gtag 10- İş sürekliliği yönetimi...kriz yönetimi planlaması, kurumun kamuoyunu,...

GTAG

GLOBAL TEKNOLOJİ DENETİM REHBERİ

UMUÇ – UYGULAMA REHBERİ

GTAG 10

İŞ SÜREKLİLİĞİ YÖNETİMİ

Global Teknoloji Denetim Rehberi (GTAG)

BT yönetimi, kontrolü ve güvenliğiyle ilgili güncel bir konuyu ele almak üzere basit bir ticari

dille yazılan bu GTAG, iç denetim yöneticileri için teknolojiyle ilintili farklı riskler ve

önerilen uygulamalar hakkında hazır bir kaynak teşkil eder.

Bilgi Teknolojisi Kontrolleri:

Ele alınan konular arasında,bilgi teknolojisi kontrolü kavramları, BT kontrollerinin önemi,

etkin ve etkili BT kontrolleri için kurumsal görev ve sorumluluklar, risk analizi ve izleme

teknikleri yer alır.

Değişiklik ve Yama Yönetimi Kontrolleri:

Değişiklik ve yama yönetimi kontrollerinin BT risklerini ve maliyetlerini ve uygulamada

neyin işe yarayıp neyin yaramadığını açıklamanın yanı sıra değişikliklerin kaynaklarını ve

bunların işletme hedefleri üzerinde ne tür olası etkiler meydana getirdiğini açıklar.

Sürekli Denetim:

Sürekli denetimin günümüz iç denetim ortamındaki rolünü; sürekli denetimin, sürekli izleme

ve sürekli güvenceyle ilişkisini ve sürekli denetim uygulamasını ve bunun uygulamaya

konmasını ele alır.

BT Denetim Yönetimi:

BT denetim sürecinin nasıl uygulanacağının ve yönetileceğinin yanı sıra BT’yle ilişkili

riskleri ele alır ve BT denetim evrenini tanımlar.

Gizlilik Risklerinin Yönetimi ve Denetimi:

Global gizlilik ilkelerini ve çerçevelerini, gizlilik risk modellerini ve kontrollerini, iç

denetçilerin görevlerini ve denetim süreci boyunca sorulması gereken en önemli 10 gizlilik

sorusunu ve daha fazlasını ele alır.

BT Zafiyetlerinin Yönetimi ve Denetimi:

Diğer konuların yanı sıra zafiyet yönetimi yaşam döngüsünü, bir zafiyet yönetimi denetiminin

kapsamını ve zafiyet yönetimi uygulamalarını değerlendirmek için kullanılacak ölçütleri ele

alır.

Bilgi Teknolojisinde Dış Kaynak Kullanımı:

Doğru BT dış kaynak satıcısının seçimi konusunda nasıl karar verileceğini ve müşteri ve

hizmet sağlayıcısının operasyonlarından elde edilen kilit dış kaynak kullanım kontrol

mülahazalarını ele alır.

Uygulama Kontrollerinin Denetimi:

Bir risk esaslı uygulama değerlendirmesinin nasıl inceleneceğinin yanı sıra uygulama

kontrolü kavramını ve bunun genel kontrollerle ilişkisini ele alır.

Kimlik ve Erişim Yönetimi:

Kimlik ve erişim yönetiminin (IAM) kilit kavramlarını, IAM süreciyle ilişkili riskleri, IAM

süreçlerinin denetimiyle ilgili ayrıntılı bir rehberliği ve denetçiler için örnek bir kontrol listesi

içerir.

BT Denetim Planını Geliştirme:

İşin anlaşılmasından, BT denetim evreninin tanımlanmasından ve bir risk değerlendirmesinin

yapılmasından BT denetim planının hazırlanmasına kadar adım adım bir BT planının nasıl

geliştirileceğine dair rehberlik sağlar.

İş Sürekliliği Yönetimi

Yazarlar

David Everest, Key Bank, Roy E. Garber, Safe Auto Insurance

Co., Michael Keating, Navigant Consulting, Brian Peterson,

Chevron Corp.

Temmuz 2008

Telif Hakkı © 2008 247MaitlandAvenue, Altamonte Springs, FL 32701-4201, ABD merkezli Uluslararası İç Denetçiler

Enstitüsü’ne aittir. Tüm hakları mahfuzdur. Amerika Birleşik Devletleri’nde basılmıştır. Bu yayının hiçbir bölümü,

yayıncının ön yazılı izni alınmaksızın hiçbir şekilde ve tarzda – elektronik, mekanik, fotokopi çekme, kaydetme veya başka

şekillerde – çoğaltılamaz, bir yedekleme sisteminde saklanamaz veya her ne surette ve yolla olursa olsun iletilemez.

IIA, işbu dokümanı bilgilendirme ve eğitim amaçları için kullanılmak üzere yayımlamaktadır. Bu doküman bilgilendirme

amacıyla hazırlanmıştır; hukuki veya muhasebeyle ilgili bir tavsiye değildir. Bu dokümanı yayımlayarak, IIA böyle bir

tavsiyede bulunmaz ve herhangi bir hukukî veya muhasebe sonucuna ilişkin bir garanti vermez. Hukukî veya muhasebeyle

ilgili herhangi bir sorunla karşılaşıldığında, profesyonel yardıma aranmalı ve kullanmalıdır.

GTAG – İçindekiler

İçindekiler Tablosu

1. YÖNETİCİ ÖZETİ… ……………………………………………………. 1

2. GİRİŞ ……………………………………………………………………………. 3

2.1 BCM’nin Tanımı ………………………………………………………... 3

2.2 Kriz Yönetimi Planlaması ………………………………………………. 3

2.3 Bir Felaket Durumunda BT’nin Kurtarılması ……………………........... 3

3. BİR İŞ VAKASI OLUŞTURMA ………………………………………………. 4

4. İŞ RİSKLERİ …………………………………………………………………… 5

4.1 Yaygın Felaket Senaryoları …………………………………………….. 5

4.2 Felaketlerin Yaygın Etkileri ……………………………………………. 6

5. BCM GEREKLİLİKLERİ ……………………………………………………… 7

5.1 Yönetim Desteği ………………………………………………………… 7

5.2 Risk Değerlendirme ve Risk Hafifletme ………………………………… 8

5.3 İş Etki Analizi …………………………………………………………… 10

5.4 İş Kurtarma ve Süreklilik Stratejisi ……………………………………… 11

5.5 BT için Felaket Durumunda Kurtarma …………………………………... 12

5.6 Farkındalık ve Eğitim ……………………………………………………. 14

5.7 BCM Programının Sürdürülmesi ………………………………………… 14

5.8 İş Sürekliliği Tatbikatı …………………………………………………... 15

5.9 Kriz İletişimi ……………………………………………………………... 18

5.10 Dış Kurumlarla Koordinasyon …………………………………………… 18

6. ACİL DURUM CEVABI ………………………………………………………... 19

7. KRİZ YÖNETİMİ ……………………………………………………………….. 20

8. SONUÇ/ÖZET …………………………………………………………………... 21

9. EKLER …………………………………………………………………………... 22

9.1 Örnek BCP Denetim Rehberi ……………………………………………..22

9.2 BCM Standartları ve Kılavuz İlkeler …………………………………….. 22

9.3 BCM Kapasitesi Olgunluk Modeli ………………………………………. 23

10. SÖZLÜK ………………………………………………………………………….32

11. YAZARLAR HAKKINDA ………………………………………………………33

GTAG – YÖNETİCİ ÖZETİ

1. YÖNETİCİ ÖZETİ

İş dünyasındaki çoğu çalışan, başarılı bir işletmeyi yönetme sürecinde kurumsal yöneticilerin

zamanlarının kayda değer bir bölümünü piyasayı inceleme, stratejiler geliştirip uygulama,

performans hedefleri ve finansal hedefler oluşturma, işletme operasyon planları geliştirme ve

uygulama, finansal sonuçları raporlama ve paydaşlara iletme konusunda harcadıklarını kabul

edecektir. Dünya çapında 2000 yılı için hazırlanmadan önce, iş sürekliliği yönetiminin

(Business Continuity Management-BCM) daima her kurumsal yöneticinin öncelik listesinde

üst sıralarında yer almadığını çoğu kabul edecektir. Yakın tarihte yaşanan felaketler, iş

sürekliliği (BC) riskleri ve söz konusu risklerin kurumsal finans faaliyetleri ve operasyonlar

üzerindeki etkisine ilişkin farkındalığı arttırmış olsa da, hâlâ uyarı sinyallerini dikkate

almayan ve olası bir felakete veya iş aksamasına hazır olmayan kurumlar vardır. İnsan eliyle

meydana gelen ve doğal afetler nedeniyle yaşanan iş aksamaları öngörülemeyebilir; ancak

etkin ve etkili bir BCM programı, genel kurumsal yönetişim çerçevesinin bir parçası hâline

gelmişse, bu tür aksaklıkların etkileri kontrol altına alınabilir.

BCM’nin amacı, bir felaket ilan edildikten sonra bir kurumdaki kritik iş süreçlerinin geriye

döndürülmesini sağlamaktır. BCM, iş değeri esas alınarak olası riskleri karşılayacak iş

sürekliliği kapasitelerini yaratmak için tasarlanmış basit bir risk yönetimi meselesidir.

İşletmelerinin tamamını veya bir bölümünü uzun bir süre işlemez hâle getirebilecek olaylara

karşı yeterince hazır olmayan büyük, orta ve küçük şirketler bulunmaktadır. 11 Eylül 2001

terör saldırılarının ardından, ABD hava yollarının; Londra bombalamalarının ardından

TfL’nin (Transport for London) ve 2004’teki tsunami felaketinden sonra Sri Lanka ve

Tayland’daki ticari balıkçılık sektörünün başına gelenler dâhil belgelenmiş vakalar, şirketlerin

veya bütün bir sektörün öngörülemeyen felaketler karşısında hazırlıksız olmalarından dolayı

nasıl büyük ve önemli finansal kayıplara uğradıklarını göstermiştir. Bir kurumun

uğrayabileceği zararlar arasında müşteri, kâr, itibar veya resmi makamlardan alınan

ruhsatlar/onaylar ve benzerinin kaybı da yer alabilir. Hazırlıksız olma, işletmeyi, işletme

türüne göre değişen bir risk derecesine maruz bırakır. Sektördeki ekonomik düşüşlerden,

bilgilendirilmiş yönetimin olmayışından ya da kurumun diğer kararlarından dolayı, iç denetim

yöneticileri (İDY) gibi BCM programını savunanlar daha iyi ve gelişmiş bir BCM

programıyla ilgili icraî yönetime ilettikleri önerilerin genellikle göz ardı edildiğini veya uzak

bir tarihe ertelediğini görmektedirler.Mesela, bir denetim veya başka bir keşif aracı yoluyla

yönetimin ilan edilmiş bir felaket durumunda aksamalara neden olabilecek olayların meydana

gelme olasılıklarına göre işletme operasyonlarını ve sistemlerini, kurumun işletme, finans ve

operasyonel amaçlarına uygun bir şekilde kurtaracağı konusunda yeterince kanıt sunamadığı

tespit edildiği takdirde, İDY,yönetime ve denetim komitesine BCM yetersizliklerini

bildirmekten sorumludur.

