İş Sürekliliği

ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS) Danışmanlığı

Kıdemli danışman kadromuzla, ISO 22301 iş sürekliliği yönetim sistemi alanında uçtan uca çözümler sunuyoruz.

BTYÖN olarak, uluslararası deneyime sahip ve ülkemizde ki en büyük ISO 22301 çalışmalarını gerçekleştirmiş kıdemli danışman kadromuzla, iş sürekliliği alanında uçtan uca çözümler sunuyoruz. ISO 22301 İş Sürekliliği Yönetim Sistemi ile hayati varlıklarınızı koruyabilecek, risklerinizi yönetip azaltabilecek, acil durumlara kısa sürede çözüm üretebilecek ve müşterileriniz, iş ortaklarınız ve paydaşlarınız arasında güven oluşturabileceksiniz. BTYÖN, şirketinize rekabet avantajı kazandırmak, işinizi yasal uyumluluk gereksinimlerine uyumlu hale getirmek ve işinizin sürekliliği sağlamak için, ISO 22301 standardı doğrultusunda kıdemli danışmanları ile sürdürülebilir bir yönetim sistemi kurmanıza yardımcı olur.

İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların gerçekleştirilmesi, sürekliliğin sağlanamadığı durumlarda ise kabul edilebilir kesinti süreleri içerisinde tekrar çalışır hale getirilmesi için gerçekleştirilecek tüm çalışmalara verilen genel isimdir.

İşletmenin iş süreçlerinin ne kadar kesintiye tahammül edebildiği ve süreçleri bu süre içerisinde tekrar çalışır hale getirmek için neler yapılması gerektiği iş sürekliliği çalışmalarının temelini oluşturmaktadır. İş Sürekliliği Yönetim Sistemi (İSYS) gerekliliklerini tarif eden ISO 22301 standardı iş sürekliliğini “Bir organizasyonun ürün ve servislerini kesinti olayı sonrasında önceden tanımlanmış kabul edilebilir seviyede sürdürebilme kapasitesidir” biçiminde tanımlamaktadır.

BTYÖN, İş Sürekliliği Yönetim Sistemi süreçlerinin tamamını hayata geçirerek firmanızı ISO 22301 belgelendirme denetimine hazırlamaktadır. Bu hizmet, kapsam dokümanın belirlenmesi ile başlayıp firmanın belgeyi alması ile son bulmaktadır. BTYÖN kendi imkânları ile İş Sürekliliği Yönetim Sistemi İSYS kurmak isteyen işletmeler için eğitim ve çalıştay çözümleri sunmaktadır. Katma değerli servisler ile BTYÖN İş Sürekliliği Danışmanları, kurumunuzda sürdürebilir bir yönetim sistemi bırakmayı garanti eder.

BTYÖN firmasının bünyesinde bulunan danışmanlar hizmet, finans, telekomünikasyon ve kamu sektöründe faaliyet gösteren birçok işletmenin iş sürekliliği danışmanlığını BS 25999 ve ISO 22301 standartlarına göre gerçekleştirmiştir. İş sürekliliği kapsamında gerçekleştirilen Risk Analizi ve İş Etki Analizi otomatikleştirilmiş araçlara gerekli verilerin girilmesi ile gerçekleştirilmektedir. Kullanılan araçlar firmanızın seçeceği analiz metodolojisine göre özelleştirilebilmektedir.

ISO 22301 İş Sürekliliği Yönetim Sistemi Uygulama Metodolojimiz

ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS), kurumun kritik ürün ve hizmetlerinin devamı amacıyla benimsenen sistematik bir yaklaşım ortaya koyar. Bu sistemin temel amacı işletmenin olağan üstü bir durum karşısında gerekecek müdahale kapasitesini oluşturmaktır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsamaktadır.

İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan kılavuz standart, “ISO 22313 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313 rehber edinilerek kurulan İSYS’nin belgelendirmesi için ISO 22301 Toplumsal Güvenlik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler standardı kullanılmaktadır. ISO 22301 standardı, dokümante edilmiş bir İSYS’yi kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

ISO 22301 ve ISO 22313 standartları İSYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan İş Sürekliliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler. Teknik tarafta ise ITIL, ISO 27031, BS25777 gibi standartlar ISO 22301’in uygulamasında BTYÖN danışmanları tarafından kullanılmaktadır.

