كيفية تطبيق ISO 22301
من المؤكد أن تنفيذ استمرارية الأعمال ليس بالمهمة السهلة ، لذلك آمل أن تساعدك هذه القائمة المكونة من 17 خطوة في الحصول على نظرة عامة على الخطوات الإلزامية كما هو مطلوب بواس...
من المؤكد أن تنفيذ استمرارية الأعمال ليس بالمهمة السهلة ، لذلك آمل أن تساعدك هذه القائمة المكونة من 17 خطوة في الحصول على نظرة عامة على الخطوات الإلزامية كما هو مطلوب بواسطة ISO 22301. يرجى ملاحظة - تغطي قائمة التحقق ISO 22301 هذه الخطوات المطلوبة لتنفيذ قياسي ، بينما ستكون هناك حاجة إلى خطوات إضافية لصيانة النظام بمجرد وضعه في مكانه.
خيارات لتطبيق ISO 22301:
افعل ذلك بنفسك دون مساعدة خارجية
افعل ذلك بنفسك بمساعدة خبراء خارجيين
يقوم المستشار بمعظم العمل نيابة عنك
1) دعم الإدارة
ليس من المنطقي أن تبدأ أي نوع من المشاريع (خاصة هذا المشروع) إذا لم تكن إدارتك على استعداد لاستثمار كل من الموارد المالية والبشرية ، وللقيام بذلك ، يجب أن يروا فوائد واضحة - هذا هو المكان الذي تبدأ فيه وظيفتك : بالدبلوماسية.
2) تحديد المتطلبات
قبل اتخاذ أي خطوات ملموسة ، تريد التأكد من أنك ستكون متوافقًا مع كل ما يريده أصحاب المصلحة (على الأقل الأشخاص الذين تعتبرهم مهمين) منك. تذكر أن الأمر لا يتعلق فقط بالقوانين واللوائح - بل هو أيضًا المتطلبات الواردة في الاتفاقيات مع عملائك (على سبيل المثال ، اتفاقيات مستوى الخدمة) ، ورغبات مالكي الشركة والمجتمع المحلي ، وما إلى ذلك. يجب عليك سرد كل هذه المتطلبات وتحديد كيفية التواصل مع كل من أصحاب المصلحة / الأطراف المهتمة.
3) سياسة وأهداف استمرارية الأعمال
تحتاج الإدارة العليا إلى تحديد بعض المسؤوليات والقواعد الرئيسية لاستمرارية الأعمال ، وهذا ما تُستخدم من أجله سياسة استمرارية الأعمال ، ولكن الإدارة العليا تحتاج أيضًا إلى تحديد ما هو متوقع بالضبط من استمرارية الأعمال - من خلال تحديد أهداف قابلة للقياس. هذا ليس بالأمر السهل ، ولكنه ضروري بالتأكيد إذا كنت تريد قياس ما إذا كانت استمرارية العمل قد حققت الغرض منها.
4) المستندات الداعمة لنظام الإدارة
تشترك أنظمة الإدارة ، سواء استمرارية الأعمال أو أمن المعلومات أو إدارة الجودة أو حماية البيئة ، في مجموعة من الإجراءات التي تعتمد عليها هذه الأنظمة. هذه الإجراءات هي: مراقبة المستندات والسجلات ، والتدقيق الداخلي ، والإجراءات التصحيحية - بمجرد توفرها ، ستجد أنه من الأسهل بكثير تشغيل نظامك.
5) تقييم المخاطر وعلاجها
هل ترغب في أن تكون مستعدًا للحوادث التخريبية؟ ربما حتى منع البعض منهم؟ تحتاج أولاً إلى معرفة الحوادث التي يمكن أن تحدث ، ثم تحديد الضوابط (أي الضمانات) التي يمكنك تطبيقها للتخفيف منها - وهذا هو أساسًا ما يدور حوله تقييم المخاطر وعلاجها.
6) تحليل تأثير الأعمال
لا ينتهي تحليلك بتقييم المخاطر - تحتاج أيضًا إلى اكتشاف شيئين أساسيين: (1) مدى السرعة التي تحتاجها للتعافي (قبل الإفلاس) ، و (2) ما تحتاجه للنجاح في هذا التعافي . لذلك ، فإن الغرض من تحليل تأثير الأعمال هو تحديد هدف وقت الاسترداد (RTO) والموارد المطلوبة.
7) إستراتيجية استمرارية الأعمال
بالنظر إلى المدخلات (المتطلبات المختلفة ، RTO ، الموارد ، الحوادث الأكثر احتمالًا) تحتاج إلى معرفة كيفية تحقيق كل هذا بأقل مستوى من الاستثمار. قد يكون هذا متطلبًا للغاية ، ولكن بدون هذه الخطوة ، ستكون استمرارية عملك مجرد منزل من البطاقات.