Bu Global Teknoloji Rehberi (GTAG), İç Denetim Yöneticilerinin bakış açılarından hareketle

yazılmıştır. İç Denetim Yöneticileri (İDY), kurumsal yöneticilere bir BCM programı edinme

konusundaki riskler, kontroller, maliyetler ve faydalar hakkında eğitim verme zorluğuyla

karşı karşıya kalmışlardır. Son dönemlerde dünya çapında yaşanan felaketler bazı kurumsal

liderleri BCM programlarını dikkate alma konusunda motive etmişse de, diğer kurumsal

liderler böyle bir riski kabul etmemişler ve/veya hiç ele almamışlardır. Buradaki kilit zorluk,


kurumsal yöneticileri bir BCM programını öncelik hâline getirmek konusunda sevk

etmektir.Yüzeysel olarak, hemen her yönetici BCM programının iyi bir fikir olduğunu

söyleyecektir; fakat iş uygulamaya gelince, sadece bir kısmı programı fonlamak için gereken

bütçeyi ve programın başarılı olmasını sağlayacak zamanı olan bir yönetici sponsoru bulmaya

çalışacaktır. Bu rehber, hem İDY’nin işletme süreklilik riski farkındalığını anlatmasını

sağlayacak hem de bir BCM programı geliştirip bakımını yapması konusunda yönetime

destek olacaktır.

Şekil 1’de de gösterildiği gibi, İDY, Acil Durum Yönetim Programının üç unsurundan biri

olan BCM’nin rolünü anlamalıdır. (Not: Acil Durum Yönetimi tüm dünyada farklı yönetim ve

işletme sektörlerinde kullanılıyor olabilir; fakat bu durum onu standart meslekî bir terim

yapmaz.). Acil durum müdahalesi (ER), bir felaketten kaçınmaya, felaketi ertelemeye veya

engellemeye ve kurumu söz konusu felakete cevap verme konusunda hazırlamaya odaklanan

ilk müdahaledir. ER’nin amacı; hayat kurtarmak, güvenliği sağlamak ve varlıkların zarar

gerçekleştirmektir. Kriz Yönetimi (CM), bir felaket durumunda bir kurumun dış – bazı

şirketlerde iç – iletişiminin ve üst yönetimin faaliyetlerinin yönetilmesine odaklanır. ER ve

CM’nin yerleşmiş ve olgunlaşmış olduğu yerlerde bile BCM üzerinde yeterince durulmamış

olabilir. BCM kapasiteleri, bir felaket veya işletme sırasında bir işletmenin maruz kalabileceği

finansal ve diğer etkileri en aza indirmek amacıyla kritik iş süreçlerini kurtarmaya odaklanır.

CM ER ve CM ile entegre edilmeli; fakat ayrı bir program olmalıdır.

Şekil1. Acil Durum Yönetim Programı

Asıl önemli olan, İDY’nin iş sürekliliğiyle ilgili aşağıdaki basit ve önemli üç soruya yanıt

verebilmesi gerektiğidir:

1. Kurum yönetimi, şu anki iş sürekliliği riski düzeyini ve olası kayıp düzeylerinin

potansiyel etkilerini anlıyor mu?

2. Kurum, iş sürekliliği risklerinin kabul edilebilir bir seviyeye düşürülerek

hafifletildiğini ve bunun periyodik olarak düzeltilerek yenilendiğini kanıtlayabilir mi?

3. Kabul edilemez bir iş sürekliliği riski varsa ve buna rağmen kurum riski almaya karar

vermişse, kurum sahiplerinin, işletme ortaklarının ve diğer işletme bileşenlerinin

kurumun riski hafifletmediğinden haberleri var mıdır? Ayrıca riski göze alma kararı

uygun bir şekilde belgelenmiş midir?

Eğer bu sorulardan herhangi birisinin cevabı “hayır” ise, bu GTAG faydalı olabilir. Bu

GTAG’ın amacı, özellikle, İDY’lerin BCM programını, risklerini ve kontrollerini

anlamalarını sağlamayı ve onları hem yönetim düzeyindeki hem de kurul düzeyindeki

DAKİKA SAAT GÜN HAFTA

K

R

İ

Z

Bir kriz olayına etkin

müdahale, kurumun Acil

Durum Yönetim

programının olaydan önce

düzgün çalışmasına

bağlıdır. Bu noktayı

anlamak programda fark

yaratılmasını sağlar.

Acil Müdahale

Kriz Yönetimi

İş Sürekliliği


tartışmalara hazırlamaktır. Bu GTAG’ın değeri, üst-düzey bir özeti, yönetici okurlara basit

bir ticari dille sunmasında ve iç denetçilere denetim değerlendirmeleri konusunda ayrıntılı bir

rehber sağlamasında yatmaktadır. Bu GTAG, kurumun çalışma durumunu uzun süre

etkileyebilecek doğal veya insan kaynaklı aksamalara neden olabilecektir olay meydana

gelmesi durumunda, işletme yöneticilerinin kurumun karşılaşabileceği potansiyel risk

düzeyini yönetmelerini sağlayacak bir program veya çerçeve olarak BCM’nin nasıl

tasarlandığı üzerinde durur. Rehber, ayrıca, kritik bilgi teknolojisi altyapısının sürekliliğini ve

işletme uygulama sistemleri için felaket kurtarma planlamasını (DRP) içerir; çünkü işletme

fonksiyonlarının çoğu büyük ölçüde otomatiktir. Bu özellik, İDY’nin etkin ve etkili bir

değerlendirme uygulaması için bir temel oluşturmasına ve kilit bilgileri paydaşlara

bildirmesine yardım eder.

GTAG – Giriş

2. Giriş

Bu GTAG, yönetim organlarının, yöneticilerin ve iç denetçilerin işletme kurtarma

kapasitelerinin etkinliğini ve söz konusu kapasitelerin işletme üzerindeki etkilerini ele almak

için ihtiyaç duydukları bilgilere yer verir. Diğer mesleklerden kişiler de rehberi faydalı ve

ilgili bulabilirler. Bu rehber, BCM kapasitelerini değerlendirmeyle ilgili bilgiler sunar ve

kapsamlı bir programın farklı bölümlerini ve kurum için doğru programın nasıl

oluşturulacağını açıklar.

2.1 BCM’in Tanımı

İş sürekliliği yönetimi, bir kurumun temel görevlerini ve uzun vadeli geleceğini tehlikeye

atabilecek olaylara karşı hazırlanmak için kullandığı bir süreçtir. Bu tür olaylar arasında bina

yangınları gibi yerel bazlı olaylar, depremler gibi bölgesel bazlı olaylar veya pandemik

hastalıklar bulunur. BCM’nin kilit bileşenleri şunlardır:

Yönetim Desteği – Yönetim, yeterli kaynak, insan gücü ve bütçelendirilmiş fonlar

ayırarak, bir iş sürekliliği planını (BCP) uygun şekilde hazırlamak, sürdürmek ve

uygulamak için destek vermelidir.

Risk Değerlendirme ve Risk Hafifletme-Yangın, sel vb. tehlikelerden

kaynaklanabilecek potansiyel riskler tespit edilmeli, söz konusu tehlikelerin görülme

olasılığı ve işletme üzerindeki potansiyel etkileri saptanmalıdır.Olası tüm makul

olayların anlaşıldıklarından ve gerektiği gibi yönetilebildiklerinden emin olmak için

bu işlem,hem tesis hem de bölüm düzeyinde yapılmalıdır.

İş Etki Analizi (BIA) – BIA, bir felaket durumunda ilgili işletme biriminin çalışmaya

devam etmesi için hayati önemdeki iş süreçlerini tanımlamak ve bir felaketin ardından

söz konusu süreçlerin ne kadar kısa sürede kurtarılması gerektiğini tespit etmek

amacıyla kullanılır.

İş Kurtarma ve İş Sürekliliği Stratejisi –Bu strateji, bir kritik iş sürecini kurtarmak

için gereken gerçek basamakları, kişileri ve kaynakları ele alır.

Farkındalık ve Eğitim –BCM programı ve PC planları hakkındaki eğitim ve

farkındalık, planın uygulanması için kritik önemi haizdir.

Tatbikatlar – Çalışanlar, BCM programı ve BC planlarına ilişkin düzenli bir şekilde

programlanmış uygulama tatbikatlarına katılmalıdırlar.

Sürdürme– BCM kapasiteleri ve dokümanları, etkin ve etkili olmaya ve işletme

önceliklerine uygun olmaya devam etmelerini sağlamak için korunmalıdır.

2.2 Kriz Yönetimi Planlaması

Kriz yönetimi planlaması, kurumun kamuoyunu, çalışanlarını ve çeşitli paydaşlarını

krizden ve işletmeyi tekrar ayağa kaldırmak için atılması gereken adımlardan nasıl

haberdar edeceğini ele alır. Bir CM (Kriz yönetimi) planı, hem gerçek kriz durumuna hem

de kriz algısına cevap vermede kullanılan,belgelendirilen yöntemlerden oluşur. CM, aynı

zamanda, hangi senaryoların bir kriz oluşturduğu tanımlayacak ölçütler oluşturmayı içerir

GTAG – Giriş

ve sonuçta da gerekli cevap mekanizmalarını tetiklemelidir. Acil durum yönetim

senaryolarına cevap verme aşamasında cereyan eden iletişim faaliyetinden oluşur.

