הכנה לעמידה בדרישות תקן לניהול המשכיות עסקית  ISO 22301

התקן מתאים לכל ארגון (קטן או גדול), מכלל המגזרים.

התקן אינו רגולציה או חוק, ולכן אינו חובה. יחד עם זאת, התקן נדרש לעתים קרובות ע"י לקוחות רבים ברחבי העולם, ואף מופיע כדרישה מנדטורית בעת הגשה למכרזים שונים.

נתחיל ברצון (שזה לא עולה כסף), ואז נכונות של הארגון ומחויבות של ההנהלה. הפרויקט מתחיל במינוי מנהל פרויקט בתוך הארגון, ואז אפשר ליצור איתנו קשר להמשך התהליך. אם לא יודעים מי מתאים להיות מנהל פרויקט, אפשר לקיים פגישת ייעוץ קצרה, ללא עלות וללא התחייבות, ואנחנו נשמח להסביר על כל התהליך, וביחד נמצא את הבן אדם המתאים אצלכם בארגון שיכול לנהל את הפרויקט, תחת הליווי שלנו כמובן.

זה לא חובה, והתקן אינו דורש מינוי CISO באופן מפורש. יחד עם זאת, התקן מדבר על הקמה, ניהול, תפעול ושיפור מתמיד של מערכת לניהול המשכיות עסקית (BCM), שזה בעצם מעין מסגרת לניהול המשכיות עסקית והתאוששות מאסון. רצוי שיהיה מישהו בארגון שאמון על הפעילות הזאת. במידה והארגון מתקשה למלא את התפקיד הזה, אנחנו נשמח להציע לכם שירותי CISO מנוהלים (CISO as a Service).

צריך לעשות הפרדה בין תהליך קבלת ההסמכה מגוף התעדה (כגון מכון התקנים או IQC), לבין להטמיע את התקן בארגון. תהליך ההתעדה תלוי בזמינותם של הסוקרים בגופי ההתעדה, ובהסדרת התשלום מול גופי ההתעדה. אם אתם נדרשים בדחיפות לתעודה הסמכה, מומלץ ליצור קשר עמנו בהקדם, ואנחנו נזרז את תהליך ההתעדה אל מול גופי ההתעדה.

שוב, צריך לעשות הפרדה בין תהליך קבלת ההסמכה מגופי ההתעדה, לבין הטמעת התקן. תהליך הטמעת התקן בארגון הינו תהליך מחזורי, שאינו נגמר, וצריך לשפר אותו בכל שנה. כפי שהתקן מציין: מדובר בשיפור מתמיד, ולכן ישנן פעילויות שצריכים לתחזק בכל שנה, וישנן פעילויות או תהליכים שצריכים לשפר.

תצרו איתנו קשר בהקדם, ואנחנו ניצור קשר עם גופי ההתעדה בארץ ובעולם, וננסה להשיג לכם את התאריך המהיר ביותר למבדקי התעדה. חשוב רק לזכור, עליכם להיות מוכנים לקראת המבדק, לפני שהסוקר מגיע למבדק החיצוני.

טוב, אין תשובה אחת כללית לתהליך הזה, היות והתמחור משתנה בהתאם למספר פרמטרים כגון: גודל הארגון, כמות אתרים, מיקום האתרים (האם זה רק אתרים בארץ או שיש גם אתרים בחו"ל שצריכים להסמיך), סוג הפעילות של הארגון, כמות מערכות ותהליכים עסקיים, משאבים פנימיים שיש לחברה (על מנת להטמיע תהליכים ובקרות אבטחה), ועוד. לרוב, ניתן לדעת את עלויות הפרויקט, משך הזמן ומשאבים פנימיים שיידרשו לאחר ביצוע תהליך של הערכת פערים או BIA. ניתן לקבוע איתנו פגישת ייעוץ קצרה, ללא עלות וללא התחייבות שבמהלכה נוכל להסביר לכם את כל תהליך ההסמכה, ומה נדרש, וכמה זמן זה עלול לקחת עד לקבלת התעודה.

