ניהול המשכיות עסקית ISO22301

המשכיות עסקית והתאוששות מאסון הינם נושאים אשר עלו על סדר היום בשנים האחרונות באופן משמעותי בקרב ארגונים מוטי רגולציה, אשר הפעילות העסקית של חלק מהם נתמכת באופן משמעותי בטכנולוגיית מידע.

(Business Continuity Management) BCM הינו תהליך עסקי אשר מנהל את אופן תגובת הארגון למשבר או אסון. תוכנית ההמשכיות העסקית BCP (Business Continuity Plan) הינה התוצר הישיר והמתעדכן של תהליך זה. תוכנית ההתאוששות מאסון DRP (Disaster Recovery Plan) הינה חלק בלתי נפרד מהתהליך, במיוחד כאשר מדובר בארגון הנתמך באופן משמעותי בטכנולוגיית מידע. עד כה, התקן המוביל אשר התווה את המתודולוגיה המקצועית לטיפול בהמשכיות עסקית, החל בניהול התהליך וכלה בכתיבת התוכנית, היה התקן הבריטי BS25999. בשנת 2012 פורסם תקן חדש ISO22301 אשר מטרתו להחליף את התקן הקיים ולתת דגש רב יותר לתהליך ניהול ההמשכיות העסקית. תקן זה הוא המחייב החל משנת 2013.

המשכיות עסקית נתפסת בדרך כלל כתוכנית בלבד ובמקרים פחות טובים כנושא טכנולוגי בלבד, אך תפיסה זו הינה תפיסה שגויה. תוכנית המשכיות עסקית הינה תהליך עסקי מהותי לקיום הארגון, אשר מבוסס על ההבנה כי תקלות, משברים ואסונות מסדרי גודל שונים בהחלט עלולים לקרות. לכן, בדיוק כמו רכישת ביטוח ותשלום פרמיה כחלק מניהול הסיכונים, גם ניהול תהליך המשכיות עסקית הינו ניהול הסיכון והיערכות מקדימה אליו ואל ההתאוששות ממנו.

אסונות טבע, תאונות סביבתיות, תקלות ומשברי טכנולוגיה רוחביים או נקודתיים הוכיחו כי תקריות חמורות קרו ויקרו במגזר הפרטי והציבורי כאחד. האתגר הוא לספק תוכנית חירום תוך שימוש באסטרטגיות ששימשו בהצלחה למצבים כאלו בעבר.

כיום עוסקים ארגונים בתהליך שיטתי של מניעה והגנה בתגובה להמשכיות עסקית והתאוששות מאסון. שכן, אין ספק כי גיבוש תוכנית תגובה שצופה וממזערת את ההשלכות אינה מספיקה. ארגונים חייבים לנקוט בצעדי הסתגלות יזומים, על מנת להקטין את הסיכוי לשיבוש. האיומים של היום דורשים יצירה של תהליך מתמשך שיבטיח הישרדות של פעילות הליבה של הארגון לפני, במהלך ולאחר אירוע משבש.

יכולתו של ארגון להתאושש מאסון קשורה באופן ישיר לרמת ועומק התכנון של ההמשכיות העסקית טרם התרחשות האירוע. מחקרים מראים כי בממוצע שניים מתוך חמישה עסקים שחוו אסון יקרסו תוך חמש שנים מהאירוע.

למרות קיומו של מסר ברור זה, במחקר אשר בוצע ע"י גרטנר נמצא כי פחות מ- 30% מחברות Fortune 2000 השקיעו בתוכנית המשכיות עסקית מלאה. הסיבה לכך, יכולה לנבוע מהתפיסה שהאתגרים הטכניים נראים מרתיעים מדי או שעלות יישום הפעולות נתפסת כיקרה מדי. הדרך להתמודד עם אתגרים אלו הינה באמצעות פתרונות של הטמעת תהליך ניהול המשכיות עסקית.

כמבקרים, עלינו לבדוק כי הארגון המבוקר, אכן מיישם תהליך ניהול המשכיות עסקית, או לכל הפחות מתייחס לנושא זה במסגרת ניהול הסיכונים, תוך מתן מענה הולם. כמו כן, חשוב להבין כיצד הספקים המהותיים של הארגון ערוכים למצבי משבר.

מטרת סקירת התקן המקוצרת המובאת להלן הינה להעניק למבקר כלים בסיסיים להבנת עמידת הארגון אותו הוא מבקר אל מול סטנדרטים מקובלים בתחום.

