شركة النظم المعرفية للاستشارات
بعض النماذج المهمة لإتمام المهام الأساسية
النموذج الخاص بتحليل تأثر الأعمال هو عملية منهجية لتحديد وظائف الأعمال النشطة وتحديد التأثير المحتمل عليها عند انقطاع الخدمات التشغيلية عنها، بما في ذلك تأثير العواقب المالية والتشغيلية والمتعلقة بالسمعة. يُحدد تحليل تأثر الأعمال هذه التأثيرات كميًا لمساعدة المؤسسات على وضع الاستراتيجيات المناسبة لتفادي الضرر المتوقع وتحديد أولويات جهود التعافي، وتوجيه خطط ضمان استمرارية الأعمال وإمكانية التعافي من الكوارث، وتحديد أهداف زمنية ومكانية وتشغيلية لتعافي العمليات النشطة للمنظومة التشغيلية.
الخطوات الرئيسية لتحليل تأثر الأعمال
(1) الحصول على موافقة الإدارة وتشكيل فريق: الحصول على موافقة الإدارة التنفيذية وتشكيل فريق متخصص يتمتع بالمهارات والتدريب المناسبين خطوة ضرورية جدا لتوفير الميزانية والدعم الازمة لضمان التحرك السريع وقت الكوارث.
(2) إعداد خطة تحليل تأثر الأعمال: وضع نموذج يوضح القضايا والأنشطة الرئيسية، وخطة لجمع البيانات، وطرق تنفيذ عمليات قياس التأثير على الأعمال المرتبطة بها.
(3) جمع البيانات: جمع البيانات من مصادر مختلفة، بما في ذلك الموظفين الرئيسيين، والوثائق، والمقابلات، والتقارير السابقة حول العمليات المستهدفة مع التركيز على عمليات الأعمال، والنشاطات المرتبطة بها، والموارد المطلوبة.
(4) تحليل البيانات: تحديد العمليات التجارية المهمة، وتقييم اعتمادها على التكنولوجيا والموارد، وتحديد الآثار المالية والتشغيلية والتسويقية المحتملة عند الانقطاعات. يتضمن ذلك أيضًا تحديد هدف زمن الاسترداد (RTO) (مدى سرعة استعادة العملية) وهدف نقطة الاسترداد (RPO) (مقدار فقدان البيانات المقبول).
صُمم هذا النموذج لمساعدة المستخدم على إجراء تحليل تأثير الأعمال (BIA) على نظام معلومات. يُعد هذا النموذج دليلاً أساسيًا فقط، وقد لا ينطبق على جميع الأنظمة بالتساوي. يمكن للمستخدم تعديل هذا النموذج أو النهج العام لتحليل تأثير الأعمال حسب الحاجة لملاءمة النظام المُحدد على النحو الأمثل. الكلمات المكتوبة بخط مائل في هذا النموذج هي للإرشاد فقط، ويجب حذفها من النسخة النهائية. يُقصد بالنص العادي (غير المائل) الإبقاء عليه.
(1) نظرة عامة
طُوِّر تحليل تأثير الأعمال (BIA) هذا كجزء من عملية التخطيط للطوارئ لـ {اسم النظام} {اختصار النظام}. وقد أُعِدَّ في {أدخل تاريخ إكمال تحليل تأثير الأعمال}.
(1.1) الهدف
يهدف تحليل تأثير الأعمال إلى تحديد مكونات النظام وترتيب أولوياتها من خلال ربطها بالمهمة/عمليات الأعمال التي يدعمها النظام، واستخدام هذه المعلومات لوصف التأثير على العملية/العمليات في حال عدم توفر النظام.
