ISO 22301 Toplumsal Güvenlik : İş Sürekliliği Yönetim Sistemleri Standardına dair 1

Neden  ISO 22301 ?

İş sürekliliği, daha önceki yazılarımda da söz ettiğim gibi, temelde bir risk yönetimidir: ama bir tedarikçinin kaybedilmesi veya döviz kurlarından kaynaklanan kayıplar gibi  işle ilgili veya ticari risklerden farklı olarak  iş faaliyetleri veya süreçlerinin dış faktörler nedeniyle kesintiye uğrama risklerini ele alan risk yönetimi.

ISO 22301 İSYSS’nın oluşturulmasında şu faktörler etkili olmuştur :

  • doğal felaketler/facialar/afetler
  • çevre kazaları/felaketleri
  • teknolojik kazalar
  • insanların neden olduğu krizler.

Bu türden felaketlerin/krizlerin kamu sektörü veya özel sektör üzerinde önemli etkileri olabilmektedir. Bu etkilerin boyutları göz önüne alındığında mevcut afet/felaket yönetim yöntemleri, acil durum ve hareket planlamalarının yetersiz kalma olasılığı çok yüksek olup kuruluşların tip ve boyutlarından bağımsız olarak iş devamlılığı ve kurtarma için kapsamlı bir önleme, koruma, hazırlanma, etki azaltma, karşılık verme sürecini devreye almaları gerekmektedir. Doğal nedenlerle, kazara veya bilinçli meydana gelen  aksaklıkların etkilerini öngören ve azaltmaya çalışan mevcut yaklaşımlar yerine bir adım daha geriye giderek aksaklığın oluşması olasılığını azaltacak önleyici faaliyetlerden bahsediyoruz.

Bugünün tehditleri kuruluşların temel süreçlerinin aksatıcı olaylardan  (disruptive event) önce, olay sırasında ve sonrasında  kurtarılmasını ve sürdürülebilirliğini sağlayan sürekli bir sürecin varlığını gerektirmektedir.    Bir kuruluşun bir felaketten kurtulma yeteneği felaketten önce hazırlanan iş sürekliliği planının seviyesiyle doğrudan ilişkilidir.   İş sürekliliği planları bütün işletmelerin/kuruluşların faaliyetlerini sürdürmeleri için kritik öneme sahiptir.   Teknolojiye olan bağımlılık arttıkça iş sürekliliği planlarının da önemi artmaktadır.

ISO 22301, kuruluşların faaliyetlerinde kesintiye/aksamaya neden olabilecek olaylar için önceden bir yönetim sistem oluşturmaları ve böylece olayların oluşmasını engelleyici – etkisini azaltıcı faaliyetleri (karşılık verme ve kurtulma) gerçekleştirmelerinde izlenecek yöntemleri tanımlamaktadır.  Tüm yönetim sistem standartlarında olduğu gibi burada da tüm gereklilikler genel ve tüm kuruluşlara uygulanabilecek şekilde ifade edilmiştir.

Bütün kuruluşlar faaliyetleriyle ilgili (hepsi, azı veya çoğu ile ilgili) risk yönetimini yapar veya yapmaya çalışırlar. Yoksa ayakta kalmaları pek mümkün olmaz. Ancak, bu risk yönetimi de genellikle içgüdüsel olarak yapılır ve kuruluşun operasyonlarının tüm boyutlarını da içermez. ISO 22301 bu zafiyetin üstesinden gelecek bir model ortaya koymaktadır. Bütün kuruluşlar, yönetim farkında olsun, olmasın operasyonel ve veya stratejik seviyede riskler taşırlar. Aşağıdaki tablo iş kesintisine neden olabilecek bazı riskler, kuruluşun taşıdığı diğer risklerle birlikte gösteriyor. Bu risklerin etkin biçimde yönetilememesi kuruluşun işinin kesintiye uğrama olasılığının gerçekleşmesi ile sonuçlanır ki bunun hem kuruluş hem de etkileşimde bulunduğu taraflar (toplum) üzerinde önemli etkileri olur.

