ISO 22301 İş Sürekliliği Yönetim Sistemi Nedir?
ISO 22301 İş Sürekliliği Yönetim Sistemi, kuruluşların beklenmedik kesinti, kriz, afet, siber saldırı, tedarik zinciri problemi veya operasyonel aksama gibi durumlarda kritik faaliyetlerini sürdürebilmesi ve kabul edilebilir sürede normale dönebilmesi için oluşturulmuş uluslararası bir yönetim sistemi standardıdır. İş sürekliliği yaklaşımı yalnızca felaket sonrasını değil; hazırlık, müdahale, toparlanma ve iyileştirme süreçlerinin tamamını kapsar.
Kuruluşlar İçin ISO 22301 Neden Önemlidir?
Günümüzde işletmeler yalnızca doğal afetler nedeniyle değil; bilgi teknolojileri arızaları, enerji kesintileri, insan hataları, veri kayıpları, kritik personel eksikliği, tedarikçi problemleri, lojistik aksaklıklar ve siber güvenlik olayları nedeniyle de faaliyet kesintisi yaşayabilmektedir. Böyle durumlarda müşteriye hizmet verememek, üretimin durması, veri kaybı yaşanması, sözleşme yükümlülüklerinin karşılanamaması ve itibar kaybı gibi ciddi sonuçlar ortaya çıkabilir.
ISO 22301 standardı, işte bu noktada kuruluşun hangi süreçlerinin kritik olduğunu belirlemesini, bu süreçlere yönelik riskleri analiz etmesini, kesinti senaryolarına hazırlıklı olmasını ve kriz anında ne yapacağını önceden planlamasını sağlar.
Kuruluşun kritik faaliyetlerini koruyacak, kesinti anında hızlı müdahale edecek ve faaliyetlerin kabul edilebilir sürelerde yeniden devreye alınmasını sağlayacak sistematik bir yapı kurmaktır.
İş Sürekliliği Yönetim Sistemi Ne Sağlar?
Kritik süreçlerin belirlenmesi
Hangi faaliyetlerin kesintiye toleransının düşük olduğu net şekilde ortaya konur.
Risklerin değerlendirilmesi
Kesintiye neden olabilecek olaylar ve bu olayların etkileri sistematik olarak analiz edilir.
Müdahale ve toparlanma planları
Kriz anında kimin, neyi, ne zaman ve nasıl yapacağı önceden belirlenir.
Sürekli iyileştirme
Tatbikatlar, testler, iç denetimler ve gözden geçirmelerle sistem sürekli geliştirilir.
ISO 22301 Belgesinin Kuruluşa Sağladığı Faydalar
- Faaliyetlere yönelik mevcut ve potansiyel tehditlerin belirlenmesini sağlar.
- Kesinti anında panik yerine planlı hareket edilmesine yardımcı olur.
- Krizler sırasında kritik hizmetlerin devamını destekler.
- Toparlanma süresini kısaltır ve operasyonel kayıpları azaltır.
- Müşteri, tedarikçi ve ilgili taraf güvenini artırır.
- Kuruluşun dayanıklılığını ve kurumsal itibarını güçlendirir.
- Yasal, sözleşmesel ve müşteri beklentilerinin daha kontrollü yönetilmesini sağlar.
- İç denetim, yönetim gözden geçirme ve sürekli iyileştirme kültürünü destekler.
ISO 22301 Kuruluş İçinde Nasıl Yönetilmelidir?
ISO 22301 yalnızca bilgi işlem departmanının yönettiği teknik bir yapı değildir. Yönetim, insan kaynakları, operasyon, üretim, satın alma, bilgi güvenliği, lojistik, kalite ve tedarik zinciri gibi birçok bölümün birlikte çalışmasını gerektirir. Bu nedenle iş sürekliliği yönetimi üst yönetim sahipliğinde ele alınmalıdır.
Kuruluş içinde sistemin etkili yönetilebilmesi için kapsam belirlenmeli, kritik süreçler tanımlanmalı, ilgili tarafların beklentileri değerlendirilmelidir. Ardından iş etki analizi yapılmalı, riskler belirlenmeli, süreklilik stratejileri oluşturulmalı ve bu stratejilere uygun planlar, prosedürler ve tatbikat mekanizmaları devreye alınmalıdır.
Örnek Senaryo: Sistem Nasıl Çalışır?
Bu yaklaşım yalnızca BT altyapısını değil; insan kaynağını, tedarikçileri, fiziksel lokasyonları, iletişimi ve yönetim karar mekanizmalarını da kapsar.