ISO 22301 ve ISO 22313 standartları kapsamında İSYS’nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modeli İş Sürekliliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak İş Sürekliliği sonuçlarını üretir. İşletmenizde hayata geçirilecek İSYS projesi kapsamında PUKÖ döngüsü içerisindeki tüm konularda BTYÖN tarafından danışmanlık hizmeti sağlanır.

Üst Yönetim Farkındalığının Sağlanması

ISO 22301 İş Sürekliliği Yönetim Sistemi’nin ihtiyaca yanıt verir biçimde kurulması ve devam ettirilebilmesi için üst yönetim desteği çok büyük önem arz etmektedir. Bu sebeple iş sürekliliği konusunda üst yönetimin farkındalığının arttırılması için bir bilgilendirme sunumu gerçekleştirilir. Bu sunuma iş sürekliliğinden sorumlu yönetim kurulu üyesi, İSYS projesinin sponsoru, iş sürekliliği yönetişim komitesinin üyeleri, birim yöneticileri ve birim yöneticilerinin raporladıkları yönetim kademelerinden temsilciler katılır. Sunumun ilk bölümünde neden iş sürekliliği yönetim sistemine ihtiyaç vardır, ISO 22301 standardı nedir, iş sürekliliği yönetimi ne kazandırır, geçmişte ülkemizde yaşanılan büyük çapta iş kesintilerinin nedenleri, boyutları ve zararları konuları işlenenir. Eğitimin ikinci bölümünde işletmenizde iş sürekliliği yönetim sistemi kurulması sırasında izlenecek yöntem tanıtır ve yönetimin İSYS kurulumu sırasında görev alması gereken noktalar açıklanır.

ISO 22301 İş Sürekliliği Yönetim Sistemi Kapsamının Belirlenmesi

ISO 22301 İSYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun İSYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. İSYS kapsamı, üst yönetimin niyeti ve kurumun iş sürekliliği hedefleri dikkate alınarak belirlenir. ISO 22301 ve ISO 22313 standartları işletmenin yaşama kabiliyetini doğrudan etkileyen ürün ve hizmetlerin kapsama dahil edilmesini beklemektedir. Kapsam belirlenirken İSYS dışında bırakılan süreçler ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Kapsam dokümanının ve doküman içerisinde bulunması gereken bilgiler BTYÖN tarafından hazırlanır. İş sürekliliği kapsamının belirlenmesi ile ilgili gereksinimler ISO 22301 standardının Madde 4 Organizasyon İçeriği bölümünde açıklanmaktadır.

İş Sürekliliği Yönetimi Politikası

Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi ürün ve servislerin değerlendirmeye alınacağına ilişkin yönetim kapsamını ve kriterini belirleyen bir çerçeve sunar. İSYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlılığını çalışanlara hissettirmelidir. İş sürekliliği politikası ile ilgili beklentiler ISO 22301 standardının Madde 5 Liderlik başlığı altında belirtilmiştir.

İş Sürekliliği Organizasyonunun Oluşturulması

İş sürekliliği yönetim sisteminin olay öncesi hazırlıklarının eksiksiz yerine getirilebilmesi ve olay sırasında beklenen seviyede müdahale gerçekleştirilerek ön görülen sürelerde kurtarma sağlanabilmesi için görev alan herkesin yönetim sistemini sahiplenmesi gereklidir. Bu kapsamda İSYS rol ve sorumlulukları işletmenizin ilgili birimlerinin görüşü alınarak oluşturulur ve dokümante edilir. Rollerin sahiplenilmesi için performans göstergelerinin hazırlanması, eğitim programları vb çalışmalara danışmanlık desteği sağlanır.İş sürekliliği rol ve sorumlulukları ile ilgili beklentiler ISO 22301 standardının Madde 5 Liderlik başlığı altında belirtilmiştir.

