תקן ISO 22301 – המשכיות עסקית – כל מה שצריך לדעת
ISO 22301 – תקן לניהול המשכיות עסקית בארגון:
התקן מתייחס לסיכונים הנשקפים לתשתיות, מבנים ותפעול שוטף של הארגון בעקבות אירועים לא צפויים, החל מאירועים דרמטיים כמו שריפה, רעידת אדמה, נפילות טילים וצונאמי ועד לאירועים יותר שכיחים כמו הצפת מים, וירוס ופריצה למחשבים, מחסור חמור בכוח אדם, חוסר יכולת לתקשר עם גורמי חוץ, אי תפקוד של נותני שירות לארגון וכן הלאה.
אירועים אלו פוגעים ביכולתם של ארגונים להמשיך ולספק את מוצריהם או שירותיהם לקהל בעלי העניין (לקוחות, ציבור רחב, בעלי מניות, ספקים).
הפגיעה כוללת פגיעה במידע, במוצרים, בשירותים, בתשתיות, במכונות ייצור, באמצעים לוגיסטיים, בתקשורת וכלי תקשורת, בספקי שירותים שונים, באתרים עצמם ועוד.
תפקיד התקן לסייע לארגון בבניית מערכת ניהול המשכיות עסקית – Business Continuity Management System החיונית לארגון בזיהוי המוצרים ושירותי הדגל שלו, הפעילויות החשובות התומכות בהם והסיכונים הנשקפים להם במקרה של אירוע לא צפוי.
מהם היתרונות בהטמעת תקן להמשכיות עסקית?
- זיהוי איומים לפעילות שוטפת ועיקרית של הארגון.
- עמידות הארגון באיומים ומניעתם ככל הניתן.
- היערכות ובניית תכנית לפעולה במצב של פגיעה בפעילות העסקית והשוטפת.
- המשך הפעילות העסקית במצב לא צפוי במשאבים מינימאליים.
- מענה לדרישות רגולטוריות המחייבות את הארגון.
- התקן ישים לכל ארגון – גדול או קטן, למטרות רווח או ללא כוונת רווח, פרטי או ציבורי.
הקמה של מערכת ניהול המבוססת על התקן ISO 22301 תאפשר לארגון:
- לתכנן את מדיניות הארגון ואסטרטגיות הפעולה שלו לנושא המשכיות עסקית.
- להכשיר אנשים מתאימים לטיפול בתקריות השונות.
- להטמיע את הנושא, דגשי התקן וחשיבותו בתרבות הארגונית.
- להכין תוכניות מתאימות ולתרגל אותם.
- להמשיך ולשפר באופן מתמיד את יכולות הארגון להתמודד עם מצבי מצוקה שונים.
ניהול המשכיות עסקית יקטין את האפשרות של אירוע משבש, ובמידה ואירוע כזה מתרחש, הארגון יהיה מוכן להגיב בצורה מתאימה, להתמודד עמו ועם השלכותיו ולהיערך לתגובה לאחר המקרה, ובכך להקטין באופן דרסטי את הנזק הפוטנציאלי של אירוע כזה ולאפשר התאוששות ממנו.
תוכנית להמשכיות עסקית (BCP – Business Continuity Plan):
תוכנית להמשכיות עסקית הינה תוכנית אשר נותנת מענה לתרחישי חירום שונים ומאפשרת לארגון להמשיך את פעילותו הקריטית גם בזמן חירום. תוכנית זו נכתבת מראש ומכילה את התרחישים האפשריים העלולים לפגוע בארגון עקב מצב חירום ואת הדרכים כיצד להתמודד עם תרחישים אלו בזמן אמת.
המשכיות אם כך היא מושג מפתח בכל מה שקשור לתקן ISO 22301. היא מייצגת את היכולת של הארגון להמשיך את פעילותו לאחר אירוע לא צפוי במשאבים המינימאליים האפשריים ותוך כדי כך להביא להתאוששות מאסון במינימום הוצאות. כדי להגיע למצב זה אסור שהארגון ייתפס לא מוכן.
טיבה של תוכנית להמשכיות עסקית מתבטא באופן בו נותנת התוכנית מענה לכל התרחישים האפשריים במצב חירום.
השלבים להמשכיות עסקית בארגון:
השלב הראשון לביצוע התוכנית, הוא ביצוע מיפוי מפורט של התהליכים הקריטיים בארגון אשר צריכים להמשיך לפעול בכל מצב. תהליך זה נועד לתת מענה לאירוע בזמן אמת ולאפיין את האופן בו יתנהל הארגון, כאשר המטרה היא להביא ליציבות בארגון לאחר האירוע ולהתחיל בתהליך התאוששות.
לאחר מכן תיתן התוכנית מענה וחלופות שונות לכל תהליך אשר הוגדר כתהליך קריטי בארגון וכל עובד יידע מה תפקידו תוך כדי מצב החירום ותשאיר כמה שפחות סימני שאלה לרגע האמת.
לאחר שתם האירוע בצורה רשמית, תחול תוכנית התאוששות מאסון – תוכנית המכילה פירוט של פעולות ותהליכים אשר יש לבצע על מנת להחזיר במהרה פעילויות ותהליכים קריטיים לארגון שעיקרה הוא פירוט של פעולות אשר יש לבצע על מנת להביא את מערכות המידע העיקריות בארגון לפעילות כמו מסדי הנתונים, מקורות האחסון, גיבוי ומיקומי הרשת.
בניית התוכנית תתבצע תוך מתן דגש לנושאים חשובים והכרחיים בתוכנית המשכיות עסקית כמו מדיניות הארגון בדבר היערכות לתרחישי אסון כיום, גופים אשר אליהם כפוף הארגון והרגולציות החלות עליו, תקשורת פנים ארגונית וחוץ ארגונית, מערכות המידע, כוח אדם, צדדים שלישיים מהותיים לארגון כגון לקוחות או ספקים עיקריים ותרגול מצבי אמת לאחר כתיבת התוכנית.