ISO 22301 Standardının Maddeleri
Aşağıda standardın temel maddeleri sadeleştirilmiş şekilde yer almaktadır. Bu başlıkları accordion biçiminde açıp kapatabilirsiniz.
Standardın amacı, hangi konuları kapsadığı, hangi terimlerin nasıl yorumlanacağı ve uygulamada hangi temel çerçevenin esas alınacağı bu bölümde yer alır.
Kuruluşun iç ve dış hususları, ilgili tarafların beklentileri, iş sürekliliği yönetim sisteminin kapsamı ve sistemin sınırları bu maddede belirlenir.
- 4.1 Kuruluş ve bağlamının anlaşılması
- 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
- 4.3 İş sürekliliği yönetim sisteminin kapsamının belirlenmesi
- 4.4 İş sürekliliği yönetim sistemi
Üst yönetimin sahipliği, politika oluşturulması, rol ve sorumlulukların atanması ve sistemin kurumsal hedeflerle uyumlu hale getirilmesi bu bölümün ana konusudur.
- 5.1 Liderlik ve taahhüt
- 5.2 Politika
- 5.3 Roller, sorumluluklar ve yetkiler
Risk ve fırsatların ele alınması, iş sürekliliği hedeflerinin belirlenmesi ve bu hedeflere ulaşmak için planların oluşturulması bu maddede ele alınır.
- 6.1 Risk ve fırsatların belirlenmesi
- 6.2 İş sürekliliği hedefleri ve bunlara ulaşma planları
Kaynaklar, yetkinlik, farkındalık, iletişim ve dokümante edilmiş bilgiler bu başlık altında yönetilir.
- 7.1 Kaynaklar
- 7.2 Yetkinlik
- 7.3 Farkındalık
- 7.4 İletişim
- 7.5 Dokümante edilmiş bilgi
İş sürekliliği yönetim sisteminin kalbi bu bölümdür. İş etki analizi, risk değerlendirme, stratejiler, planlar, müdahale süreçleri, tatbikat ve testler burada ele alınır.
- 8.1 Operasyonel planlama ve kontrol
- 8.2 İş etki analizi ve risk değerlendirme
- 8.3 İş sürekliliği stratejisi
- 8.4 İş sürekliliği prosedürlerinin kurulması ve uygulanması
- 8.5 Tatbikat ve testler
İzleme, ölçme, analiz, iç denetim ve yönetim gözden geçirme süreçleri ile sistemin etkinliği değerlendirilir.
- 9.1 İzleme, ölçme, analiz ve değerlendirme
- 9.2 İç denetim
- 9.3 Yönetim gözden geçirme
Uygunsuzlukların ele alınması, düzeltici faaliyetlerin yürütülmesi ve sürekli iyileştirme yaklaşımı bu maddede yer alır.
- 10.1 Uygunsuzluk ve düzeltici faaliyet
- 10.2 Sürekli iyileştirme
İş Sürekliliğinde Sık Kullanılan Kavramlar
| Kavram | Açıklama | Örnek |
|---|---|---|
| RTO | Kesintiye uğrayan bir sürecin veya sistemin en geç ne kadar sürede tekrar çalışır hale getirilmesi gerektiğini ifade eder. | Bir ERP sunucusunun en fazla 4 saat içinde devreye alınması. |
| RPO | Kabul edilebilir maksimum veri kaybı süresidir. | Bir veri tabanı için en fazla 1 saatlik veri kaybının tolere edilebilmesi. |
| MTPD / MTPoD | Kuruluşun belirli bir sürecin kesintisine en fazla ne kadar süre dayanabileceğini gösterir. | Sevkiyat sürecinin 1 gün boyunca durmasının kabul edilebilir üst sınır olması. |
ISO 22301 ile İlişkili Standartlar
İş sürekliliği yönetimi çoğu zaman tek başına ele alınmaz. Kuruluşun yapısına göre aşağıdaki standartlarla entegre şekilde yönetilebilir:
- ISO 9001: Kalite yönetim sistemi ile süreç yaklaşımı ve sürekli iyileştirme açısından ilişkilidir.
- ISO 27001: Bilgi güvenliği ve kritik bilgi varlıklarının korunması açısından güçlü bağa sahiptir.
- ISO 20000: BT hizmet sürekliliği ve hizmet yönetimi tarafında destekleyici yapı sunar.
