ISO/TS 22317

Q: آیا سازمان من برای دریافت گواهینامه ایزو 22301، ملزم به پیادهسازی دقیق ISO/TS 22317 است؟

خیر، شما ملزم به پیادهسازی دقیق این سند نیستید. ممیزان BRS انطباق شما را با "الزامات" ایزو 22301 ارزیابی میکنند، نه راهنماییهای ISO/TS 22317. با این حال، استفاده از این راهنمای تخصصی، بهترین روش برای اطمینان از این است که فرآیند BIA شما جامع، معتبر و منطبق با الزامات ایزو 22301 است.

Q: BIA (تحلیل تأثیر بر کسبوکار) دقیقاً چیست و چرا اینقدر مهم است؟

BIA فرآیندی است که به شما کمک میکند تا بفهمید کدام یک از فعالیتهای سازمان شما حیاتی هستند، توقف آنها چه پیامدهایی (مالی و غیرمالی) دارد و چقدر سریع باید آنها را بازیابی کنید. این فرآیند مهم است زیرا خروجیهای آن (مانند لیست فرآیندهای حیاتی و اهداف زمان بازیابی یا RTOs) به طور مستقیم استراتژیها، منابع و برنامههای تداوم کسبوکار شما را تعیین میکنند. بدون یک BIA دقیق، شما ممکن است از فرآیندهای اشتباهی محافظت کنید یا منابع را به طور ناکارآمد تخصیص دهید.

مشخصات فنی ایزو/تی‌اس 22317:2021 (ISO/TS 22317:2021 Security and resilience — Business continuity management systems — Guidelines for business impact analysis)، با نام فارسی "امنیت و تاب‌آوری – سیستم‌های مدیریت تداوم کسب‌وکار – راهنمایی برای تحلیل تأثیر بر کسب‌وکار"، یک سند راهنمای تخصصی است که منحصراً بر فرآیند تحلیل تأثیر بر کسب‌وکار (BIA) تمرکز دارد. این سند که قابل گواهی شدن نیست، به عنوان یک راهنمای عمیق برای برآورده کردن الزامات BIA مندرج در استاندارد ایزو 22301 عمل می‌کند. ISO/TS 22317 راهنمایی‌های گام به گام در مورد برنامه‌ریزی، جمع‌آوری داده‌ها، تحلیل اطلاعات (شامل ارزیابی تأثیرات و تعیین اهداف بازیابی مانند RTO و RPO)، و مستندسازی نتایج BIA ارائه می‌دهد. استفاده از این راهنمایی‌ها به سازمان‌ها کمک می‌کند تا یک BIA قوی و معتبر ایجاد کنند که پایه و اساس سیستم مدیریت تداوم کسب‌وکار آن‌ها را تشکیل داده و آمادگی آن‌ها را برای ممیزی صدور گواهینامه ایزو 22301 توسط یک نهاد صدور گواهینامه (CB) مانند BRS افزایش می‌دهد.

صفحه اصلی

خدمات

ایزو/تی‌اس 22317 (ISO/TS 22317): راهنمای تخصصی برای تحلیل تأثیر بر کسب‌وکار (BIA)

راهنمای جامع ISO/TS 22317: راهنمای تخصصی تحلیل تأثیر بر کسب‌وکار (BIA)

ایزو/تی‌اس 22317 (ISO/TS 22317): راهنمای تخصصی برای تحلیل تأثیر بر کسب‌وکار (BIA)

نام انگلیسی سند: ISO/TS 22317:2021 Security and resilience — Business continuity management systems — Guidelines for business impact analysis (BIA)
نام فارسی سند: ایزو/تی‌اس ۲۲۳۱۷:۲۰۲۱ امنیت و تاب‌آوری – سیستم‌های مدیریت تداوم کسب‌وکار – راهنمایی برای تحلیل تأثیر بر کسب‌وکار (BIA)

