عملیات و → مدیریت تداوم کسب و کار

1) BCP چیست و چرا مورد نیاز است

BCP (برنامه ریزی تداوم کسب و کار) یک رویکرد سیستماتیک برای اطمینان از ثبات فرآیندهای کسب و کار در هر شکست است: از شکست مرکز داده به بحران ارائه دهنده، نشت داده ها و یا رشد بار ناگهانی.
در محصولات با بار بالا (iGaming، fintech، marketplaces)، این نه تنها در مورد زیرساخت است - بلکه در مورد حفظ اعتماد، انطباق با تعهدات قانونی و حفاظت از درآمد است.

• در دسترس بودن خدمات و داده های مهم را حفظ کنید.
• به حداقل رساندن زمان بازیابی (RTO) و از دست دادن داده ها (RPO).
• اطمینان از عملکرد تیم ها، ارتباطات و شرکای خارجی در بحران.
• پاسخ و آموزش کارکنان را استاندارد کنید.

2) اجزای اصلی BCP

1. BIA (Business Impact Analysis) - تأثیر شکست در فرایندها و کسب و کار را ارزیابی کنید.
2. ریسک ها و سناریوها ماتریسی از تهدیدات (زیرساختی، خارجی، انسانی) هستند.
3. هدف RTO/RPO - بازیابی و از دست دادن اهداف.
4. برنامه بازیابی (DRP) - مراحل دقیق برای راه اندازی مجدد سیستم ها و فرایندها.
5. ارتباطات - کانال های داخلی و خارجی، قالب های اطلاع رسانی.
6. تست و تجدید نظر - چک های منظم، تمرینات، پس از تجزیه و تحلیل.
7. مستندات و کنترل نسخه - دسترسی متمرکز و ارتباط.

3) تجزیه و تحلیل ضربه (BIA)

BIA تعیین می کند که کدام فرایندها حیاتی هستند و با چه سرعتی باید بازسازی شوند.

1. لیست تمام فرآیندهای کسب و کار (پرداخت ها، شرط ها، بازی ها، KYC، پشتیبانی).

2. تعریف وابستگی ها (خدمات، داده ها، ارائه دهندگان، کارمندان).

3. ارزیابی تاثیر شکست: مالی، حقوقی، شهرت، عملیاتی.

4. تنظیم RTO/RPO برای هر فرآیند.

5. اولویت بندی: «باید داشته باشد»، «باید داشته باشد»، «خوب است که داشته باشد».

4) ماتریس ریسک

5) RTO، RPO و سطح بحرانی

Recovery Time Objective (RTO): چه مقدار زمان قبل از بازیابی مجاز است.
Recovery Point Objective (RPO): چه مقدار از داده ها را می توان از دست داد.

6) DRP (طرح بازیابی فاجعه)

هدف این است که اطمینان حاصل شود بهبود سریع و سازگار سیستم.

1. شناسایی سناریوها (فاجعه مرکز داده، شکست PSP، سازش کلیدی، از دست دادن شبکه).

2. برای هر اسکریپت - یک playbook گام به گام آماده شده است.

3. پشتیبانی از زیرساخت DR: خوشه های پشتیبان، کپی پایگاه داده، CDN/لبه.

4. به طور منظم روش های RTO/RPO و شکست را آزمایش کنید.

5. تمام دستورالعمل ها را در یک مخزن کنترل شده با نسخه واحد ذخیره کنید.

Scenario: EU region falls
RTO: 30 min    RPO: 5 min
Actions:
1. Activate plan DR # EU
2. Switch DNS → AP Region
3. Verify database consistency (replication lag ≤ 60s)
4. Update Status on StatusPage
5. Perform API benchmarking

7) سازماندهی تیم ها و نقش ها

هماهنگ کننده BCP: صاحب برنامه، ممیزی ها و تست ها را سازماندهی می کند.
DR Lead: مسئول اجرای فنی برنامه های DR است.
صاحبان دامنه: از تداوم فرآیندهای خود (پرداخت ها، بازی ها، KYC) اطمینان حاصل کنید.
تیم ارتباطات: مسئول اعلان های داخلی/خارجی و سیستم عامل های وضعیت است.
HR/Admin: BCP برای پرسنل (از راه دور، ارتباطات، دسترسی).
قانونی/انطباق: اعلامیه های قانونی و اقدامات قانونی.

8) ارتباطات در بحران

• پاک کردن کانال ها و تماس های اضافی
• اولین به روز رسانی در عرض 15 دقیقه پس از حادثه است.
• تن یکپارچه ارتباطات، حقایق و ETA.
• هر n دقیقه به روز می شود تا حادثه بسته شود.
• پس از بهبودی - گزارش و پس از مرگ.