İş Etki analizi ve Risk Değerlendirmesi

İş etki analizi ve risk değerlendirmesi kurulacak ISO 22301 iş sürekliliği yönetim sisteminin temelini teşkil etmektedir. İş etki analizi ve risk değerlendirilmesinde kullanılacak metodolojiler BTYÖN önderliğinde işletmenizin ilgili birimlerinin görüşleri alınarak oluşturulur. Metodolojiler yönetim tarafından onaylandıktan sonra analiz çalışmaları başlar. Analiz çalışmaları BTYÖN ve işletmenizin iş sürekliliği koordinatörleri tarafından birlikte gerçekleştirilir. Bu amaçla metodolojilerin belirlenmesi sonrasında iş sürekliliği koordinatörlerine kullanılacak iş etki analizi ve risk analizi metodolojilerinin eğitimi verilir. İş Etki Analizi ve Risk Değerlendirmesi konuları ile ilgili beklentiler ISO 22301 standardının Made 8 Operasyon başlığı altında ele alınmıştır.

İş Etki Analizi

İş etki analizi çalışması, işletmenizin anahtar ürün ve hizmetlerin paydaşlara sunulmasını sağlayan iş süreçlerinin belirlenmesi ile başlar. İlgili iş süreçlerine ait genel bilgiler, hangi anahtar ürün ve hizmeti desteklediği, olası kesintinin yasal, operasyonel, finansal ve itibar etkileri ile sürecin devam ettirilebilmesi için gerekli kaynaklar (insan kaynakları, teknoloji kaynakları, bilgi kaynakları ve tesisler)belirlenir. Tespit edilen etki değerlerine dayanılarak her süreç için hedeflenen kurtarma zamanı (RTO) ve maksimum tolerans gösterilebilir kesinti süresi (MTPD) belirlenir. Belirlenen süreler kurtarma önceliği çalışması sırasında kullanılır.

İş etki analizi ilgili birimler ile toplantılar yapılarak gerçekleştirilir. Birimler ile ilk toplantılar BTYÖN danışmanları ve iş sürekliliği koordinatörleri tarafından yapılır. İlk toplantılardan sonra iş etki analizinin iş sürekliliği temsilcileri tarafından yapılması hedeflenir. İş etki analizi toplantılarında doldurulan formların tamamı BTYÖN danışmanları tarafından kontrol edilir ve tespit edilen hataların düzeltilmesi ve tekrarlanmaması için gerekli aksiyonlar alınır. İş etki analizinin tamamlanması sonrasında formların konsolidasyon işlemi ve iş etki analizi raporunun yazılması BTYÖN tarafından gerçekleştirilir.

Risk Değerlendirmesi ve İşlemesi

Risk değerlendirme çalışması, işletmenizin kritik iş süreçlerinde kesintiye neden olabilecek risklerin tespit edilmesi, seviyelendirilmesi ve raporlamasından oluşur. İş kesintisine sebep olabilecek riskler birimler ile yapılacak toplantılarda ele alınır. Katılımcılar geçmişte yaşanan kesintileri ve bunların sebeplerini düşünerek risk çalışmasına girdi sağlarlar. Bu bilgilere ek olarak çalışanların güvenliği için tehditlerin belirlenmesi ve binaların fiziksel güvenliği, yangın, deprem ve diğer fiziksel durumları ile ilgili raporlar, iş güvenliği ve sağlığı ile ilgili çalışmalar, iç denetim bulguları, dış denetim bulguları, bilgi güvenliği riskleri, veri merkezi değerlendirme raporları vb. risk kaynaklarından faydalanılarak iş sürekliliği riskleri belirlenir.

İş sürekliliği komitesi raporlanan riskler ile ilgili risk azaltma, transfer etme veya kabul etme gibi önlemler almaya karar verir. Risk azaltma veya transfer kararı verilen riskler ile ilgili çalışmalar başlatılır ve takip edilir. Tüm risk değerlendirme çalışmaları BTYÖN ve ilgili iş sürekliliği temsilcileri ile birlikte gerçekleştirilir.