İş Kesintisi Riskleri

İSYS’nin çıkışı

İSYSS’nın evrimi bilgi teknolojisi veya bilişim sektöründe yıllardır uygulana gelen eski bir disipline dayanır : felaketten kurtulma – disaster recovery (information technology disaster recovery-ITDR) . 1970-80 lerden bu yana bilgisayarlar ve uygulamaları hemen hemen tüm kuruluşların belkemiği durumuna geldiler. DR planı olmayan bir kuruluş nerede ise düşünülemez, aksi takdirde sonuçları çok ağır olduğundan. Ancak, hala gerekli önlemleri tam olarak almayan, alamayan kuruluşlar da var ne yazık ki bazılarını benim de bildiğim. 

ITDR bir yandan hızla gelişir olgunlaşırken diğer yandan ticaret ve ekonomilerde küreselleşmenin artması kuruluşların taşıdıkları riskleri ve boyutlarını da arttırdı, büyüttü. 80 ve 90 larda iş yapma yöntemleri genişler ve  daha önceleri hiç yaşanmayan olaylar iş ve kuruluşlar üzerinde ciddi etkiler göstermeye başlarken iş sürekliliği disiplini meydana gelebilecek operasyonel kesintilerin etkilerini en aza indirecek bir yol olarak ortaya çıktı.

Yeni kurumsal yönetişim (corporate governance) anlayışı da kuruluş yönetimlerini risklerin daha sistematik biçimde kontrol edilmesini sağlamaya  doğru yönlendirdi. Yönetimlerin taşıdıkları risklere karşı, kuruluşun kesintiye/aksamaya  hazırlık durumunun etkin olarak denetlenmesini, değerlendirilmesini sağlayacak biçimde,  yazılı kurallara uygun çalışmaları gerekli hale geldi; öyle ki gerçek bir olay durumunda, etkisinin minimize edilmesi ve kuruluşun paydaşlarının çıkarlarının korunması için gerekli önlemlerin atıldığı gösterilebilsin. 

Ingilterede “Business Continuity Institute” (BCI) 1994 yılında iş sürekliliği konusuyla uğraşanlar tarafından kuruldu. Bunların çoğunluğu, o zamanın doğal sonucu olarak finans sektöründe bilişim alanında çalışanlardı. Gene 1990 lı yıllarda BSI (İngiliz Standartlar Enstitüsü) “Publicly Available Specification 56 (PAS56)” – Halka Açık Spesifikasyonu – yayınladı. İlk kez bu spesifikasyonda iş sürekliliğine ilişkin metodik bir yaklaşım ele alınıyordu. PAS 56, yerini 2007 de çok daha kapsamlı olan ve kuruluşlara olaylar karşısında direnç göstermelerini sağlayacak bir çerçeve oluşturan  BS25999’a bıraktı. ISO 22301 ise 2012 yılında yayınlandı, BS25999 ile arasında belirgin farklılıklar yoktur.

İş Sürekliliği Yönetim Sistemi

İş sürekliliği, sadece ihtiyaç durumunda başvurulacak olan  bir destek disiplindir. Yıllar önce bir gece yarısı otomobilin altını yoldaki bir kayadan kaçıramayıp da karteri deldiğim zaman olduğu gibi. İlgili yardım kuruluşuna nasıl ulaşacağımı bilmeseydim, gerekli adımlar takip edilmese idi yardım kuruluşunun gözümde pek değeri kalmazdı. İş sürekliliğinde de durum aynıdır.  Faaliyet(ler)i kesintiye uğrayan kuruluş operasyonlarına sürdürmeye devam edebilmek için alternatif kaynakları harekete geçirmeye gerek duyabilir. Böyle bir durumda doğru bilgiler ve kaynaklar yerli yerinde olmalıdır.  Bu noktada, İS -iş sürekliliği- ile felaketten kurtulma – DR- arasındaki farka dikkat etmekte yarar var. İş sürekliliğinin temel aracı İş Sürekliliği Planıdır -İSP. İSP kuruluş yönetimine bir kesintiden en iyi biçimde  kurtulmak veya karşı koymak için klavuzluk eder, ancak bunun için işaret edilen kurtulma kaynaklarının yerinde olması, beklendiği şekilde etkin olması ve işe yaraması gerekir. Aksi takdirde İSP işe yaramaz duruma gelir.

