תקן אבטחת מידע
ISO 27001
תכנית המשכיות עסקית
תוכנית המשכיות עסקית או BCP (Business Continuity Plan) היא דוקטרינת ניהול המתייחסת לפעילות שנדרש ארגון לבצע על מנת להבטיח שפונקציות עסקיות קריטיות תהיינה זמינות ללקוחות, ספקים, רגולטורים וגופים אחרים בעלי עניין בארגון. פעילויות אלו כוללות מטלות יומיות כגון ניהול פרויקטים, מערכת גיבויים, בקרת שינויים, ותכנון עתידי. המשכיות עסקית אינה מתייחסת לפעולות ההצלה הראשוניות אלא להתכוננות והתארגנות להשגת יכולת התאוששות מהירה לאחר האסון.
הדוקטרינה מתייחסת לשני תחומים: המשכיות עסקית: יכולתו של ארגון לספק שירות ותמיכה ללקוחות ולשמור על יכולת הקיום שלו לפני, במהלך, ואחרי אירוע המשכיות עסקית. ניהול המשכיות עסקי: תהליך ניהול ההוליסטי שמזהה השפעות אפשריות המאיימות על ארגון ומספק מסגרת לבניית חוסן ארגוני ואת היכולת לתגובה אפקטיבית לצורך הגנה על האינטרסים של בעלי העניין המרכזיים, המוניטין והמותג.
התוכנית כוללת התייחסות לתרחישי החירום:
• שריפות.
• הצפות.
• אירועי מלחמה ופעולות איבה.
• מתקפות סייבר ואירועי אבטחת מידע.
• פגיעה בתשתיות אספקה ותקשורת.
• משברים כלכליים ותעסוקתיים.
• שיבוש בזמינות ותפקוד ספקים ונותני שירות.
שלבי התהליך
1. הכרת הארגון- זהו השלב המהווה את הבסיס לכל המערך. בסיום שלב זה לארגון יהיה הידע וניתוח ההשפעות, האיומים והסיכויים להם חשוף הארגון (BIA-Business Impact Analysis) הגדרת הפעילויות הקריטיות, זמני השבתה נסבלים (MTDP), זמני התאוששות מקסימליים (RTO), נקודות שחזור מידע מינימליות (RPO) ויכיר את האיומים, הסיכונים ונקודות הכשל בארגון.
2. גיבוש אסטרטגיות- שלב שני בו מגבשים אסטרטגיות להתמודדות עם האיומים ומציאת פתרונות אפשריים לכל פעילות. האסטרטגיות מגובשות לכל אחד מהמשאבים הנדרשים לקיום הפעילות – מבנה, משאבי אנוש, ספקים, מלאי, תשתיות, מידע ועוד.
3. הכנת תכנית להמשכיות עסקית -בשלב זה מכינים תכנית פעולה פרטניות ליישום ההחלטות שהתקבלו בשלב הקודם.
תכנית מגובשת לכל נושא משרה בפעילויות שהוגדרו כקריטיות לארגון. בוחרים באנשים מתוך או מחוץ לארגון שיתפעלו את התוכניות במסגרת אחד הצוותים:
א. צוות ניהול המשבר - צוות מצומצם המורכב ברובו מההנהלה הבכירה של הארגון, יועצים מתום ניהול משברים והתקשורת.
.ב. צוות ניהול התוכניות - לרוב מנהלים בדרג ביניים שאחראים ליישום ותפעול התוכנית בתחום פעילות מוגדר
.ג. הצוות המבצע - עובדים מתוך הארגון בתמיכת קבלני משנה (במידת הצורך) לביצוע הפעילויות עצמן
4. בדיקת התוכניות והתאמתן- זהו שיא התהליך, כאשר כל בעלי העניין מודעים לרצינות שמייחס הארגון להמשכיות העסקית ולמחויבות לתהליך. קיימים סוגי בדיקות שונים. סוגי הבדיקות שיופעלו בשלב זה נדונו וסוכמו עוד טרם החל תהליך הכנת התוכניות עצמן.
5. הטמעת המשכיות עסקית בארגון- זהו השלב הבוגר בתהליך. לאחר שהארגון ביצע את כל השלבים במעגל החיצוני, זהו השלב בו מתחזקים את התוכניות, עוקבים אחרי הפעילויות, האיומים, המשאבים הנדרשים, גיבוש אסטרטגיות נוספות, בדיקת יחסי עלות-תועלת ומרחיבים את התהליך לפעילויות נוספות.