ISO 22301 İŞ SÜREKLİLİK YÖNETİMİ KURULUMUNDA DİKKAT EDİLMESİ GEREKLİ HUSUSLAR NEDİR NELERDİR ?
ISO 22301 Belgesi İş sürekliliği yönetimi en üst kademede yöneticilerden en alt seviyede personele ve bilişim teknolojisi destek hizmetlerine varıncaya kadar her seviyede iş birliği gerektiren bir yapıdır. Bu yapı içerisindeki bileşenler bir birleriyle koordineli bir şekilde yönetildiği takdirde tek ses halinde iş süreklilik uygulamaları istenen amaca yönelik başarı sağlayacaktır.
En Üst Düzeyde Katılım: İş sürekliliği çalışmaları için en yüksek seviyede yönetimin katılımı ve desteği . Yapılan işler ile ilgili yönetim onayı alınması çalışmaların kurum çapında kolay kabul edilmesini ve kolay yaygınlaşmasını sağlamaktadır. İş Sürekliliği yönetiminde, üst yönetimin iş sürekliliği sürecine katılımının doğru olarak anlaşılması, desteklenmesi ve organizasyon kültürüne adaptasyonu için anahtar bir bileşendir.
Stratejik İş Planın Parçası Olma: İş süreklilik yönetimi, kurumun stratejik hedeflerine ulaşmada göz önünde tutulan önemli bir bileşendir. Kuruluşların stratejik planlarında yer alan hedeflere ulaşmada, olası hedeften sapmalara yol açabilecek kesintiler üst yönetim tarafından göz önünde bulundurulduğu takdirde daha gerçekçi hedefler belirlenebilmektedir. Stratejik plan veya hedefler, kurumun işlevini devam ettirmesi veya yasal yükümlülüklerini yerine getirebilmesi için her zaman güncel ve ihtiyaca yanıt verebilir durumda olmalıdır. İş sürekliliğinin stratejik iş hedeflerine uygun olarak geliştirilmediği veya stratejik hedeflerde gerçekleştirilen değişikliklere uygun olarak gerekli çalışmaların yapılmadığı durumda iş süreçlerinde kesintiler yaşanması söz konusudur. Stratejik İş Planın Parçası Olarak kurumlar, hedeflerinden sapmalara yol açacak iş kesintileri, iş kesintileri hallerinde gerekli güncellemeleri yapmalıdırlar.
Takım çalışması: İş sürekliliği çalışmaları bir grubun veya bir kişinin tek başına yerine getirebileceği bir faaliyet değildir. Kurumun birçok bölümünün içinde bulunduğu ve kişilerin farklı görevler aldığı bir çalışmadır. Son kullanıcının dahi bilmesi ve yapması gereken işler vardır. Bazı kurumlarda iş sürekliliğinin yönetimi için ayrı gruplar kurulmuştur. İş sürekliliği yönetim sisteminin kurum içinde yaşayabilmesi için gerekli personel gücünün ve koordinasyonun sağlanması iş sürekliliğinin olağan üstü durumlarda beklenen faydayı sağlaması için anahtar bileşenlerden birisidir.
İş Etki Analizi ve Risk değerlendirme: İş etki analiz, İş fonksiyonlarının ve iş kesintisinin, bu iş fonksiyonları üzerinde yaratacağı etkinin analiz edilmesi prosesi olarak tanımlanır. İş sürekliliği, bu iş etki analizi ismi verilen değerlendirmelerin üzerine inşa edilen bir idare prosesidir. İş etki analizinde, kurumun tüm süreç,servis ve faaliyetlerinin analiz edilmesi ve değerlendirilmesi gereklidir. Bu çalışma sonunda kurum süreçlerinin kritikliği, süreçler için kabul edilebilir kesinti süreleri (Recovery Time Objective ,Recovery Point Objective) ve maksimum kabul edilebilir kesinti süreleri (Maksimum Tolerable Periot Time) belirlenmektedir. Bu çalışma sırasında ayrıca bir risk değerlendirme metodolojisi uygulanarak, süreçlerde kesintiye neden olabilecek riskler ortaya çıkarılmaktadır. İş süreçlerinin öneminin ve süreçlerde kesintiye neden olabilecek olayların belirlenmesi uygulanacak karşı önlemlerin seçilmesi için son derece kritiktir. Bu sebeple iş etki analizi, iş sürekliliğinin başarıya ulaşmasında üst yönetim desteği kadar önemli bir başarı faktörüdür.