تحلیل تأثیر بر کسب‌وکار (Business Impact Analysis - BIA) سنگ بنای هر سیستم مدیریت تداوم کسب‌وکار (BCMS) مؤثری است. این فرآیند به سازمان‌ها کمک می‌کند تا درک کنند که کدام یک از فرآیندها و فعالیت‌هایشان حیاتی هستند، اختلال در آن‌ها چه پیامدهایی خواهد داشت و در چه بازه زمانی باید بازیابی شوند. مشخصات فنی ایزو/تی‌اس 22317 (ISO/TS 22317) به عنوان یک سند راهنمای تخصصی، به طور عمیق به جزئیات فرآیند BIA می‌پردازد و راهنمایی‌های گام به گام برای اجرای یک BIA جامع و معتبر ارائه می‌دهد.

شرکت BRS به عنوان یک نهاد معتبر صدور گواهینامه (CB)، ضمن ارائه خدمات ممیزی و صدور گواهینامه برای استاندارد ISO 22301، ارائه اطلاعات دقیق در مورد اسناد راهنمای کلیدی مانند ISO/TS 22317 را برای کمک به سازمان‌ها در ایجاد یک پایه محکم برای سیستم تداوم کسب‌وکار خود ضروری می‌داند.

ISO/TS 22317 چیست؟ تفاوت آن با ISO 22301 و ISO 22313

برای درک جایگاه این سند، مقایسه آن با استانداردهای مرتبط ضروری است:

ISO 22301:2019 (استاندارد الزامات): این استاندارد "الزام" می‌کند که یک سازمان باید BIA را انجام دهد (بند 8.2.2). اما جزئیات "چگونگی" انجام آن را مشخص نمی‌کند. این استاندارد توسط BRS ممیزی و گواهی می‌شود.

ISO 22313:2020 (استاندارد راهنمای کلی): این استاندارد "راهنمایی" کلی در مورد تمام بندهای ایزو 22301، از جمله BIA، ارائه می‌دهد.

ISO/TS 22317:2021 (مشخصات فنی و راهنمای تخصصی): این سند یک "راهنمای تخصصی و عمیق" است که منحصراً بر فرآیند BIA تمرکز دارد. این مشخصات فنی (Technical Specification - TS) جزئیات، مراحل، تکنیک‌ها و ملاحظات لازم برای اجرای یک BIA مؤثر را با جزئیات بسیار بیشتری نسبت به ایزو 22313 تشریح می‌کند. این سند قابل گواهی شدن نیست.

یک تشبیه ساده: اگر ایزو 22301 می‌گوید "شما باید یک ساختمان بسازید"، ایزو 22313 "یک راهنمای کلی در مورد مراحل ساخت‌وساز" ارائه می‌دهد، و ایزو/تی‌اس 22317 "نقشه‌های مهندسی دقیق و راهنمای تخصصی برای ساخت فونداسیون آن ساختمان" است.

چرا ISO/TS 22317 برای سازمان‌ها ارزشمند است؟

یک BIA ضعیف یا ناقص، کل سیستم مدیریت تداوم کسب‌وکار را تضعیف می‌کند. اگر فعالیت‌های حیاتی به درستی شناسایی نشوند یا اهداف بازیابی واقع‌بینانه نباشند، برنامه‌های تداوم کسب‌وکار بی‌اثر خواهند بود. ISO/TS 22317 به سازمان‌ها کمک می‌کند تا:

یک فرآیند BIA ساختاریافته و قابل تکرار ایجاد کنند.

خروجی‌های معتبر و قابل دفاعی از BIA به دست آورند که بتواند مبنای تصمیم‌گیری‌های استراتژیک قرار گیرد.

درک عمیقی از وابستگی‌های بین فرآیندها، منابع و فناوری‌ها در سازمان پیدا کنند.

اهداف بازیابی (RTOs/RPOs) واقع‌بینانه و مبتنی بر شواهد تعیین کنند.

