محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

تفاوت BCP و DRP در چیست؟ طرح تداوم کسب و کار و بازیابی از حادثه

اگر در کلاس های دوره های آموزشی ISO در خصوص امنیت اطلاعات شرکت کرده باشید و یا در حوزه مدیریت فناوری اطلاعات یا ITIL اطلاعاتی داشته باشید و یا اینکه مسئول فناوری اطلاعات در یک شرکت یا سازمان هستید حتما با واژه هایی مثل DRP که مخفف Disaster Recovery Plan و BCP که مخفف Business Continuity Plan است برخورد کرده اید. اما تفاوت اصلی این دو واژه در چیست ؟ امروز می خواهیم در انجمن تخصصی فناوری اطلاعات ایران در این خصوص صحبت کنیم که تفاوت دو مفهوم BCP و DRP در چیست و چه زمانی کاربرد دارند ؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران


قبل از اینکه به سراغ تفاوت ها و شباهت های این دو واژه برویم باید بدانید که زمانیکه افراد مسئول با این دو واژه مواجه می شوند که می خواهند یک طرح ارائه بدهند که در مقابل تهدیدات و حملات و مشکلات و هر چیزی که ممکن است تجارت و سازمان آنها را دچار اختلال کند بعد از بروز اتفاق بد بتوانند فعالیت کاری را به حالت عادی برگردانند و این نقطه مشترک بین BCP و DRP است. این دو مفهوم در بسیاری از موارد بسیار شبیه به هم هستند اما به عنوان یک شخض مسئول شما باید دقیقا تفاوت بین آنها را درک کنید.


BCP یا Business Continuity Plan چیست



BCP یا طرح تداوم کسب و کار چیست ؟

Business Continuity Plan یا BCP که به معنی طرح تداوم کسب و کار یا طرح تداوم تجارت مشهور است در واقع به مجموعه ای از فرآیند ها و دستورالعمل ها اطلاق می شود که توسط یک سازمان پیاده سازی می شود تا سازمان بتواند بعد یا در هنگام بروز یک فاجعه یا Disaster به کار خود و روند فعالیتی روزمره خود باز ادامه دهد. با استفاده از پیاده سازی یک طرح تداوم کسب و کار یا BCP ، سازمان ها در واقع به دنبال حفاظت از سرویس های حساس و حیاتی خود هستند تا بتوانند بعد از بروز فاجعه یا Disaster این سرویس ها را بلافاصله به مدار برگردانند و تجارت و کسب و کار خود را ادامه دهند.

این نوع طراحی و برنامه ریزی که انجام می شود به سازمان اجازه می دهد تا بتوانند سرویس ها را به سرعت بازیابی و به سطح عملیاتی کامل خود در سریعترین زمان و با بالاترین کیفیت ممکن برسانند. در BCP معمولا تمامی فرآیندهای حساس تجاری سازمانی و همه عملیات های مهم تجاری تحت پوشش قرار می گیرند. BCP یک طرح کلان است و معمولا در سطح کلان هم اجرا می شود ، زمانیکه شما می خواهید به درستی مفهوم Business Continuity Plan را درک کنید چنین سئوالی را از خود باید بپرسید :


  • اگر کل ساختمان اداره یا سازمان ما از بین برود ، چگونه می توانیم تجارت خود را مجددا به حالت عادی برگردانیم ؟


DRP در فناوری اطلاعات پیاده سازی طرح بازیابی از حادثه



DRP یا طرح بازیابی از فاجعه چیست ؟

Disaster Recovery Plan یا DRP به معنی طرح بازیابی از فاجعه ( حادثه ، اتفاق بد ، اخ ، تخ ... D: ) گفته می شود و در واقع ما می توانیم از DRP به عنوان یک زیر مجموعه از طرح کلان BCP نگاه کنیم. برای اینکه در یک سازمان ما بتوانیم یک طرح تداوم کسب و کار کامل و جامع داشته باشیم و پیاده سازی کنیم نیاز به طراحی و پیاده سازی مجموعه از DRP ها داریم. DRP بر خلاف BCP که بسیار کلان به همه مسائل نگاه می کند ، نگاه جرئی تر و دقیق تری به مشکلات دارد ، DRP ها معمولا بصورت طرح های کوچک فنی برای گروه های خاص در یک سازمان طراحی و تدوین می شوند و بعضا برای هر قسمت از فعالیت های سازمانی بصورت جداگانه یک طراح بازیابی از فاجعه جداگانه ایجاد می شود.