Finansal Yeterlikler: İş etki analizi çalışması sonucunda uygulanacak kontrollere karar verilmektedir. Bu kararlar genellikle iş sürekliliği stratejileri olarak adlandırılmaktadır. Kontrollerin yerine getirilmesi için yapılacak çalışmaların bazılarının maliyeti çok düşük olabileceği gibi gerektiğinde felaketten kurtarma merkezi kurulumu gibi yüksek maliyetli çalışmaların yapılması da gerekebilir. Bu sebeple iş etki analizinde belirlenen kabul edilebilir kesinti sürelerinin sağlanması için gerekli bütçenin ayrılması veya planlanması oldukça önemlidir.
Kaynak ihtiyacı ve Altyapı Gereklilikleri: Birçok iş sürecinin BT bağımlılığı yüksektir. Bilgi teknolojileri altyapısının süreklilik ihtiyaçlarına uygun olması süreklilik ihtiyaçlarının karşılanması için büyük öneme sahiptir. Sunucuların, haberleşme hatlarının, enerji altyapısının yedekli yapıda çalışması BT‟nin sürekli hizmet verebilmesi için gereklidir. Bunlara ek olarak ana merkezde bulunan verinin felaketten kurtarma merkezine gönderilmesi gereklidir. Bu işlemleri gerçekleştirecek altyapıya sahip olmadan olağan üstü bir durumda kabul edilebilir kesinti sürelerini sağlamak oldukça güçtür.
Dokümantasyon: Organizasyon durumunun, görev tanımlarının, İş süreklilik yönetim kapsamının, İş sürekliliği planlarının, olağan üstü durum yönetim planının ve bu planlarla ilgili diğer talimat ve prosedürlerin hazır ve güncel olması gereklidir. Dokümanların hazır olması yanında kullanımı beklenen ilgili kişilere dağıtımı da yapılmalıdır. Dokümantasyon belirli periyotlarda ,değişiklik ihtiyaçları doğrultusunda güncellenmelidir.
Periyodik tatbikatlar: Olağan üstü durumlara her an hazır olabilmek için senaryolar üretilmeli ve tatbikatı yapılmalıdır. Tatbikatlar sonucunda kurulmuş olan yönetim sisteminin eksikliklerini tespit etmek mümkündür. İş sürekliliği planının ve ilgili diğer dokümanların, çalışma kapsamında görev alan personelin bilgi seviyesinin, teknolojik altyapının varsa eksiklikleri bu şekilde tespit edilebilir. Tatbikatlar, dokümantasyonun gözden geçirilmesi, planın bir parçasının test edilmesi veya planın tamamının test edilmesi gibi farklı türlere sahiptir. Her bir tatbikat türü için senelik olarak tatbikat planlarının hazırlanması ve tatbikatların yapılması kurumun olası bir acil durum senaryosu için hazır olmasını sağlamaktadır.
Eğitim ve bilinçlendirme: İş sürekliliği çalışmalarının benimsenmesi için kurum çalışanlarına ve iş sürekliliği organizasyonunda bulunan takımlara yaygınlaştırma eğitimleri verilmelidir. Kurum çapında benimsenmemiş ve gerekli eğitim çalışmaları yapılmamış iş sürekliliği planlarının başarıya ulaşma olasılığı düşüktür. İş sürekliliği planı içerisinde eğitim konusunda izlenecek yöntemler belirlenmeli ve plan içerisinde yer almalıdır. Eğitim faaliyetlerini yürütmek üzere bir takım kurulması ve gereken zamanlarda eğitim işlerini organize etmesi faydalı olacaktır. Kurum çapında yapılacak iş sürekliliği bilgilendirmesi senede bir defadan az olmamalıdır.
Plan bakım ve güncelleme: İş Sürekliliği , kurumun kritik süreçlerinin devamlılığını sağlamak üzere vardır. Bu nedenle kurumun süreçlerinde meydana gelen değişiklikler iş sürekliliği planını doğrudan etkilemektedir. Süreç değişikliklerinin plan güncellemesi gerektirdiği hiçbir zaman göz ardı edilmemelidir. Zaman içerisinde meydana gelen değişikliklerin iş sürekliliği planına aktarılması için periyodik gözden geçirmeler yapılmalı ve güncelleme ihtiyacı tespit edilmelidir. Tatbikat sonuçları genellikle plan güncellemesi gerektirmektedir. İş sürekliliği kapsamında yapılması gereken değişiklikler her zaman doküman değişiklikleri olmak zorunda değildir. Kurumun süreçlerinin kritiklik seviyesinin değişmesi nedeni ile hizmet veren sunucuların öncelikleri dolayısıyla da alınması gereken önlemler değişebilir. Bu nedenle bazı durumlarda yeni yatırım gereksinimi ortaya çıkabilir. Değişikliğin sistem değişikliği olması durumunda bütçe ve zaman planının hazırlanması gereklidir.
