Professional Documents
Culture Documents
نموذج سياسة إدارة استمرارية الأعمال 5
نموذج سياسة إدارة استمرارية الأعمال 5
2
سجل مراقبة التغيير والموافقة على الوثيقة
3
جدول المحتويات
6..................................................................................................................................................................... .1المقدمة
6 .1.1الهدف من الدليل
6 .1.2أهداف برنامج استمرارية األعمال
6 .1.3المعنيون بهذا الدليل
.1.4نطاق الدليل 7
7 .1.5استثناءات السياسة+
7.................................................................................................................................................. .1.6تعديل الدليل
7......................................................................................................................... .1.7القواعد واألنظمة واإلرشادات
8........................................................................................................................ .1.8األدوار والمسؤوليات الرئيسية
9................................................................................................................................................... .2التعاريف واالختصارات
9......................................................................................................................................... .2.1قائمة المصطلحات
10....................................................................................................................................................... .3سياسات العمل
10 3.1هدف السياسة
.3.1.1تحليل أثر األعمال 10
.3.1.2تقييم المخاطر 10
10 .3.1.3الحفاظ على استراتيجية االستمرارية
.3.1.4خطط استمرارية األعمال 10
10 . 3.1.5خطط تقنية المعلومات الستعادة القدرة على العمل بعد الكوارث وإجراءات النسخ االحتياطي
.3.1.6االختبار والتمريين 11...............................................................................................................................................
.3.1.7إدارة األزمات 11....................................................................................................................................................
.3.1.8التدريب والتوعية 11................................................................................................................................................
.3.1.9مراجعة الوثيقة وتحديثها 11
.3.1.10التقارير اإلدارية 11................................................................................................................................................
11 .3.1.11حوكمة برنامج إدارة استمرارية األعمال
.3.1.12تحسين األداء 11....................................................................................................................................................
.3.1.13التحسين المستمر 12
12 .3.2الهيكل الوظيفي إلدارة استمرارية األعمال
3.2.1اللجنة التوجيهية 12
12 3.2.2فريق إدارة استمرارية األعمال
13............................................................................................................................................ 3.3بطاقة السياسة
13............................................................................................................................................................... .4المالحق
4
المقدمة .1
]يرجى العلم أن جميع التفاصيل المذكورة في هذه السياسة معدة بحسب أفضل الممارسات العالمية وهي مجرد أمثلة توضيحية يمكن االستعانة بها في
السياسة الخاصة بالشركة وهي ليست إلزامية[
]يرجى العلم أن الغرض من السياسة معد بحسب أفضل الممارسات العالمية وهو مجرد مثال توضيحي يمكن االستعانة به في تحضير الغرض الخاص
بالشركة وهو ليس إلزامي[
تعد الشركة مسؤولة عن < يرجى تفصيل الخدمات والعمليات داخل الشركة >
تدرك الشركة المخاطر التشغيلية واالستراتيجية والمالية والمخاطر المحتملة لألط++راف المعني++ة المرتبط++ة ب++الحوادث ال++تي يمكن أن تتس++بب في تعط++ل س++ير
ض ا أهمية المرونة التنظيمية من أجل تقليل أثر الحادث إلى الحد األدنى ومواصلة تقديم خدماتها +الحرجة بالحد المقبول والمتفق عليه. األعمال؛ كما وتدرك أي ً
]يرجى العلم أن جميع أهداف برنامج استمرارية األعمال المذكورة معدة بحسب أفضل الممارسات العالمية وهي مجرد أمثلة توضيحية يمكن االستعانة
بها في كتابة االهداف الخاصة بالشركة وهي ليست إلزامية[
تم تصميم برنامج استمرارية األعمال في الشركة بما يتماشى مع األهداف االستراتيجية لضمان السالمة واألمن واستمرارية الخدمات واألعمال .وتتمثل هذه
األهداف بما يلي:
ضمان صحة وسالمة موظفي الشركة في الحاالت الطارئة.
بناء إطار قوي للتنفيذ الفعال لنظام إدارة استمرارية األعمال.
ضمان استمرارية خدمات وعمليات وأنشطة األعمال الحرجة بالحد المقبول والمتفق عليه.