يتكون تحليل تأثير الأعمال من الخطوات الثلاث التالية: تحديد المهمة/عمليات الأعمال وأهمية الاسترداد. يتم تحديد المهام/عمليات الأعمال التي يدعمها النظام، ويُحدد تأثير أي تعطل في النظام على تلك العمليات، بالإضافة إلى آثار الانقطاع ووقت التوقف المُقدّر. يجب أن يعكس وقت التوقف الحد الأقصى الذي يمكن للمؤسسة تحمله مع الحفاظ على المهمة. تحديد متطلبات الموارد. تتطلب جهود الاسترداد الواقعية تقييمًا شاملًا للموارد اللازمة لاستئناف المهام/عمليات الأعمال والترابطات ذات الصلة في أسرع وقت ممكن. من أمثلة الموارد التي يجب تحديدها: المرافق، والموظفون، والمعدات، والبرمجيات، وملفات البيانات، ومكونات النظام، والسجلات الحيوية. تحديد أولويات استرداد موارد النظام. بناءً على نتائج الأنشطة السابقة، يمكن ربط موارد النظام بشكل أوضح بالمهام/عمليات الأعمال الحيوية. يمكن تحديد مستويات الأولوية لتسلسل أنشطة وموارد الاسترداد. تُستخدم هذه الوثيقة لبناء خطة طوارئ نظام المعلومات (ISCP) لـ {اسم النظام}، وهي مُضمنة كمكون رئيسي في خطة ISCP. كما يُمكن استخدامها لدعم تطوير خطط طوارئ أخرى مرتبطة بالنظام، بما في ذلك، على سبيل المثال لا الحصر، خطة التعافي من الكوارث (DRP) أو خطة الاستجابة للحوادث السيبرانية.
(2) وصف النظام
قدِّم وصفًا عامًا لبنية النظام ووظائفه. وضِّح بيئة التشغيل، والموقع الفعلي، والموقع العام للمستخدمين، والشراكات مع المؤسسات/الأنظمة الخارجية. أدرج معلومات حول أي اعتبارات تقنية أخرى مهمة لأغراض الاسترداد، مثل إجراءات النسخ الاحتياطي. قدِّم مخططًا للبنية، بما في ذلك المدخلات والمخرجات واتصالات الاتصالات. ملاحظة: يجب أن تكون معلومات هذا القسم متاحة من خطة أمن النظام (SSP) للنظام، ويمكن نسخها من SSP، أو الرجوع إلى القسم ذي الصلة في SSP وإرفاق أحدث إصدار من SSP بخطة الطوارئ هذه.
(3) جمع بيانات تحليل تأثير الأعمال
يمكن جمع البيانات من خلال المقابلات الفردية/الجماعية، وورش العمل، والبريد الإلكتروني، والاستبيانات، أو أي مزيج من هذه الوسائل.
(3.1) تحديد أهمية العمليات والأنظمة
الخطوة الأولى من عملية تحليل تأثير الأعمال: العمل مع مدخلات المستخدمين، والمديرين، ومسؤولي المهام/عمليات الأعمال، وجهات الاتصال الداخلية والخارجية الأخرى، لتحديد المهام/عمليات الأعمال المحددة التي تعتمد على نظام المعلومات أو تدعمه.
إذا لم يتم تحديد أهمية المهام/عمليات الأعمال خارج تحليل تأثير الأعمال، فستساعد الأقسام الفرعية التالية في تحديد أهمية المهام/عمليات الأعمال التي تعتمد على نظام المعلومات أو تدعمه.
(٣.١.١) تحديد آثار الانقطاع ووقت التوقف المُقدّر
يُحدد هذا القسم ويُصنّف أنواع فئات التأثير التي يُحتمل أن يُسببها تعطل النظام، بالإضافة إلى تلك المُحددة بمستوى التأثير وفقًا لمعيار FIPS 199، بالإضافة إلى وقت التوقف المُقدّر الذي يُمكن للمؤسسة تحمّله لعملية مُعينة. ينبغي إنشاء فئات التأثير وتحديد قيم لها لقياس مستوى أو نوع التأثير الذي قد يُسببه العطل. يُقدَّم مثال على التكلفة كفئة تأثير. يمكن للمؤسسات النظر في فئات أخرى، مثل الضرر الذي يلحق بالأفراد والقدرة على أداء المهمة. ينبغي مراجعة النموذج ليعكس ما هو مناسب للمؤسسة.
آثار الانقطاع
ينبغي إنشاء فئات وقيم التأثير لتحديد مستويات الخطورة التي قد تلحق بالمؤسسة نتيجةً لفئة التأثير هذه في حال تعذر تنفيذ المهمة/عملية العمل. تُعد فئات التأثير والقيم هذه نماذج، وينبغي مراجعتها لتعكس ما هو مناسب للمؤسسة.