پایه و اساس محکمی برای ارزیابی ریسک، تدوین استراتژی‌های تداوم و توسعه برنامه‌های BCP فراهم کنند.

آمادگی خود را برای ممیزی ISO 22301 توسط BRS افزایش دهند، زیرا یک BIA قوی نشان‌دهنده بلوغ و درک عمیق سازمان از تداوم کسب‌وکار است.

ساختار و محتوای کلیدی راهنمایی‌های ISO/TS 22317

این مشخصات فنی، فرآیند BIA را به مراحل منطقی و قابل مدیریت تقسیم می‌کند و برای هر مرحله راهنمایی‌های دقیقی ارائه می‌دهد:

1. برنامه‌ریزی و مدیریت فرآیند BIA (Planning the BIA process)

قبل از شروع BIA، باید برنامه‌ریزی دقیقی انجام شود. این بخش راهنمایی‌هایی در مورد موارد زیر ارائه می‌دهد:

تعیین اهداف، دامنه و مقیاس BIA: مشخص کردن اینکه BIA چه بخش‌هایی از سازمان را پوشش می‌دهد و چه اهدافی را دنبال می‌کند.

تعریف نقش‌ها و مسئولیت‌ها: مشخص کردن چه کسی مسئول اجرای BIA است و چه کسانی باید در آن مشارکت کنند.

انتخاب متدولوژی و ابزارها: تعیین روش جمع‌آوری اطلاعات (پرسشنامه، مصاحبه، کارگاه) و ابزارهای مورد استفاده.

برنامه‌ریزی برای ارتباطات و آموزش: اطلاع‌رسانی به ذینفعان و آموزش افراد درگیر در فرآیند.

2. جمع‌آوری داده‌ها (Data Collection)

این مرحله شامل جمع‌آوری اطلاعات لازم برای تحلیل است. ISO/TS 22317 توضیح می‌دهد که چه داده‌هایی باید جمع‌آوری شوند، از جمله:

لیست محصولات و خدمات سازمان.

لیست فعالیت‌ها و فرآیندهای پشتیبانی کننده هر محصول و خدمت.

وابستگی‌های هر فعالیت:

وابستگی‌های داخلی: به سایر فرآیندها یا بخش‌های سازمان.

وابستگی‌های خارجی: به تأمین‌کنندگان، شرکا یا مشتریان.

منابع مورد نیاز هر فعالیت: افراد، فناوری (سیستم‌ها، نرم‌افزارها، داده‌ها)، اطلاعات، امکانات و تجهیزات.

3. تحلیل اطلاعات (Analysis of Information)

این مرحله قلب فرآیند BIA است. راهنمایی‌های این بخش شامل موارد زیر است:

ارزیابی تأثیرات (Impact Assessment):

شناسایی و کمی‌سازی انواع تأثیرات ناشی از اختلال در هر فعالیت در طول زمان. این تأثیرات می‌توانند شامل موارد زیر باشند:

تأثیرات مالی: از دست دادن درآمد، جریمه‌ها.

تأثیرات غیرمالی: آسیب به شهرت، از دست دادن سهم بازار، نارضایتی مشتریان، نقض تعهدات قانونی یا قراردادی.

تعیین زمان‌بندی حیاتی (Determining Criticality Timing):

حداکثر دوره قطعی قابل قبول (Maximum Acceptable Outage - MAO): بیشترین زمانی که یک فعالیت می‌تواند متوقف باشد قبل از اینکه تأثیرات آن برای سازمان غیرقابل قبول شود. این مفهوم مشابه MTD است.

هدف زمان بازیابی (Recovery Time Objective - RTO): بازه زمانی هدف که در آن یک فعالیت باید پس از وقوع اختلال، بازیابی و به سطح عملیاتی قابل قبولی بازگردد. RTO باید همیشه کمتر یا مساوی MAO باشد.

