برنامه تداوم کسب و کار در امنیت اطلاعات

/در /توسط

سازمان ها در برابر موارد اضطراری، بلایا و خطرات طبیعی یا ایجاد شده توسط انسان آسیب پذیر هستند. با درک اینکه نمی ‏توان از همه حوادث جلوگیری به عمل آورد و ممکن است برخی خطرات قابل پذیرش تشخیص داده شود، برنامه ‏ریزی مناسب جهت نگهداری یا بازیابی سرویس‏ ها هنگامی که یک اتفاق غیر منتظره یا غیر قابل اجتناب باعث اختلال در عملکرد عادی می شود، ضروری است.

برنامه ریزی تداوم کسب و کار شامل شناسایی آسیب‏ پذیری‏ها، اولویت‏ها، وابستگی‏ها و اقدامات برای توسعه برنامه‏ها جهت تسهیل تداوم و بهبودی قبل، حین و بعد از چنین اختلالی است.

برنامه‏های جامع تداوم کسب و کار برای اطمینان از تداوم عملیات در شرایط غیر عادی طراحی و اجرا می شوند. این برنامه‏ها آمادگی سازمان‏ها را برای بهبود سریع در مواجهه با حوادث یا شرایط ناگوار افزایش می دهد و تأثیر چنین شرایطی را به حداقل می رساند، همچنین  ابزاری را برای تسهیل عملکرد در حین و پس از موارد اضطراری فراهم می‏نماید.

روند توسعه معمولاً بر اساس یک چارچوب واحد انجام می شود و افراد کلیدی را در مناطق عملکردی درگیر می‏نماید. برنامه‎ها بر اساس ارزیابی ریسک و تجزیه و تحلیل تأثیرات کسب و کاری است و شامل فرایندی برای نگهداری منظم، از جمله آموزش، آزمایش/ تمرین و به روزرسانی است. علاوه بر این، امنیت اطلاعات و حریم خصوصی باید در برنامه‎ها ادغام شود. موارد زیر نمونه‏هایی از حوادثی که برنامه‏های تداوم تجارت را فعال می‎کند است:

  • سیل، آتش‏سوزی گسترده، کولاک، گردباد، طوفان، سونامی، زمین لرزه، بیماری‏های همه‏گیر، قطعی برق برای مدت زمان طولانی، طوفان‏های یخی یا گل و لای که منجر به تخلیه و غیرقابل دسترس بودن منابع مهم می شود.
  • فعالیت جنایی یا حادثه تروریستی ممکن است برای مدت زمان طولانی بر یک منطقه جغرافیایی گسترده تأثیر بگذارد.
  • یک حادثه همه‏گیر، هسته‏ای، شیمیایی یا بیولوژیکی ممکن است تحرک و دسترسی افراد را برای مدت زمان طولانی محدود کند.
  • حملات سایبری که می توانند منجر به ازبین رفتن اطلاعات، نشت اطلاعات، از دسترس خارج شدن سرویس و خدشه دارشدن اعتبار فرد و سازمان می‌شوند.
  • اتفاقات ناگزیر مربوط به فناوری اطلاعات مثل از بین رفتن تجهیزات ذخیره سازی که منجر به از دست رفتن اطلاعات سازمان می گردد.

برای شروع تدوین برنامه تداوم کسب و کار از مراحل زیر استفاده کنید.

۱٫ از رهبری سازمان تعهد و اقتدار بگیرید. پشتیبانی سطح بالا برای ساخت تیم‏های متقابل کاربردی که برای تهیه و استقرار برنامه مورد نیاز است، ضروری است.

۲٫ یک تیم برنامه‏ریزی برای هر واحد تجاری ایجاد کنید.

۳- ارزیابی ریسک را در هر واحد انجام دهید.

۴٫ منابع حیاتی را شناسایی کنید:

الف. افراد- کلیه کارکنان پشتیبانی را شناسایی کرده و یک زنجیره جانشینی را برای پرسنل اصلی ایجاد کنید.

ب. اماکن– ساختمان‏های کلیدی را شناسایی کرده و مکان‏های دیگری را برای کارگران و تجهیزات برنامه‏ریزی کنید.

ج. سیستم‏ها- برای اولویت‏بندی سیستم‏ها از نظر اهمیت، تجزیه و تحلیل تأثیر تجاری را انجام دهید.

د. سایر- سایر دارایی‏های مهم مورد نیاز برای فعالیت‏های عادی تجاری را شناسایی کنید.

۵- استراتژی‏های تداوم و بازیابی را در هر واحد تعیین کنید.

۶٫ به دانشجویان، اساتید و کارمندان آموزش دهید که در صورت بروز یک فاجعه چه کاری انجام دهند.

۷٫ تست، مانور، (آزمایش روش‏های بازیابی سیستم) انجام دهید و سناریوها را ایجاد کنید و آن‏ها را با تمرینات شبیه‏سازی کنید.

۸- یک برنامه ارتباطی ایجاد کنید.

۹٫ برنامه تداوم تجارت را سالانه مرور کنید.

یک سازمان کاملاً آماده باید طرحی تهیه کند که کلیه خدمات کلیدی و مدیریت، تحویل و پشتیبانی آن‏ها را مورد رسیدگی قرار دهد. سازمان باید در حال تدوین یا شروع طرح، شامل تعهدات، رویه‏ها ، فناوری‏ها، منابع، روش‏ها و ارتباطات ضروری برای برنامه‏ریزی توسعه، پشتیبانی و استقرار باشد.

تدوین: بهنوش سعیدی

شاید این موارد نیز مورد علاقه شما باشد
Risk Managmenet مدیریت ریسک امنیت اطلاعات
HIPPA سلامت الکترونیک و امنیت اطلاعات افراد
تحلیل شکاف تحلیل شکاف با رویکرد امنیت
CISv8 کنترل های امنیتی CIS نسخه 8
iso27001 مجوز ISO27001