בגדול, אנחנו יכולים לסייע לארגון בכל הפרויקט, מתחילתו ועד סופו. חשוב לציין שאנחנו לא חברת אינטגרציה, כך שאם נדרש להטמיע מוצרים מסוימים או לבצע הגדרות ושיניים ברשת הארגון, צוות היועצים שלנו יספק את הייעוץ, ליווי והכוונה, אך לא את הביצוע בפועל. אנחנו מלווים את הארגון משלב הייזום ועד לקבלת התעודה, כולל השתתפות במבדק הסופי, וסיוע במהלך המבדק ולאחר המבדק (טיפול בממצאים אם יימצאו).

אין בעיה. אם לארגון כבר יש תקן אחר, או שהחל בתהליך באופן עצמאי ואז נעצר, אנחנו יכולים לבצע תהליך של הערכת פערים. מטרת התהליך הזה הינו לבחון את מוכנות הארגון מבחינת עמידה בדרישות התקן, ולמפות את כל הפערים בין המצב הרצוי (דרישות התקן) לבין המצב המצוי (מצב קיים). התוצר של תהליך הערכת הפערים הינו דוח מפורט של מהם הפערים, והכנת תוכנית עבודה משותפת לסגירת הפערים.

אם לארגון יש תוכנית להתאוששות מאסון (DRP), ולא נדרש ממנו (מצד רגולציות או דרישות לקוח) לממש תוכנית להמשכיות עסקית (BCP) אז התשובה היא לא. אבל אם לארגון יש כבר תוכנית לניהול המשכיות עסקית (BCP), התוכנית להתאוששות מאסון (DRP) חייבת להיות חלק ממנה. לא יתכן מצב שבו לארגון יש BCP ללא DRP.

ה-BIA (ר"ת של Business Impact Analysis) הינו התהליך הקריטי המקדים לשלבי ה-BCP או DRP. מדובר בתהליך שממפה את כל התהליכים העסקיים בארגון, מסווג אותם לפי רמת הקריטיות, ומגדיר פרמטרים להתאוששות עבור כל אחד מהתהליכים הללו. הפרמרטים הללו ידועים בשם RTO (ר"ת של Recovery Time Objective) – וזהו נתון שמשפיע על האסטרטגיה של התאוששות המערכות, ובשם ה-RPO (ר"ת של Recovery Point Objective) -שזה נתון שמשפיע על האסטרטגיה של הגיבויים לצורך מניעת איבוד מידע.

ה-DRP (ר"ת של Disaster Recovery Plan) הינה תוכנית להתאוששות מאסון. מדובר בתוכנית לטווח הקצר, שמכסה לרוב רק את הפן הטכנולוגי של הארגון. ה-BCP (ר"ת של Business Continuity Plan) הינה תוכנית לניהול המשכיות עסקית. מדובר בתוכנית לטווח הארוך, תוכנית אסטרטגית, שמטפלת בעיקר בצד הלוגיסטי והניהולי של התוכנית. ההבדלים ביניהם הם בעיקר מבחינת התיחום. חשוב לציין, שהתוכנית להתאוששות מאסון נכללת בתוך תוכנית להמשכיות עסקית (BCP).

אנחנו מלווים מאות ארגונים בלמעלה מ-40 מדינות בעולם (בכל היבשות). היועצים שלנו מנוסים בכלל המגזרים (פיננסי, רפואי, ממשלתי, בטחוני, טלקום, ועוד). אנחנו החברה היחידה בישראל בעלת ניסיון רב של אלפי מבדקים בהצלחה רבה בכלל המגזרים במשק. יש לנו התמחות בכל הנושאים, כולל התמחויות וניסיון ייחודי בתקנים ייחודיים בנושא Automotive, ניהול אירועי אבטחת מידע, המשכיות עסקית, ניהול סיכונים, הגנת הפרטיות, סייבר, ועוד. כל היועצים שלנו עוברים הכשרה מקיפה של התקנים כולל הסמכה בינלאומית. ואם כל זה לא מספיק, אז מאות הלקוחות שלנו יוכלו להעיד על המקצועיות וייחודיות שלנו.