מילון מונחים המשכיות עסקית – BCP, והתאוששות מאסון – DRP

מילון מונחים BCP - DRP


*כלל המונחים מבוססים על תקן ISO הבינלאומי.

תרחיש:
אירוע או רצף אירועים המביאים להתממשותו של איום ומשפיעים על הארגון ופעילותו.

אירוע משבש:
אירוע, צפוי או לא (דוגמת- סופה או טירור בהתאמה) הגורם לשיבוש בפעילות הארגון או לפונקציות שלו ( יציאה מ"מצב עסקים רגיל").

משבר:
אירוע משבש, אשר עוצמתו או אורכו חרגו מרף הזמן או הנזק המוגדר. משבר משבש את הפונקציות העסקיות הקריטיות של הארגון ו/או סביבתו הטכנולוגית, עלול לסכן את תפקודו ואף המשך קיומו.

הכרזה על משבר- Crisis Declaration:
הכרזה על משבר היא מצב בו הוחלט כי מתקיימים כלל הקריטריונים לקביעת משבר, כפי שנקבע בתוכנית המשכיות עסקית – BCP, או תכנית התאוששות מאסון – DRP.
הכרזה על משבר מעבירה את הארגון לפעול במתכונת מיוחדת, למקד את עיקר המשאבים ותשומת הלב בתפעול הסיטואציה החריגה וניהול האירוע על פי תוכנית ההמשכיות העסקית.

אסון – Disaster:
משבר אשר גרם לנזקים אנושיים, פיזיים, כלכליים או סביבתיים חמורים או שאינם הפיכים, המשפיעים על הארגון לאורך זמן ויחייבו השקעת תשומות משמעותיות מצד הארגון, לעיתים, מעבר ליכולתו.

גיבוי:
עותק נוסף של הנתונים והמידע של הארגון, ישנן מגוון דרכים ושיטות לגיבוי. גיבוי כשלעצמו אינו מספק לטיפול מרבית התרחישים בארגון, שכן הוא נותן מענה למידע עצמו אך לא למערכות הנדרשות על מנת להשתמש בו.

יתירות:
הכפלת רכיבים במערכות בארגון כך שבמקרה וחלקם אינם זמינים או פעילים, ניתן להשתמש בנוספים על מנת להשלים את התהליך במלואו באופן חלקי או מלא.

אתר חלופי:
אתר נוסף, שאינו האתר הראשי בו מתבצעת פעילות מסוימת בארגון, שיכול להחליף או למלא את מקומו של האתר הקבוע, במקרה שזה נפגע או אינו מסוגל למלא את ייעודו. האתר החלופי יכול להיות סמוך לאתר הקבוע או רחוק ממנו, בהתאם לאילוצים וההתניות שנקבעו מראש.

אתר חם:
אתר פעיל העומד לרשות הארגון ומסוגל להתחיל לתפקד באופן מיידי בעת הצורך, ללא שתידרשנה פעולות הכנה, הדלקה או העלאה של מערכות. באתר חם תהיינה כל התשתיות הפיזיות, החומרתיות והתקשורתיות במצב פעיל ומוכן לשימוש באופן מיידי.

אתר רדום:
אתר זמין בצורה מלאה ובו כל התשתיות הפיזיות, החומרתיות והתקשורתיות הנדרשות להעברת פעילות הארגון, כאשר חלק מהתשתיות בו נמצאות במצב שמחייב פעולות טכניות נוספות על מנת שיהיו זמינות ומוכנות לפעולה.

אתר קר:
אתר זמין בצורה חלקית לארגון ובו ניתן להקים או להעביר את מרבית התשתיות הפיזיות והחומרתיות הנדרשות לפעילות הארגון. אתר קר מאפשר מעבר הדרגתי אך לא מיידי לשחזור או המשך עיסוק פעילות הארגון.

הסכם רמת שירות (SLA):
הסכם בין ספק שירות למשתמש שירות באשר לאופי, איכות, זמינות והיקף השירות הניתן.

יעד נקודת התאוששות (RPO):
יעד ההתאוששות במונחים של כמות המידע המקסימלית שהארגון מסוגל לאבד לאחר אירוע משבש ועדיין לשמור יכולת תפקוד סבירה. בא לידי ביטוי לרוב בהערכת נקודת הגיבוי המוקדמת ביותר אליה ניתן לחזור מבלי לאבד יותר מדי מידע חיוני.

יעד זמן התאוששות (RTO):
יעד זמן התאוששות מאירוע לא מתוכנן עד לשחזור פונקציה עסקית קריטית;
פרק הזמן המוקצה להתאוששות או חזרה לפעילות של שירות או תהליך לאחר אירוע משבש. יעד הזמן להתאוששות מכיל גם את הזמן הנדרש להערכת מצב וקבלת החלטות וגם את הזמן הנדרש למימוש ההתאוששות בפועל.