ضمان توافر خدمات تقنية المعلومات ،مثل البيانات والشبكات والتطبيقات؛ والموارد األخ++رى من أج++ل تق++ديم الخ++دمات األساس++ية +والوظ++ائف الداعم++ة
دون انقطاع.
الحد من االضطرابات التشغيلية التي قد تؤدي إلى آثار مالية حتى تتمكن الشركة من االستمرار في تحقيق اإليرادات.
ضمان االمتثال للمتطلبات القانونية والتنظيمية المعمول بها.
ضمان المشاركة +الفعالة باستمرارية األعمال مع أصحاب المصلحة الداخليين والخارجيين ذوي الصلة أي األطراف المعنية.
حماية سمعة +الشركة من خالل اإلدارة الفعالة للحاالت الطارئة.
تمكين االعتراف بقدرات الشركة على المستوى الدولي وعلى مستوى الجهات +األخرى.
تطوير ودعم ثقافة استمرارية األعمال في الشركة.
]يرجى العلم أن هذا القسم معني باألفراد المصرح لهم باالطالع على الوثيقة كما في المثال المذكور[
يتم تصنيف هذه الوثيقة بأنها وثيقة "داخلية" ،أي أنه سوف يتم مشاركة الوثيقة مع كافة +موظفي الشركة.
سيتطلب اإلفصاح عن هذه الوثيقة ألي كيان أو موظف خارجي بموافقة مالك الوثيقة .وسيتم تخزين نسخة إلكترونية من هذه الوثيقة في الشركة.
5
نطاق السياسة .1.4
]يرجى العلم أن نطاق السياسة معد بحسب أفضل الممارسات العالمية وهو مجرد مثال توضيحي يمكن االستعانة به في تحضير النطاق الخاص بالشركة
وهو ليس إلزامي[
ستطبق سياسة +إدارة استمرارية أعمال الشركة على جميع ال وظائف األساسية والداعمة وجميع مواقع التش++غيل ،وعلى م++وظفي الش++ركة وم++وظفي الم+وردين
الخارجيين العاملين في مواقع الشركة.
تشمل البرامج التي تندرج تحت هذه السياسة:
]يرجى العلم أن البرامج المذكورة تم إضافتها بحسب أفضل الممارسات العالمية وهو مجرد مثال توضيحي يمكن االستعانة به في اختيار البرامج الخاصة
بالشركة وهو ليس إلزامي[
]يرجى العلم أن هذا القسم معني بأي استثناءات لنطاق عمل السياسة كما في المثال المذكور[
يستثنى من هذه السياسة جميع الموظفين الميدانيين المتواجدون بشكل دائم في مقرات العمالء
]يرجى العلم أن هذا القسم معني بإجراءات التعديل على السياسة كما في المثال المذكور[
6
يتم مراجعة السياسة سنويا على األقل كجزء من دورة المراجعة والصيانة أو عند الحاجة عقب أي تغييرات تنظيمية أو استراتيجية كبيرة في الشركة.
سيتم مراجعة جميع التحديثات على هذه الوثيقة والموافقة عليها من قبل < أدخل اسم المسؤول>.
يتم إصدار نسخة جديدة من الوثيقة في حال تحديث للسياسة .ويقوم فريق إدارة استمرارية األعمال بتحديث معلومات إصدار الوثيقة بالكام++ل في س++جل
تعديل الوثيقة.
]يرجى العلم أن هذا القسم معني بذكر أي أنظمة وقواعد وإرشادات تم االلتزام بها خالل إعداد هذه السياسة كما في المثال المذكور[
تتوافق سياسة إدارة استمرارية أعمال الشركة مع المتطلب++ات المق++ررة لمعي++ار ISO 22301: 2019وتتواف++ق م++ع جمي++ع المتطلب++ات القانوني++ة والتنظيمي++ة
المعمول بها.
يتعاون فريق إدارة استمرارية األعمال مع وحدة العم+ل القانوني+ة في الش++ركة للحف+اظ على قائم+ة ش+املة لجمي+ع الس++لطات والهيئ+ات المحلي++ة وك++ذلك لجمي++ع
المتطلبات القانونية والتنظيمية الواجب االمتثال لها.