İş Sürekliliği Stratejilerinin Belirlenmesi

İş sürekliliği stratejilerini belirleme çalışması, iş etki analizinde belirlenen ve yönetim tarafından onaylanmış süreklilik ihtiyaçlarının işletmenizde nasıl uygulanacağının belirlenmesini içermektedir. İş etki analizinde belirlenmiş hedeflenen kurtarma sürelerinin tutturulabilmesi için amaca uygun, önceden tanımlı ve dokümante edilmiş olay tepki yapısına ihtiyaç vardır. Her bir kritik iş sürecinin hedeflenen kurtarma süresi içerisinde nasıl ayağa kaldırılacağı detaylı olarak incelenir, alınması gereken aksiyonlar belirlenir ve olay tepki yapısı dokümante edilir. Bu çalışma BTYÖN danışmanları, iş sürekliliği koordinatörleri ve ilgili birim yöneticileri ile ortak gerçekleştirilir. Belirlenmiş iş sürekliliği stratejileri iş sürekliliği komitesine sunulur ve yönetim onayı sonrasında iş sürekliliği planlarının geliştirilmesine başlanır. İş sürekliliği stratejileri ile ilgili ISO 22301 beklentileri standardın Madde 8.3 başlığı altında ele alınmıştır.

İş Sürekliliği ve Acil Durum Planları

İş sürekliliği stratejilerinin belirlenmesinin ardından iş sürekliliği ve olay tepki planları hazırlanır. Planların oluşturulmasından önce planda referans verilecek prosedürler ve alt planlar belirlenerek ilgili çalışanların gerekli dokümantasyonu geliştirmesine danışmanlık sağlanır. Bu aşamada aynı zamanda kurtarma organizasyonu belirlenir ve iş sürekliliği planlarının içinde belirtilir. Gerekli tüm dokümantasyona ait şablon dokümanlar işletmenizin ihtiyaçlarına göre özelleştirilir ve dokümantasyonun ortak bir çatı altında birleştirilmesi sağlanır. İş sürekliliği prosedürleri ve planları ISO 22301 standardının Madde 8.4 başlığında ele alınmıştır.

İş sürekliliği planlarında en az aşağıdaki bilgiler bulunur.

     • İş sürekliliği planın kapsamı ve amacı

     • İş sürekliliği organizasyonu

     • Kritik süreçler, İEA çalışmaları ve servisler

     • Planın hangi şartlarda ve nasıl aktive edileceği

     • Detaylı kurtarma prosedürlerine referanslar

     • Plan tatbikatına dair hususlar

     • Kriz durumu haberleşme ihtiyaçlarının tespit edilmesi ve plana dahil edilmesi

     • Acil durumların nasıl yönetileceği ve acil durum bildirimin nasıl yapılacağı

     • İş sürekliliği planın bakım ve güncellenmesinin nasıl gerçekleştirileceği

Şirket içinde bulunan insan odaklı planlar gözden geçirilerek iyileştirme önerileri sunulur. Bu planlara örnek olarak tahliye planları acil durum eylem planları pandemik vaka planları verilebilir.

Eğitim ve Farkındalık

İş sürekliliği kültürünün benimsenmesi, ISO 22301 iş sürekliliği yönetim sistemi kapsamında görev alan personelin kendi görevlerini öğrenmesi, acil durumlarda nasıl hareket edileceğinin çalışanların tamamı tarafından öğrenilmesi temel amaçtır. Uygulanacak eğitim planı BTYÖN ve ilgili birimler tarafından birlikte hazırlanır. Eğitimde kullanılacak eğitim materyalleri BTYÖN tarafından işletmenize özel olarak geliştirilir. Üst yönetime ve iş sürekliliği koordinasyon ekibine verilecek eğitimler BTYÖN tarafından verilir. Tüm çalışanlara verilecek eğitimlerde e-öğrenme veya eğitimcinin eğitimi tekniği kullanılarak farkındalık eğitiminin işletmeniz geneline yayılması sağlanır. İş sürekliliği farkındalığı ile ilgili hususlar ISO 22301 standardının Madde 7.3 başlığı altında ele alınmıştır.