2.3 Bir Felaket Durumunda BT’nin Kurtarılması

Bilgi Teknolojileri (BT) bileşenlerini felaket durumunda kurtarma, bir felaketten sonra

verilere (kayıtlar, donanım, yazılım vb.), iletişim araçlarına (e-posta, telefon vb.), çalışma

alanına ve diğer iş süreçlerine yeniden erişim kazanmak da dâhil, işlerin kaldığı yerden devam

etmesi için gereken operasyonları kurtarmayı destekler. Kurumun kritik önemdeki kayıtlarını

başarılı kurtarma olasılığını arttırmak için BCM planıyla uyumlu olarak iyi ve etraflıca bir test

edilmiş bir felaket kurtarma planı hazırlanmalıdır.

GTAG – Bir İş Vakası Oluşturma

3. İş Vakası Oluşturma

Dünyada deprem veya kasırga yaşanma ihtimali yüksek olan yerlerde acil durumlara hazırlıklı

artık işletmelerin tek kaygısı değildir. Hazırlıklı olma, günümüzde salgın hastalıklar ve doğal

afetlerin yanı sıra terör saldırıları gibi insan kaynaklı felaketlere karşı hazırlıklı olmayı da

kapsamalıdır. Acil bir durumda ne yapacağını bilmek, hazırlıklı olmanın önemli bir parçasıdır

ve saniyelerin bile önemli olduğu durumlarda fark yaratabilir. Hazırlıklı olmanın amacı, iş

süreçlerini müşteri açısından olabildiğince şeffaf bir yolla yeniden başlatmaktır. Hem büyük

ölçekli hem de küçük ölçekli işletmeleri aynı şekilde etkileyen son zamanlarda yaşanan

katastrofik (feci) olaylardan bazıları aşağıda sıralanmıştır:

SARS virüsü salgını (Kasım 2002’den Temmuz 2003’e kadar) dünya çapında 8,096

bilinen enfeksiyon vakasına ve 774 ölüme yol açmıştır. Bir pandemiye dönüşmek

üzere salgın, Kuzey Amerika’daki Çin restoranlarında kayda değer - kimi durumlarda

%90 oranında- bir düşüşe neden olmuştur. Büyük şehirlerde yapılması planlanan

konferans ve toplantıların çoğu iptal edilmiştir. Ayrıca hükümet müdahalesi bilinen

enfeksiyonların görüldüğü ülkelerdeki çoğu şirket açısından (seyahat, arz zinciri gibi)

normal işletme fonksiyonlarını sekteye uğratmıştır.

11 Eylül 2001’de Pentagon ve Dünya Ticaret Merkezi’ne düzenlenen terör saldırıları

Pearl Harbor bombalamasından bu yana ABD topraklarında düzenlenen en yıkıcı

saldırılar olmuşlardır. 11 eylül saldırıları, yalnızca askeri süreçleri etkisiz bırakmakla

kalmamış sivil süreçleri ve ABD işletmelerini de hedef almıştır.

7 Temmuz 2005 Londra bombalamaları, Londra toplu ulaşım sistemini hedef alan

teröristler tarafından planlanmış bir dizi bombalamadır. 50 kişinin ölümüne ve

700’den fazla kişinin yaralanmasına neden olan bu saldırılar hem Londra’nın toplu

ulaşım sistemini hem de ülkenin mobil telekomünikasyon sistemini tahrip etmiştir.

Katrina Kasırgası (23 Ağustos, 2005), belki de ABD tarihinde en fazla maddi zarara

yol açan doğal afettir. Yaşanan felakette ve ardından meydana gelen sel felaketinde en

az 1830 insan yaşamını kaybetmiştir. Katrina Kasırgası, endüstriyel (çoğunlukla

zeytinyağı, rafineri ve kimyasal), ticari (çoğunlukla hastane) tesisler ve tarım tesisleri

de dâhil ABD’de yaklaşık 81,2 milyar dolar zarara yol açmıştır.

Amerikan Bankalar Birliği ve Bankacılık İdaresi Enstitüsü, 1983 yılından bu yana,

destekleyici üyelerinin kamu yararını gözeten operasyonel süreklilik uygulamalarını (daha

sonra daha resmi olan BCP el kitapçıklarıyla desteklenmiştir) edinmelerini şart

koşmaktadır. Daha yeni standartlar, genellikle ISO / IEC 25002 çerçevesinde tanımlanan

resmileşmiş standartları esas almıştır.

Çoğunlukla, bir BCM programının değeri, o programı kullanmak gerekmedikçe

anlaşılamaz. Bir felaket gelip çatana kadar bir BCM programının değerinin

anlaşılamamasının nedeni belki de, bir BCM programına yatırım yapmanın getirisini

hesaplanın zor olmasıdır. Yönetim, böyle bir durum ortaya çıkarsa, işletmenin devam

etmesi, fakat farklı koşularda devam etmesi gerektiğini anlamalı ve kabul etmelidir.

GTAG – Bir İş Vakası Oluşturma

İşletme yöneticileri, bir felakete karşı hazırlıklı olmanın maliyetiyle yaşanan felakete bağlı

olarak işletmenin kapılarını bir hafta, bir ay veya sonsuza kadar kapatmanın maliyetini iyi

tartmalıdırlar. Dünya çapında pek çok devlet belirli birtakım sektörlerin test edilmiş bir

BCP programlarının olmasını şart koşar. Amerika Birleşik Devletleri’nde finans, altyapı

hizmetleri (elektrik, su vb. hizmetler) ve sağlık sektörlerindeki tüm işletmeler

güncellenmiş bir BCP programı bulundurmak zorundadırlar. Etkin ve etkili bir BCM için

genel veya sektöre özel standartlar ve kılavuzlar vardır (Bakınız. Ek: BCM Standartları ve

Kılavuzları, sayfa 22).

Dünya Ticaret Merkezi’ne 1993’te düzenlenen ilk saldırıda Morgan Stanley (MS) önemli

bir ders almıştır. MS çalışanlarından hiçbiri hayatını kaybetmemiş, fakat tüm çalışanların

binayı terk etmesi dört saat almıştır. Bunun sonucunda yönetim BCP planının

güncellenmesi gerektiğine karar verilmiştir. MS, kendi işletme operasyonlarını ve olası bir

felaketin yaşanma riskini dikkatle incelemiş ve yeni bir plan geliştirmeye karar vermiştir.

11 Eylül 2001’de söz konusu planlama sonuç vermiştir. Kaçırılan ilk uçak, saldırı yapılan

Dünya Ticaret Merkezi kulelerinden ilkine çarptıktan sonra MS güvenliği tüm binayı

boşaltmıştır. Binayı boşaltmak yalnızca 45 saniye sürmüş ve bu da günlük operasyon

verilerini kurtarmaları için onlara yeterince zaman sağlamıştır. ER kapasitelerinin

geliştirilmesi ve iyileştirilmesi neyse ki çok sayıda hayat kurtarmıştır. BCM kapasiteleri

de yapılan gözden geçirme işleminin bir parçası olarak geliştirilmiş ve iyileştirilmiştir.

GTAG –İşletme Riski

4. İşletme Riskleri

Dünyanın her yerinde sürekli felaketler yaşanıyor. Kasırgalar, seller, depremler ve yangınlar

hayatları darmadağın ediyor. Yangınlar, elektrik kesintileri ve terörizm gibi insan kaynaklı

felaketlerde en az bunlar kadar tahrip edicidir. Bir araya geldiklerinde tüm bu riskler, işletme

için her zamanki gibi risk teşkil eder. Bazen bu tür felaketlerin ardından yaşanan düşüş yıllar

sürer. Bazı şirketler bir daha eski hâllerine dönemezler; bazılarıysa toparlanamayıp iflas

ederler. Ancak durum ne olursa olsun, söz konusu sonuçlardan kaçınmak mümkündür.

Dünyanın hemen hemen her yeri kasırgalar, hortumlar, kontrol altına alınamayan yangınlar

ve/veya seller gibi felaketlerden biri konusunda hassas bölge kategorisine girmektedir.

Yangınlar, herhangi bir eyalette bulunan herhangi bir şehirdeki herhangi bir binayı yakıp kül

edebilir. Aynı şekilde, bir terör saldırısı dünyanın her yerinde meydana gelebilir.

4.1 Yaygın Afet Senaryoları

Tüm dünyada yaşanan yaygın afet senaryolarından bazıları şunlardır:

Yangınlar, tek bir binada, komplekste veya endüstriyel tesiste ya da ormana veya ormanlık

alana yakın bir yerin tamamında meydana gelebilir. Her yıl, çoğu önlenebilecek olan

yangınlarda 4.000’in üzerinde Amerikan vatandaşı hayatını kaybederken 20.000 vatandaş

yaralanır. Doğrudan yangınlardan kaynaklanan taşınmaz mal zararının ki buna

operasyonlarının tahrip olmasından dolayı şirketlerin yaşadıkları finansal zararlar dâhil

değildir yıllık 10 milyar Amerikan doları (yalnızca Birleşik Devletlerde) olduğu tahmin

edilmektedir.

Pandemi, küresel bir hastalık salgınıdır. Bir genel grip pandemisi, insan nüfusunda çok az

bağışıklığı bulunan veya hiç bağışıklığı bulunmayan bir A grip virüsünün görülmesi üzerine

ortaya çıkar. Söz konusu virüs bu durumda ciddi bir hastalığa neden olur ve insanlar arasında

yayılır. Tüm dünyada pek çok devlet olası bir pandemi yaşanma riskine karşı planlar yapmaya

başlamıştır. Finans, bankacılık, enerji, ulaşım ve kamu vb. gibi kritik altyapı sektörlerini

tanımlamışlardır. Bir pandemi durumunda da kritik iş süreçlerinin işlemeye devam etmesini

sağlamak için, bu sektörlerden BC planları hazırlamaları istenmektedir. Çalışacak personel

bulunmamasından dolayı, bir pandeminin ekonomik etkisi yıkıcı olabilir ve işletme

faaliyetlerinin askıya alınmasına neden olabilir. Bir pandemi oluştuğunda, bu pandeminin

okullar, ofisler, ulaşım ve diğer kamu hizmetlerini sağlayan çoğu kamusal alanda geçici

değişiklikler yapılmasını gerektiren uzun süreli ve yaygın salgınlara dönüşmesi muhtemeldir.