ض ا بدور األمين على األدلة التي تؤكد امتثال الشركة للمتطلبات المذكورة.
سيقوم فريق إدارة استمرارية األعمال في الشركة أي ً
]يرجى العلم أن هذا القسم معني بذكر األدوار والمسؤوليات األساسية في نظام إدارة استمرارية األعمالكما في المثال المذكور[
سيكون مدير استمرارية األعمال وهو عضو في اللجنة التوجيهية مسؤوالً عن تطبيق سياسة إدارة استمرارية األعمال في الشركة.
سيكون فريق إدارة استمرارية األعمال في الشركة مسؤوالً عن التنفيذ والصيانة الشاملة لسياسة إدارة استمرارية األعمال.
7
التعاريف واالختصارات .2
االختصارات .2.1
التعريف االختصار
إدارة استمرارية األعمال BCM
تقييم أثر انقطاع األعمال BIA
المعيار البريطاني BS
هيئة االتصاالت وتقنية المعلومات CITC
الموارد البشرية HR
االتصاالت وتقنية المعلومات+ ICT
المنظمة الدولية للمعايير( +آيزو) ISO
وزارة االتصاالت وتقنية المعلومات+ MCIT
الرابطة الوطنية للحماية من الحرائق NFPA
وحدة المخاطر الوطنية NRU
برنامج التحول الوطني NTP
تقييم المخاطر RA
إدارة المخاطر RM
نقاط التعطل بدون بديل SPoF
الوصف المصطلح
هي قائمة أو جدول يحدد الصالحيات الممنوحة لألطراف المختلفة في الشركة سواء كانت صالحيات مالية أو إدارية أو مصفوفة الصالحياتk
تشغيلية .كما يبين نوع الصالحية الممنوحة سواء كانت إعداد أو مراجعة أو اعتماد. ()Authority Matrix
عملية اإلدارة والحوكمة المستمرة +بدعم من أعلى سلطة وتزويدها بالموارد المناسبة لتنفيذ إدارة استمرارية األعمال والحفاظ
عليها .ويتضمن اآلتي- :
إعداد إطار عمل لحوكمة إدارة استمرارية األعمال -1 برنامج استمرارية األعمال
تقييم +أثر انقطاع األعمال وتقييم +المخاطر -2 (Business Continuity
استراتيجيات +استمرارية األعمال وخطط االستجابة والتعافي من الكوارث -3 )Management Program
تطبيق +وتقييم فاعلية وكفاءة +خطط وإجراءات إدارة استمرارية األعمال -4 BCM Program
مراجعة وتحسين إدارة استمرارية األعمال -5
التغيير الثقافي إلدارة استمرارية األعمال -6
]يرجى العلم أن الهدف من السياسة معد بحسب أفضل الممارسات العالمية وهو مجرد مثال توضيحي يمكن االستعانة به في تحضير الهدف الخاص
بالشركة وهو ليس إلزامي[
تلتزم الشركة بتطوير وتنفيذ وصيانة وتحسين نظام متكامل إلدارة استمرارية األعمال بما يتماشى مع متطلبات ISO 22301: 2019م+ع االمتث+ال لجمي+ع
المتطلبات القانونية والتنظيمية المنطبقة .وستقوم الشركة بتطبيق ضوابط االستمرارية للنطاق المحدد من األش++خاص والمه++ام األساس++ية +واألعم++ال الرئيس++ية
والداعمة والشركاء التجاريين وجميع أصحاب المصلحة الداخليين والخارجيين؛ والسعي لتقليل خطر عدم توفر الخدمات +والمواقع وخدمات تقنية المعلومات
والموارد .ستتبنى اللجنة التوجيهية للشركة هيكل حوكمة فعال لنظام إدارة استمرارية األعمال لضمان فعالية وكفاءة ومالءمة النظام لطبيعة األعمال.
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بتحليل أثر انقطاع األعمال في السياسة كما في المثال المذكور[
10
يقوم فريق إدارة استمرارية األعمال في الشركة بمراجعة منهجية تحليل أثر انقطاع األعمال سنويا أو ان لزم األمر.
يراجع فريق إدارة استمرارية األعمال في الشركة نتائج تحليل أثر انقطاع األعمال لجميع الوظائف األساسية والداعمة في المقر الرئيسي سنويا.
