25

SBM’DEN

FROM SBM

Kurtarma Planı, kısaca bir felaket gerçekleştiğinde alınacak

aksiyonları ele alırken, iş sürekliliği planı ise sadece felaket

anı için değil, plan kapsamında yapılacak kesintilerde veya

kuruma yönelik pozitif değişimlerde yaşanacak kesintiler

dahil neler yapılacağını belirlemektedir.

İş sürekliği daha

çok “önleyici” stratejileri içerirken, felaketten kurtarma

ise “düzeltici” kontrol ve aksiyonları içermektedir.

Başka

bir deyişle, felaket kurtarma planı iş sürekliliği planının bir alt

süreci olarak değerlendirilmeli ve özellikle Bilgi Teknolojileri

birimleri ile ilişkilendirilmelidir.

Dünyadaki gelişmeleri takiben Türkiye’deki büyük işletmeler

ve devlet kurumları da kesinti durumlarında büyük kayıplara

yol açılmasının önüne geçmeye çalışmaktadırlar. Bu konuda-

ki en önemli rehber uluslararası bir standart olan İngiliz

Standartları Enstitüsü’nün yayınladığı (BSI) ISO-22301’dir.

Mayıs 2012 tarihi itibariyle aralarında Türkiye’nin de olduğu

ISO üyesi ülkeler tarafından uluslararası standart olarak ka-

bul edilmiş ve “ISO22301:2012 Societal Security –Business

Continuity Management Systems -Requirements” ismiyle

ISO standardı olarak yayımlanmıştır.

Bir İş Sürekliliği Planının başarıya ulaşabilmesi için aşağıda-

ki unsurlar kritik öneme sahiptir:

1. Üst Yönetim Desteği

İş sürekliliği çalışmalarına başlanırken öncelikle üst yöne-

tim seviyesinde onay alınması ve desteğinin sağlan-

ması gereklidir. Bu süreçler boyunca üst yönetim düzenli

raporlar, toplantılar ve test sonuçları ile devamlı olarak

bilgilendirilmelidir.

2. Strateji Planının Parçası Olma

İş sürekliliği kendi içinde bir süreç değildir. Stratejik hedeflere

paralel olarak geliştirilmesi gereken stratejik planının bir

parçasıdır. Kurumun işleyişinde aksaklık çıkmaması için her

daim güncel ve ihtiyacı karşılayan bir durumda olmalıdır.

3. İş Sürekliliği Organizasyonu ve Koordinasyonu

İş sürekliliği kurumun tüm bölümlerinin ortaklaşa yapa-

bileceği bir çalışmadır. Bu nedenle bir bölüme veya kişiye

sorumluluk yüklenmemeli ve bir defaya mahsus proje eki-

bi mantığıyla değil çalışanların iş tanımlarının bir parçası

haline getirilerek süreklilik sağlanmalıdır.

4. İş Etki Analizi

Bir kesintinin iş üzerinde yaratacağı etkinin analiz edilme

çabası o işle ilgili İş Sürekliliği sağlamada karşılaşılabi-

lecek riskleri görmek için gereklidir. İş sürekliliği planı da

bu çabanın çıktılarına göre oluşturulmalıdır. Analizin doğru-

luğu iş sürekliliğinin doğru olmasını sağlayacaktır. Analiz

sırasında kabul edilebilir kesinti süreleri, maksimum kesin-

ti süreleri ve süreçlerin kurum için kritikliği açık bir şekilde

disaster recovery plan covers the actions to be taken in

case of a disaster or emergency, business continuity plan

sets forth actions to be taken not only at the time of dis-

aster but also during interruptions that may take place as

part of the plan or interruptions during positive changes

about the organization.

While Business Continuity covers

mostly “preventive” strategies, disaster recovery covers

“corrective” controls and actions.

In other words, disaster

recovery plan should be viewed as a sub-process of busi-

ness continuity plan and should be associated mostly with

Information Technology units.

Parallel to the developments in the world, big corporations

and public institutions in Turkey as well are trying to find

ways of preventing big losses in cases of major business

interruptions. The major guidance document in this area

is the (BSI) ISO-22301 standard which is an international

standard published by British Standards Institute. In May

2012, this standard was acknowledged as an internation-

al standard by ISO member countries including Turkey,

and was published as an ISO standard under the title of

“ISO 22301:2012 Societal Security – Business Continuity

Management Systems – Requirements”.

Following factors are critically important for the successful

implementation of a Business Continuity Plan:

1. Support from Senior Management

Prior to implementation of the business continuity plan, approval

and support of senior has to be obtained. During this process,

senior management should be informed on a regular basis via

reports, meetings and presentation of test results.

2. Being a part of the Strategy Plan

Business continuity is not a process in itself. It is a part of the

strategic plan that needs to be developed parallel to the strategic

goals. In order to avoid any interruption of the business operations,

it has to be updated and able to meet requirements at all times.

3. Business Continuity Organization and Coordination

Business continuity is a process to be carried in cooperation

by al units of an organization. Thus all responsibility shouldn’t

be given to a single individual or department and continuity

should be ensured by making it a part of the job descriptions of

the employees rather than approaching it as a one-time project

teamwork.

4. Business Impact Analysis

The effort for analysis of the impact of a possible interruption on

business operations is required for foreseeing the risks that may

be encountered in the process of ensuring Business Continuity.

And the business continuity plan should be formed based on

the outcomes of this efforts. Accuracy of the analysis would

ensure a correct business continuity plan. Analysis results should

clearly determine acceptable interruption times, maximum