Gerektiği gibi bilgilendirilmiş ve hazırlıklı bir halk bir pandemi ortaya çıktığında, etkilerini

azaltmaya yönelik uygun tedbirler alabilir.

Terörizm; korkutma, cebir veya fidye gibi amaçlarla dünyanın herhangi bir ülkesindeki ceza

kanunlarının ihlal edilerek kişilere veya mülke karşı kuvvet veya şiddet kullanılmasıdır.

Teröristler, sıklıkla, sayılan amaçlarla tehdit yaratırlar:

Halk arasında korku yaymak,

GTAG –İşletme Riski

İnsanları ülkelerinde iktidarın terörü önleme konusunda yetersiz ve güçsüz olduğuna

inandırmak,

Bir amaca yönelik hızlı ve etkili propaganda yapmak.

Terör eylemlerinden bazıları terörizm, suikastlar, adam kaçırma, uçak kaçırma, bombalama

tehditleri ve bombalamalar, siber saldırılar (bilgisayar-tabanlı) ve kimyasal, biyolojik, nükleer

ve radyolojik silahların kullanılmasıdır. Terör saldırıları büyük metropol alanlarını tahrip

etmiştir ve bunun sonucunda da söz konusu genel alanlardaki işletmelere zarar vermiş ve

etkilenen bölgedeki işletmelerin istihdam düzeylerini oldukça etkilemiştir.

Biyolojik Saldırılar, insanları hasta edebilecek mikropların veya biyolojik maddelerin kasıtlı

olarak salıverilmesidir. Çoğu ajanın etkili olabilmesi için teneffüs edilmesi, vücuttaki bir

kesikten içeri girmesi veya yenmesi gerekir. Şarbon (antraks) gibi kimi biyolojik ajanlar

bulaşıcı hastalıklara neden olmazlar. Çiçek hastalığı virüsü gibi diğer biyolojik ajanlar

dokunma, öksürme gibi yollarla insandan insana geçebilen hastalıklara neden olabilirler.

Ortada fiili bir saldırı olmasa da bir biyolojik saldırı tehdidinin bile işletmeler (örneğin,

tesislerin boşaltılması gibi) üzerinde tahrip edici bir etkisi olabilir.

Hortumlar, doğada görülen en şiddetli fırtınalardır. Hiçbir uyarı veya işaret olmadan ortaya

çıkabilir ve toz veya moloz birikintileri toplanıncaya veya bir hortum bulutu oluşuncaya kadar

görünmez olabilirler. Hortumlar, dünyanın belirli yerlerinde daha sık görülmelerine rağmen

her an her yerde meydana gelebilirler ki bu da hortumlara karşı ön hazırlığı bilhassa önemli

kılmaktadır. Hortumlar işletme tesislerine zarar verebilir ve personelin iş görememesine yol

açabilir.

Kasırgalar/Tayfunlar, dünya genelinde tropik ve subtropik sularda meydana gelen çok

şiddetli fırtınalardır. Bilim insanları artık çoğu siklonun ne zaman oluşacağını tahmin

edebilmektedir. Siklonların etkilediği, kıyı toplumlarında veya böyle toplumların yakınlarında

bulunan işletmeler, operasyonlarını önemli ölçüde etkileyebilecek siklonlara karşı tahliye

planı hazırlamalıdır.

Seller, dünyanın bir çok yerinde görülen yaygın bir doğal afettir. Ancak tüm sel felaketleri de

aynı değildir. Bazıları uzun süre devam eden yağışlı bir dönem sonrasında veya yoğun kar

yağışlı bir dönemi izleyen sıcak bir dönem sonrası meydana gelebilir. Ani su baskınları gibi

seller, hiçbir yağış belirtisi göstermeksizin çok çabuk gelişebilirler. Dünyada çoğu yer fakat

bilhassa deniz seviyesinin altındaki, suya yakın veya bir barajın akış yönünde bulunan

bölgeler sel felaketlerine karşı hazırlıklı olmalıdırlar. Küçük bir çay veya kuru bir dere yatağı

bile taşarak sele neden olabilir. Sel felaketi, birincil işletme tesislerini etkilemese bile

çalışanların çalışmalarına engel olabilir.

GTAG – BCM Gereklilikleri

Şekil 2. Doğal Afetlerin artan maliyetleri1

4.2 Yaygın Felaketlerin Etkileri

Sık yaşanan felaketler, şu kayıplarla sonuçlanabilir:

İnsan: Önemli oranda can kaybı varsa veya personel yokluğu görülüyorsa, kurum

günlük operasyonlarını yürütecek uygun sayıda personel bulamayabilir.

Tesisler ve Ekipman: Yukarıda anlatılan felaketlerden bir kısmı çalışma tesislerini,

üretim tesislerini, ofisleri ve diğer kritik işletme alanlarını yok etme veya söz konusu

yerlerde ağır hasara neden olma potansiyeli taşır.

İletişim Altyapısı: Kurumlar, çalışanlarıyla, satıcılarla veya müşterilerle iletişim

kuramayabilir.

Kaynaklar: Bunun içinde güç kaynağı, satıcılardan sağlanan hizmetler ve üretim

kaynakları vb. yer alır.

Bilgi ve BT Sistemleri: Kritik iş süreçleri uygun şekilde çalışmayabilir.

1 David Hoffman, “Sigorta alanında yaşanan gelişmeler ülkelerin doğal afetlerin mali zararlarının üstesinden gelmelerini sağlamaya yardım edebilir,” Finance & Development dergisi, Mart 2007, Sayı 44, No.1.

Doğal Afetlerin Artan Maliyetleri

Doğal afetler tarih boyunca büyük kayıplara ve zararlara yol açmış olmalarına rağmen, afetlerin son on yıllarda giderek daha sık ve şiddetli hâle geldiklerini gösteren güçlü göstergeler bulunuyor ve bu artma eğilimi de devam edeceğe benziyor. Bu eğilim, kısmen artan kentleşmeyle açıklanabilir ki artan kentleşme doğal afetlere karşı savunmasız yerlerde giderek artan bir nüfus yoğunluğunu da beraberinde getirmiştir (Freeman, Keen ve Mani, 2003). Kasırga, sel, kuraklık (Bakınız IPPC (Entegre Kirlilik Önleme ve Kontrolü Yönetmeliği), 2007.) gibi kötü hava koşullarının görülme sıklığının ve yoğunluğunun artmasının nedeni olarak görülen hava durumu değişikliklerini – özellikle küresel yüzey sıcaklıklarıyla ilişkili değişiklikleri – de yansıtır. Daha sıklaşan ve yoğun görülen doğal afetlerin nüfus yoğunluğu fazla olan yerleri giderek daha fazla etkilemesiyle, meydana gelen zararların maliyetleri büyük ölçüde artmıştır (bakınız aşağıdaki tablo.).

1950-59 1960-69 1970-79 1980-89 1990-99 1996-2005

Olay Sayısı 21 27 47 63 91 57

(milyar dolar; Sabit 2005 fiyatları)

Genel Kayıplar 48,1 87,5 151,7 247,0 728,8 575,2

Ortalama Kayıp 2,3 3,2 3,2 3,9 8,0 10,1


5. BCM Gereklilikleri

Şekil 3 BCM gerekliliklerini yerine getirmek için yapılması gerekenleri göstermektedir.

Şekil 3. BCM Gereklilikleri Akış Tablosu

BCM Programına Yönetim Taahhüdü

- İşletme vakası oluşturmak

- Değerini anlamak

- Bir BCM Programı oluşturmak

BC Risk Değerlendirmesi ve BC Hafifletme Uygulama

- Tahrip edici olayların etkilerini değerlendirmek

- BC’ye zarar verebilecek (makul) olayları tanımlamak

- BC risk hafifletme stratejileri geliştirmek

İş Etki Analizi (BIA) Yapma

- İş süreçlerini saptamak & kritik süreçleri tanımlamak

- Süreçler ve kaynaklar vb. için kurtarma zamanı hedefini ve kurtarma noktası

hedefini tanımlamak

- Kurtarma için gereken diğer tarafları ve fiziksel kaynakları tanımlamak

İş Kurtarma ve Süreklilik Stratejileri Tanımlama - Kurtarma için gereken personel alım

alternatiflerini tanımlamak - Kritik fonksiyonlar için alternatif kaynak

sağlamayı tanımlamak - Kurtarma için alternatif görev ve pozisyonlar

tanımlamak - Yeniden normal operasyonlara geri dönmeyi

planlamak

BT için Bir Felaket Kurtarma Planı Oluşturma

- İşletme kurtarma gerekliliklerini anlamak

- Kurtarma çözümlerini ve yerlerini belirlemek

BCM Programı Kapasitelerini Uygulama, Doğrulama ve Sürdürme

- BCM programı konusunda farkındalık oluşturmak ve eğitim vermek

- BCM programının ve BC planlarını sürdürmek

- BC kapasitelerini kullanmak

- Kriz iletişim olanaklarını oluşturmak ve bunları kriz yönetimiyle uyumlu hâle

getirmek

- Acil durum müdahalesiyle ve dış kuruluşlarla koordinasyon sağlanmasıyla BC

programını uyumlu hâle getirmek


5.1 Yönetim Desteği

Yönetimin desteği her kurumda BC başarısı için kritik önemi haizdir. Üst yönetim, kurumdaki

tüm yönetim ekiplerinin kendi işletme birimlerinde bir BCM programını uygulamaya

koymalarını gerektiren politikaların uygulanmasını sağlamalıdır. Gerçek bir felaket

durumunda, CM, ER ve BCM’nin birlikte çalışmalarını sağlamak için tüm acil durum

yönetim politikalarının birbiriyle uyumlu hâle getirilmeleri gerekir.

A. Üst Yönetim Desteği

Üst yönetim, BCM ve acil durum yönetim programını açık ve belirgin bir şekilde

desteklemelidir.Bu destekleme çeşitli yollarla gerçekleştirilebilir:

Kurum içerisinde, BCM’den ve yönetişimin yönetiminden (örn. gerekli

standardizasyonun tanımlanmasından), bilgi paylaşımından, en iyi uygulamaların

koordinasyonundan, danışmanlıktan ve işletme birimleri arasındaki BCM

faaliyetlerinden sorumlu olacak merkezi bir grup tanımlayarak;

Her işletme biriminin (İB) uygulaması gereken bir BCM sistemi kurarak;

Kurumun yıllık işletme planı, test etme ve İB’lerin kendi BCM faaliyetleri için

gereken finansmana sahip olmalarını sağlama yoluyla kurum çapındaki BCM

faaliyetleri için uygun finansman sağlayarak;

BCM’nin önemini ve işletmeye nasıl değer kattığını anlatarak ve bildirerek;

BC uygulamalarına, eğitim seminerlerine ve diğer acil durum yönetimi etkinliklerine

katılarak.

Her İB’nin uygulaması gereken BCM sistemi, sayılanları içermelidir:

BCM’nin ve BCM’nin şirket içindeki değerinin bir tanımını,

Bir İB içerisinde bir BCM programını uygulamak ve sürdürmek için gereken

adımların açıklanmasını,

Her İB’nin BCM’yi sahiplenmesinin (Bakınız aşağıdaki “İşletme Birimi Yönetiminin

Desteği”.) sağlanmasını,

Programın kurum ve işletme birimi düzeyindeki veya bölgesel düzeydeki (örn. Her İB

kendi yerel ölçütlerini oluşturur.) ilerleyişini ve gelişimini değerlendirmek için

kullanılabilecek ölçütlerin tanımını,

BCM’yi uygulamak ve sürdürmek için her İB’nin güncelleyebileceği bir BCM sürekli

kalite programının uygulanmasını.

B. İşletme Birimi Yönetiminin Desteği

İB veya bölgesel yönetim de BCM ve acil durum yönetim programı için açık destek verdiğini

göstermelidir.Çeşitli yollarla bu hayata geçirilebilir:

Kurumun tanımladığı BCM sistemini uygulayarak,

Risklerini ve iş değerlerini karşılayacak BC kapasitelerini yaratmak için İB’deki tüm

ekiplerin BCM çalışmasına katılmasını sağlayarak,


Kurum çapında BCM yönetişimine, bilgi paylaşımına, en iyi uygulamaların

koordinasyonuna, danışmanlığa ve işletme birimleri arasındaki BCM faaliyetlerine

katılacak birini belirleyerek,

BCM’nin önemini ve işletmeye nasıl değer kattığını anlatarak.

BC tatbikatlarına, eğitim seminerlerine ve İB için diğer acil durum yönetimi

etkinliklerine katılarak,

İB yıllık işletme planıyla İB’nin BCM faaliyetleri için uygun finansman sağlayarak.

BCM sistemini kullanırken,İB veya bölgesel yönetim,

İB’ye özel işletme değerini tanımlamak için BCM’nin tanımı bölümünü

güncellemelidir.

BirİB içerisinde bir BCM programını uygulamak ve sürdürmek için gereken adımları

anlamalıdır.

İB BCM sponsoru (finansman ayarlamak ve BCM yöneticiliği yapmak için), İB BCM

müdürü (BCM kapasitelerini yönetmek ve sürdürmek için) ve İB BCM koordinatörü

(BCM faaliyetlerini BCM müdürünün istediği doğrultuda ayarlamak için) gibi kilit

görevlerde görevlendirmek de dâhil kendi İB’lerinde BCM’nin sahiplenilmesini

sağlamalıdır.

Programın ilerleyişini değerlendirmede kullanılabilecek İB BCM ölçütlerini

tanımlamalıdır.

Bir İB BCM sürekli kalite programı uygulamalıdır.

5.2 Risk Değerlendirme ve Risk Hafifletme

İB veya bölgesel yönetim, işletme birimlerinin ve ilgili yerlerin (şehir veya bölge) her biri için

bir BC risk değerlendirmesi yapmalıdır.Bu uygulamanın amacı, belirli operasyon yerlerinde

gerçekleştirilen kritik işletme süreçlerine zarar verebilecek veya söz konusu süreçleri

aksaklığa uğratabilecek olası riskleri tanımlamaktır. BC risk değerlendirmesi, olası olayların

ve bir risk hafifletme planında (örn. önleme) ve BCM programında ele alınması gereken

ilişkili sonuçların bir listesini sağlayarak BCM programının genel kapsamını şekillendirmede

kullanılır. Tüm riskleri tahmin etmenin ve kabul edilmesi gereken bilinen tüm riskleri

hafifletmenin yolu yoktur. BC risk değerlendirmesine katılacak kişiler işletme, sağlık,

güvenlik ve çevre grubu personelinden, tesis yönetiminden, hukuk alanından, insan

kaynaklarından kişilerden ve tıbbî personelden oluşmalıdır.

Kasırgalar ve/veya dünyanın kimi bölgelerinde altyapı arızaları ya da diğer düzenli olarak

yaşanan olaylar gibi tahrip edici olayların meydana gelmesi çok olasıdır. Bu tahmin edilebilir

olaylar için özel taktiksel BC planları gerekebilir. Depremler gibi çoğu olayın meydana

gelmesi oldukça olasıdır. Bir deprem felaketi bir bölgede görülmesine rağmen büyük

olasılıkla daha büyük bir başka bölgeyi de etkiler. Bu yüzden, çalışma yeri deprem kuşağında

bulunuyorsa, bu olası tahrip edici bir olay olarak değerlendirilmelidir ki bu durumlar çoğu kez

bir makul olay olarak adlandırılır.

Bir ortamdaki tüm riskleri ortadan kaldırmak imkânsızdır; fakat yine de etkin ve etkili

operasyonlar yürütmek mümkündür. Denge, BC risk yönetiminin kilit öğesidir. Aksaklıklara


neden olabilecek olayları değerlendirirken, makul olanları saptamak ve işletme

operasyonlarını etkileyebilecek tüm potansiyel olayları bulmak önemlidir. Gelecekteki tahrip

edici olayları tahmin etmenin olası yöntemleri arasında şunlar yer alır:

Aynı bölgedeki benzer kurumların geçmiş verilerine bakarak,

Olası risklere ilişkin devletin veya sektörün verilerini kullanarak,

İşletme modeli değiştiğinde veya ayrıntılı bir risk değerlendirmesi yapmak için elde

sınırlı veri bulunuyorsa, konunun uzmanlarından yararlanarak.

A. Tahrip Edici Olaylardan Örnekler

Kritik iş süreçlerini etkileyebilecek bazı tahrip edici olaylardan örnekler arasında:

Depremler, kasırgalar, yağmur/sel ve yıldırım gibi doğal afetler;

Yangınlar, patlamalar, sızıntılar ve kirlilik gibi endüstriyel olaylar;

Bileşen sağlayıcısı aksaklıkları ve elektrik sağlayıcısı hataları

Uçak kazaları gibi diğer facialar;

Pandemi veya diğer tıbbi riskler gibi tıbbi epidemiler;

Grevler, ulaşım aksaklıkları ve toplumsal itaatsizlik gibi işgücü aksaklıkları;

Terörizm, bombalamalar ve savaş gibi ekonomik ve siyasal istikrarsızlık göstergeleri;

Çalışan hataları, suç eylemleri ve suiistimal gibi insan faktörleri;

Siber-terörizm, virüsler, hacker saldırıları ve hizmet-reddi (DOS) saldırıları gibi BT

riskleri;

Sayılan üretim ve imal riskleri:

o Enerji, hammaddeler ve kritik hizmetler dâhil tedarikçi aksaklıkları,

o Boru, kazan ve taşıyıcı bantlarda üretim ekipmanı arızaları,

o İşleme tesisleri ve atık imha ekipmanları gibi yardımcı altyapı hizmetlerinin

yokluğu,

o Ürün depolanması, taşıma ve dağıtım aksamaları,

o Kritik laboratuvar, test ve/veya kalite kontrol süreçlerinin yokluğu,

o Üretimi durduran süreç otomasyon sistemi (SCADA ve DCS gibi BT sistemleri)

arızaları.

o İzinler, gümrük, personel vizesi ve/veya sertifika verme konularında devletin

geciktirmeleri

B. Tahrip Edici Olayların Etkilerini Değerlendirme

Kurumun çalışma yerlerinde ve bölgelerinde makul olay tespit edildikten sonra, olayı

anlamak için ek çalışma gerekir. Olayın kapsamını daha iyi anlayabilmek için etkenlerden

bazıları değerlendirilmelidir; olası bir olayın etkileri arasında:

Olayın etki alanının coğrafi büyüklüğü: Tek bir bina (yangın vb.), bir tesis

kompleksinin tamamı (kimyasal sızıntı vb.), metropollerde (toplu taşıma grevleri vb.)

büyük bir bölge (deprem)ya da potansiyel olarak tüm dünya (pandemik grip).

Etki Süresi: Operasyonların yüzde 75 oranında işlerliğe,yani insanların, kaynakların ve

üretimin yüzde 75 oranına kadar işler hâle geleceği tahmin edilen zamana kadar geçmesi


gereken gün sayısı.Etki süresi, yeni bir bina kiralamak ve bir yangından sonra bir binayı

yeniden eski hâline döndürmek gibi, kurumun kaybettiği ve zarar gören kaynaklarını

yenileyinceye kadar geçecek süre de olarak da görülebilir.

Personelin çalışabilme durumu (gün olarak): Her olası felakete bağlı olarak,

çalışabilecek personelin yüzdesi (gün olarak: 0, 3, 7, 14 veya 30). Personelin deprem gibi

evlerine zarar verebilecek bazı afetlerden sonra uzun bir süreliğine evlerine gitmeleri

gerekebilir.

Operasyonların ve/veya ofislerin durumu: İşler durumdaki muhtemel operasyon ve/veya

ofis alanının (olayın etkisinin sürdüğü dönemde) yüzdesi.

BT’nin Kullanılabilirliği (Olayın etkisinin devam ettiği dönemde): Her felaket

durumunda kilit BT bileşenlerinin olası kullanılabilirliği. BT altyapısı (oturum açma

kapasiteleri), BT ağı, BT uygulamaları vb.ni içerir.

BC risk değerlendirmesi, kritik iş süreçleri üzerindeki etkiyi belirlemek için kullanılabilir.