يعد رؤساء اإلدارات عن مراجعة وموافقة نتائج تحليل أثر انقطاع األعمال للوظائف المدارة من قبلهم.
يعد سفراء برنامج استمرارية األعمال عن إجراء تحليل أثر انقطاع األعمال لدائرتهم ووظائفها.
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بتقييم المخاطر في السياسة كما في المثال المذكور[
يقوم فريق إدارة استمرارية األعمال في الشركة بمراجعة منهجية تقييم المخاطر من منظور استمرارية األعمال ورفع التوص++يات بالتح++ديثات الالزم++ة
إن وجدت ،لفريق إدارة المخاطر سنويا.
يتعاون فريق إدارة استمرارية األعمال مع فريق إدارة المخاطر في الشركة إلجراء تقييم مخاطر االستمرارية سنويا لآلتي:
وظائف األعمال األساسية +والداعمة في المقر الرئيسي o
مواقع التشغيل والبنية التحتية وخدمات وبنية تقنية المعلومات التحتية o
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية باستراتيجيات استمرارية األعمال في السياسة كما في المثال المذكور[
يحدد فريق إدارة استمرارية األعمال في الشركة االستراتيجيات المناسبة الستمرارية األعمال بنا ًء على نتائج تحليل أثر األعمال وتقييم المخاطر.
توافق اللجنة التوجيهية على استراتيجيات استئناف الخدمات والعمليات واألنشطة حسب أهميتها
على فريق إدارة استمرارية األعمال التنسيق مع الفرق المعنية لتنفيذ استراتيجيات االستمرارية المعتمدة للخدمات والعمليات واألنشطة
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بإعداد خطط استمرارية األعمال في السياسة كما في المثال المذكور[
يقوم فريق إدارة استمرارية األعمال في الشركة بتطوير وتنفيذ خطط استمرارية األعمال لجميع وظائف األعمال األساسية والداعمة في المقر الرئيسي
لتمكينهم من استعادة عملياتهم وخدماتهم وأنشطتهم الحرجة عن طريق إجراءات االسترداد المحددة والمختبرة مسبقًا
ستتمتع كل وظيفة من وظائف األعمال والدعم بخطط استمرارية األعمال الخاصة بكل منها؛
يتولى فريق إدارة استمرارية األعمال في الشركة دور األمين على جمي+ع خط+ط اس+تمرارية األعم+ال ويع+د مس+ؤوال عن مراجعته+ا وتح+ديثها من قب+ل
مالكيها سنويا
يقوم فريق إدارة استمرارية األعمال بالتنسيق مع فريق إدارة الحوادث في الشركة الستعادة الخدمات الحرجة أثناء الحوادث.
خطط تقنية المعلومات الستعادة القدرة على العمل بعد الكوارث وإجراءات النسخ االحتياطي .3.1.5
]يرجى العلم أن هذا القسم مضاف للوثيقة كون خطط تقنية المعلومات الستعادة القدرة على العمل بعد الكوارث هي جزء من نظام إدارة استمرارية
األعمال كما تم تحديده مسبقا ً في السياسة كما في المثال المذكور[
على فريق إدارة استمرارية األعمال بالتنسيق م+ع ف++رق تقني++ة المعلوم+ات في الش+ركة المحافظ++ة على خط+ط التع++افي والكتب التش++غيلية لك+وارث تقني+ة
المعلومات؛
على فريق إدارة استمرارية األعمال في الشركة التأكد من أن إجراءات التعافي من كوارث تقنية المعلومات المنفذة من قبل فرق تقنية المعلومات تحقق
الوقت المستهدف لالسترجاع النقطة المستهدفة +السترجاع البيانات.
]في حال وجود أي إجراءات إضافية معنية بأي من الخطط أو الوثائق ضمن النطاق فيجب إضافتها كقسم إضافي هنا وكما في المثال المذكور سابقاً[
11
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية باالختبار والتمرين كما في المثال المذكور[
على فريق إدارة استمرارية األعمال في الشركة ،بالتنسيق مع الوظائف المعنية ،اختبار خطط استمرارية األعمال وخطط االستجابة لحاالت الط++وارئ
وخطط التعافي من كوارث تقنية المعلومات سنويا؛
سيتولى سفراء برنامج استمرارية األعمال مسؤولية ضمان مشاركة الموظفين في االختبارات والتدريبات المخطط لها.
