FAQ - Frequently Asked Questions

עסקיים
טכנולוגיים

תכנון
ייעוץ
ניהול ותחזוקה
פתרונות אינטגרציה
הדרכות
חקירות

שאלות ותשובות

1. האם ארגון יכול להתקיים גם ללא "המשכיות עסקית" ?

התשובה היא "כן", ואולם לארגון לא יהיה מענה עסקי מוכן לכשלים מקומיים המתרחשים בשוטף, או אסון שהסבירות להתרחשותו אמנם היא נמוכה אך נזקיו יש בהם כדי לגרום לאובדן הארגון.

תכנון "המשכיות עסקית" נועד לתת מענה הן לסיכוני "אובדן מקומי" שתדירות התרחשותם גבוהה, והן לסיכוני "אובדן מוחלט" שתדירות התרחשותם נמוכה אך נזקיהם אדירים עד כדי קריסת ארגון.

2. "המשכיות עסקית" (BCP) או "אישוש מאסון" (DRP) ?

"המשכיות עסקית" נועדה לתת מענה נרחב מנקודת מבט של כלל הפעילויות אשר מיושמות בארגון, בעוד "אישוש מאסון" נועד לתת מענה צר מנקודת מבט של מערך המחשוב בלבד.

יש להעדיף תכנון ל"המשכיות העסקית" על פני "אישוש מאסון", היות ועיקר עניינו של הארגון הנו המשך פעילות עסקית רציפה בעוד שרידות המידע מהווה רק רכיב בודד בתוך פעילות זו.

3. האם ארגון יכול ליישם בעצמו תכנון ל"המשכיות עסקית" ?

התשובה היא "לא" מאחר ותכנון ל"המשכיות עסקית" דורש הכירות עם תהליכים ארגוניים, ידע והבנה במיפוי וניתוח תהליכים עסקיים וניסיון מעמיק באיתור כשלים ופתרונות לשרידות תהליכים.

4. תכנון ל"המשכיות עסקית" - מה הוא כולל במסגרתו ?

תכנון ל"המשכיות עסקית" כולל במסגרתו את 7 המהלכים המרכזיים המפורטים להלן:

אפיון והגדרת התהליכים והמערכות הקריטיים בארגון.
מיפוי הסיכונים ונקודות הכשל במערכות/תהליכים שאופיינו.
ניתוח הסיכונים שאותרו וקביעת סולם תיעדוף לטיפול.
עיצוב פתרון והכנת תוכנית פעולה להקמת התשתית הדרושה.
הטמעת הפתרון שעוצב בשלבים בהתאם לאבני הדרך שהונחו.
הכנת מדיניות ונהלים לתפעול המערך שהוקם בשוטף ובעת אסון.
יישום בקרות תקופתיות ותסריטי ייחוס לבחינת מערך האישוש.

5. האם יישום של "המשכיות עסקית" דורש השקעות ענק?

"המשכיות עסקית" מעצם הגדרתה דורשת השקעות ניכרות, ואולם עם תכנון תשתיות נכון, איחוד (קונסולידציה) של משאבים וניצול מרבי של כלים במערך הקיים, ניתן לחסוך בעלויות ולהגיע לרמת יישום אופטימלית אשר תבטיח את המשכיות הפעילות הארגונית גם בעתות חירום/אסון.

6. האם התקן מחייב כל חברה ?

התקן מחייב כיום רק ארגונים אשר עובדים מול חברות אמריקאיות מונפקות. מחוייבות זו נוצרה תחת תקנת Sarbanes Oxley 2002.
מעבר לכך, קיימת תחזית כי משרדי הממשלה יוסמכו לתקן 7799 ומכאן, שכל חברה המועסקת עבור משרד ממשלתי, באשר הוא, תהיה מחוייבת אף היא לעמוד בתקן.
מלבד זאת, המחוייבות הנה מקצועית, אך מהווה זכות ונתונה לשיקולם של בעלי התפקידים הבכירים בחברה, השואפים להגן על הארגון ועל נכסי המידע שברשותו.

7. איזה יתרונות קיימים לארגון אשר הוסמך ע"פ תקן 7799 ?

בראש ובראשונה, קיים יתרון מקצועי, בהיבטי אבטחת המידע. התקן מקיף את כל חמשת מעגלי האבטחה הטומנים בחובם את כלל הסיכונים המאיימים על הארגון. הקמת תשתית אבטחתית בכפוף לתקן, תביא לרמת אבטחה אופטימלית לארגון ובכך תמזער נזקים פוטנציאליים העלולים להתרחש. עמידה בדרישות התקן תבטיח גם אחידות מקצועית מול השוק, בהתמודדות עם הסיכונים באמצעות מתודולוגיות הזהות בתפישתן.

יחד עם זאת, בעמידה בתקן קיים יתרון שיווקי. לחברה העומדת בתקן יתרון שיווקי גדול מול השוק, ביחס לחברות המתחרות, לאור היותה אמינה ובטוחה יותר בהיבטי אבטחת המידע ותוך הגנה על נתוני הלקוחות, עסקיים ופרטיים כאחד.

קיים יתרון שיווקי גם בהתמודדות במכרזים אשר רבים כוללים פרמטרים קפדניים של אבטחת מידע.

לחברות העוסקות בנתוני לקוחות קיים גם יתרון מראייה משפטית, בנסיבות בהן לקוח תובע את החברה בגין ליקויי אבטחת המידע אשר היה בידי החברה. במקרים כאלו, עובדת היותה של החברה מוסמכת לפי תקן 7799, תגבה את פעילותה האבטחתית ותעיד כי עמדה בסטנדרטים בינלאומיים מוכרים.

8. האם ארגון יכול להכין את עצמו להסמכה ללא סיוע חיצוני ?

באופן עקרוני, יכול ארגון להכין את עצמו להסמכה, למעט ביצוע שלב הערכת הסיכונים, המחייב קיומו על-ידי גורם שלישי בלתי תלוי.

עם זאת, על-מנת להקים תשתית אבטחתית יסודית ומעמיקה, מומלץ להסתייע בגורם מייעץ הבקיא במתודולוגיות אבטחת מידע והמכיר היטב את דרישות התקן. גורם מייעץ חיצוני יוכל להעשיר את הארגון בתפישות, בתהליכים ובשיטות אבטחתיות אשר נהוגות בארגונים אחרים ואשר לא מוכרים לחברה עבורה יעסוק. גורם חיצוני יוכל לתרום רבות במיקוד החברה לנקודות אשר יתכן ולא יועלו ללא "מבט מבחוץ". כמו כן, תהליך ההכנה דורש שלבי מיפוי והיערכות מקיפים העשויים לגזול מספר חודשי עבודה אינטנסיביים.

מומלץ להסתייע ביועץ אשר הוסמך כ- Lead Auditor לתקן 7799. הסמכה זו תבטיח כי היועץ עומד בסטנדרטים מקצועיים גבוהים, בכפוף לארגוני תקינה בינלאומיים.