اكتشف كيفية القيام بذلك هنا: هل يمكن لاستراتيجية استمرارية الأعمال أن توفر لك المال؟
8) خطة استمرارية الأعمال
في الواقع ، هناك عدة أنواع من خطط استمرارية الأعمال - كحد أدنى ، توجد خطط للاستجابة للحوادث (تحدد الاستجابة الأولية للحادث) ، وخطط التعافي (ما يجب القيام به لبدء الأنشطة الجارية). كل هذه يجب أن تستند إلى استراتيجية ، وإلا فإنها ستفتقر إلى الموارد (المعلومات ، والتكنولوجيا ، والأشخاص ، وما إلى ذلك) لتمكين مثل هذه الخطط.
ستساعدك هذه المقالة في كتابتها: كيفية كتابة خطط استمرارية الأعمال.
9) التدريب والتوعية
لا يكفي وضع الخطط - إذا لم يعرف أحد كيفية تنفيذها (أو مكان العثور عليها!) ، فيمكنك أن تطمئن إلى أنه في حالة وقوع حادثة حقيقية ، فإنها لن تنجح بالتأكيد. لذلك ، عليك أن تشرح لموظفيك (والأطراف الثالثة التي لها دور في خططك) ليس فقط كيفية تنفيذ خطوات معينة في خطتك ، ولكن أيضًا سبب أهمية ذلك في المقام الأول.
10) صيانة الوثائق
الوثائق المكتوبة لها عادة سيئة - فهي تصبح قديمة بسرعة كبيرة. شخص ما يترك الشركة ، أو يأتي الموظفون الجدد ؛ تقوم بتغيير عمليات العمل أو التكنولوجيا ، وتضيف منتجات جديدة - كل ما يجب أن ينعكس في الوثائق الخاصة بك ، وخاصة الخطط. بدون هذه التغييرات ، لن تكون قادرًا على تنفيذ خططك عندما تكون في أمس الحاجة إليها.
11) التمرين والاختبار
مهما كانت الضرورة ، فإن التدريب لن يكون كافيًا - إذا لم تجرب الخطط لاكتشاف كيفية أدائهم في مواقف حقيقية (تقريبًا) ، فلن تعرف أبدًا أين ينقصهم. لذلك ، يعد إجراء التمارين والاختبار بانتظام أمرًا ذا أهمية قصوى ، ولا ينبغي أن يقتصر هذا الاختبار على تكنولوجيا المعلومات فقط - يجب تضمين الجميع ، بما في ذلك شركاء الإدارة العليا والاستعانة بمصادر خارجية والموردين.
12) مراجعات ما بعد الحادث
بغض النظر عن مدى صعوبة المحاولة ، فلن تكون قادرًا على منع وقوع الحوادث ؛ ما يمكنك فعله ، مع ذلك ، هو التعلم من مثل هذه الحوادث. ويمكنك أن تتعلم الكثير - كيف يتفاعل الناس ، ومدى استعدادهم ، وما هي التحسينات المطلوبة في الخطط ، وما إلى ذلك ، والأهم من ذلك - هل حققت هدف وقت التعافي؟
13) التواصل مع الأطراف المهتمة
هذه في الواقع ليست الخطوة الثالثة عشرة (وليس أنني أحاول تجنب هذه الخطوة) ، لأن هذه خطوة يجب أن تعمل بالتوازي مع جميع الخطوات الأخرى. هذا لأن استمرارية العمل تعتمد بشكل كبير على الهيئات التنظيمية ، والسلطات ، والملاك ، وعائلات الموظفين ، ووسائل الإعلام ، وما إلى ذلك ، وتحتاج إلى إبقاء هذه الأطراف المهتمة على اطلاع في أقرب وقت عندما تكتب سياستك وتضع الأهداف ، على طول الطريق إلى متى حادثة وقعت بالفعل.
14) القياس والتقييم
الفكرة الأساسية هنا هي - ليس من المنطقي أن تفعل شيئًا ما لم تعرف ما إذا كنت قد حققت ما تريده أم لا. في حالة استمرارية الأعمال ، يتم تحديد الأهداف في الخطوة رقم 3 ، بينما يجب معرفة ما إذا كنت قد حققت هذه الأهداف من خلال نوع من المقاييس. يمكن أن يكون شيئًا معقدًا مثل بطاقة الأداء المتوازن ، ولكن يمكن أيضًا أن يكون أساسيًا مثل قياس تحقيق RTO أثناء التمرين والاختبار.