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بإدارة األزمات في السياسة كما في المثال المذكور[
يعد فريق إدارة األزمات مسؤول عن تطبيق خطة إدارة األزمات وعن إدارة األزمات حال حدوثها
يتعاون فريق إدارة استمرارية األعمال مع فريق إدارة األزمات إلدارة األزمات حال حدوثها
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بالتدريب والتوعية كما في المثال المذكور[
سيقوم فريق إدارة استمرارية األعمال في الشركة بتطوير برنامج لتوعية وتدريب الموظفين على الحد من المخاطر التش++غيلية والت++أهب واالس++تمرارية
واستعادة الخدمات الحرجة؛
على فريق إدارة استمرارية األعمال أن يقوم بتدريب الموظفين المعينين على أدوارهم ومسؤولياتهم قبل وأثناء وبعد وقوع الحادث.
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بمراجعة وثائق نظام إدارة استمرارية األعمال كما في المثال المذكور[
يقوم فريق إدارة استمرارية األعمال في الشركة بمراجعة وتحديث جميع وثائق نظام إدارة استمرارية األعمال أي السياس++ة واإلط++ار ووث++ائق الحوكم++ة
سنوياٌ.
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية برفع التقارير اإلدارية الخاصة بنظام إدارة استمرارية األعمال كما في المثال المذكور[
يرفع فريق إدارة استمرارية األعمال للجنة التوجيهية في الشركة تقرير حالة ربعي لبرنامج إدارة استمرارية األعمال ويطرح النقاط التالية ،على سبيل
المثال ال الحصر ،للنقاش:
نتائج تحليل أثر األعمال وتقييم المخاطر o
الدروس المستفادة من الحوادث واالختبارات والتدريبات o
التحديات o
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بحوكمة نظام إدارة استمرارية األعمال كما في المثال المذكور[
تتحمل اللجنة التوجيهية مسؤولية اإلشراف على برنامج استمرارية األعمال وتخصيص الميزانية والموارد لتمكين مبادرات إدارة استمرارية األعمال؛
على مدير استمرارية األعمال تقديم معلومات وافية إلى اللجنة التوجيهية لمساعدتهم في اتخاذ القرارات المتعلقة بإدارة استمرارية األعمال.
12
تحسين األداء .3.1.12
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بتحسين أداء نظام إدارة استمرارية األعمال كما في المثال المذكور[
على فريق إدارة استمرارية األعمال في الشركة تحديد طرق لمراقبة وتقييم وتحسين نظام إدارة استمرارية األعمال؛
على فريق إدارة استمرارية األعمال في الشركة إجراء تقييمات إلجراءات وقدرات استمرارية األعمال لضمان مالءمتها وكفايتها وفعاليتها؛
على اللجنة التوجيهية ضمان تنفيذ تدقيق داخلي لنظام إدارة استمرارية األعمال سنويا.
]يرجى العلم أن هذا القسم معني بتحديد اإلجراءات المعنية بالتحسين المستمر ألداء نظام إدارة استمرارية األعمال كما في المثال المذكور[
على فريق إدارة استمرارية األعمال في الشركة أن يتخذ اإلجراءات الالزمة لتحسين نظام إدارة استمرارية األعمال والمرونة التنظيمي++ة الح++اليين بن++ا ًء
على نتائج عمليات تقييم األداء.
]يرجى العلم أن هذا القسم معني بتحديد الهيكل الوظيفي لنظام إدارة استمرارية األعمال كما في المثال المذكور وبحسب ما تم إيضاحه في الدليل
اإلرشادي[
اللجنة التوجيهية
13
بطاقة السياسة 3.3
مثال :تأسيس نظم إدارة استمرارية األعمال داخل الشركة. الهدف من السياسة
مثال:
اللجنة التوجيهية بالشركة
فريق إدارة استمرارية األعمال
منفذي السياسة
جميع موظفي الشركة والموردين من األطراف الثالثة
المالحق .4
14