ISO 22301:2019 – الأمن والمرونة | دليل كامل يجب عليك قراءته

هذا المعيار، ISO 22301:2019، بعنوان “الأمن والمرونة – متطلبات أنظمة إدارة استمرارية الأعمال”، هو معيار دولي وضعته المنظمة الدولية للمواصفات والمقاييس (ISO). وهو يحدد الأساليب الفعالة للإشراف على استمرارية الأعمال داخل المؤسسة. يقدم هذا المعيار، الذي صاغه خبراء بارزون في مجال استمرارية الأعمال، إطار عمل قوي لإدارة الاستمرارية داخل المؤسسة.
ما يميز هذا المعيار عن غيره من المبادئ التوجيهية لاستمرارية الأعمال هو عملية الاعتماد الخاصة به. يمكن للمؤسسة الحصول على شهادة الاعتماد من خلال جهة اعتماد معتمدة، مما يوفر دليلاً ملموسًا على التزامها بهذا المعيار للعملاء والشركاء والمالكين وأصحاب المصلحة الآخرين.
العلاقة مع المواصفة القياسية ISO 22301:2012:
فيما يتعلق بارتباطها بالمواصفة القياسية ISO 22301:2012، فقد تم إصدار أحدث إصدار من المواصفة القياسية ISO 22301 في أكتوبر 2019. وقد حلت المواصفة القياسية ISO 22301:2019 محل المواصفة القياسية ISO 22301:2012، والتي كانت في الأصل مستوحاة من المعيار البريطاني BS 25999-2. على الرغم من أن تحديث 2019 هذا لا يُدخل تعديلات كبيرة، إلا أنه يعزز بلا شك القدرة على التكيف ويقلل من الصلابة، وبالتالي يقدم فوائد أكبر للمؤسسات وعملائها.
1. ضمان الامتثال القانوني: تساعد ISO 22301 الشركات في تلبية المتطلبات القانونية المتعلقة باستمرارية الأعمال. نظرًا لتزايد عدد البلدان التي تسن قوانين ولوائح تفرض الامتثال لاستمرارية الأعمال، يوفر هذا المعيار إطار عمل ومنهجية منظمة لتسهيل الالتزام. ومن خلال القيام بذلك، فإنه يقلل من الجهد الإداري والتعقيد التشغيلي، مما يقلل من مخاطر العقوبات في حالة عدم الامتثال.
2. اكتساب ميزة تنافسية: إن الحصول على شهادة ISO 22301 يمكن أن يمنح شركتك ميزة مميزة على المنافسين الذين يفتقرون إلى هذه الشهادة. وعلى وجه الخصوص، فهي تجذب العملاء الذين يعطون الأولوية للتدفق المستمر لعملياتهم وخدماتهم دون انقطاع. علاوة على ذلك، تعزز الشهادة من سمعتك، مما يسهل عليك إبراز ريادتك في هذا المجال، مما يؤدي في النهاية إلى زيادة حصتك في السوق وزيادة أرباحك.
3. تخفيف الاعتماد على الأفراد: تعتمد العديد من الوظائف الهامة داخل الشركة بشكل كبير على عدد قليل من الأفراد، مما يجعلهم غير قابلين للاستبدال. وتسمح المواصفة القياسية ISO 22301 للمديرين التنفيذيين بمعالجة هذا الضعف من خلال تنفيذ تدابير استمرارية الأعمال. ويمكن أن تتضمن هذه التدابير عمليات موثقة أو حلول بديلة، مما يقلل من الاعتماد على أفراد محددين. يمكن أن يساعد هذا الإعداد في منع حدوث اضطرابات كبيرة عند مغادرة الموظفين الرئيسيين للمؤسسة.
4. الحماية من الأضرار واسعة النطاق: في عالم اليوم الذي يتسم بالخدمات والمعاملات في الوقت الحقيقي، يؤدي التوقف عن العمل إلى خسائر مالية كبيرة. حتى بالنسبة للشركات ذات الحساسية الأقل لفترات قصيرة من عدم التوافر، يمكن أن يكون للحوادث المعطلة تداعيات مكلفة. تُعد ISO 22301 بمثابة بوليصة تأمين إما عن طريق تجنب هذه الحوادث أو تمكين التعافي بشكل أسرع. يُترجم تطبيق ممارسات استمرارية الأعمال المتوافقة إلى وفورات كبيرة في التكاليف، حيث يثبت الاستثمار الأولي في ISO 22301 أنه جزء بسيط من هذه الوفورات المحتملة.
