌های سنتی بازیابی اطلاعات عمدتاً مبتنی بر دستورالعمل‌های کاغذی حجیم و غالباً گیج کننده بود که به روز نگهداری و استفاده از آنها کار بسیار دشوار و طولانی بود.

مرجع: http://processsafety.ir

اشتراک گذاری:
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید