ISO 22301 İş Sürekliliği Yönetim Sistemi  Nedir (İSYS)

ISO 22301 İş Sürekliliği Yönetim Sistemi, bir organizasyonun ürün ve servislerini kesinti olayları sonrasında kabul edilebilir seviyede sürdürebilme kapasitesidir. Bu standart iş sürekliliğinin oluşturulması, uygulanması, izlenmesi, gözden geçirilmesi, sürekliliğinin sağlanması ve iyileştirilmesi için risk yaklaşımını esas alan bir yönetim sistemi standardıdır.

Süreçlerin aksamasına sebep olabilecek bir olayın ardından bir kurum/kuruluş ürün veya hizmet sağlama kabiliyetinin önceden belirlenmiş kabul edilebilir seviyelerde devam etmesi, bir faaliyetin kesintiye uğraması sonucunda kurum/kuruluş faaliyetinin devam edebilmesinin temin edilebilmesi için prosesler, prosedürler, kararlar ve faaliyetler oluşturması, başka bir ifadeyle, kuruluşların krizlerden ve felaketlerden kaçınmasına yardımcı olmak için proaktif ve reaktif planlar yaparak bu gibi durumlar gerçekleştiğinde hızlı bir şekilde olağan duruma geri dönülebilmesini sağlamaya yardımcı olur.

ISO 22301 standardında İş Sürekliliği Yönetim Sistemi “Bir kuruluşa yönelik potansiyel tehditleri ve gerçekleşmeleri durumunda bu tehditlerin iş operasyonlarına etkilerini tanımlayan ve kuruluşun ana paydaşlarının çıkarlarını, itibarını, marka ve değer yaratma faaliyetlerini korumaya yönelik bir müdahale kapasitesine sahip olacak kurumsal bir direnç inşa etmenin ana çerçevesini oluşturan bütünsel yönetim süreci” şeklinde açıklanmaktadır. Bu sistemin temel amacı işletmenin olağan üstü bir durum karşısında gerekecek müdahale kapasitesini oluşturmaktır. ISO 22301 İş Sürekliliği Yönetim Sistemi çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) dahil olmak üzere tüm teknoloji sistemlerini kapsamaktadır.

ISO 22301 İş Sürekliliği Yönetim Sistemi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 İş Sürekliliği Yönetim Sistemi rehber edinilerek kurulan İSYS’nin belgelendirmesi için “ISO 22301:2012 İş Sürekliliği Yönetim Sistemleri” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İş Sürekliliği Yönetim Sistemini kurum/kuruluşun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gerekli ihtiyaçlarını kapsamaktadır.

ISO22301 ve ISO 22313 standartları iş sürekliliği konusunda en temel başvuru kaynaklarıdır. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler. Teknik tarafta ise ITIL, ISO 20000, ISO 27001, BS 25777 gibi standartlar ISO 22301 İş Sürekliliği Yönetim Sistemi’nin uygulamasında kullanılabilecek standartlar arasındadır.

ISO 22301 İş Sürekliliği Yönetim Sistemi standartları kapsamında ISO 22313:2012 İş Sürekliliği Yönetim Sistemi’nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modeli İş Sürekliliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak İş Sürekliliği sonuçlarını üretir.

İSYS Nedir?

ISO 22313:2012 İş Sürekliliği Yönetim Sistemi (İSYS) toplam yönetim sisteminin bir parçasıdır ve kurulum, uygulama, işletim, izleme, gözden geçirme, bakım ve geliştirme faaliyetleri ile iş sürekliliğini sağlamayı hedefler. Bu yönetim sistemi; organizasyonel yapı, politikalar, planlanmış faaliyetler, sorumluluklar, prosedürler, süreçler ve kaynakların bir araya getirilmesi ile oluşur.

İş Sürekliliği Planı, ilgili kurumun dökümante edilmiş prosedürleri aracılığı ile olabilecek herhangi bir kesintiye karşı, önceden tanımlanmış seviyelerdeki operasyonlarının tepki verme, kurtarma, kaldığı yerden devam etme ve eski haline getirme fonksionlarını yerine getirmesine yardımcı olur.

ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesinin Faydaları

• Faaliyetlere yönelik mevcut ve olası tehditlerin belirlenmesi ve yönetilmesini sağlar
• Olayların etkilerini en aza indirmek için proaktif bir yaklaşım sergiler
• Krizler sırasında kritik işlemlerin devamını destekler
• Krizler sonrası toparlanma sürecinin iyileştirilmesi ve olayların gerçekleşmesi sırasında/sonucunda faaliyet duruşlarının en aza indirilmesi sağlar
• Müşteriler ve tedarikçilerin isteklerinin / taleplerinin karşılanabilmesi için ihtiyaç duyulan esnekliğin gösterilmesini sağlar
• Kuruluşların iş sürekliliğini temin edebilmesi için sistematik bir yaklaşım sağlar
• Organizasyonel yapı, çalışanlar, politikalar, planlama faaliyetleri, prosedürler, prosesler ve kaynaklara yönelik şartları ihtiva etmesi sebebi ile yönetimsel kolaylık sağlar
• Müşteri güven ve memnuniyet derecesini arttırır

ISO 22301 İş Sürekliliği Yönetim Sistemi Tarihçesi

İlk olarak 2006 yılında British Standards Institution (BSI) tarafından BS 25999-1 ismiyle birinci bölümü yayınlanmıştır. İkinci bölümü ise, 2007 yılında BS 25999-2 adıyla yayınlanmıştır.

BS 25999-2 Kasım 2012’de uluslararası standart olan ISO 22301 standart’ının içine alınmıştır. Daha sonra BS 25999-1 standart’ı ise 2013 yılının başlarında ISO 22313 standardı ile değiştirilmiştir.

ISO 22301 – İş Sürekliliği Yönetim Sistemi Standardının Maddeleri

 1.Kapsam

2.Referanslar

3.Terimler ve tarifler

4.Kuruluşun içeriği

4.1.Kuruluş ve içeriğini anlamak

4.2.İlgili tarafların beklentileri ve gereksinimlerini anlamak

4.3.İş sürekliliği yönetim sisteminin kapsamını belirlemek

4.4.İş sürekliliği yönetim sistemi

5.Liderlik

5.1.Liderlik ve taahhüt

5.2.Yönetim taahhüdü

5.3.Politika

5.4.Roller sorumluluklar ve yetkiler

6.Planlama

6.1.Risk ve fırsatların tanımlanması eylemleri

6.2.İş sürekliliği hedefleri ve ulaşmak için planlar

7.Destek

7.1.Kaynaklar

7.2.Yeterlilik

7.3.Farkındalık

7.4.İletişim

7.5.Dokümante edilmiş bilgiler

8.Operasyon

8.1. Operasyonel planlama ve kontrol

8.2.İş etki analizi ve risk değerlendirme

8.3.İş sürekliliği stratejisi

8.4.İş sürekliliği süreçlerinin kurulması ve uygulanması

8.5. Uygulama ve test

9.Performans değerlendirme

9.1.İzleme, ölçme, analiz ve değerlendirme

9.2.İç denetim

9.3.Yönetim gözden geçirme

10.Geliştirme

10.1.Düzeltici ve önleyici faaliyetler

10.2.Sürekli iyileştirme

ISO 22301 İş Sürekliliği Standart Ailesi Nelerdir?

• ISO / FDIS 22300 Terminoloji

• ISO / DIS 22301 İş Sürekliliği Yönetim Sistemleri – Gereksinimler

• ISO / TR 22312: 2011- Teknolojik Yetenekler

• ISO / DIS 22313- İş Süreklilik Yönetim Sistemleri – Rehberlik

• ISO / NP 22315 Toplumsal Güvenlik – Toplu Tahliye

• ISO 22320: 2011 Toplumsal Güvenlik – Acil Durum Yönetimi – Vaka Tepkisi İçin Gerekenler

• ISO / CD 22322 Toplumsal Güvenlik – Acil Durum Yönetimi – Kamu Uyarısı

• ISO / WD 22323 Kurumsal Esneklik Yönetim Sistemleri – Kullanım Talimatları İle Birlikte Şartlar

• ISO / NP 22324 Acil Durum Yönetimi

• ISO / NP TS 22351 Felaket ve Acil Durum Yönetimi

• ISO / NP 22397 Kamu Özel Sektör Ortaklığı

• ISO / CD 22398 Egzersizler ve Test Etme Esasları

• ISO / PAS 22399: 2007 Olay Hazırlığı ve Operasyonel Süreklilik Yönetimi İçin Kılavuz

• ISO / IEC 27031: 2011 İş İletişimi İçin Hazır Bilgi ve İletişim Teknolojisi İle İlgili Esaslar

• ISO / IEC 24762: 2008 Bilgi ve İletişim Teknolojileri Felaket Kurtarma Hizmetleri İçin Yönergeler

ISO 22301 İş Sürekliliği Yönetim Sistemi için Diğer Hangi Standartlardan Faydalanılmalıdır?