ISO22301:2012  standardı iş sürekliliği yönetiminin iyi ve etkin uygulanabilmesi için sistematik bir yaklaşım içermektedir. İş sürekliliği yönetiminin iyi uygulanabilmesi için olmazsa olmazlar şöyle sıralanabilir :

  • Geniş ölçekte kesinti senaryolarının ele alınması
  • Bunlara uygun beklenmedik durum kaynaklarının ilgili iş süreçlerini destekleyecek biçimde ve yeterlilikte var olması
  • Dokümente edilmiş etkin ve güncel planlar
  • Kuruluşun  kesintiye karşılık vermesini ve kurtulmasını sağlayacak faaliyetlerini yönlendirebilecek nitelikte bir çalışan takımı.

İS’nin, felatten kurtulma (veya kurtarma)-DR- ile ilişkisine de kısaca göz atmakta yarar var.

İş sürekliliğinin (business continuity) felaketten kurtulma (disaster recovery) ile ilişkisi 

İş sürekliliği ve felaketten kurtulma kavramları biribirinin yerine kullanılabilen kavramlar gibi görünebilir ve kullanılabilirler de. Felaketten kurtulma operasyonunun doğal sonucu iş veya kuruluşun, kesintiye uğramadan önceki yaptığı duruma geri dönmesidir (notebooklarımızda arada bir gördüğümüz “sistem ölümcül bir hatadan (rescued from a fatal error) kurtarıldı” ibaresi gibi…). Ancak, bu terimin IT çalışanları tarafından ortaya atıldığını ve bilişim sektörüne ait olduğunu unutmayalım. İş sürekliliği kavramı iş süreçlerinin, kuruluşun bütününün kurtarılması ve eski durumuna döndürülerek işin devamının sağlanmasını  bilgi sayar sistemlerinin, veri tabanlarının geri döndürülmesi-kurtarılması-devam ettirilmesinden ayırt edebilmek için ortaya atılmıştır.

Zaman içinde DR ve BC kavramları evrim geçirdiler. DR (felaketten kurtulma) kaynakların yenilenmesi/değiştirilmesi için düzenlemeler anlamını kazanırken, BC (İş sürekliliği) daha geniş bir çerçevede, kesintiyi takiben kuruluşun işlemeye devamını sağlaması gereken   planlama ve felaketten kurtulmayı da -DR- içeren bir yönetim disiplini anlamını kazandı.

Bilişim sektöründeki “felaketten kurtarma-DR”  İSYS’nin, doğal olarak en olgun parçasıdır; yıllardır uygulanıyor. Ancak, bilgisayarlar ve veri tabanları kuruluşların kaynaklarının sadece bir parçasını oluştururlar.  Diğer operasyonel kaynakların da DR kapsamı içinde olması, tehditlerden korunması ve işlerliklerini yitirdiklerinde  değiştirilmeleri, yenilenmeleri gerekir.

Felaketten kurtarma kuruluşun tüm operasyonel kaynaklarıyla ilgilidir, sadece bilişim sistemleriyle ilgili değil; ve bu alan artık “direnç/esneklik” (resilience) olarak da anılmaktadır. Buradan, kuruluşun herhangi bir operasyonel kaynağındaki bir kesinti tehditine karşı  direneceği – direnç göstereceği anlaşılmalıdır.

DR-Felaketten kurtarma- herhangi bir sistemde kendi başına var olabilir. Aynı zamanda İş Sürekliliğinin gerekli kaynaklarını sağlayarak istendiğinde iş süreçlerinin gerçekleşmesini sağlayan önemli bir parçasıdır.  Ancak, DR herhangi bir proaktif risk yönetimi içermez, tersine, DR düzenlemeleri bazan bir risk değerlendirmesi sonucunda ve daha ziyade içgüdüsel bir yaklaşımla  belirlenir. 

Kaynakça : A Manager’s Guide to ISO22301

Reklamlar

About Selçuk Aytimur

Yolun yarısını geçeli çok olmakla birlikte, bana hiç öyle gelmiyor daha
Bu yazı Yönetim içinde yayınlandı ve , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , olarak etiketlendi. Kalıcı bağlantıyı yer imlerinize ekleyin.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s