סקירת התקן

ISO 22301 מפרט דרישות לתכנון, הקמה, יישום, פיקוח, בדיקה, תחזוקה ושיפור של מערכת ניהול אשר מטרתה להגיב ולהתאושש מאירועים הרסניים כאשר הם קורים. הדרישות המפורטות ב ISO 22301 הינן גנריות וניתנות להתאמה לכל הארגונים, ללא קשר לסוג, גודל ואופי הארגון. היקף היישום של דרישות אלו תלוי בסביבה של הארגון התפעולי ומורכבותו. הסטנדרטים של ניהול ההמשכיות העסקית התפתחו עם התקן ע"י:

• מתן דגש רב על קביעת היעדים, מעקב ביצועים ומדדים.
• הגדרת נהלי עבודה ברורים וחלוקת אחריות מקדימה.
• תכנון קפדני והקצאת משאבים להבטחת המשכיות עסקית.

התקן חל על ארגונים מכל הסוגים והגדלים אשר שואפים:

• להקים, ליישם, לתחזק ולשפר את מערכת או תהליך ניהול ההמשכיות העסקית BCMS–Business Continuity Management System.
• להבטיח דבקות במדיניות ההמשכיות העסקית- בהתאם למטרות ואסטרטגיית הארגון.
• להפגין קונפורמיזם לאחרים- הליכה בתלם.
• לבקש אישור/ רישום הסמכה שלה ע"י ה BCMS, גוף מוסמך שלישי.

סעיפיו העיקריים של התקן:

הקשר של הארגון

מיפוי וקבלת החלטות בסוגיות פנימיות וחיצוניות רלוונטיות אשר משפיעות על יכולת הארגון להשיג תוצאות צפויות של תהליך ניהול המשכיות עסקית כגון:

• פעילויות הארגון, פונקציות, שירותים, מוצרים, שותפויות, שרשראות אספקה, והשפעה פוטנציאלית הקשורים לאירוע הרסני.
• הקשר בין מדיניות ההמשכיות העסקית למטרות הארגון, כולל אסטרטגיית ניהול הסיכונים הכוללת.
• הנטייה לנטילת סיכונים בארגון.
• הצרכים והציפיות הרלוונטיים לבעלי העניין.
• דרישות רגולטוריות וחוזיות החלות על הארגון.

כחלק מהותי מסעיף זה, ניתן לכלול את זיהוי הטווח של תהליך ניהול ההמשכיות העסקית, תוך התחשבות ביעדים האסטרטגיים של הארגון, מוצרים עיקריים ושירותים, רמת הסובלנות כלפי נטילת סיכונים, ודרישות בעלי עניין.

מנהיגות

ההנהלה הבכירה צריכה להפגין מחויבות לאורך זמן לתהליך ניהול ההמשכיות העסקית. באמצעות מנהיגות תומכת ואקטיבית, יכולה להיווצר סביבה בה בעלי תפקידים שונים, לכל רוחב הארגון, יהיו מעורבים באופן מלא בתהליך ניהול ההמשכיות העסקית. מנהיגות ומחויבות דרגי הניהול בארגון יבטיחו כי:

• תהליך ניהול ההמשכיות תואם את הכיוון האסטרטגי של הארגון.
• תהליך ההמשכיות העסקית ישולב בתהליכים העסקיים הנוספים של הארגון.
• המשאבים הנדרשים יוקצו לתהליך ניהול ההמשכיות העסקית.
• הכוונה ותמיכה לשיפור מתמיד של תכנית ההמשכיות העסקית.
• מדיניות המשכיות עסקית תוקם ותיושם.
• תפקידים וסמכויות רלוונטיים יוקצו לתהליך.

תכנון

זהו שלב קריטי בכל הקשור להקמת מטרות אסטרטגיות ועקרונות מנחים לתהליך ניהול ההמשכיות העסקית בכללותו. המטרות של התהליך הן הביטוי לכוונתו של הארגון לטפל בסיכונים שזוהו ו/או לקיים דרישות וצרכים ארגוניים. מטרות ההמשכיות העסקית חייבות להיות עקביות עם מדיניות ההמשכיות העסקית, ולקחת בחשבון את הרמה המינימלית המקובלת של השירותים אותם מספק הארגון. התכנון יכלול יעדים מדידים אשר יעודכנו בהתאם לשינויים בפעילות העסקית.

תמיכה

ניהול יומיומי יעיל של תהליך ניהול ההמשכיות העסקית מסתמך על שימוש מתאים במשאבים לכל משימה, כולל צוות מוסמך עם הכשרה רלוונטית, שירותים תומכים, מודעות ותקשורת. בנוסף, יש לתעד את המידע ולנהלו כראוי.

