ایزو 22313 (ISO 22313): راهنمای کاربردی برای پیادهسازی و بهبود سیستم مدیریت تداوم کسبوکار
نام انگلیسی استاندارد: ISO 22313:2020 Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301
نام فارسی استاندارد: ایزو ۲۲۳۱۳:۲۰۲۰ امنیت و تابآوری – سیستمهای مدیریت تداوم کسبوکار – راهنمایی در مورد استفاده از ایزو ۲۲۳۰۱
در محیط کسبوکار پرشتاب و غیرقابل پیشبینی امروز، توانایی یک سازمان برای ادامه دادن به عملیات خود در مواجهه با اختلالات، یک امر حیاتی است. استاندارد ISO 22301 چارچوبی مشخص برای "الزامات" یک سیستم مدیریت تداوم کسبوکار (BCMS) ارائه میدهد. اما چگونه میتوان این الزامات را به بهترین شکل درک، تفسیر و پیادهسازی کرد؟ پاسخ این سوال در استاندارد مکمل آن، ایزو 22313، نهفته است. این استاندارد به عنوان یک "راهنمای جامع"، توضیحات، مثالها و گزینههایی را برای کمک به سازمانها در پیادهسازی یک BCMS مؤثر و منطبق با ایزو 22301 فراهم میکند.
شرکت BRS به عنوان یک نهاد معتبر صدور گواهینامه (CB)، ضمن ارائه خدمات ممیزی و صدور گواهینامه برای استاندارد ISO 22301، ارائه اطلاعات دقیق در مورد استانداردهای راهنمای مرتبط مانند ISO 22313 را برای افزایش آگاهی و آمادگی سازمانها ضروری میداند.
ایزو 22313 چیست؟ تفاوت کلیدی آن با ایزو 22301
درک تفاوت بین این دو استاندارد بسیار مهم است:
ISO 22301:2019 (استاندارد الزامات):
این استاندارد، الزامات (Requirements) لازم برای ایجاد، پیادهسازی، نگهداری و بهبود مستمر یک سیستم مدیریت تداوم کسبوکار (BCMS) را مشخص میکند.
این استاندارد از کلمه "باید" (Shall) برای بیان الزامات اجباری استفاده میکند.
این استاندارد قابل ممیزی و صدور گواهینامه است. BRS سازمانها را بر اساس الزامات ایزو 22301 ممیزی میکند.
ISO 22313:2020 (استاندارد راهنما):
این استاندارد، راهنمایی (Guidance) و توصیههایی را برای کاربرد الزامات مشخص شده در ایزو 22301 ارائه میدهد.
این استاندارد از کلماتی مانند "بایستی" (Should) برای ارائه توصیهها و "میتواند" (May) برای ارائه گزینهها و مثالها استفاده میکند.
این استاندارد قابل ممیزی و صدور گواهینامه نیست. هیچ سازمانی "گواهینامه ایزو 22313" دریافت نمیکند.
یک تشبیه ساده: اگر ایزو 22301 "کتاب قانون" باشد که مشخص میکند چه کارهایی باید انجام شود، ایزو 22313 "تفسیر و راهنمای آن قانون" است که توضیح میدهد چگونه میتوان آن کارها را به بهترین شکل انجام داد.
چرا ایزو 22313 برای سازمانها ارزشمند است؟
استفاده از راهنماییهای ایزو 22313 در کنار پیادهسازی ایزو 22301، مزایای قابل توجهی دارد:
درک عمیقتر الزامات: به سازمانها کمک میکند تا نیت و هدف پشت هر یک از الزامات ایزو 22301 را بهتر درک کنند.
پیادهسازی مؤثرتر: با ارائه مثالها و گزینههای عملی، به سازمانها کمک میکند تا راهحلهایی متناسب با اندازه، پیچیدگی و فرهنگ خود پیدا کنند.
اجتناب از اشتباهات رایج: با ارائه بهترین شیوهها، از بروز اشتباهات متداول در فرآیند پیادهسازی BCMS جلوگیری میکند.