Araştırma ve geliştirme ofisleri gibi bazı operasyon tesislerinin çalışma yerinde

gerçekleştirilen çok az kritik işletme süreçleri olabilir. CM ve ER birimlerinin başarılı

olmaları için ihtiyaç duydukları kaynaklara sahip olmalarını sağlamak için tüm çalışma yerleri

için BC risk değerlendirilmesi, en azından, personelin sağlığına ve emniyetine, güvenliğe ve

olası çevresel etkilere odaklanmalıdır.

C. Risk Hafifletme Stratejileri Geliştirme

BC risk hafifletme stratejilerini geliştirip uygulamak tahrip edici olayların etkisini en aza

indirecek ve müdahale kapasitelerini geliştirecektir. Risk örnekleri ve söz konusu risklere

karşılık risk hafifletme stratejileri olarak şunlar yapılmalıdır:

Çeşitli Felaketlere karşı güvenlik önlemleri (için): ER ve/veya Sağlık, Güvenlik ve

Çevre ekibi ve/veya operasyonel planlar geliştirilmelidir.

Operasyonel Aksaklıklar (için): Standart çalışma prosedürleri ve normal bakım

faaliyetleri geliştirilmelidir.

Genel merkezin zarar görmesi: Personel alternatif bir merkeze götürülmeli veya

evlerinin çalışmaya müsait olması kaydıyla, personelin evlerinde çalışmalarına (bölgesel

bir felaket durumunda, ev yıkılmamışsa; evde ekipmanlar, bilgisayar, ağ bağlantısı vb. gibi

gerekli kaynaklar varsa)izin verilmelidir.

BT ağ bağlantısının kaybı:Ağ yedeklemesi veya kurtarma oluşturmak için BT sistemi ve

bilgi kurtarma (felaket kurtarma) planları geliştirilmelidir.

BT veri merkezi kaybı: BT sistemleri geri yükleninceye kadar iş süreçlerini manuel

olarak yapmak üzere bir plan geliştirilmelidir.Ayrıca, BT sistemlerini alternatif bir yerde

geri yüklemek için bir BT felaket kurtarma planı yapılmalıdır.

BCM sponsoru ve uygun bir yöneticiler ekibi, BC risk değerlendirme ve BC risk hafifletme

stratejilerini gözden geçirmeli ve onaylamalıdır. BT risklerini ele alması gerektiğinden dolayı,

yönetimin BC risk değerlendirmesini onaylaması ve BC risk hafifletme planının finanse

edilmesini, uygulanmasını ve periyodik olarak test edilmesini sağlaması gerekir.


5.3 İş Etki Analizi:

BIA, bir felaketten sonra kurtarılması gereken kritik iş süreçlerini tespit etmek için kullanılır.

BIA, kritik iş süreçlerine kalınan yerden devam edilebilmesi için gereken kurtarma

çözümlerine ilişkin bir başlangıç tartışması içerir (Bakınız sayfa 11’deki “ İş Kurtarma ve

Süreklilik Stratejisi”). BIA’e, hem işletme personelinden hem de kilit tedarikçilerden personel

katılımı olmalıdır.

BIA, kuruma zarar verebilecek makul olayları tespit eden ve tanımlayan BC risk

değerlendirmesinden elde edilen bilgiye göre yürütülmelidir. BIA toplantıları, tipik olarak, her

ekip için ayrı düzenlenir.Ardından, her BIA toplantısından sonra kritik tedarikçi olarak

belirlenen diğer ekiplerle tartışmalar yapılır.

A. İş Süreçlerini Tanımlama

BIA’deki ilk adım, görev ekibi (fonksiyonel ekip) tarafından uygulanan iş süreçlerini, söz

konusu görevi (fonksiyonu) yerine getirmek için gereken kaynakları, işi yapan kritik personeli

belirlemek ve tanımlamaktır. İş süreçleri başlangıçta çok sayıda münferit alt-sürece

bölünmemelidir. Personel alımları (örn. Personel görev ve rolleri), hizmet sağlayıcıları

(üçüncü taraflar, dışarıdan hizmet alanlar vb.) veya kaynakları (örn. BT sistemleri) farklıysa,

iş süreçleri ayrı ayrı tanımlanmalıdır.

B. İş Etkisine Bağlı Olarak RTO (Kurtarma Zamanı Hedefi) ve RPO (Kurtarma

Noktası Hedefi) Belirleme

Bir BIA’in ikinci adımı ise, iş süreci yapılamıyorsa, iş etkisi türünü tespit etmektir. Aşağıda

bazı iş etkisi türleri verilmiştir:

Sağlık ve güvenlik (örn. yaralanma)

Çevresel (örn. sızıntı)

Müşteri hizmetleri (örn. müşteri kaybı)

Finansal (örn. cezalar)

Düzenlemeyle ilgili/hukukî (örn. devlet kararları)

İtibar (örn. İtibar kaybı)

Daha sonra, iş etki türlerine dayalı olarak bir kurtarma zamanı hedefi (RTO) belirleyiniz.

RTO, iş sürekliliğinde meydana gelebilecek olası bir aksaklığın neden olabileceği kabul

edilemez sonuçlardan kaçınmak için, bir iş sürecinin kurtarılacağı (bir felaketten sonra)

zaman ve hizmet düzeyi süresidir. Bir RTO, genel olarak, 0, 3, 7, 14 veya 30 gibi belirleyici

standart zaman noktalarına bağlı olarak tanımlanır. İşletme yönetimi, sonunda,her bir iş süreci

için doğru RTO’yu belirler. Genellikle, RTO azaldıkça (örn. iş sürecini hemen kurtarmak

gerekiyorsa, maliyeti yüksek olabilir.) kurtarma çözümünün maliyeti artacaktır.

Bir sonraki adımda, bilgi sistemleri için bir kurtarma noktası (RPO) hedefi belirleyiniz. RPO,

bir felaketin bilgi sistemlerini yok etmesi sonucu kaybolabilecek veri miktarıdır. İşletme

personeli kaç günlük verilerin makul olarak kaybolabileceğini ve ne kadarının yeniden


manuel olarak oluşturulabileceğini belirlemelidir. Veriler, kurum sistemiyle (örn. bankacılık

sistemleri) veri alışverişinde bulunan dış sistemler gibi diğer kaynaklar sayesinde çoğu zaman

yeniden oluşturulabilir. İşletme yönetimi, sonunda, her bir iş süreci için doğru RPO’yu

belirler. Genellikle, RPO azaldıkça, kurtarma çözümünün maliyeti artar (yani,iş sürecinin

hiçbir verinin kaybolmasına tahammülü yoksa, veri kopyalamak oldukça pahalıya mal

olabilir.).

Şekil 4.RTO ve RPO’yu Anlamak

C. Diğer Tarafları ve Fiziksel Kaynakları Tespit Etme

BIA’in üçüncü adımı ise, diğer departmanların, satıcıların, diğer üçüncü tarafların, kritik

ekipmanların ve fiziksel kayıtların da dâhil edilebileceği iş süreci için kritik olan diğer

tarafları ve fiziksel kaynakları belirlemektir. Bir BIA’i da, işletme kurtarma süreçlerini

desteklemeye hazır hâle gelmeleri için kritik iş süreçlerini destekleyen diğer taraflarla birlikte

uygulamak gerekebilir.

D. BIA için Sponsorun ve Müdürün Onayını Almak

Her ekibin BCM sponsorunun ve müdürünün kapsam bakımından BIA’i gözden geçirip

onaylaması gerekir. Yöneticiler kurum çapında iş sürekliliği ve kurtarma çözümlerinin

uygulanmasından sorumlu oldukları için, çalıştıkları ekip için bir BIA’e edinirler.

5.4 İş Kurtarma ve Süreklilik Stratejisi

BIA süreci esnasında saptanan kritik iş süreçleri için işletme kurtarma ve süreklilik

stratejilerinin geliştirilmesi gerekir. BIA, kritik iş süreçlerinin yeniden başlayabilmesi için

gereken kurtarma çözümlerine ilişkin bir başlangıç tartışmasını içerir (Bakınız sayfa 10’daki

“İş Etki Analizi”). İş kurtarma ve süreklilik oturumunda yer alacak katılımcılar arasında

işletmenin, kilit tedarikçilerin ve bilgi sistemleri kurumlarının çalışanları bulunabilir.


İş kurtarma ve süreklilik stratejileri aşağıda sayılan çözüm türlerini içine alabilir:

Manuel İş Süreçleri: BT sistemleri arızalıyken işler manuel olarak yapılabilir.

Dışarıdan Hizmet Almak: İşlerin bir kısmını dış şirketler, rakipler (karşılıklı

anlaşmalar yoluyla) veya ikincil satıcılar yapabilir.

BT için Felaket Kurtarma: Kritik sistemler için bir BT kurtarma çözümü gerekir;

ancak bunlar pahalıya mal olabilecekleri için bir felaketin ardından başlangıçta manuel

iş süreçleri kullanılabilir.

Alternatif personel görevlendirme: Personel içerisinde söz konusu işi yapabilecek

başka kişiler belirleyiniz.

Alternatif Tesisler: Birincil personelin çalışabileceği alternatif tesisler belirleyiniz.

İşletme kurtarma ve süreklilik stratejileri geliştirilirken, BC risk değerlendirmesi esnasında

belirlenen makul olayların yanı sıra bu olayların kaynaklar üzerindeki olası etkileri de dikkate

alınmalıdır. Kasırga gibi aynı anda hem kurum tesislerini hem de çalışanların evlerini

etkileyen bölgesel çapta etkili felaketler için alternatif tesis seçenekleri son derece sınırlı

olabilir.

A. Personel Görevlendirmeye İlişkin Kurtarma Faaliyetleri

Çoğu makul olayın olası sonuçlarından birisi de sınırlı sayıda şirket-içi personel

görevlendirme olduğundan dolayı, alternatif personel alımı BC için daima gereklidir. Bunun

için en iyi seçenek, söz konusu makul olaya bağlı olarak felaketten etkilenen bölgenin

dışından kişiler belirlemektir. Bölge dışından kimse yoksa birincil bölgedeki personel alım

düzeyini arttırmayı düşününüz. Bir felaket yaşanması durumunda personelin %80’inin

çalışacak durumda olmayacağını tahmin ediliyorsanız, belirli bir işi yapmak için kaç kişiye

ihtiyaç duyulduğunu düşününüz ve bu sayıyı beşle çarpınız:

Bir işi yapmak için bir kişi gerekiyorsa, bu işi yapabilecek beş kişi belirleyiniz.

