25
SBM’DEN
FROM SBM
Kurtarma Planı, kısaca bir felaket gerçekleştiğinde alınacak
aksiyonları ele alırken, iş sürekliliği planı ise sadece felaket
anı için değil, plan kapsamında yapılacak kesintilerde veya
kuruma yönelik pozitif değişimlerde yaşanacak kesintiler
dahil neler yapılacağını belirlemektedir.
İş sürekliği daha
çok “önleyici” stratejileri içerirken, felaketten kurtarma
ise “düzeltici” kontrol ve aksiyonları içermektedir.
Başka
bir deyişle, felaket kurtarma planı iş sürekliliği planının bir alt
süreci olarak değerlendirilmeli ve özellikle Bilgi Teknolojileri
birimleri ile ilişkilendirilmelidir.
Dünyadaki gelişmeleri takiben Türkiye’deki büyük işletmeler
ve devlet kurumları da kesinti durumlarında büyük kayıplara
yol açılmasının önüne geçmeye çalışmaktadırlar. Bu konuda-
ki en önemli rehber uluslararası bir standart olan İngiliz
Standartları Enstitüsü’nün yayınladığı (BSI) ISO-22301’dir.
Mayıs 2012 tarihi itibariyle aralarında Türkiye’nin de olduğu
ISO üyesi ülkeler tarafından uluslararası standart olarak ka-
bul edilmiş ve “ISO22301:2012 Societal Security –Business
Continuity Management Systems -Requirements” ismiyle
ISO standardı olarak yayımlanmıştır.
Bir İş Sürekliliği Planının başarıya ulaşabilmesi için aşağıda-
ki unsurlar kritik öneme sahiptir:
1. Üst Yönetim Desteği
İş sürekliliği çalışmalarına başlanırken öncelikle üst yöne-
tim seviyesinde onay alınması ve desteğinin sağlan-
ması gereklidir. Bu süreçler boyunca üst yönetim düzenli
raporlar, toplantılar ve test sonuçları ile devamlı olarak
bilgilendirilmelidir.
2. Strateji Planının Parçası Olma
İş sürekliliği kendi içinde bir süreç değildir. Stratejik hedeflere
paralel olarak geliştirilmesi gereken stratejik planının bir
parçasıdır. Kurumun işleyişinde aksaklık çıkmaması için her
daim güncel ve ihtiyacı karşılayan bir durumda olmalıdır.
3. İş Sürekliliği Organizasyonu ve Koordinasyonu
İş sürekliliği kurumun tüm bölümlerinin ortaklaşa yapa-
bileceği bir çalışmadır. Bu nedenle bir bölüme veya kişiye
sorumluluk yüklenmemeli ve bir defaya mahsus proje eki-
bi mantığıyla değil çalışanların iş tanımlarının bir parçası
haline getirilerek süreklilik sağlanmalıdır.
4. İş Etki Analizi
Bir kesintinin iş üzerinde yaratacağı etkinin analiz edilme
çabası o işle ilgili İş Sürekliliği sağlamada karşılaşılabi-
lecek riskleri görmek için gereklidir. İş sürekliliği planı da
bu çabanın çıktılarına göre oluşturulmalıdır. Analizin doğru-
luğu iş sürekliliğinin doğru olmasını sağlayacaktır. Analiz
sırasında kabul edilebilir kesinti süreleri, maksimum kesin-
ti süreleri ve süreçlerin kurum için kritikliği açık bir şekilde
disaster recovery plan covers the actions to be taken in
case of a disaster or emergency, business continuity plan
sets forth actions to be taken not only at the time of dis-
aster but also during interruptions that may take place as
part of the plan or interruptions during positive changes
about the organization.
While Business Continuity covers
mostly “preventive” strategies, disaster recovery covers
“corrective” controls and actions.
In other words, disaster
recovery plan should be viewed as a sub-process of busi-
ness continuity plan and should be associated mostly with
Information Technology units.
Parallel to the developments in the world, big corporations
and public institutions in Turkey as well are trying to find
ways of preventing big losses in cases of major business
interruptions. The major guidance document in this area
is the (BSI) ISO-22301 standard which is an international
standard published by British Standards Institute. In May
2012, this standard was acknowledged as an internation-
al standard by ISO member countries including Turkey,
and was published as an ISO standard under the title of
“ISO 22301:2012 Societal Security – Business Continuity
Management Systems – Requirements”.
Following factors are critically important for the successful
implementation of a Business Continuity Plan:
1. Support from Senior Management
Prior to implementation of the business continuity plan, approval
and support of senior has to be obtained. During this process,
senior management should be informed on a regular basis via
reports, meetings and presentation of test results.
2. Being a part of the Strategy Plan
Business continuity is not a process in itself. It is a part of the
strategic plan that needs to be developed parallel to the strategic
goals. In order to avoid any interruption of the business operations,
it has to be updated and able to meet requirements at all times.
3. Business Continuity Organization and Coordination
Business continuity is a process to be carried in cooperation
by al units of an organization. Thus all responsibility shouldn’t
be given to a single individual or department and continuity
should be ensured by making it a part of the job descriptions of
the employees rather than approaching it as a one-time project
teamwork.
4. Business Impact Analysis
The effort for analysis of the impact of a possible interruption on
business operations is required for foreseeing the risks that may
be encountered in the process of ensuring Business Continuity.
And the business continuity plan should be formed based on
the outcomes of this efforts. Accuracy of the analysis would
ensure a correct business continuity plan. Analysis results should
clearly determine acceptable interruption times, maximum