افزایش آمادگی برای ممیزی: سازمانی که BCMS خود را با استفاده از راهنماییهای ایزو 22313 توسعه داده باشد، معمولاً یک سیستم قویتر، کاملتر و بالغتری دارد که شانس موفقیت آن در ممیزی صدور گواهینامه ایزو 22301 توسط BRS بسیار بیشتر است.
ایجاد یک BCMS واقعاً کارآمد: به جای تمرکز صرف بر کسب گواهینامه، به سازمان کمک میکند تا یک سیستم مدیریت تداوم کسبوکار ایجاد کند که در زمان بحران واقعی، کارآمد و مؤثر باشد.
ساختار و محتوای کلیدی راهنماییهای ایزو 22313
ساختار ایزو 22313 دقیقاً آینهای از ساختار ایزو 22301 (که از ساختار سطح بالای Annex SL پیروی میکند) است. این امر به کاربران اجازه میدهد تا به راحتی راهنمایی مربوط به هر بند از استاندارد الزامات را پیدا کنند. در ادامه به تشریح راهنماییهای کلیدی برای هر بخش میپردازیم:
بند 4: زمینه و شرایط سازمان (Context of the Organization)
ایزو 22313 در این بخش راهنماییهایی ارائه میدهد در مورد اینکه چگونه یک سازمان میتواند:
مسائل داخلی و خارجی مرتبط با تداوم کسبوکار خود را شناسایی کند (مانند مسائل ژئوپلیتیکی، وابستگی به زنجیره تأمین، فرهنگ سازمانی، زیرساختهای فناوری).
نیازها و انتظارات ذینفعان را درک کند (مانند الزامات مشتریان، تعهدات قانونی و نظارتی، انتظارات کارکنان و سرمایهگذاران).
دامنه (Scope) سیستم مدیریت تداوم کسبوکار خود را به طور دقیق و منطقی تعریف کند، به طوری که بخشهای حیاتی سازمان را پوشش دهد.
بند 5: رهبری (Leadership)
این بخش بر نقش حیاتی مدیریت ارشد تأکید دارد. ایزو 22313 توضیح میدهد که چگونه رهبران میتوانند:
تعهد خود را به صورت عملی نشان دهند (نه فقط با امضای یک سند)، مانند تخصیص منابع کافی، مشارکت در تمرینها و بازنگریها.
یک سیاست تداوم کسبوکار (BC Policy) واضح و الهامبخش تدوین کنند که اهداف کلی سازمان را مشخص کند.
نقشها، مسئولیتها و اختیارات مرتبط با BCMS را به وضوح در سراسر سازمان تعریف و ابلاغ کنند.
بند 6: طرحریزی (Planning)
ایزو 22313 در این بخش راهنماییهایی برای موارد زیر ارائه میدهد:
شناسایی ریسکها و فرصتهای مرتبط با خود BCMS (مثلاً ریسک عدم تخصیص منابع کافی، یا فرصت بهبود تابآوری زنجیره تأمین).
تعیین اهداف تداوم کسبوکار (BC Objectives) که قابل اندازهگیری، واقعبینانه و همسو با سیاست تداوم کسبوکار باشند (مانند "کاهش RTO برای فرآیند X به کمتر از 4 ساعت تا پایان سال").
بند 7: پشتیبانی (Support)
این بخش به منابع لازم برای موفقیت BCMS میپردازد. ایزو 22313 راهنماییهایی در مورد موارد زیر ارائه میدهد:
تخصیص منابع: چگونگی تعیین و فراهم کردن منابع انسانی، فنی، مالی و اطلاعاتی مورد نیاز.
صلاحیت (Competence): چگونگی اطمینان از اینکه افرادی که مسئولیتهای BCMS را بر عهده دارند، دارای دانش، مهارت و تجربه لازم هستند.
آگاهی (Awareness): چگونگی ایجاد برنامههایی برای افزایش آگاهی همه کارکنان در مورد اهمیت تداوم کسبوکار و نقش آنها در آن.
ارتباطات (Communication): چگونگی برنامهریزی برای ارتباطات داخلی و خارجی قبل، حین و بعد از یک اختلال.