Tatbikatlar ve Testler

Bu adımın amacı ISO 22301 iş sürekliliği yönetim sistemi kapsamında hazırlanmış planların etkinliğini ölçmek ve işletmenizin gerçek felaket durumları için hazırlıklı olmasını sağlamaktır. Yapılan çalışmaların hedeflenen kurtarma zamanlarını karşılaması hedeflenmektedir. Tatbikatlar için işletmenize özel tatbikat yönetim süreci hazırlanır. Proje kapsamında senelik tatbikat programı hazırlanır. Tatbikat programını BTYÖN ile ilgili iş birimlerinin temsilcileri ile birlikte hazırlar ve iş sürekliliği komitesine sunar. Onaylanan iş sürekliliği tatbikat programına göre her bir tatbikat için öncesi, sırası ve sonrası olmak üzere üç temel aşama işletilir. Her tatbikattan önce detaylı tatbikat planı hazırlanır. Proje kapsamında en az bir defa kapsamlı bir iş sürekliliği tatbikatı gerçekleştirilir. BTYÖN, tatbikat planlamasını ilgili birimlerden destek alarak gerçekleştirir. BTYÖN, proje kapsamında gerçekleştirilecek tatbikat sırasında gerekli ölçüm ve gözlemleri yapar, tatbikat sonrasında izlenimlerini raporlar. BTYÖN, tatbikat neticesinde çıkan uygunsuzlukların kapatılması için gerekli çalışmalara danışmanlık desteği sağlar. Tatbikat ve testler ile ilgili ISO 22301 beklentileri standardın 8.5 başlığı altında açıklanmaktadır.

İç denetim

ISO 22301 İş sürekliliği yönetim sisteminin hayata geçirilmesinin bir parçası olarak iç denetim faaliyeti gerçekleştirilmelidir. BTYÖN iç denetim prosedürünü, iç denetim programını ve planını, iç denetim kontrol listesini hazırlayarak onayınıza sunar. BTYÖN, işletmeniz tarafından oluşturulacak iç denetim ekibine refakat eder ve iç denetim sürecinin oluşturulmasına destek olur. Bu parçaya katılacak BTYÖN personeli projede yer almamış bir personel olur. İç denetimde çıkan bulguların kapatılması konusunda BTYÖN danışmanlık hizmeti sunar. Tüm bulgular için kök sebep analizi, düzeltici faaliyet planlama çalışmaları işletme personeli ve BTYÖN tarafından birlikte gerçekleştirilir. ISO 22301 standardının iç denetim ile ilgili zorunlulukları Madde 9.2 başlığı altında açıklanmaktadır. Uygunsuzluklar ve düzeltici faaliyetlere yönelik gereksinimler ise ISO 22301 standardının 10.1 maddesinde belirtilmiştir.

Yönetimin Gözden Geçirmesi

ISO22301 gereğince üst yönetim kurulan İş Sürekliliği Yönetim Sistemi’ni periyodik olarak gözden geçirmelidir. Gözden geçirme faaliyeti yönetimin bulunduğu bir toplantı ile gerçekleştirilmektedir. Toplantının girdileri ve muhtemel çıktıları ISO22301 standardında belirtilmektedir. BTYÖN, yönetimin gözden geçirme çalışması için gerekli bilgilerin hazırlanması ve yönetime sunulması faaliyetini gerçekleştirir. Bilgilerin hazırlanması işletme personeli ile birlikte gerçekleştirilir. Yönetimin gözden geçirmesine yönelik girdiler ve çıktılar dahil olmak üzere tüm beklentiler ISO 22301 standardının 9.3 başlığı altında açıklanmaktadır.

Belgelendirme Sürecine Destek ve Garanti

ISO 22301 İş Sürekliliği Yönetim Sistemi Denetimi öncesi son kontroller ve denetime girecek personelin sorularının yanıtlanması için çalıştay düzenlenir. Belgelendirme denetimi sonrasında belgelendirme firması tarafından uygunsuzluk raporlanması halinde uygunsuzlukların kapatılması için gerekli danışmanlık hizmeti proje kapsamında sunulur. Tüm uygunsuzlukların ortadan kaldırılması için gerekli çalışma BTYÖN ve işletme personeli tarafından birlikte gerçekleştirilir.

İlgili diğer hizmetler