یکی از شناخته شده ترین طرح های بازیابی از حادثه یا فاجعه ( DRP ) ای که معمولا همه DRP را با آن می شناسند ، DRP مخصوص حوزه فناوری اطلاعات یا IT DRP است. اما نباید فراموش کنیم که ما باید در همه حوزه ها DRP های جداگانه ای داشته باشیم تا در نهایت با تجمیع شدن همه این DRP ها یک BCP درست ایجاد کنیم. یک آزمایش ساده برای اینکه بدانیم در حال حاضر آیا در حوزه فناوری اطلاعات ما یک DRP دقیقا و کاربردی وجود دارد یا خیر این است که این سئوال را از خودمان بپرسیم :


  • اگر همین الان سرویس اتوماسیون اداری سازمان از بین برود چگونه باید آن را بازیابی و به محیط عملیاتی برگردانیم ؟


در طرح بازیابی از حادثه ای که برای سرویس های فناوری اطلاعات طراحی می شود یا در اصطلاح فنی تر IT DRP ها ، اولویت فعال کردن سرویس ها و تکنولوژی های مورد استفاده توسط کاربران و ارائه کردن هر چه سریعتر این سرویس های از کار افتاده است. بعد از فعال کردن این سرویس ها برای کاربران فعال کردن سرویس های دیگر برای سایر قسمت های سازمان در اولویت قرار می گرد ، توجه کنید که اگر مرکز داده انجمن تخصصی فناوری اطلاعات ایران دچار مشکل شود ، اولویت امر بالا آوردن و فعال کردن سرویس وب سایت است تا کاربران بتوانند از آن استفاده کنند ، بعد از اینکه کاربران توانستند از سرویس مجددا استفاده کنند نوبت به برطرف کردن مشکلاتی است که در مرکز داده وجود دارد و باعث بروز مشکل شده است.

  • مباحث مربوط به BCP و DRP از جمله مباحث مدیریت در حوزه امنیت اطلاعات به حساب می آیند و بیشتر در دوره آموزشی سکیوریتی پلاس به آنها پرداخته می شود. برای یادگیری و پیشرفت در حوزه امنیت اطلاعات و آموزش هک و نفوذ ، یادگیری دوره آموزش سکیوریتی پلاس Security+ ، دوره آموزش CEH ( دوره آموزشی هک قانونمند ) را حتما به عزیزان توصیه می کنم. اگر می خواهید تبدیل به یک کارشناس حرفه ای تست نفوذ و امنیت اطلاعات شوید ، پیشنهاد می کنم مقاله چگونه هکر شویم را مطالعه کنید. همچنین اگر علاقه مند به مباحث تحلیل بدافزارها و ویروس های کامپیوتری هستید ، یادگیری دوره آموزش تحلیل بدافزار را توصیه می کنم. در دوره آموزش نتورک پلاس و مفاهیم مدیریت تغییرات هم در خصوص BCP صحبت می کنیم.

یکی از برداشت ها و تصورهای اشتباهی که از IT DRP می شود این است که اکثر مدیران سازمانی ما که در حوزه فناوری اطلاعات فعالیت می کنند این سئوال را از خودشان می پرسند و با جواب دادن به آن خودشان را قانع می کنند : ما در مجموعه طرح بازیابی از حادثه حوزه فناوری اطلاعات را داریم بنابراین همه چیز آروم است و من چقدر خوشبختم ... ( دقیقا به همین ترتیب ) اما این واقعیت ماجرا نیست ، شما علاوه بر یک DRP خوب باید یک BCP خوب نیز در مجموعه پیاده سازی کرده باشید تا برای پرسنل حیاتی و مهم سازمان ، فرآیند های کلیدی و تجاری سازمان ، بازیابی اطلاعات حیاتی و ... طرح بازیابی از حادثه جداگانه ای را دیده باشید.

بنابراین برای درک بهتر تفاوت DRP و BCP کافیست در حال حاضر DRP را یکی از زیر مجموعه های BCP قرار بدهیم . همیشه برای اینکه بتوانید یک DRP خوب برای هر یک از موارد و سرویس های سازمانی خود داشته باشید کافیست یک سئوال در خصوص قسمت های مختلف سازمان از خودتان بپرسید ، در صورت بروز مشکل در این قسمت چه اتفاقی در روند کاری سازمان پیش می آید ؟ اگر بروز مشکل در قسمت مربوطه روند کاری سازمان را دچار اختلال می کند بنابراین در آن قسمت شما نیاز به یک DRP خواهید داشت.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات