لقد أظهر الوضع مؤخرا في جميع أنحاء العالم مثل الثورات والكوارث الطبيعية والأزمات البيئية وقضايا التكنولوجيا أن الحوادث القاسية قد تحدث وتأثر على القطاع الخاص كما على القطاع العام كذلك.
يعتبر الأيزو 22301 “الأمن
المجتمعي – نظم إدارة إستمرارية الأعمال – المتطلبات” أول معيار دولي في العالم لإدارة إستمرارية الأعمال (BCM) “والذي يعتبر جزء من نظام الإدارة الشاملة التي تؤسس وتنفذ وتعمل وتراقب وتراجع وتحافظ وتحسن إستمرارية الأعمال”. لقد نشر هذا المعيار في مايو 2012 لتزويد المنظمة أفضل إطار لإدارة إستمرارية الأعمال، وبالتالي يحل محل BS25999 المقياس البريطاني لإستمرارية الأعمال الذي نشر في 2006 والذي تم تطويره
لمساعدة المؤسسات على تقليل المخاطر ومنع حدوث أي تعطيل .
مؤشرات الأداء الرئيسية التي يجب مراعاتها عند اختبار أداء تطبيقات التجارة الإل...
نظرة عامة على نظام إدارة استمرارية الأعمال الأيزو 22301:2012
1. نظرة عامة على نظام إدارة استمرارية الأعمال الأيزو
22301:2012
لقد أظهر الوضع مؤخرا في جميع أنحاء العالم مثل الثورات والكوارث الطبيعية والأزمات
البيئية وقضايا التكنولوجيا أن الحوادث القاسية قد تحدث وتأثر على القطاع الخاص كما
على القطاع العام كذلك.
إعتادة المؤسسات في الماضي من أجل التعامل مع الأزمات على خطة
الإستجابة للطوارئ أو لجنة الكوارث الصغيرة. يعتبر الأيزو 22301 “الأمن
المجتمعي – نظم إدارة إستمرارية الأعمال – المتطلبات” أول معيار دولي
في العالم لإدارة إستمرارية الأعمال ) BCM ( “والذي يعتبر جزء من نظام
الإدارة الشاملة التي تؤسس وتنفذ وتعمل وتراقب وتراجع وتحافظ وتحسن
إستمرارية الأعمال”. لقد نشر هذا المعيار في مايو 2012 لتزويد المنظمة
أفضل إطار لإدارة إستمرارية الأعمال، وبالتالي يحل محل BS25999 المقياس
البريطاني لإستمرارية الأعمال الذي نشر في 2006 والذي تم تطويره
لمساعدة المؤسسات على تقليل المخاطر ومنع حدوث أي تعطيل .
2. تاريخ ادارة استمرارية الأعمال
1988
إنشاء معهد
التعافي في
الكوارث الدولي
DRII
في الولايات
المتحدة
الأمريكية
1994
انشاء معهد
استمرارية
BCI الاعمال
2012
أيزو تنشر أول
إصدار للأيزو
22301
2007
نشر
2006 BS 2599-2
نشر
Bs 2599-1
قامت منظمه الايزو في عام 2012 بنشر معيار الأيزو 22313 “أيزو 22313:2012 الأمن المجتمعي – نظم إدارة
استمرارية الأعمال – الإرشاد” لتوفير التوجيه للأيزو 22301 لإنشاء وإدارة إستمرارية الأعمال الفعالة ) .)BCMS
هدف الأيزو 22301
يحدد الأيزو 22301 المتطلبات الازمة لتخطيط وإنشاء وتنفيذ وتشغيل ومراقبة ومراجعة وصيانة وتحسين
توثيق نظام إدارة استمراريه الاعمال وذللك بالعمل بإستمرار للحماية ضد المخاطر والحد من احتمال حدوث
الحوادث والإعداد لها والرد علىها والتعافي منها عندما تنشأ.
نطاق الأيزو 22301
نطاق الأيزو 22301 عام والمتطلبات المقصودة تنطبق على جميع المؤسسات أو أجزاء منها، بغض النظر
عن نوع وحجم وطبيعة المؤسسات . يعتمد مدى تطبيق هذه المتطلبات على بيئة وتعقيد العمل للمنظمة.
من يمكنه تطبيق معيار الأيزو 22301 ؟
يمكن أن يتم تطبيقه من قبل أي منظمة، كبيرة أو صغيرة، مربحة أم لا، خاصة أو عامة. ينطبق الأيزو 22301
على أي حجم أو نوع من التنظيم.