يمكن لأي مؤسسة، بغض النظر عن حجمها أو طبيعتها (ربحية أو غير ربحية) أو ملكيتها (خاصة أو عامة)، أن تطبق معيار الأيزو 22301 بفعالية. وقد صُمم هذا المعيار ليكون قابلاً للتطبيق عالميًا ومرنًا ليناسب الاحتياجات المتنوعة للمؤسسات المختلفة.
وتكتسب المواصفة القياسية ISO 22301 أهمية خاصة للمؤسسات العاملة في القطاعات التي يكون فيها التخطيط للطوارئ إلزاميًا من الناحية القانونية. ويشمل ذلك قطاعات مثل الطاقة والنقل والرعاية الصحية والخدمات العامة الأساسية. بالنسبة لهذه القطاعات، يُعتبر تطبيق المواصفة القياسية ISO 22301 والحصول على شهادة الأيزو 22301 أمرًا بالغ الأهمية لضمان مرونة الأعمال.
تركز الأيزو 22301 في المقام الأول على ضمان استمرارية العمليات التجارية، مما يتيح استمرار تقديم المنتجات والخدمات حتى في مواجهة الأحداث المعطلة مثل الكوارث الطبيعية أو الأزمات التي من صنع الإنسان. فيما يلي الخطوات الرئيسية في تطبيق المواصفة القياسية ISO 22301:
لتنفيذ المواصفة القياسية ISO 22301، تقوم المؤسسات عادةً بوضع السياسات والإجراءات والبنية التحتية التقنية أو المادية، والتي قد تشمل المرافق والبرمجيات والمعدات. من المهم ملاحظة أن العديد من المؤسسات قد لا تمتلك جميع الموارد المطلوبة في البداية. ولذلك، لا يقتصر تطبيق المواصفة القياسية ISO 22301 على وضع المبادئ التوجيهية التنظيمية فحسب، بل يشمل أيضًا وضع خطط شاملة وتخصيص الموارد لدعم استمرارية الأعمال وجهود التعافي.
نظرًا للطبيعة المتعددة الأوجه لهذا التنفيذ، توفر المواصفة القياسية ISO 22301 إرشادات حول كيفية دمج هذه العناصر وإدارتها ضمن نظام إدارة استمرارية الأعمال (BCMS). ويضمن هذا النهج المنهجي تنسيق السياسات والإجراءات والموظفين والأصول والموارد الأخرى بفعالية للحفاظ على استمرارية الأعمال والمرونة.
تعد استمرارية الأعمال جزءًا لا يتجزأ من الإدارة الشاملة للمخاطر داخل الشركة، مع وجود تقاطعات مع إدارة أمن المعلومات وإدارة تكنولوجيا المعلومات. لفهم دورها، دعونا نتعمق في بعض المصطلحات الأساسية المستخدمة في المعيار:
نظام إدارة استمرارية الأعمال (BCMS): هذا عنصر حيوي في نظام الإدارة الشاملة للمؤسسة. نظام إدارة استمرارية الأعمال هو المسؤول عن تخطيط وتنفيذ وصيانة وتحسين تدابير استمرارية الأعمال باستمرار. وهو يضمن استعداد المؤسسة لإدارة الأحداث المعطلة بفعالية.
الحد الأقصى للانقطاع المقبول (MAO): يشير مصطلح MAO إلى المدة القصوى التي يمكن أن ينقطع فيها نشاط ما دون تكبد أضرار أو عواقب غير مقبولة. يُشار إلى هذا المفهوم أيضًا باسم فترة الانقطاع القصوى المقبولة (MTPD). وهو يساعد المؤسسات على تحديد مدى تحملها لوقت التعطل أو الانقطاع.