כשל במערכות IT:
כשל הפוגע במידע של הארגון או במערכות המידע שלו. כשל מערכות IT יכול לנבוע מתרחישים שונים פנימיים או חיצוניים, ולרוב יגרום לפגיעה חמורה מאד ביכולת התפקוד של הארגון.

כשל במערכות OT:
כשל הפוגע במערכות הבקרה והייצור של הארגון. מערכות OT הן מערכות הבקרה השולטות על הנכסים הפיזיים והתשתיות של הארגון כגון: מעליות, מערכות קירור, מערכות חשמל ומאד, או על מערכי הייצור והמכונות של הארגון. להבדיל ממערכות המידע, שם המידע הוא הנכס העיקרי (ולכן גיבוי הוא מרכיב מפתח), במערכות ה-OT הנכס העיקרי הוא התפקוד השוטף, ולמידע בפני עצמו יש ערך מועט יחסית.

חדר מצב:
אתר בו פועלים כלל התפקידנים והגורמים הרלוונטים לניהול מצב משבר, בחדר המצב כלל המשאבים הנדרשים לניהול הפעילויות והאירועים השונים. חדר המצב יכול להיות פיזי. אתר זה יכול להיות וירטואלי כאשר לא ניתן לכנס את כל בעלי התפקידים במקום אחד.

חוסן ארגוני – Resilience:
חוסן ארגוני מבטא את היכולת של ארגון להתמודד עם אירוע משבש לא מוכר או עם שינוי, לספוג את השפעתו או להתמודד עמו בצורה אשר תאפשר פעילות חלקית או מלאה של פונקציות הארגון ותוצריו.

מתאם התאוששות עסקית – Business Recovery Coordinator:
הגורם האחראי על תוכנית ההמשכיות העסקית בארגון. בשגרה אחראי על קיום, עדכון, תיקוף, הטמעה ותרגול התוכנית. בזמן משבר אחראי לוודא שהארגון פועל בהתאם לתוכנית ההמשכיות העסקית, מסנכרן את כלל מאמצי ההתאוששות.

סקר סיכונים:
תהליך מובנה של ניתוח הסיכונים הפוטנציאליים לארגון. במסגרת סקר סיכונים מגדירים את איום הייחוס (האיום בפניו ניצבת החברה), תרחיש הייחוס (הגורמים להתממשות האיום) ועוצמת האירוע (מידת הנזק שהאירוע יכול לגרום). כמו כן מעריכים את הסבירות להתממשות האיום, ואת מידת החשיפה לסיכון שהארגון מוכן לקחת על עצמו. על סמך הערכת הסיכונים ניתן ליישם תוכניות התמודדות וצמצום פערים.

ניתוח השפעה עסקית – BIA – Business impact analysis:
ניתוח הנזק הצפוי כתוצאה מפגיעה בתהליכי הליבה והפעילות העסקית הקריטית לארגון.
ניתוח זה סוקר את התהליכים המרכזיים בארגון, את שרשרת הערך של כל תהליך ואת התלויות והתנאים למימוש התהליך. בנוסף, במסגרת התהליך מוערך הנזק הצפוי לארגון כתוצאה מפגיעה בתהליך בהתאם לאורך הפגיעה והיקפה. מטרת הניתוח היא להגדיר את הציפיות וסדרי העדיפויות לטיפול באירוע משבש.

תוכנית מענה לחירום- Emergency Response Plan:
תוכנית להובלה, פיקוד ותפעול אירוע שעוסקת במרכיבי הצלת חיי אדם, פינוי נפגעים וטיפול מיידי בגורמי הסיכון הפיזי.

תוכנית ניהול משברים- Crisis Management Plan:
תוכנית ההתמודדות והמענה עם משברים בזמן אמת. תוכנית ניהול משברים מתחילה לרוב לאחר שהסתיים שלב המענה לחירום, ועוסקת בעיקר בניהול הארגון ותפעולו במהלך המשבר, תוך שהיא מתמקדת בהפעלת תהליכי הליבה הקריטיים, בתעדוף והקצאת משאבים וצמצום הנזקים הישירים והעקיפים של המשבר.

תוכנית המשכיות עסקית- BCP- Business Continuity Plan:
התהליך המלא לתכנון המענה של הארגון למשברים ואסונות. תוכנית ההמשכיות העסקית מכילה את תוכניות המענה לחירום, תוכניות ההתאוששות מאסון ותוכניות ניהול המשברים.

תוכנית התאוששות מאסון – DRP – Disaster Recovery Plan:
המרכיב בתוכנית ההמשכיות העסקית הממוקד בהתמודדות עם מצבי אסון במערכות המידע של הארגון. תוכנית ה-DRP עוסקת בעיקר בתרחיש של נזק פיזי חמור או בלתי הפיך למערכות המחשב או לתשתיות המחשב, המחייב להפעיל מערך מחשוב חליפי, אם כי ישנם תוכנית DRP שנותנות מענה גם לתרחישים של כשל לוגי או תקיפות סייבר.

מאמרים נוספים