3. تعاريف إستمرارية الأعمال
• إدارة إستمرارية الأعمال ) )BCM
عملية إدارة شاملة تحدد التهديدات المحتملة وأثارها على المؤسسات وكيفيه تشغيل الأعمال فى حاله
التعرض الى تلك التهديدات، وكيفيه أدراكها ، ايضا توفر إطار لبناء القدرة التنظيمية مع القدرة على
الإستجابة الفعالة والتي تعمل على حماية مصالح أصحاب المصلحة الرئيسيين والسمعة والعلامة التجارية
وأنشطة خلق القيمة.
• نظم إدارة إستمرارية الأعمال ) )BCMS
ذلك الجزء من نظم الإدارة الشاملة التي تؤسس وتنفذ وتعمل وتراقب وتستعرض وتحافظ وتحسن إستمرارية
الاعمال ، ويشمل نظام الإدارة هيكل تنظيمي وسياسات وأنشطة تخطيطية ومسؤوليات وإجراءات وعمليات
وموارد. توثق خطة إستمرارية الأعمال الإجراءات التي توجه المنظمة للرد وإستئناف وإستعادة لمستوى
محدد مسبقا من العمليات بعد إنقطاع.
• وقت إسترداد الهدف ) )RTO
فترة من الزمن عقب وقوع حادث ما والتى خلالها يجب أن يستأنف المنتج أو الخدمة أو يجب إستئناف النشاط
أو يجب إسترداد الموارد.
• هدف نقطة الإسترجاع )ٌ )RPO
الحد الأقصى من فقدان المعلومات، وهى مرحلة يجب عندها إستعادة المعلومات المستخدمة من قبل
النشاط لتمكن النشاط على الإستئناف من جديد .
• الحد الأقصى المقبول للإنقطاع ) )MAO
أقصى وقت من الممكن للمؤسسه ان تتحمل الاثار السلبيه الناشئه عن حادث معين ، الذى من الممكن ان
يؤدى لعدم توفير منتج/خدمة أو أداء نشاط ما .
فائدة إستمرارية الأعمال
خفض التكاليف
الاستجابه
والادارة الجيده
للازمات
الحصول على
ثقه العملاء
حمايه الارواح
الامتثال للتعاقدات الامتثال للقوانين
الحصول على
ميزات تنافسيه
الاحتفاظ بالعملاء
القدامى والحصول
على عملاء جدد
الصيانه المستمرة
للانشطه الحيويه
للمؤسسات
4. هيكل نظام إدارة إستمرارية الأعمال أيزو 22301:2013
هذا الهيكل هو صياغة جديدة لنظام الأيزو والإنحياز مع “ Annex SL ” والذى يسمح للمؤسسات على تنفيذ
عده معايير ذات صله في نفس الوقت.
هيكل المحتويات ) معيار الايزو 22201 (
1. المجال
حالة التطبيق لمعيار ضمن أنواع المؤسسات المختلفه .
2. المراجع المعيارية
3. الشروط والتعاريف
بإختصار، سرد رسمي يتضمن شروط مشتركة وتعاريف نظام إدارة إستمرارية الأعمال ) .)BCMS
4. سياق المؤسسه
فهم السياق العام للمؤسسه ، وكذلك الإحتياجات الداخلية والخارجية ووضع حدود واضحة لنطاق نظام
إدارة إستمرارية الأعمال ) .)BCMS
5. القيادة
يستلزم نظام إدارة إستمرارية الأعمال ) BCMS ( القيادة المناسبة. يجب على الإدارة العليا ضمان الموارد
المناسبة ووضع سياسات وتعين أفراد مناسبين لتنفيذ والحفاظ على نظام إدارة إستمرارية الأعمال ) .)BCMS
6. التخطيط
يتطلب هذا من المؤسسه تحديد المخاطر لتطبيق نظام الإدارة وتحديد أهداف ومعايير واضحة التي
يمكن إستخدامها لقياس مدى نجاحها.
7. الدعم
يدخل مفهوم هام عن الكفاءة. لتكون إستمرارية الأعمال ناجحة، يجب على الناس ذوي المعرفة المناسبة
والمهارات والخبرات أن يكونوا بمكان يسمح لهم بالمساهمة في نظام إدارة إستمرارية الأعمال ) )BCMS
والإستجابة للحوادث عند وقوعها.
8. العمليات
يتضمن بند العمليات الجسم الرئيسي لنظام أدارة إستمرارية الأعمال. يجب على المنظمة إجراء تحليل تأثير
الأعمال التجارية وتقييم المخاطر وتطوير إستراتيجية إستمرارية الأعمال وكذلك وضح خطط استمراريه
الاعمال المناسبه .