هدف نقطه بازیابی (Recovery Point Objective - RPO): حداکثر میزان داده‌ای که سازمان آماده است در صورت وقوع یک اختلال از دست بدهد (معمولاً بر حسب زمان اندازه‌گیری می‌شود، مثلاً "24 ساعت داده"). این شاخص برای فعالیت‌های وابسته به داده و IT بسیار حیاتی است.

شناسایی فرآیندهای حیاتی: بر اساس نتایج ارزیابی تأثیرات و زمان‌بندی، فعالیت‌هایی که حیاتی تشخیص داده می‌شوند، اولویت‌بندی می‌گردند.

4. مستندسازی و گزارش‌دهی نتایج (Documenting and Reporting)

نتایج BIA باید به طور واضح مستند و به مدیریت گزارش شوند. این بخش راهنمایی‌هایی در مورد تهیه موارد زیر ارائه می‌دهد:

گزارش BIA: یک گزارش جامع که شامل متدولوژی، فرآیند، یافته‌ها، تحلیل‌ها، فرآیندهای حیاتی شناسایی شده، RTO/RPOها و توصیه‌ها باشد.

ارائه به مدیریت ارشد: ارائه نتایج به مدیریت برای تأیید و تصویب خروجی‌های BIA، که مبنای تصمیم‌گیری‌های بعدی برای تدوین استراتژی‌های تداوم خواهد بود.

5. نگهداری و به‌روزرسانی BIA (Maintaining and Updating the BIA)

BIA یک رویداد یکباره نیست. کسب‌وکارها دائماً در حال تغییر هستند. این بخش بر اهمیت موارد زیر تأکید دارد:

تعیین یک برنامه زمانی برای بازنگری BIA: معمولاً به صورت سالانه یا در صورت وقوع تغییرات قابل توجه در سازمان (مانند معرفی محصول جدید، تغییر در فرآیندها، یا ادغام و تملک).

ایجاد یک فرآیند برای به‌روزرسانی BIA: اطمینان از اینکه BIA همواره منعکس‌کننده وضعیت فعلی سازمان است.

چه کسی باید از ISO/TS 22317 استفاده کند؟

این سند برای هر فرد یا تیمی که مسئولیت برنامه‌ریزی یا اجرای BIA را بر عهده دارد، بسیار مفید است. این شامل:

مدیران تداوم کسب‌وکار (Business Continuity Managers)

مدیران ریسک (Risk Managers)

متخصصان IT و بازیابی فاجعه (Disaster Recovery)

ممیزان داخلی

مشاوران تداوم کسب‌وکار

مدیران ارشدی که نیاز به درک عمیق‌تری از فرآیند BIA دارند.

نقش BRS به عنوان نهاد صدور گواهینامه (CB)

شرکت BRS به عنوان یک نهاد صدور گواهینامه، نقش مشخص و بی‌طرفانه‌ای در ارتباط با این سند دارد:

عدم صدور گواهینامه برای ISO/TS 22317: لازم به ذکر است که BRS (و هیچ CB دیگری) گواهینامه‌ای برای ISO/TS 22317 صادر نمی‌کند، زیرا این یک سند راهنما است.

ممیزی ISO 22301: در طول ممیزی برای صدور گواهینامه ISO 22301، ممیزان BRS انطباق فرآیند BIA شما را با "الزامات" بند 8.2.2 استاندارد ایزو 22301 ارزیابی خواهند کرد. آن‌ها بررسی می‌کنند که آیا شما:

یک فرآیند BIA را پیاده‌سازی کرده‌اید.

فعالیت‌های حیاتی را شناسایی کرده‌اید.

تأثیرات اختلال را ارزیابی کرده‌اید.

اهداف بازیابی (RTOs/RPOs) را تعیین کرده‌اید.