اطلاعات مدون (Documented Information): چه نوع اسناد و سوابقی باید ایجاد و نگهداری شوند و چگونه باید آنها را کنترل کرد.
بند 8: عملیات (Operation) – قلب تپنده BCMS
این بخش مفصلترین و عملیاتیترین بخش استاندارد است. ایزو 22313 در اینجا راهنماییهای بسیار ارزشمندی ارائه میدهد:
تحلیل تأثیر بر کسبوکار (Business Impact Analysis - BIA):
ایزو 22313 توضیح میدهد که یک BIA مؤثر باید چگونه انجام شود: شناسایی تمام فعالیتهای سازمان، تعیین فعالیتهای حیاتی، ارزیابی تأثیرات ناشی از اختلال در آنها در طول زمان، تعیین حداکثر زمان قطعی قابل تحمل (MTD/MAO)، و تعیین اهداف زمان بازیابی (RTOs) و اهداف نقطه بازیابی (RPOs).
ارزیابی ریسک (Risk Assessment):
راهنمایی در مورد چگونگی شناسایی، تحلیل و ارزیابی ریسکهایی که میتوانند باعث اختلال در فعالیتهای حیاتی شناسایی شده در BIA شوند (مانند خرابی تجهیزات، قطعی برق، حملات سایبری، پاندمی).
استراتژیها و راهحلهای تداوم کسبوکار:
ایزو 22313 به سازمانها کمک میکند تا بر اساس خروجیهای BIA و ارزیابی ریسک، استراتژیهای مناسبی را انتخاب کنند. این استراتژیها میتوانند شامل موارد زیر باشند:
استراتژیهای مربوط به منابع: مانند نگهداری موجودی اضافی، استفاده از تأمینکنندگان جایگزین، قرارداد با سایتهای بازیابی.
استراتژیهای مربوط به افراد: مانند دورکاری، جابجایی کارکنان، آموزش چندمهارتی.
استراتژیهای مربوط به فناوری: مانند سیستمهای پشتیبان (Backup)، سایتهای بازیابی فاجعه (DR sites)، راهحلهای ابری.
برنامهها و رویههای تداوم کسبوکار (Business Continuity Plans - BCPs):
راهنمایی در مورد اینکه چگونه برنامههای عملیاتی و قابل استفاده تدوین شود. یک BCP خوب باید شامل موارد زیر باشد:
نقشها و مسئولیتهای مشخص در تیم واکنش.
معیارهای فعالسازی برنامه.
فرآیندهای ارتباطی.
رویههای گام به گام برای واکنش، تداوم و بازیابی.
اطلاعات تماس کلیدی.
برنامه تمرین (Exercise Programme):
ایزو 22313 بر اهمیت حیاتی تمرینها تأکید میکند و راهنماییهایی در مورد انواع مختلف تمرین ارائه میدهد:
تمرینهای دورمیزی (Tabletop Exercises): برای بررسی و بحث در مورد برنامهها.
شبیهسازیها (Simulations): برای تمرین واکنش در یک محیط کنترل شده.
آزمونهای کامل (Full Tests): برای تست واقعی سیستمها و فرآیندها.
همچنین راهنماییهایی در مورد چگونگی طراحی، اجرا، ارزیابی و یادگیری از تمرینها ارائه میدهد.
بند 9: ارزیابی عملکرد (Performance Evaluation)
برای اطمینان از اثربخشی BCMS، ایزو 22313 راهنماییهایی در مورد موارد زیر ارائه میدهد:
پایش، اندازهگیری، تحلیل و ارزیابی: چه شاخصهایی را میتوان برای ارزیابی عملکرد BCMS تعریف و اندازهگیری کرد.
ممیزی داخلی: چگونگی برنامهریزی و اجرای یک برنامه ممیزی داخلی مؤثر برای بررسی انطباق با ایزو 22301 و ارزیابی کارایی BCMS.
بازنگری مدیریت: چه اطلاعاتی باید به عنوان ورودی به جلسه بازنگری مدیریت ارائه شود و مدیریت ارشد چگونه باید اثربخشی BCMS را بازنگری کند.