9. التقييم
من الضروري على أي نظام إدارة تقييم الأداء. يتطلب نظام إدارة إستمرارية الأعمال ) BCMS ( من المؤسسه
تحديد وقياس نفسها مقابل معايير الأداء المناسبة ويشمل ذلك القيام بالتدقيق الداخلي ومراجعة إدارة
نظام إدارة إستمرارية الأعمال ) BCMS ( والتعامل مع النواتج الخاصه بتلك المراجعات.
10 . التحسين
المؤسسات وبيئتها بتغير مستمر. يحدد هذا البند الإجراءات التي يجب إتخاذها لتحسين نظام إستمرارية
الأعمال ) BCMS ( مع مرور الوقت والتأكد من أن الإجراءات التصحيحية الناتجة عن المراجعات والإستعراضات
والتمارين تم تنفيذها بدقه .
5. دورة خطة المهام والتدقيق والتصرف ) )PDCA
المعيار يطبق دورة خطة المهام والتدقيق والتصرف ) PDCA ( وإنشاء وتطبيق وتشغيل ومراقبة ومراجعة
وصيانة وتحسين فعالية نظام إدارة إستمرارية الأعمال ) BCMS ( لمنظمة بإستمرار.
أفضل الممارسات ومعايير ذات صلة
معيار استمراريه الاعمال الخاص بدوله الإمارات العربية المتحدة AE/HSC/NCEMA 7000:2012
أول معيار إدارة إستمرارية الأعمال ) BCM ( باللغتين )العربية والإنجليزية( في المنطقة بأسرها. يحدد هذا
المعيار المكونات والآليات والأنشطة المستخدمة لإنشاء وتنفيذ وتحسين نظام إستمرارية الأعمال بإستمرار
للمؤسسات في كل من القطاعين العام والخاص.
المبادئ التوجيهية للممارسات الجيدة ) GPG ( – معهد إستمرارية الأعمال ))BCI
هيئة مستقلة في المعرفة تقدم الممارسات الجيدة لتطبيق إستمرارية الأعمال، و يتضمن الآن المصطلحات
الخاصه بمعيار الأيزو 22301:2012 لنظام إدارة إستمرارية الأعمال وتتألف الممارسات الجيده من ستة
ممارسات مهنية.
معهد التعافي من الكوارث – الممارسات المهنية
الممارسات المهنية لمعهد التعافي من الكوارث الدولي ) DRII ( هي مجموعة من المعارف المصممة
لمساعدة الكيانات والمؤسسات في وضع وتنفيذ برنامج إدارة إستمرارية الأعمال ) BCM ( وتتكون من عشرة
مجالات تخصصية.
معيار الايزو 27031 : 2011
تكنولوجيا المعلومات – تقنيات الأمن – المبادئ التوجيهية لإستعداد تكنولوجيا المعلومات والإتصالات
لإستمرارية الأعمال.
6. معيار الايزو 24762 : 2008
تكنولوجيا المعلومات – تقنيات الأمن – المبادئ التوجيهية لتكنولوجيا المعلومات وخدمات التعافي من
الكوارث.
وثائق إلزامية للأيزو 22301
أي مؤسسة ترغب بتطبيق أيزو 22301 والحصول على شهادة، عليها الإلتزام على اقل تقدير بالوثائق التالية:
1. قائمة المتطلبات القانونية والتنظيمية وغيرها القابلة للتطبيق
وثيقه فهم سياق المؤسسه .
2. نطاق نظام إدارة إستمرارية الأعمال ) )BCMS
وثيقه تتضمن نطاق إستمرارية الأعمال الخاص بالمؤسسه والذي سيتم تناوله في إطار نظام إدارة إستمرارية
الأعمال ) .)BCMS
3. سياسة إستمرارية الأعمال
وثيقه تتضمن سياسة إدارة إستمرارية الأعمال ) BCM ( التي لا بد من تطبيقها على المؤسسات .
4. أهداف إستمرارية الأعمال
وثيقه تتضمن أهداف نظام إدارة إستمرارية الأعمال ) BCMS ( الخاص بالمؤسسه .
5. تحليل التأثير على الاعمال
وثيقه تحليل التأثير على الاعمال الخاص بالمؤسسه ومدى التأثير الذي يمكن ان يسببه تعطل الاعمال .
6. تقييم المخاطر، بما في ذلك خطط معالجه المخاطر
وثائق العملية الشاملة لتحديد وتحليل وتقييم ومعالجه المخاطر.