- ISO 31000: Risk yönetimi yaklaşımının daha sistematik yürütülmesine katkı sağlar.
- ISO 22313: ISO 22301’in uygulanmasına yönelik rehberlik sağlar.
ISO 22301 Kimler İçin Uygundur?
ISO 22301; üretim şirketlerinden yazılım firmalarına, sağlık kuruluşlarından lojistik işletmelerine, kamu kurumlarından finans kuruluşlarına kadar kesinti riskini yönetmek isteyen tüm kuruluşlar için uygundur. Özellikle hizmet sürekliliği, veri erişilebilirliği, müşteri taahhütleri ve operasyonel direnç önemliyse bu standart büyük fayda sağlar.
ISO 22301 Nasıl Kurulur? (Adım Adım Uygulama)
ISO 22301 İş Sürekliliği Yönetim Sistemi kurulumu, yalnızca doküman hazırlamakla sınırlı değildir. Kuruluşun tüm süreçlerini kapsayan, risk temelli ve sürekli gelişen bir yapı kurulmasını gerektirir.
Kuruluşun mevcut yapısı analiz edilerek ISO 22301 gerekliliklerine göre eksikler belirlenir. Bu aşamada mevcut riskler, süreçler, dokümantasyon ve organizasyon yapısı değerlendirilir.
İş sürekliliği yönetim sisteminin hangi süreçleri kapsayacağı belirlenir. Üst yönetim tarafından iş sürekliliği politikası oluşturulur ve tüm organizasyona duyurulur.
Kuruluşun kritik süreçleri belirlenir ve bu süreçlerin kesintiye uğraması durumunda oluşacak finansal, operasyonel ve itibari etkiler analiz edilir.
- Kritik süreçlerin belirlenmesi
- RTO, RPO ve MTPD değerlerinin belirlenmesi
- Bağımlılıkların (insan, sistem, tedarikçi) analizi
İş sürekliliğini tehdit edebilecek riskler belirlenir ve bu risklerin olasılık ve etkileri analiz edilir.
Riskleri azaltmak ve kesinti anında faaliyetleri sürdürebilmek için stratejiler geliştirilir.
- Alternatif lokasyon planları
- Yedekleme ve felaket kurtarma sistemleri
- Alternatif tedarikçi yönetimi
Kriz anında uygulanacak prosedürler ve planlar hazırlanır.
- Acil durum müdahale planı
- İş sürekliliği planı
- Felaket kurtarma planı (DRP)
- İletişim planı
Çalışanların kriz anında nasıl hareket edeceği konusunda bilinçlendirilmesi sağlanır.
Hazırlanan planların gerçek hayatta çalışabilirliği test edilir. Senaryo bazlı tatbikatlar yapılır.
Sistem performansı izlenir, iç denetimler yapılır ve sürekli iyileştirme sağlanır.
ISO 22301 Kapsamında Yapılması Gereken Çalışmalar
- Kuruluş süreçlerinin analiz edilmesi
- Kritik iş süreçlerinin belirlenmesi
- İş etki analizi (BIA) gerçekleştirilmesi
- Risk değerlendirme çalışmalarının yapılması
- İş sürekliliği stratejilerinin oluşturulması
- Acil durum ve kriz yönetim planlarının hazırlanması
- Felaket kurtarma altyapısının kurulması
- Yedekleme sistemlerinin oluşturulması
- Tatbikat ve testlerin düzenli yapılması
- İç denetim ve yönetim gözden geçirme faaliyetlerinin yürütülmesi
ISO 22301 İçin Gerekli Dokümantasyon ve Sistemler
Temel Dokümantasyon
- İş Sürekliliği Politikası
- Kapsam dokümanı
- Risk değerlendirme metodolojisi
- İş etki analizi raporu (BIA)
- İş sürekliliği hedefleri
Plan ve Prosedürler
- İş Sürekliliği Planı (BCP)
- Felaket Kurtarma Planı (DRP)
- Acil durum planları
- Kriz yönetim prosedürü
- İletişim planı
Operasyonel Kayıtlar
- Tatbikat kayıtları
- Test sonuçları
- Risk değerlendirme kayıtları
- İç denetim raporları
Teknik Sistemler
- Yedekleme sistemleri
- Felaket kurtarma altyapısı
- Alternatif lokasyon sistemleri
- İzleme ve alarm sistemleri
“ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesi Nedir? Nasıl Alınır?” için 2 yanıt
İyi birpaylaşım olmuş. Teşekkürler.
Teşekkür ederiz…