الهدف الزمني للتعافي (RTO): هدف وقت الاسترداد هو إطار زمني محدد مسبقًا يجب أن يتم خلاله استئناف منتج أو خدمة أو نشاط معين، أو يجب استرداد الموارد المطلوبة بعد التعطل. وهو يحدد هدفًا واضحًا لمدى سرعة استعادة العمليات العادية.
هدف نقطة الاسترداد (RPO): يمثل هدف نقطة الاسترداد الحد الأقصى المسموح به لفقدان البيانات الذي يمكن أن يتحمله النشاط. وهو يحدد الحد الأدنى لكمية البيانات التي يجب استعادتها لاستئناف النشاط بعد التعطل. يعتبر الحد الأدنى لاستمرارية الأعمال (RPO) مهمًا بشكل خاص في العمليات التي تتمحور حول البيانات.
هدف الحد الأدنى لاستمرارية الأعمال (MBCO): يحدد الحد الأدنى من الخدمات أو المنتجات التي يجب أن تكون المؤسسة قادرة على إنتاجها لتحقيق أهدافها المحددة بمجرد استئناف العمليات التجارية. وهو يحدد الوظائف الأساسية اللازمة لكي تعمل المؤسسة بفعالية.
إدارة المخاطر: استمرارية الأعمال هي مجموعة فرعية من إدارة المخاطر، وتركز بشكل خاص على المخاطر المتعلقة باستمرارية العمليات. وهي تحدد التهديدات ونقاط الضعف المحتملة التي يمكن أن تعطل العمليات التجارية وتحدد استراتيجيات التخفيف من هذه المخاطر.
إدارة أمن المعلومات: غالبًا ما تتقاطع استمرارية الأعمال مع إدارة أمن المعلومات، حيث يمكن أن يؤثر فقدان البيانات أو الأنظمة الهامة بشكل كبير على قدرة المؤسسة على العمل. ويُعد ضمان حماية البيانات والوصول الآمن إلى الأنظمة الهامة من المكونات الرئيسية لكل من استمرارية الأعمال وأمن المعلومات.
إدارة تكنولوجيا المعلومات: تلعب أنظمة تكنولوجيا المعلومات والبنية التحتية دوراً حيوياً في استمرارية الأعمال. فإدارة تقنية المعلومات مسؤولة عن الحفاظ على موارد تقنية المعلومات وضمان توافرها، وهي ضرورية لعمليات الأعمال. إن مواءمة أنظمة تكنولوجيا المعلومات مع أهداف استمرارية الأعمال أمر بالغ الأهمية.
تنقسم المواصفة القياسية ISO 22301 إلى 11 قسمًا أو بندًا. البنود الثلاثة الأولى هي بنود تمهيدية وليست إلزامية للتنفيذ، في حين أن البنود السبعة المتبقية (البنود من 4 إلى 10) ضرورية ويجب تنفيذها للامتثال.
1. البند 4 السياق:
2. البند 5 القيادة:
3. البند 6 التخطيط:
4. البند 7 الدعم:
5. البند 8 التشغيل:
ترسي هذه البنود الأساس لتطبيق المواصفة القياسية ISO 22301، وتوجه المؤسسات في فهم سياقها وإظهار التزام القيادة والتخطيط لاستمرارية الأعمال وضمان دعم الموارد وإجراء العمليات اللازمة للحفاظ على وظائف الأعمال واستعادتها. يركز المعيار على التوثيق والتواصل والأدوار والمسؤوليات الواضحة في جميع مراحل العملية لتعزيز مرونة الأعمال واستمراريتها في مواجهة الأحداث المعطلة.
تحليل تأثير الأعمال (BIA) وتقييم المخاطر:
تطوير استراتيجية استمرارية الأعمال:
وضع إجراءات استمرارية الأعمال وتنفيذها:
التمرين والاختبار:
البند 9 تقييم الأداء:
يجب أن تركز المنظمات على تقييم الأداء، بما في ذلك الأنشطة التالية:
البند 10 التحسين:
يجب على المنظمات وضع منهجية للتحسين ومعالجة حالات عدم المطابقة من خلال الخطوات التالية:
تشكل هذه الأنشطة إطارًا منظمًا للمنظمات لتنفيذ المواصفة القياسية ISO 22301 والحفاظ عليها بفعالية، مما يضمن استمرارية عملياتها التجارية وتعزيز المرونة في مواجهة الأعطال.