[HH: MM] PSP-X failed. Impact: Deposits in EU region.
Measures: feilover on PSP-Y. ETA stabilization: 30 min.
The next update is at 15:00.

9) تست و مته

فنی: تست های شکست خورده، بازیابی پایگاه داده، شبیه سازی DDoS.
اتاق های عمل: تیم های تحویل/تغییر نقش.
تمرینات کامل BCP: سناریوی «خاموشی» یا عدم دسترسی ارائه دهنده.

• تست های DR - سه ماهه ؛
• BCP - تمرین کامل - 1-2 بار در سال.
• مستندات: نتایج، انحراف از RTO/RPO، اقدامات بهبود.

10) معیارها و KPI ها

انطباق RTO: درصد فرآیندهای بازسازی شده ≤ هدف.
انطباق RPO:٪ از فرآیندهای بدون از دست دادن داده ها> هدف.

میزان موفقیت تست DR: تست های موفقیت آمیز روش های بهبودی

پوشش BCP: درصد فرآیندهای با برنامه های به روز (> 90٪).
Comms SLA: اولین خلاصه ≤ 15 دقیقه، به روز رسانی ETA.

SLA Postmortem: 100٪ رویدادهای بحرانی با تجزیه و تحلیل ≤ 72 ساعت

11) مستندسازی و مدیریت دانش

ذخیره سازی تک BCP (نسخه ها، صاحبان، تاریخ تجدید نظر).
کنترل نسخه: حداقل یک بار در هر 6 ماه تجدید نظر کنید.
در دسترس بودن: نسخه های آفلاین و کانال های ارتباطی پشتیبان (از جمله پیام رسان های مخابراتی/فوری).
یکپارچگی: اشاره به BCP در SOP ها، فرآیندهای حادثه و داشبورد عملیاتی.

هماهنگ سازی با ثبت ریسک و سیاست های امنیتی

12) 30/60/90 - طرح اجرایی

• شناسایی مالک BCP و فرآیندهای بحرانی.
• انجام BIA اساسی و طبقه بندی (RTO/RPO).
• یک ماتریس ریسک و یک کاتالوگ از سناریوهای حادثه ایجاد کنید.
• توسعه قالب DRP و نسخه اول برای خدمات اولویت.

• انجام تست DR خلبان (شکست خورده، بازیابی پایگاه داده).
• آماده سازی الگوهای ارتباطی و توزیع نقش.
• ایجاد یک مخزن واحد از اسناد BCP و ادغام SOP.
• شروع تیم های آموزشی و پرسنل در تماس.

• یک تمرین BCP بین تیمی انجام دهید.
• انطباق حسابرسی معیارهای RTO/RPO و KPI.
• نهایی کردن طرح بازنگری و خودکارسازی فرآیندهای BCP
• شامل BCP در OKR های سه ماهه و بررسی امنیت داخلی.

13) ضد الگوهای

«BCP فقط برای نشان دادن»: هیچ آزمون واقعی و بدون صاحبان.
دستورالعمل های قدیمی DR که با معماری فعلی مطابقت ندارند.

کانالها و ارتباطات تأیید نشده

وابستگی های حساب نشده (PSP، CDN، ارائه دهندگان KYC).

عدم وجود عوارض پس از شکست

دسترسی آفلاین به BCP زمانی که شبکه قطع می شود وجود ندارد.

14) نمونه ای از ساختار سند BCP

1. Objectives and Scope
2. Critical Processes (BIA)
3. Risk Matrix
4. Target RTO/RPO
5. DRP (by scenario)
6. Contacts and Roles
7. Communication templates
8. Schedule of tests and exercises
9. Reporting and auditing
10. Version and update history

15) ادغام با بخش های دیگر

تجزیه و تحلیل عملیاتی: سر و صدا و تخریب به معیارهای حوادث.
سیستم اطلاع رسانی و هشدار: سیگنال های اولیه برای راه اندازی روش های BCP.

اخلاق مدیریت: گزارش های شفاف و آزمون های صادقانه

دستیاران هوش مصنوعی: تهیه خودکار خلاصه BCP و لیست های DR-check.
فرهنگ مسئولیت: آموزش، «روزهای بازی»، بازنگری.

16) سوالات متداول

سوال: BCP چه تفاوتی با DRP دارد ؟

BCP - گسترده تر: افراد، فرایندها، ارتباطات، شرکا و زیرساخت ها را پوشش می دهد. DRP - طرح فنی برای بازیابی سیستم IT.

Q: چگونه اغلب BCP را به روز می کنم ؟

A: پس از هر تغییر عمده معماری، حادثه یا حداقل 1 هر 6 ماه.

س: آیا باید شرکای خود را شامل کنم ؟

پاسخ: بله. PSP، KYC و استودیوها - بخشی از زنجیره پیوستگی، باید قراردادهای OLA و BCP خود را داشته باشند.