İş Sürekliliği ve Standartları Hakkında

Share

İş sürekliliği, kurumun kritik iş süreçlerinin devamlılığını sağlamak, sağlanamadığı durumlarda ön görülen kesinti süreleri içerisinde yeniden çalışır hale getirmek için gerçekleştirilen çalışmalara verilen isimdir. Kritik iş süreçlerinin her zaman çalışır vaziyette bulunması arzu edilen durumdur. Fakat zaman içerisinde süre gelen olaylar nedeni ile süreçlerin kesintiye uğraması kaçınılmazdır. İş süreçlerinde kesintiye neden olaylar küçük ve kısa zamanda telafi edilebilir olaylar olabileceği gibi, ciddi felaketler de olabilir. En uç örnek olarak ana çalışma alanı tamamen kaybedilebilir. Nasıl bir olay yaşanırsa yaşansın kurumun en az zarar ile çalışmalarına devam edebilmesi için kurumda iş sürekliliği yönetim sistemi kurulmalıdır. Kurum içerisindeki iş sürekliliği aktivitelerinin yönetildiği sisteme, iş sürekliliği yönetim sistemi ismi verilmektedir.

Krumun, bu tür bir sistem yaklaşımında mevcut durumlarını analiz ederek,

  • Beklenmedik olaylara karşı hazırlıklı olmak
  • Felaketlere hızlı ve doğru karşılık vermek
  • Varlıklarını ve nakit akışını korumak
  • Kesinti süresini en aza indirerek normal operasyonlara dönüşü sağlamak

yönünde bir dizi iş sürekliliği planları (BCP) yapmaları ve senoryalar düzenlemesi gerekir.

BCP’ler kurum hangi sektörde yer alırsa alsın, karşılaşacağı  tehlikelere karşı önleyici bir yaklaşım geliştirmesini ve olası acil durumlarda sistem ve ekip yaklaşımı içinde hazır bulunmasını sağlayacaktır.

Son yıllarda İş Sürekliliği Yönetiminin daha ciddi ele alınarak organizasyonlarda faaliyete geçirilmesi ile konu hakkında daha fazla bilgi birikimine sahip kişinin istihdam edilmesini ve istihdam konusunda tercih edilmesini gündeme getirmiştir. Buna verilebilecek en iyi örnek; İş sürekliliği yönetimi konusunda açılan yüksek lisans programları ile çeşitli ülkelerde faaliyet gösteren enstitülerin verdiği kurslar ve sundukları yaz kampları imkanlarıdır; 

  • The American Institute for Business Continuity, 9/11 ardından konu hakkında yaz kampları düzenlemeye başlamıştır.
  • BCI (The Business Continuity Institute), konu hakkında eğitimler vermekle birlikte bu konuda çalışan veya çalışmak isteyen kişiler için sertifikasyon programları düzenlemektedir.
  • BCI’nın 85 den fazla ülkede 4000 üyesi bulunmaktadır.
  • BSI (British Standards Institution) BS 25999 standardını geliştirmiş, iş sürekliliği yönetimi ve standardı konusunda kurum ve kuruluşlara danışmanlık hizmetleri verdiği gibi, profesyoneller için, “İş Sürekliliği Yönetim Sistemi” konusunda; Farkındalık, Uygulama ve İç Tetkikçi, Tetkikçi ve Baş Tetkikçi kursları düzenlemektedir.
  • Amerika’da Boston University, “Master of Science in Management- Specialization in Business Continuity and Emergency Management” başlığı ile yüksek lisans programı sunmaktadır.
  • Benzer şekilde bir akademik programı; Norwich University, “Master of Science in Business Continuity Management” başlığı ile uygulamaktadır.

BS 25999 İş Sürekliliği Yönetim Standardı ile başlayan süreç “ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communications technology readiness for business continuity” ile devam etmiştir. Halen geliştirme aşamasında olan “ISO/DIS 22301 Societal security — Preparedness and continuity management systems – Requirements”  takip eden standartlar olarak dikkat çekmektedir. İş Güvenliği açısından önemli olan bir standart da “ISO/PAS 22399:2007 Societal security – Guideline for incident preparedness and operational continuity management” adlı standarttır. İş sürekliliği yönetim sistemi kurulumunun planlanmasına dair kurumlara yönelik tavsiyelerin yer aldığı ve UEKAE (Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü) tarafından yayınlanmış olan BGYS-0009 İş Sürekliliği Yönetim Sistemi Kurulum Kılavuzu da mevcuttur.

İster bir hacker saldırısı olsun, ister deprem veya sel gibi bir doğal afet olsun, iş sürekliliğinizi etkileyecek her türlü felakete hazır olmanız gerekmektedir. Bu olaylar meydana geldiğide ise nasıl davranılacağı ve neler yapılacağı da kritik önem taşımaktadır. Bu konu da hanüz yeni olan iki standart mevcut: “PAS 200:2011 Crisis Management Guidance & Practice”, potansiyel krizleri tanımlanması, risklerin minimize edilmesi, facia derecesinde sonuçların önlenebilmesi için oluşturulmuş bir framework olarak karşımıza çıkıyor. “ISO27035 Information Security Incident Management”, güvenlik olaylarını (incident) nasıl tespit edeceğiniz, karşılık vereceğiniz ve yöneteceğiniz hakkında bilgiler suna bir en iyi pratik framework’ü olarak düzenlenmiş. En az zararla en kısa sürede işinizi ayağa kaldırmak hakkında net bir yaklaşım sağlıyor.

Gelecek haftalarda bu standartların bazılarını ele alacağız. 

  
Kaynaklar:
Altay Onur, AHSE Eğitim & Danışmanlık Ltd.
Burak Bayoğlu, TÜBİTAK-UEKAE
Dejan Košutić, Information Security and BCM Expert

Share

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Copy Protected by Chetan's WP-Copyprotect.