• ISO 9001: 2015, Kalite Yönetim Sistemi

• ISO 14001: 2015, Çevre Yönetim Sistemleri

• ISO / IEC 20000-1: 2011 Bilişim Teknolojisi – Hizmet Yönetim Sistemi

• ISO / PAS 22399: 2007, Toplumsal Güvenlik – Olay Hazırlığı Ve Operasyonel Süreklilik Yönetimi İçin Yönerge

• ISO / IEC 24762, Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Teknolojisi Felaket Kurtarma Hizmetleri İçin Yönergeler

• ISO / IEC 27001: 2013 – Bilgi Güvenliği Yönetim Sistemi

• ISO / IEC 27031- İş Devamlılığı İçin BİT Hazırlığı

• ISO 31000: 2009- Risk Yönetimi

• ISO / IEC 31010: 2009-Risk yönetimi – Risk Değerlendirme Teknikleri

• HB 221: 2004, İş Sürekliliği Yönetimi, Standartlar Avustralya / Standartlar Yeni Zelanda, ISBN 0-7337-6250-6

• SI 24001: 2007, Güvenlik Ve Süreklilik Yönetim Sistemleri – Kullanım Şartları Ve Rehberliği (İsrail Standartları Enstitüsü)

• NFPA 1600: 2010, Afet / Acil Durum Yönetimi ve İş Sürekliliği Standartları Standardı, Ulusal Yangın Önleme Kurumu (ABD)

• İş Sürekliliği Planı Hazırlama Rehberi, Ekonomi, Ticaret ve Endüstri Bakanlığı (Japonya), 2005

• İş Sürekliliği Rehberi, Merkezi Afet Yönetim Konseyi, Kabine Ofisi, Japonya Hükümeti, 2005

• Örgütsel Dayanıklılık: Güvenlik, Hazırlık Ve Süreklilik Yönetim Sistemleri – Kullanım Kılavuzu,

• İş Sürekliliği Yönetimi için Singapur Standardı, SS 540: 2008

Kurtarma Süresi Hedefi – RTO (Recovery TIme ObjectIve) Nedir?

Kesintiye uğrayan iş sürecinin ne kadar süre sonra çalışır hale getirileceğine dair hedef süredir. Bu sebeple kesintiye uğrayan iş sürecinin veya BT bileşeninin belirlenen RTO süresi içerisinde tekrar çalışır hale getirilmesi için gerekli planlamanın yapılması gereklidir.

Örnek: Bir sunucu için RTO değerinin 4 saat oluşu, sunucunun herhangi bir nedenle çalışamaz hale gelmesi durumunda en geç 4 saat sonra tekrar çalıştırılması gerektiği anlamına gelir.

Kurtarma Noktası Hedefi – RPO (Recovery PoInt ObjectIve) Nedir?

Bir iş süreci veya BT bileşeni için kurumun kabul edebileceği maksimum veri kaybını süre olarak ifade eder.

Örnek: Bir iş süreci için RPO değerinin 1 saat oluşu söz konusu iş sürecinin en fazla 1 saatlik veri kaybı ile tekrar çalıştırılması hedeflendiği anlamına gelir. Herhangi bir nedenle veri kaybı yaşandığında en eski 1 saatlik veri geri yüklenebilmelidir.

Kabul Edilebilir Azami Kesinti Süresi – MTPOD (Maximum Tolerable Period of Disruption) Nedir?

Bir iş süreci veya bilgi teknolojileri bileşeni için kurumun kabul edebileceği / tolerans gösterebileceği maksimum kesinti süresini ifade eder. Bu süre aşıldığında kurum ciddi boyutta zarar görür. Zarar finansal olabileceği gibi kurum itibarı da olabilir.

Örnek: Bir iş süreci için MTPoD değerinin 1 gün oluşu, sürecin herhangi bir nedenle çalışamaz hale gelmesi durumunda kurumun buna en fazla 1 gün tahammülü olduğunu gösterir.