תפעול

לאחר תכנון תהליך ניהול ההמשכיות העסקית, הארגון יתייחס לנושא התפעולי. סעיף זה כולל:

• ניתוח השפעות עסקיות (BIA) פעילות זו מאפשרת לארגון לזהות את התהליכים הקריטיים התומכים והמחזקים של מוצרים ושירותים, כולל זיהוי התלות ההדדית בין התהליכים והמשאבים הדרושים להפעלת התהליכים ברמה מינימלית מקובלת.

• הערכת סיכונים ISO 22301 מציע להתייחס לתקן 31000 ISO לצורך יישום התהליך. מטרתה של דרישה זו היא לקבוע, ליישם ולשמור על סיכון פורמלי- רשמי, על תהליך הערכה שמזהה באופן שיטתי, מנתח ומעריך את הסיכון של שיבוש אירועים לארגון.

• אסטרטגיית ההמשכיות העסקית לאחר הקמת הדרישות באמצעות BIA ,תתבצע הערכה של הסיכונים והאסטרטגיות שפותחו כדי לזהות הסדרים שיאפשרו לארגון הגנה ויכולת שחזור פעילויות קריטיות. אלה מבוססות על רמת הסובלנות לסיכון ארגוני, בהתאם לטווח יעדי זמן להתאוששות שהוגדר בארגון. נראה בבירור כי ניסיון ופרקטיקה טובים, הינם תנאי מוקדם של אסטרטגיה ארגונית שתבטיח פעילות תומכת. אסטרטגיית ההמשכיות העסקית צריכה להיות חלק בלתי נפרד מהאסטרטגיה הארגונית של החברה.

• נהלי המשכיות עסקית / תוכנית המשכיות עסקית הארגון יתעד נהלים (כולל פעולות נדרשות) על מנת להבטיח את רציפות הפעילות והניהול של אירוע הרסני. הנהלים יכללו:

  • הקמת פרוטוקול תקשורת פנימי וחיצוני מתאים.
  • הגדרת הצעדים המיידיים שיש לנקוט בשיבושים.
  • גמישות בתגובה לאיומים בלתי צפויים ותנאים פנימיים וחיצוניים משתנים.
  • התמקדות בהשפעה של אירועים שעלולים לשבש פעילות.
  • יעילות במזעור ההשלכות באמצעות יישום של אסטרטגיות הפחתה מתאימות.
  • תרגול ובדיקה.

  על מנת להבטיח שנהלי ההמשכיות העסקית עולים בקנה אחד עם המטרות של ההמשכיות העסקית, הארגון יצטרך לבדוק אותם באופן קבוע. תרגול ובדיקה של נהלי או תוכנית ההמשכיות העסקית נעשים על מנת להבטיח שהאסטרטגיות הנבחרות מאפשרות מענה ותוצאות שחזור במסגרת לוחות הזמנים המוסכמים על ההנהלה.

הערכת ביצועים:

לאחר יישום תהליך ניהול ההמשכיות העסקית, ISO 22301 מחייב ניטור קבוע של התהליך. כמו כן, יש לבצע ביקורות תקופתיות כדי לשפר ביצועים:

• ניטור עמידה במדיניות ההמשכיות העסקית של הארגון וכן מפגש של יעדים ומטרות.
• מדידת ביצועים של תהליכים ופונקציות שנעשים על מנת להגן על פעילויות בעלות עדיפות בארגון.
• פיקוח על קיום התקן ועמידה ביעדי ההמשכיות העסקית.
• ביצוע ביקורת פנימית על יישום תהליך ניהול ההמשכיות העסקית בחברה.
• הצפה וניטור של פערים והגדרת פתרונות.
• הערכת ביצועים- עמידה בטווחי זמן מתוכננים.

השבחה ושיפור

שיפור מתמיד יכול להיות מוגדר כחלק מכלל הפעולות שננקטו על מנת להגדיל את האפקטיביות (להגיע ליעדים) והיעילות (יחס אופטימלי של עלות- תועלת) של תהליכי אבטחה ובקרה, אשר מטרתם להביא תועלת משמעותית לארגון ולבעלי העניין שלו. ארגון יכול לשפר את האפקטיביות של תהליכי הניהול שלו באופן מתמיד באמצעות שימוש במדיניות ההמשכיות העסקית, התייחסות ומיקוד במטרות, בחינת תוצאות הביקורת, ניתוח אירועי פיקוח, מדדים, פעולות מניעה וסקירת ההנהלה.