Eğer işi yapmak için iki kişiye ihtiyaç varsa, o halde bu işi yapabilecek 10 kişi

belirleyiniz vesaire.

Normalde işletmede çalışan personel kritik iş süreçlerini yapmanın başka yollarını biliyor

olabilir. Bu seçenekler arasında, sistem bozuk olduğunda zaten uygulanmakta olan işlerin

manuel olarak yapılması da bulunabilir. Diğer bir seçenek de, birincil personelin çalışamaz

durumda olduğu zamanlar mevcut personeli başka bir yerde kullanmak olabilir. Gerekirse,

bazı işleri için üçüncü bir taraftan dış kaynak hizmeti de sağlanabilir.

B. Kritik Fonksiyonlar için Alternatif Kaynak Sağlama

Bir işi bir dış sağlayıcıya yaptırmak için çeşitli seçenekleri göz önüne alınız. Her bir kritik iş

için gereken tutarlılık ve kalite derecesini değerlendiriniz. Bir kurum,bir felaket durumunda

kurumun tam spesifikasyonlarını karşılamayan endüstriyel standart ürün ve hizmetlerle

çalışmaya devam edebilir. Bir diğer seçenek ise, diğer tedarikçilerden iç gereksinimi

karşılamak için hizmet satın almaktır. İşletmenin sağladığı hizmetlerin çoğu dış kaynak

kullanma yoluyla standart hizmetler sunan çeşitli şirketlere yaptırılabilir. Birden fazla şirketin

aynı anda yürüttüğü, özel kanunlarla düzenlenmiş fonksiyonlar söz konusu ise ya da yatırım


maliyetleri yüksekse, rakiplerle, mütekabiliyet esasına dayanan anlaşmalar yapma yoluna

gidilebilir.

BIA sırasında saptanan risklerin çoğu, kurumun genel tedarik zinciri için kritik öneme sahip

ürün ve hizmet tedarikçilerini de içerebilir. Bu satıcılar, ürünleri imal etmek ya da ürünlerin

ambalajlanması, saklanması veya dağıtımı için kullanılan kritik önemdeki hammaddeleri veya

bileşenleri sağlayabilir. Sözleşme hükümleri kilit tedarikçilerin – çalışmaya devam ettikleri

varsayılarak - yükümlülüklerini yerine getirmelerini sağlamak konusunda kullanılabilir.

Birincil tedarikçiler konusunda bir aksaklık çıkması durumunda alternatif tedarikçilere

(tedarikçi çeşitliliği)ihtiyaç duyulabilir.

Bir başka seçenek ise, üretimde tam bir aksama yaşanması durumunda ürünlerin nasıl arz

edileceğini belirlemektir. Bir felaket süresince rakip kurumlardan ürün almak bir seçenek

olarak değerlendirilebilir; ancak önceden imzalanmış bir ikili anlaşma böyle bir durumda

maliyeti kontrol etmeye yardım edebilir. Başka bir seçenek de, anlaşmada ortaya konan

taahhütlere dayalı olarak müşteri memnuniyetini ve daha sonra da gelecek iş fırsatları vb.ni

önceliklendirmektir. Çeşitli felaketleri göz önüne alarak önceden üretim alternatifleri

belirlemek şirketin genel üretimini en üst düzeye çıkarmaya yardımcı olabilir. Böyle bir

durumda, kaynak kullanımını, yan ürün üretimini ve mevcut kaynaklara ve (satıcı ve altyapı)

hizmetlere dayanarak üretimi en üst düzeyde etkin ve verimli kılabilecek diğer faktörler de

veriler arasında yer alır.

C. Kurtarma Faaliyetleri için Gereken Alternatif Ofisler

BCP’nin etkinleştirilmesini gerektiren hemen hemen tüm felaketlerde alternatif çalışma ofisi

sağlamak gerekebilir. Personel için alternatif ofis sağlama konusunda çok sayıda seçenek

vardır; fakat bunların maliyetleri de birbirinden son derece farklıdır. Aşağıda alternatif ofis

alanları için bazı alternatifler verilmiştir:

Felaket bölgesinin dışında olup genel merkeze yakın olan bir başka kurum tesisi genellikle

düşük maliyetli bir seçenektir. Bu da alternatif kurum ofisindeki işletme biriminin kritik

olmayan personeli eve göndermek için BCP’sini etkinleştirmesini gerektirir.

Bugün ofis işlerini evden veya bir otelden yapmak için çok sayıda insan uzaktan erişimi

kullanmaktadır. Burada kilit gereklilik, çalışanların uzaktan çalışabilmeleri için uygun

güvenlik araçlarının (örn. uzaktan erişim şifresi) ve uygun donanımların(örn. dizüstü

bilgisayar veya PC) bulunmasıdır.Uzaktan erişim çözümleri değerlendirilirken, özellikle

işbirliği ve iletişim eksikliğiyle ilgili olduğu için bir ekip çok sayıda birbirinden farklı

alana dağılmışsa, bunun üretime etkisi de hesaba katılmalıdır.

Ticari kurtarma tesisleri de ofis alanları sunar; ancak bunu genellikle yüksek bir maliyet

karşılığında ve kurumun BT sistemlerine genellikle sınırlı ağ bağlantısı sağlayarak yapar.

Kullanıcılar, sisteme sorunsuz giriş yapabildiklerinden emin olabilmek amacıyla her türlü

alternatif ofis alanını test etmelidir. Çözümden istenilen sayıda kullanıcının yararlanıp

yararlanamayacağını öğrenip teyit edebilmek için bir hacim (performans) testi yapılmalıdır.

Kritik olmayan işleri yürüten personele, bir felaket durumunda sisteme giriş yapmaması


söylenmeli ve böylece kaynakların kritik olduğu düşünülen iş süreçlerini yapan personel için

kullanılabilir olması sağlanmalıdır.

D. Normal Çalışmalara Geçişi Planlama

Kurtarma çözümlerine ihtiyaç sona erdiğinde, kurumun tekrar normal çalışmalarına

(operasyonlarına) geçişini sağlamak üzere bir plan yapılmalıdır. Kurum bir felaket durumunda

olağanüstü koşullarda çalışmak durumunda kaldığı için geçiş zor olabilir. Sistemler kurtarılır

kurtarılmaz manuel olarak toplanan veriler sistemlere girilmelidir. Felaket sırasında meydana

gelen finansal ve düzenleme istisnaları uygun evraklar gönderilip onaylanarak

çözümlenmelidir. Felaket durumundayken yapılan ürün alışverişleri (ödünç alınan) ikmal

edilmeli veya ödünç alınan ürünler için karşı tarafa ödeme yapılmalıdır.

BCM sponsoru ve uygun bir yöneticiler ekibi, çalışma alanlarının kapsamında yer aldığı için

süreklilik stratejilerini onaylamalıdır. Yöneticiler kurum çapında iş sürekliliği ve kurtarma

çözümlerinin uygulanmasını sağlamaktan sorumlu oldukları için, çalışma ekipleri için

süreklilik stratejileri edinmelidirler.

5.5 BT için Felaket Durumunda Kurtarma

Yapılan işe ve BT’ye bağımlılık düzeylerine bağlı olarak, bazı kritik iş süreçlerinin bir kısmı

BT veya bilgiler olmaksızın kurtarılabilir. Diğer durumlarda, kritik bazı iş süreçlerinin

kurtarılması için BT ve bilgi gerekir. Saatler, günler, haftalar veya daha fazla olsun, her

kurum BT sistemlerinin maksimum atalet süresini, bu durum bütün kurumu tehlikeye

atabilecek düzeye ulaşmadan önce belirlemelidir.

Felaket kurtarma planı, BT sistemlerini kurtarmayı açıklamak için kullanılan bir terimdir.

Bazı şirketler, BT sistemlerinin, verilerin, bilgi yönetimi sistemlerinin, süreçlerin ve diğer

ilgili sistemlerin kurtarılmasını da dâhil etmek için farklı terimler kullanmaktadırlar. Felaket

kurtarma dokümanı, BT ve bilgi sistemleri yönetimini kurtarma stratejilerini açıklamalıdır.

Felaket kurtarma planı, prosedürleri, satıcı referanslarını, sistem diyagramını ve diğer ilgili

materyalleri de içeren ayrıntılı kurtarma talimatlarını da kapsamalıdır. Ayrıntılı kurtarma

prosedürleri, sistem ve iş süreçleri değiştiğinde güncellenmelidir.

Aşağıda DRP’nin bir parçası olarak kurtarılabilecek bileşenlerden bazı örnekler verilmiştir:

Aşağıda sayılanlar dâhil olmak üzere BT sistemleri:

o BT veri merkezi,

o Kurumun ihtiyacı olan uygulamalar ve veriler,

o Sunucular ve diğer donanımlar,

o Telefon, radyo vb. gibi iletişim araçları,

o Dış (üçüncü taraf) bağlantılar da dahil ağlar,

o BT altyapısı (örn. sisteme giriş hizmetleri ve yazılım dağılımı)

o Uzaktan erişim hizmetleri,

o Süreç kontrol sistemleri (örn. SCADA/DCS)

Aşağıda sayılanlar dahil olmak üzere bilgi yönetimi sistemleri:

o Dosya arşiv odaları,


o Doküman yönetim sistemleri (elektrikli ve manuel)

A. DRP Stratejilerini Belirlerken Dikkate Alınması Gerekenler

BT kurtarma stratejilerini belirlerken dikkate alınması gereken çok sayıda husus vardır:

DRP dokümanı, personel bir BIA uyguladıktan sonra personelden gelecek talimatlara göre

sistem ve bilgileri kurtarma stratejilerini açıklamalıdır.

Kritik BT ve bilgi hizmeti sağlayıcılarının kurtarma kapasiteleri işletmenin gerekliliklerini

karşılayıp karşılamadıklarını anlamak amacıyla değerlendirilmelidir.

BT’nin ve bilgi bileşenlerinin kurtarılması, çoğunlukla kritik iş süreçlerini desteklemek

için gereken tam bir sistem yaratmak için birleştirilmelidir. Örneğin, bir sistemin

kurtarılması, masaüstü uygulamasının, sunucu uygulamasının, sunucu donanımının,

sunucu işletim sisteminin, altyapı sunucularının, veri merkezlerinin ve üçüncü taraf ağları

vb.nin kurtarılmasını gerektirebilir.