ما يلي تُمثل فئات التأثير التالية جوانب مهمة يجب مراعاتها في حالة حدوث خلل أو تأثير.
فئة التأثير: {أدخل اسم الفئة}
قيم التأثير لتقييم تأثير الفئة:
شديد = {أدخل القيمة}
متوسط = {أدخل القيمة}
أدنى = {أدخل القيمة}
يُلخص الجدول أدناه التأثير على كل مهمة/عملية تجارية في حال عدم توفر {اسم النظام}، بناءً على المعايير التالية:
فئة تأثير المهمة/عملية التجارية
{أدخل} {أدخل} {أدخل} {أدخل} {أدخل} التأثير
دفع فاتورة المورد
وقت التوقف المُقدّر
بالعمل مباشرةً مع مسؤولي المهمة/عملية التجارية، وموظفي الأقسام، والمديرين، وأصحاب المصلحة الآخرين، يتم تقدير عوامل وقت التوقف التي يجب مراعاتها نتيجةً لحدث مُعطّل.
أقصى وقت توقف مُحتمل (MTD). يُمثل MTD إجمالي الوقت الذي يُقبله القادة/المديرون في حالة انقطاع أو تعطل المهمة/عملية التجارية، ويشمل جميع اعتبارات التأثير. يُعد تحديد وقت الاسترداد (MTD) أمرًا بالغ الأهمية لأنه قد يُسبب غموضًا في توجيهات مُخططي الاستمرارية بشأن (1) اختيار طريقة الاسترداد المناسبة، و(2) عمق التفاصيل المطلوبة عند تطوير إجراءات الاسترداد، بما في ذلك نطاقها ومحتواها.
هدف وقت الاسترداد (RTO). يُحدد RTO أقصى مدة زمنية يُمكن أن يظل فيها مورد النظام غير متاح قبل أن يُحدث تأثيرًا غير مقبول على موارد النظام الأخرى، وعمليات المهام/الأعمال المدعومة، وMTD. يُعد تحديد وقت الاسترداد (RTO) لموارد نظام المعلومات أمرًا بالغ الأهمية لاختيار التقنيات المناسبة الأنسب لتحقيق MTD.
هدف نقطة الاسترداد (RPO). يُمثل RPO النقطة الزمنية، قبل حدوث خلل أو انقطاع في النظام، والتي يجب استرداد بيانات المهام/الأعمال إليها (باستخدام أحدث نسخة احتياطية من البيانات) بعد انقطاع الخدمة.
يُحدد الجدول أدناه MTD وRTO وRPO (حسب الاقتضاء) لعمليات المهام/الأعمال التنظيمية التي تعتمد على {اسم النظام}. من المتوقع أن تكون قيم عمليات MTD وRPOs أطرًا زمنية محددة، تُحدد بزيادات كل ساعة (مثل 8 ساعات، 36 ساعة، 97 ساعة، إلخ).
المهمة/عملية الأعمال MTD RTO RPO
دفع فاتورة المورد 72 ساعة 48 ساعة 12 ساعة (آخر نسخة احتياطية)
أدرج وصفًا لمحركات MTD وRTO وRPOs المدرجة في الجدول أعلاه (مثل: التفويض، وعبء العمل، ومقياس الأداء، إلخ).
أدرج وصفًا لأي وسائل بديلة (معالجة ثانوية أو حل بديل يدوي) لاستعادة عملية (عمليات) المهمة/العملية التي تعتمد على النظام. في حال عدم وجودها، يُرجى ذكرها.
3.2 تحديد متطلبات الموارد
يحدد الجدول التالي الموارد التي تُكوّن {اسم النظام}، بما في ذلك الأجهزة والبرامج والموارد الأخرى مثل ملفات البيانات.
مورد/مكون النظام، المنصة/نظام التشغيل/الإصدار (حسب الاقتضاء) الوصف
خادم الويب 1، مضيف موقع الويب Optiplex GX280
يُفترض أن جميع الموارد المُحددة تدعم المهام/عمليات الأعمال المُحددة في القسم 3.1 ما لم يُنص على خلاف ذلك.