7. هيكل الإستجابة للحوادث
الهيكل المناسب للتعامل مع حوادث المؤسسه ، بما في ذلك معايير ومستويات تصعيد الحادث.
8. تنفيذ خطط إستمرارية العمل
الإجراءات الموثقة التي توجه المؤسسات للرد وإستئناف وإستعادة الاعمال لمستوى محدد مسبقا بعد
إالانقطاع.
9. سجلات الإتصالات مع الأطراف المعنية ) أصحاب المصلحه (
وثيقه عناوين التواصل بين مختلف مستويات تنظيم سواء مع الأطراف الداخلية أوالخارجية المهتمة.
10 . إجراءات الإسترداد
العملية التي تحاول وضع المؤسسه مرة أخرى في حالة التشغيل الإعتيادية ) .)BAU
11 . أدلة على كفاءات الأفراد
أدلة على مستوى الكفاءات والتدريب والتوعية والموظفين المنوط بهم العمل على تطبيق نظام أدارة
إستمرارية الاعمال ) .)BCM
7. 12 . نتائج الإجراءات الوقائية والإجراءات التصحيحية
أدلة على صيانة وتحسين فعالية وكفاءة نظام إدارة إستمرارية الأعمال ) BCMS ( عن طريق إتخاذ إجراءات
وقائية وتصحيحية.
13 . نتائج الرصد والقياس
أدلة على تحديد تدابير لقياس الأداء والتحسين المستمر لنظام إدارة إستمرارية الأعمال ) .)BCMS
14 . نتائج التدقيق الداخلي
الأدلة على إقامة نظام مستقل للتحقق من تنفيذ إدارة إستمرارية الأعمال ) BCM ( عن طريق التدقيق الداخلى
.
15 . نتائج مراجعة الإدارة
دليل على أن الإدارة العليا للمؤسسه تستعرض نظام إدارة إستمرارية الأعمال ) BCMS ( بشكل منتظم.
الوقت الازم لتنفيذ ونيل شهادة الأيزو 22301:2012
بناءً على خبرتى فى تطبيق برامج عديده فى قطاعات مختلفه
المرحلة الأولى: الوقت المقدر والازم لتنفيذ معيار االايزو 22301:2012
المدة التقديرية الازمة للتنفيذ تعتمد على مواصفات المؤسسه “الموظفين والمباني والعمليات و الميزانية
المخصصه “
• منظمة صغيرة: 50 – 350 موظف
الوقت المقدر لتنفيذ المعيار 4 – 6 أشهر
• منظمة متوسطة: 350 – 700 موظف
الوقت المقدر لتنفيذ المعيار 7 – 9 أشهر
• منظمة كبيرة: 700 – 1500 موظف
اوقت المقدر لتنفيذ المعيار 10 – 12 شهر
المرحلة الثانية: الوقت المقدر لشهادة الأيزو 22301:2012
الحالة 1: في حالة وجود حالات عدم مطابقه لمتطلبات المعيار ) ثانوية واحدة أو أكثر( تحاول المؤسسه
تصحيحها وفقا لمتطلبات المعيار ، يمكن أن تصدر في نحو شهر واحد بعد التدقيق الخارجى .
الحالة 2: في حالة وجود حالات عدم مطابقه لمتطلبات المعيار ) رئيسية واحدة أو أكثر ( تحاول المؤسسه
تصحيحها وفقا لمتطلبات المعيار ، يمكن أن تصدر خلال 3 – 5 أشهر بعد التدقيق الخارجى وذلك فى حاله
تنفيذ اجراءات تصحيحيه .
8. الخلاصه :
يجب على المنظمات إتباع إسلوب منهجي يتضمن الحماية والتأهب والتخفيف من آثار المخاطر والعمل
على الإستجابة لضمان استمرارية الأعمال والتعافي.
ترتبط قدرة المنظمة على التعافي من الكوارث بجودة نهج إدارة إستمرارية الأعمال التي تم إتخاذها قبل
وقوع الكارثة.
يساعد نظام إدارة إستمرارية الأعمال المؤسسات للوصول إلى التشغيل المستمر لجميع الأعمال في حالة
وقوع كارثة.
المراجع
• ISO 22301 Societal security – Business continuity management systems – Requirements
• ISO 22313:2012 Societal security — Business continuity management systems – Guidance
(1) “ ISO 27001:2013 An Overview Article “ http://www. slideshare.net/AhmedRiad2/isoiec-2
(2) “ Integrated Implementation Model can Implement ISO 22301:2012 (Business Continuity Management
System) Together with ISO/IEC 27001:2013 http:// www.slideshare.net/AhmedRiad2/presentationfinal-
28559374