بند 10: بهبود (Improvement)
BCMS یک فرآیند ایستا نیست. ایزو 22313 توضیح میدهد که چگونه میتوان:
عدم انطباقها (شناسایی شده در ممیزیها یا تمرینها) را مدیریت کرد.
اقدامات اصلاحی مؤثری را برای جلوگیری از وقوع مجدد مشکلات پیادهسازی کرد.
یک فرهنگ بهبود مستمر را در سراسر BCMS نهادینه کرد.
آیا سازمان من به ایزو 22313 نیاز دارد؟
هیچ سازمانی "ملزم" به استفاده از ایزو 22313 نیست. با این حال، هر سازمانی که به طور جدی به دنبال پیادهسازی یک سیستم مدیریت تداوم کسبوکار قوی و مؤثر مطابق با ایزو 22301 است، از راهنماییهای این استاندارد بهره فراوانی خواهد برد.
به ویژه اگر سازمان شما:
برای اولین بار در حال پیادهسازی یک BCMS است.
قصد دارد برای گواهینامه ایزو 22301 اقدام کند.
به دنبال بهبود و به بلوغ رساندن BCMS موجود خود است.
با مفاهیمی مانند BIA، ارزیابی ریسک و استراتژیهای تداوم آشنایی کامل ندارد.
استفاده از ایزو 22313 به شدت توصیه میشود.
نقش BRS به عنوان نهاد صدور گواهینامه (CB)
شرکت BRS به عنوان یک نهاد صدور گواهینامه، نقش مشخص و بیطرفانهای در این اکوسیستم ایفا میکند:
ممیزی و صدور گواهینامه برای ISO 22301: وظیفه اصلی BRS، انجام ممیزیهای شخص ثالث برای ارزیابی انطباق سیستم مدیریت تداوم کسبوکار سازمان شما با "الزامات" استاندارد ISO 22301 است. در صورت موفقیتآمیز بودن ممیزی، BRS گواهینامه معتبر ISO 22301 را صادر میکند.
ارائه اطلاعات و آموزش عمومی: BRS میتواند برنامههای آموزشی عمومی (غیر مشاورهای) را برای تشریح الزامات ایزو 22301 و معرفی مفاهیم و بهترین شیوههای مطرح شده در ایزو 22313 برگزار کند. هدف از این آموزشها، افزایش دانش و درک سازمانها از اصول تداوم کسبوکار است.
توضیح فرآیند صدور گواهینامه: BRS فرآیند ممیزی و صدور گواهینامه را برای مشتریان خود به طور شفاف توضیح میدهد تا آنها برای این فرآیند آمادگی کامل داشته باشند.
نکته مهم در مورد بیطرفی: ممیزان BRS در حین ممیزی ایزو 22301، سیستم شما را بر اساس الزامات این استاندارد ارزیابی میکنند. آنها به شما نخواهند گفت که "باید" از راهنماییهای ایزو 22313 استفاده میکردید. با این حال، یک BCMS که با پیروی از بهترین شیوههای مطرح شده در ایزو 22313 ساخته شده باشد، به احتمال زیاد سیستمی قویتر، کاملتر و منطبقتر خواهد بود که این امر در نتایج ممیزی منعکس خواهد شد.
نتیجهگیری
استاندارد ایزو 22313 (ISO 22313:2020) یک ابزار ارزشمند و ضروری برای هر سازمانی است که به دنبال پیادهسازی یک سیستم مدیریت تداوم کسبوکار (BCMS) مؤثر و مطابق با الزامات ایزو 22301 است. این استاندارد راهنما با ارائه توضیحات، مثالها و بهترین شیوههای عملی، ابهام را از بین برده و مسیر را برای دستیابی به تابآوری واقعی هموار میکند. در حالی که ایزو 22313 خود قابل گواهی شدن نیست، استفاده از آن بهترین راه برای آماده شدن جهت یک ممیزی موفق و اخذ گواهینامه معتبر ایزو 22301 از نهاد صدور گواهینامه BRS است.