1. طوعية ولكن منظمة:
2. اختيار جهة اعتماد:
3. طلب الاعتماد:
4. برنامج التدقيق:
5. تحليل الثغرات (اختياري):
6. تدقيق الشهادات (مرحلتان):
يتكون تدقيق الشهادات من مرحلتين.
المرحلة 1: يتحقق المدققون مما إذا كانت المنظمة تفي بمتطلبات الآيزو 22301 ويتحققون من الوثائق والسجلات الإلزامية ويقيمون التنفيذ الشامل.
المرحلة 2: يقوم فريق التدقيق بمراجعة إدارة استمرارية الأعمال في المؤسسة باستخدام قائمة تدقيق الأيزو 22301.
إذا تم العثور على اختلافات أثناء التدقيق، تُمنح المنظمة فرصة لمعالجتها.
إذا تم استيفاء جميع المتطلبات، يشرع المدققون في التدقيق الرسمي لجاهزية الاعتماد.
7. شهادة الآيزو 22301:
عند الانتهاء بنجاح من تدقيق الشهادة، تحصل المؤسسة على شهادة الأيزو 22301 الصالحة لمدة ثلاث سنوات.
8. تدقيقات المراقبة:
على مدار العامين التاليين، تخضع المنظمة لعمليات تدقيق للمراقبة، والتي تكون مدتها أقصر (عادةً ما تكون نصف مدة عمليات تدقيق الشهادات).
9. تدقيق إعادة الاعتماد:
في نهاية السنة الثالثة، يتم إجراء تدقيق لإعادة الاعتماد قبل انتهاء صلاحية الشهادة.
10. تخطيط التدقيق وإعداد التقارير:
بشكل عام، تُعد شهادة الآيزو 22301 عملية صارمة تنطوي على تقييمات وتدقيقات شاملة لضمان أن إدارة استمرارية الأعمال في المؤسسة تفي بمتطلبات المعيار. توفر الشهادة دليلاً ملموساً على التزام المؤسسة باستمرارية الأعمال والمرونة.
تمكين موظفي المؤسسة من الحصول على تدريب ISO 22301:
يُعد تمكين موظفي المؤسسة من التدريب على شهادة الآيزو 22301 خطوة محورية نحو تعزيز استمرارية الأعمال والمرونة. حيث يزود هذا التدريب الموظفين على جميع المستويات بالمعرفة والمهارات اللازمة لفهم معيار الأيزو 22301 وتطبيقه والحفاظ عليه بفعالية. من خلال تعزيز ثقافة التأهب والاستجابة، يصبح الموظفون أصولاً قيّمة في حماية عمليات المؤسسة أثناء الأحداث المعطلة.
يغطي التدريب على معيار آيزو 22301 جوانب مختلفة، بما في ذلك تقييم المخاطر وتحليل تأثير الأعمال وتخطيط الاستمرارية وإجراءات الاستجابة. فهو يُمكِّن الموظفين من تحديد التهديدات المحتملة وتقييم تأثيرها واتخاذ تدابير استباقية للتخفيف من المخاطر. بالإضافة إلى ذلك، فهو يضمن فهم الأفراد لأدوارهم ومسؤولياتهم في حالة حدوث عطل، مما يعزز الاستجابة المنسقة.
علاوةً على ذلك، يعزز تدريب ISO 22301 الامتثال للمتطلبات القانونية والتنظيمية، وهو أمر ضروري للمؤسسات العاملة في الصناعات الخاضعة للوائح التنظيمية. كما أنه يساعد في الحد من الاعتماد على عدد قليل من الأفراد الرئيسيين من خلال نشر المعرفة والمهارات الهامة عبر القوى العاملة.
وفي نهاية المطاف، فإن الاستثمار في التدريب على معيار آيزو 22301 لا يعزز قدرة المؤسسة على الصمود في وجه الاضطرابات فحسب، بل يعزز أيضًا قوة عاملة مرنة يمكنها التكيف والاستجابة بفعالية للتحديات غير المتوقعة، مما يحمي استمرارية الأعمال والنجاح على المدى الطويل. سجل الآن للحصول على تدريب ISO 22301 مع سبوتو!