تأثیر یک BIA قوی بر ممیزی: اگرچه ممیزان به طور مستقیم شما را بر اساس ISO/TS 22317 ارزیابی نمی‌کنند، اما استفاده از راهنمایی‌های این سند به شما کمک می‌کند تا یک فرآیند BIA بسیار قوی، مستند و قابل دفاع داشته باشید. این امر نه تنها به شما در برآورده کردن الزامات ایزو 22301 کمک می‌کند، بلکه بلوغ و جدیت سیستم شما را به ممیزان BRS نشان می‌دهد و فرآیند ممیزی را تسهیل می‌بخشد.

ارائه آموزش‌های عمومی: BRS می‌تواند کارگاه‌های آموزشی عمومی (غیر مشاوره‌ای) در مورد BIA برگزار کند و در آن از مفاهیم و بهترین شیوه‌های مطرح شده در ISO/TS 22317 برای تشریح این فرآیند کلیدی استفاده نماید.

نتیجه‌گیری

مشخصات فنی ایزو/تی‌اس 22317 (ISO/TS 22317:2021) یک منبع تخصصی و بسیار ارزشمند برای هر سازمانی است که می‌خواهد یک تحلیل تأثیر بر کسب‌وکار (BIA) جامع و مؤثر انجام دهد. با ارائه راهنمایی‌های دقیق و گام به گام، این سند به سازمان‌ها کمک می‌کند تا فونداسیون سیستم مدیریت تداوم کسب‌وکار خود را به درستی بنا نهند. اگرچه این سند به خودی خود قابل گواهی شدن نیست، اما پیروی از آن بهترین راه برای اطمینان از انطباق با الزامات BIA در استاندارد ایزو 22301 و آمادگی برای یک ممیزی موفق توسط نهاد صدور گواهینامه BRS است.

سوالات متداول ایزو/تی‌اس 22317 (ISO/TS 22317): راهنمای تخصصی برای تحلیل تأثیر بر کسب‌وکار (BIA)

خیر، شما ملزم به پیاده‌سازی دقیق این سند نیستید. ممیزان BRS انطباق شما را با "الزامات" ایزو 22301 ارزیابی می‌کنند، نه راهنمایی‌های ISO/TS 22317. با این حال، استفاده از این راهنمای تخصصی، بهترین روش برای اطمینان از این است که فرآیند BIA شما جامع، معتبر و منطبق با الزامات ایزو 22301 است.

BIA فرآیندی است که به شما کمک می‌کند تا بفهمید کدام یک از فعالیت‌های سازمان شما حیاتی هستند، توقف آن‌ها چه پیامدهایی (مالی و غیرمالی) دارد و چقدر سریع باید آن‌ها را بازیابی کنید. این فرآیند مهم است زیرا خروجی‌های آن (مانند لیست فرآیندهای حیاتی و اهداف زمان بازیابی یا RTOs) به طور مستقیم استراتژی‌ها، منابع و برنامه‌های تداوم کسب‌وکار شما را تعیین می‌کنند. بدون یک BIA دقیق، شما ممکن است از فرآیندهای اشتباهی محافظت کنید یا منابع را به طور ناکارآمد تخصیص دهید.

این دو فرآیند مکمل یکدیگرند اما اهداف متفاوتی دارند. BIA بر "تأثیرات" یک اختلال تمرکز دارد، صرف نظر از علت آن (یعنی می‌پرسد: "اگر این فرآیند متوقف شود، چه اتفاقی می‌افتد؟"). ارزیابی ریسک بر "علل" بالقوه یک اختلال تمرکز دارد (یعنی می‌پرسد: "چه تهدیدها و آسیب‌پذیری‌هایی می‌توانند باعث توقف این فرآیند شوند؟"). به طور معمول، شما ابتدا با BIA مشخص می‌کنید که چه چیزی حیاتی است، و سپس با ارزیابی ریسک، تهدیدات علیه آن موارد حیاتی را شناسایی و ارزیابی می‌کنید.