15) المراجعة الداخلية
من المستحيل أن تكون موضوعيًا بنسبة 100٪ في عملك الخاص. لذلك ، يجب على أي شخص أقل ذاتية منك مراجعة عملك واقتراح التحسينات - وهذا هو كل ما يدور حوله التدقيق الداخلي. على الرغم من أنه غالبًا ما يُنظر إليه على أنه عبء ، إلا أن التدقيق الداخلي مفيد جدًا في الواقع عندما يتعلق الأمر بمواجهة الواقع.
16) الإجراءات التصحيحية
نقوم جميعًا بإجراء تحسينات يومية على الأشياء التي نقوم بها ، ولكن ISO 22301 تريد منا القيام بذلك بشكل منهجي - فهي تجبر المنظمة على معرفة سبب حدوث المشكلة ، والتأكد من عدم حدوثها مرة أخرى. أو ، كما ينص المعيار ، "تأكد من عدم تكرار حالات عدم المطابقة" - يجب القيام بذلك بشكل منهجي وشفاف.
17) مراجعة الإدارة
بمجرد تنفيذ جميع هذه الخطوات ، تحتاج الإدارة العليا إلى تقييمها والوصول إلى بعض القرارات الحاسمة - مثل تحديث الأهداف ، وتوفير التمويل ، وإجراء تحسينات أكبر ، وما إلى ذلك.
كيف يتم تطبيق ISO 22301؟
في الأساس ، لديك ثلاثة خيارات إستراتيجية لتطبيق ISO 22301:
افعل ذلك بنفسك دون مساعدة خارجية: في هذا الخيار ، يقوم موظفوك بكل العمل دون استخدام أي مساعدة من المستشارين أو الأدوات. هذا هو الخيار الأفضل إذا كنت لا تريد أي جهات خارجية في شركتك وإذا كانت ميزانيتك ضيقة جدًا ، ولكن هذا ممكن فقط إذا كان لديك موظف لديه خبرة بالفعل في ISO 22301.
افعل ذلك بنفسك بمساعدة خارجية: هذا يعني أنك تنفذ المعيار بنفسك (من خلال إجراء جميع التحليلات والمقابلات وكتابة الوثائق وما إلى ذلك) ، لكنك تستخدم أداة ISO 22301 وإرشادات من خبراء خارجيين لإكمال المشروع. هذا هو الخيار الأفضل إذا كانت لديك ميزانية معتدلة ، وإذا كنت تريد أن يتعلم موظفوك أكثر عن كيفية إدارة استمرارية الأعمال.
يقوم المستشار بمعظم العمل: باستخدام هذا الخيار ، يمكنك تعيين خبير خارجي (أي مستشار ISO 22301) للقيام بالمهمة بأكملها - سيقوم هذا الشخص بكل العمل وسيقدم لك الوثائق المكتملة. عادة ما يكون هذا هو الخيار الأسرع لتنفيذ المعيار ، ولكنه أيضًا الخيار الأغلى.
بغض النظر عن الخيار ، يمكن استخدام قائمة التحقق ISO 22301 هذه كمرجع لأنشطة المتابعة.
مشروع ISO 22301 - عوامل النجاح الرئيسية
تحتاج الشركات التي ترغب في تحقيق النجاح في تطبيق ISO 22301 إلى مراعاة عوامل النجاح هذه على الأقل للمشروع:
أ) الدعم الإداري: إذا كان كبار المسؤولين التنفيذيين لديك لا يرون فائدة حقيقية في زيادة مستوى استمرارية الأعمال ، فمن الأفضل أن تستثمر طاقتك في شيء آخر.
ب) اكتساب المعرفة: ما لم تكن قد نفذت بالفعل ISO 22301 عدة مرات ، فستحتاج إلى معرفة كيفية القيام بذلك. يعد تنفيذ ISO 22301 طريقة معقدة للغاية بحيث لا يمكن فهمها إلا من خلال قراءة المعيار.
ج) تشغيل التنفيذ كمشروع: مع الأهداف والتسليمات الواضحة ، والأشخاص المسؤولين عنها ، والموارد المتاحة ، لن تقوم فقط بتسريع العملية - ولكن أيضًا تزيد من فرصك في تحقيق نتيجة ناجحة. (انظر هنا مثال على قائمة مراجعة المشروع لتنفيذ ISO 22301.)
اختر مدير المشروع المناسب: عليك أن تختار شخصًا يتمتع بالكفاءات والمعرفة والوقت والسلطة المناسبة لتشغيل المشروع ، أو تخاطر بفشل مشروع يكلف الكثير من الجهد.