ملاحظة: يجب أن تكون معلومات هذا القسم متاحة من خطة أمان النظام (SSP) للنظام، ويمكن نسخها من خطة أمان النظام، أو الرجوع إلى القسم المُناسب في خطة أمان النظام وإرفاق أحدث إصدار من خطة أمان النظام بخطة الطوارئ هذه.
3.3 تحديد أولويات استرداد موارد النظام
يُدرج الجدول أدناه ترتيب استرداد موارد {اسم النظام}. كما يُحدد الجدول الوقت المُتوقع لاسترداد المورد بعد حدوث انقطاع في "أسوأ الحالات" (إعادة بناء/إصلاح كامل أو استبدال).
هدف وقت الاسترداد (RTO): يُحدد RTO الحد الأقصى للوقت الذي يُمكن أن يظل فيه مورد النظام غير مُتاح قبل أن يكون هناك تأثير غير مقبول على موارد النظام الأخرى، والمهام/عمليات الأعمال المدعومة، وMTD. يُعد تحديد وقت الاسترداد (RTO) لموارد نظام المعلومات أمرًا بالغ الأهمية لاختيار التقنيات المناسبة التي تُلبي الهدف الاستراتيجي (MTD).
هدف وقت استرداد موارد/مكونات النظام ذات الأولوية
خادم الويب 1 Optiplex GX280
يمكن أن يكون مورد النظام برنامجًا، أو ملفات بيانات، أو خوادم، أو أجهزة أخرى، ويجب تحديده بشكل فردي أو كمجموعة منطقية.
تحديد أي استراتيجيات بديلة مُطبقة لتلبية وقت الاسترداد المتوقع. يشمل ذلك معدات النسخ الاحتياطي أو المعدات الاحتياطية وعقود دعم الموردين.
يضمن أقصى درجات الاحترافية والنماء المستدام للأعمال.
حسب خبراتنا الاستشارية في مجال تكنولوجيا المعلومات والاتصالات وإدارة المشاريع ، يمكننا التوصية بمجموعة من النظم والإجراءات المعيارية مع نماذجها المناسبة لكل إجراء :
(1) نموذج تحليل تأثير الأعمال (BIA)
(5) توثيق النتائج: أنشئ تقريرًا شاملًا يُفصّل العمليات المهمة للنشاط وتبعياته وتأثيراته المحتملة، وأهداف التدريب المطلوب لبناء مهارات التعافي المطلوبة /التدريب المُحددة.
(6) التنسيق مع تقييم المخاطر: ادمج نتائج تحليل تأثير الأعمال مع تقييم المخاطر (الذي يُحدد المخاطر والأصول المعرضة للخطر) لوضع استراتيجيات شاملة للوقاية من الأحداث غير المخطط لها، والتخفيف من آثارها، والتعافي منها.
(7) وضع وتنفيذ استراتيجيات التعافي: استخدم تقرير تحليل تأثر الأعمال لتوجيه وضع استراتيجيات وحلول وخطط التعافي لخطة استمرارية الأعمال وخطة التعافي من الكوارث.
ما أهمية تحليل تأثر الأعمال؟
(1) يُحدد وظائف الأعمال المهمة: يُسلّط الضوء على العمليات الأكثر أهمية لبقاء المؤسسة في حالة نشطة بأسرع وقت ممكن.
(2) يُقدّم معلومات لاستمرارية الأعمال والتعافي من الكوارث: يُوفّر البيانات الأساسية اللازمة لإنشاء خطط فعّالة لاستمرارية الأعمال وخطة التعافي من الكوارث.
(3) يُحدّد أولويات الموارد: يُساعد تحليل تأثر الأعمال في تحديد أولويات الاستثمارات في الوقاية والتخفيف بناءً على الشدة المُحتملة للانقطاعات.
(4) يُخفف الخسائر: من خلال فهم التأثيرات المحتملة، يُمكن للمؤسسات وضع استراتيجيات لتقليل الخسائر المالية، والأضرار التي تلحق بالسمعة، وتوقف العمليات.
(5) يقيس احتياجات التعافي: يُحدد أهداف زمن التعافي (RTOs) وأهداف نطاق التعافي (RPOs)، وهي مقاييس أساسية لتوجيه جهود التعافي.