İş sürekliliği, ISO 22301 standardında “bir organizasyonun ürün ve servislerini kesinti olayı sonrasında kabul edilebilir seviyede sürdürebilme kapasitesidir.” şeklinde tanımlanmaktadır.
İş Sürekliliği Yönetim Sistemi ise ISO 22301 standardında “Bir kuruluşa yönelik potansiyel tehditleri ve gerçekleşmeleri durumunda bu tehditlerin iş operasyonlarına etkilerini tanımlayan ve kuruluşun ana paydaşlarının çıkarlarını, itibarını, marka ve değer yaratma faaliyetlerini korumaya yönelik bir müdahale kapasitesine sahip olacak kurumsal bir direnç inşa etmenin ana çerçevesini oluşturan bütünsel yönetim süreci” şeklinde açıklanmaktadır. Bu sistemin temel amacı işletmenin olağan üstü bir durum karşısında gerekecek müdahale kapasitesini oluşturmaktır. ISO 22301 İş Sürekliliği Yönetim Sistemi çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) dahil olmak üzere tüm teknoloji sistemlerini kapsamaktadır.
İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan İSYS’nin belgelendirmesi için “ISO 22301:2012 Sosyal Güvenlik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İş Sürekliliği Yönetim Sistemini kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.
ISO22301 ve ISO22313 standartları iş sürekliliği konusunda en temel başvuru kaynaklarıdır. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler. Teknik tarafta ise ITIL, ISO 27031, BS25777 gibi standartlar ISO 22301’in uygulamasında kullanılabilecek standartlar arasındadır.
İSYS standartları kapsamında İSYS’nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modeli İş Sürekliliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak İş Sürekliliği sonuçlarını üretir.
BS 25999 Standardı
Bu kabiliyeti dökümante edilmiş bir yönetim sistemine uyarlamak için, iş sürekliliği konusunda çalışan/iş sürekliliğini uygulayan uzman kişiler/kurumlar ile akademik toplulukların teknik ve uygulama deneyimlerinden yararlanılarak, ilk olarak bir İngiliz standardı olan BS 25999 oluşturulmuş ve iş sürekliliği konusunda tüm dünyada lider bir kaynak olmuştur. İş sürekliliği yönetimi konusunda en iyi uygulamalar dikkate alınarak hazırlanan bu standardın, büyük, orta ve küçük olmak üzere her sektörden organizasyonun (kamu veya özel) iş sürekliliği yönetiminde tek bir kaynak olması hedeflenmiştir.
ISO 22301 Standardı
Birçok standartta olduğu gibi bu konuda da bir geçiş (BS 7799-2‘den ISO 27001‘e gibi) kaçınılmaz olmuş ve International Organization for Standardization (ISO) BS 25999’un yerine geçecek ISO 22301‘i hazırlamaya başlamıştır. 2011 yılı içerisinde taslak sürümü kamuoyu ile paylaşılan standart, 2012 yılı ortasında ISO 22301 Sosyal Güvenlik – İş Sürekliliği Yönetim Sistemi adıyla son hali olarak yayınlanmıştır.
ISO 22301, kurumu kesintiye uğratacak olaylar meydana geldiğinde kurumun hazırlıklı olması, cevap verebilmesi ve geri dönebilmesi için dökümante edilmiş bir yönetim sitemine ilişkin gereksinimleri belirler.
ISO 22301 Standardının Genel Özellikleri
• Her tip veya büyüklükteki endüstri veya sektör için geçerlidir
• Sistematik bir yaklaşım için denenmiş ve test edilmiş bir çerçeve sunar
• Müşteri ihtiyaçlarını, kurum içi ihtiyaçları, mevzuatı, yasal ve düzenleyici gereksinimleri karşılayan bir çerçeve sağlar
• İş sürekliliği için standart gereksinimlerini belirler
• Kesintilere rağmen iş ihtiyaçlarını sürekli karşılayacak bir model sunar
• Tanımlanmış şartların karşılandığını gösteren sertifikasyon için temel oluşturur
ISO 22301 İş Sürekliliği Yönetim Sistemi Standardına Genel Bakış
Standardın, İş Sürekliliği Yönetim Sistemi (İSYS) ile ilgili ana bölümleri şu madde numaraları altındadır.
Madde 4: Organizasyon İçeriği
Madde 5: Liderlik
Madde 6: Planlama
Madde 7: Destek
Madde 8: Operasyon
Madde 9: Performans değerlendirme
Madde 10: İyileştirme
Bu anahtar faaliyetlerin her birinin açıklaması aşağıda verilmiştir.
ISO 22301 Madde 4 : Organizasyonun İçeriği
Standardın İSYS ile ilgili olan ilk maddesinde organizasyonun yapısı, İSYS kapsamı ve risk kriterleri belirlenmesi için kılavuz ifadeler yer almaktadır.
Bu ifadeler özetle;
• Kuruluşun faaliyetleri, ürün ve hizmetleri, ilgili taraflar ve ilgili taraflar ile ilişkileri,
• Risk kriterleri, riske yol açabilecek iç ve dış unsurların belirlenmesi,
• Risk alma eğilimi (risk iştahı) ile bir yıkıcı olayın ilgili taraflara potansiyel etkisi,
• İSYS’de ilgili tarafların ihtiyaç ve beklentileri ile regülatif açıdan gereksinimler,
• İSYS’ye dahil edilecek kuruluş parçalarının doğası ve karmaşıklığına uygun kapsam ve İSYS’ye duyulan ihtiyaç,
gibi başlıklar için tanımlamalar ve açıklamalara duyulan gereksinimi içermektedir.
ISO 22301 Madde 5 : Liderlik
Yönetim sistemi kurulum ve sürdürülmesi için üst yönetim tarafından yetkilendirilmiş bir iş sürekliliği yönetim sistemi lideri gerekmektedir. Bu liderin, yönetimin organizasyon hedeflerini belirleme, gerekli kaynak ve yetkilendirmeyi sağlama ile etkin çalışılabilir ortam oluşturma görevi gibi nedenler ile yönetim sistemine sürekli bağlılık göstermesi gerekmektedir.
İş Sürekliliği lideri için standart;
• Politika ve stratejilerin İş Sürekliliği hedeflerine uygun kurulması,
• Kaynakların kullanılabilir olmalarının sağlanması,
• Liderlik ve taahhüdün motive edici ve güçlendirici olarak kullanılması,
• Kuruluşun amacına uygun, sürekli iyileştirme taahhüdü içeren, kuruluş içinde ve ilgili taraflara duyurulmuş bir iş sürekliliği politikası,
• Gerekli yetkilendirme ile, üst yönetime sunulmak üzere performans ölçümü yapılması,
sorumluluklarını ifade etmektedir.
ISO 22301 Madde 6 : Planlama
İş Sürekliliği Yönetim Sistemi işletilirken, yönetim sisteminin kurulma yöntemlerini içeren bir plan yapılır ve bu plana göre aksiyonlar alınır. Asıl amaç iş sürekliliği hedeflerine ulaşmaktır. İş Sürekliliği hedeflerine ulaşmak için plan yapılırken, kuruluş şunları belirlemelidir;
• Kim sorumlu olacak,
• Ne yapacak,
• Hangi kaynaklar gerekecek,
• Ne zaman tamamlanacak,
• Sonuçlar nasıl değerlendirilecek.
ISO 22301 Madde 7 : Destek
İş Sürekliliği Yönetim Sisteminin kurulum, yürütme, bakım ve geliştirmesi için ihtiyaç duyulan tüm kaynakları, yetkinlikleri, farkındalığı, iletişimi ve dökümantasyon içeriğini, yöntemleri ile birlikte açıklayan bir bölümdür.
ISO 22301 Madde 8 : Operasyon
Operasyon bölümünde ise, belirlenen kapsam ve politikaya göre, yetkilendirilmiş kişiler sorumluluğunda, dahil edilmiş kuruluş parçaları ile birlikte, belirlenmiş tarihe kadar bir İş Sürekliliği Yönetim Sistemi’nin kurulma aşamaları anlatılmaktadır;
Aşamalar özetle şu şekildedir;
• Kriterlerin belirlenmesi ve dökümanlara karar verilmesi ile planlamanın yapılması,
• İş Etki Analizi ve Risk Değerlendirmesi çalışmalarının içermesi gerekenler,
• Analiz ve değerlendirmeler sonrasında, bir iş sürekliliği stratejisi kurma,
• İş Sürekliliği politikasına da bağlı olmak üzere, iş sürekliliği prosedür ve talimatlarını hazırlama,
• Olaya müdahale yapısı ile, bu yapının haberdar edilmesi ve iletişim kurabilmesi için bir yapı oluşturma,
• Zaman kritik iş süreçlerinin kesintisi halinde, nasıl aksiyon alınacağına dair İş Sürekliliği Planları oluşturma,
• Sürekliliği sağlanmış faaliyetlerin, olay oluşmadan önceki hallerine geri dönmelerinin sağlanması için planlar oluşturma,
• İş Sürekliliği Hedefleri ile kurulan bu süreklilik prosedürlerinin uyumluluğunun tatbikat ve testlerle kontrolü.
ISO 22301 Madde 9 : Performans değerlendirme
İzleme, ölçüm, analiz ve değerlendirme aşamalarını içeren bu bölümde, 6.Maddede yapılan kriter belirleme ve ölçüm değerlendirme planlarına göre, kurulmuş yönetim sisteminin uygulanabilirliği ve geçerliliğinin kontrolüne dair açıklamalar bulunmaktadır.
Operasyon aşamalarından ziyade tüm yönetim sisteminin işlerlik ve geçerliliğinin kontrol edilip; prosedürlerin değerlendirilmesi, iç denetim ve yönetimin gözden geçirilmesi ile bir performans değerlendirilmesinin yapılmasına dair yöntemler içeren bölümdür.
ISO 22301 Madde 10 : İyileştirme
Kurulmuş ve işletilen bir İş Sürekliliği Yönetim Sisteminde uygunsuzluklar ortaya çıktığında düzeltici faaliyetler ile uygunsuzluğun düzeltilmesi ve kontrolünün sağlanması gerekir. Bu bölüm düzeltici faaliyet çalışmalarını ve yönetim sisteminin etkinliğinin arttırılması için sürekli iyileştirme gerekliliklerini açıklar. Buna göre ulaşılan hedefler ve yönetim sisteminin verimliliği sürekli test edilir ve iyileştirmeler yapılır.