BT ve bilgiye ilişkin iç ve dış hizmet sağlayıcıları, aşağıda sözü edilen konularla ilgili

bilgiler de dâhil kurtarma hizmetlerini açıklamalıdırlar:

o Hizmet sağlayıcısının sorumluluğundaki kurtarma faaliyetleri ve olabilecek her türlü

kurtarma faaliyeti.

o Kurumun sorumluluğundaki kurtarma faaliyetleri (Kaybolan verileri yeniden

oluşturma gibi)

o Bir felaket sırasında kurum ile hizmet sağlayıcısının iletişim kuracakları yolları.

o Üçüncü taraflar için sözleşmeler (örn. uygulama hizmeti sağlayıcıları) veya iç hizmet

sağlayıcıları için hizmet düzeyi sözleşmeleri

o Kurtarma çabalarının (örn. Sistemler, veriler ve ağ vb.) kapsamı

o Kurtarma stratejileri

o RTO ve RPO’ları

o Kurtarma çözümlerinin, hizmetlerinin ve testlerinin maliyeti ve felaket duyurusu

o Kurtarmayı test etme sıklıkları.

Çevre unsurları normalde bir üretim veri merkezinde kullanılmayan çözümler kullanılarak

kurtarılabilir. Örneğin, bazı veriler başlangıçta kurtarılamayabilir (büyük resim

kütüphaneleri) - ki bu da söz konusu verilerin kullanılabilir olmadığı anlamına gelir (örn.

hata mesajları üretebilirler).

Diğer BT sistemleriyle tutarlılık ihtiyacı duymadan her bir BT sistemi veya bileşeni için

birbirinden bağımsız kurtarma stratejileri geliştirilmelidir. Fakat bir sistemi oluşturan

bileşenlerin aynı yerde tutulmaları veya yeterince ağ bant-genişliği olan yerlerde

tutulmaları önemlidir. Örneğin, büyük merkezi bir veri merkezinde e-postalar

kurtarılabilir; yerel bölgedeki sunucu üzerindeki bir başka yerde dosya kopyalanabilir; bir

felaket sırasında bazı uygulamalar ve hizmetler geçici olarak dışarıdan satın alınabilir ve

yerel uygulamalar sunucu vb. yerine bir PC kullanılarak yapılabilir. Çözümler dünya

çapında yayılmış olsalar da, amaç en iyi ve en maliyet verimli çözümü bulmaktır. Tek

gereklilik nerede kurtarıldıklarına/geri yüklendiklerine bakılmaksızın, sistemlerin tüm

kullanıcıların erişimine açık olmaları ve bir sistemin tüm bileşenlerinin birlikte

çalışmasıdır.


Kurtarma çözümleri geliştirilirken bilgi güvenliği ve uyum standartlarının düşünülmesi

gerekir. Kurtarma çözümleri makul olamayan güvenlik düzeyleri veya uyum riskleri

getirmemelidir. Gerçek bir felaket meydana gelirse, bazı güvenlik ve uyum kontrolleri

gevşetilebilir; ancak kurtarma ortamında bulunan riskleri anlamak için bilinçli bir karar

gerekir. Kurtarma çözümleri kullanılabilirliğin kaybıyla ilişkilendirilen riskleri azaltmayı

amaçlar; ancak bütünlük ve gizlilik ihtiyacıyla dengelenmelidir.

B. Kurtarma Çözümleri ve Kurtarma Yerleri

Aşağıda, yaygın kullanılan kurtarma çözümleri ve uygulanma yerlerinin bir listesi verilmiştir:

Sıcak kurtarma planı/kapasiteleri

o Bir kurtarma planı vardır.

o Kurtarma yerlerinde kurtarma kaynakları vardır ve sistemin hemen o anda veya

birkaç saat içinde kurtarılmasını sağlamak için veriler gerçek zamanda senkronize

edilir.

o Genel kurtarma zamanı birkaç dakika ilâ bir gündür.

Ilık kurtarma planı/kapasiteleri


o Kurtarma yer(ler)inde kurtarma kaynaklarına (üretim-dışı sistemler, yedek

donanımlar vb.) ulaşılabilir; fakat bir felaket durumunda söz konusu kaynakların

üretim sistemini desteklemeleri için yapılandırılmaları gerekir.

o Bazı verilerin (muhtemelen kasetlerden veya diğer yedeklemeler cihazlarından)

yedeklenmesi gerekir.

o Yedekleme süresi genellikle 2 ilâ 13 gündür.

Soğuk kurtarma planı/kapasiteleri


o Kurtarma yer(ler)i, kurtarma süreci için gereken alan ve temel altyapıyla

özdeşleştirilmiştir.

o Kurtarma kaynakları (örn. sunucular) kurtarma yerlerinde bulunmaz ve muhtemelen

dışarıdan satın alınmaları gerekir.

o Verilerin büyük ihtimalle yeniden yüklenmesi gerekir (muhtemelen kaset

yedeklemelerinden).

o Kurtarma zamanı genel olarak 14 ilâ 30 gündür.

Kurtarma planı/kapasiteleri yoktur.

o Kurtarma planı bulunmaz.

o Kurtarma kaynakları ve veri geri yükleme süreçleri tanımlanmamıştır.

o Kritik verilerin ileride bir gün geri yüklenmesini sağlamak üzere veri yedekleme

planları bulunur.

o Sistemlerin ve bunların destekledikleri iş süreçlerinin bir daha geri

getirilemeyebileceği veya geciktirilmiş uzun bir kurtarma sürecinin yaşanma riski

vardır.

BCM sponsoru ve yöneticilerden oluşan uygun bir ekibin operasyonlarının kapsamı

bakımından BT kurtarma çözümlerini onaylamaları gerekir. Kurumdaki tüm yöneticiler BC


ve kurtarma çözümlerinin uygulanmasını sağlamaktan sorumlu oldukları için, çalışma ekipleri

için BT kurtarma çözümlerine sahip olmalıdırlar.

5.6 Farkındalık ve Eğitim

Personeli kurtarma durumlarına hazırlama sürecinde eğitim ve farkındalık yaratmak etkilidir.

Personelin faaliyet gösterdikleri yerlerde ve bölgelerinde kendi BC rollerini ve acil durumlara

müdahale faaliyetlerini anlamalarını sağlamak için yılda en az bir kez farkındalık eğitimi

verilmelidir. Liderlik ekibinin karar alma ve iletişim araçlarını yönetme görevlerini de içeren

süreklilik yönetimi (CM) eğitimi de son derece önemlidir.

BCM programı, katılan kişilerin rollerine ve kaynak bulma stratejilerine dayalı olarak değişen

düzeylerde bilgi gerektirir.Aşağıda bazı görevler ve her bir görev için gereken bilgi düzeyi

verilmiştir:

BCM sponsoru,

o BCM kavramlarını ve BCM’ye yönelik değer önermesini anlamalıdır.

BCM müdürü,

o Acil durum yönetimini anlamalıdır (CM, ER ve BCM).

o Uluslararası Felaket Kurtarma Enstitüsü (DRII), İş Sürekliliği Enstitüsü (BCI) veya

dengi bir kurumdan Sertifikalı İş Sürekliliği Uzmanı (CBCP) sertifikası almalıdır (Bu

kalifikasyon işletme birim yöneticileri için isteğe bağlıyken kurum çapındaki BCM

yöneticileri için zorunludur.).

o Bir BCM programı ve/veya süreç uygulaması yaratmalıdır (operasyonel verimlilik,

güvenlik ve diğer ilgili süreçler gibi kurumsal metodoloji doğrultusunda olması tercih

edilir.).

BCM koordinatörleri,

o Kurumun BCM süreci metodolojisiyle(genellikle ya kurum tarafından ya da dışarıdan

eğitim yoluyla sağlanır.) ilgili sağlam bir bilgiye sahip olmalıdır.

BCM Danışmanı (iç veya dış),

o DRII, BCI veya dengi bir kurumdan bir CBCP veya Master İş Sürekliliği

Uzmanı(MBCP) sertifikası almalıdır.

o BCM risk değerlendirmesi, BIA, kurtarma planlaması ve tatbikatlar vb. konusunda

kapsamlı bir bilgi ve deneyim sahibi olmalıdır.

BCM personeli,

o BCM kavramlarını ve BCM için değer önermesi anlamalıdır.

o Acil durum iletişim prosedürlerini anlamalıdır.

o Çalışma yeri ve bölgeleri için ER’yi bilmelidir.

Tatbikatlar, açıkları ve zayıflıkları tespit etmenin yanı sıra gerçek bir felaket durumunda

kurtarma planları ve personelin alacakları görevler konusunda personelin eğitimi için en

önemli eğitim yöntemlerindendir. Farklı tatbikat türlerinin anlatımı için bakınız “İş Sürekliliği

Tatbikatı” (sayfa 15).


5.7 BCM Programının Sürdürülmesi

Kurumların bir BCM konusunda hazır olmalarının önündeki en yaygın engel ihmaldir.

Kurumlar, daha sonra sürdüremeyecekleri planlar geliştirmek için çoğu zaman büyük zaman

ve para yatırımı yaparlar. Diğer tüm operasyonel planlarda olduğu gibi BC ve CM planları da

zamanla körelir ve işletme önceliklerindeki, işgücündeki (çalışanlardaki), süreçlerdeki,

teknolojideki ve çalışma ortamındaki değişiklikler planlara yansıtılmadığı için gittikçe

etkinliklerini kaybederler. Bazı durumlarda “sürdürme” içeriğe dokunmadan sadece belge

üzerindeki tarihlerin değiştirilmesiyle sınırlıdır. Durum her ne olursa olsun, bir iç denetim

ekibinin odağı her zaman bir belgenin güncellenmesi değil, BC/CM kapasitesinin

sürdürülmesi olmalıdır.

BC’nin sürdürülmesini değerlendirmeye yönelik bazı teknikler şunlardır:

Belgede yapılan değişikliklerin kaydedilip kaydedilmediğini görmek için belge

değişiklikleri geçmişini inceleyip değerlendirmek,

Bileşenlerin bakımı için özellikle bu iş için seçilmiş kişilerin görevlendirilmelerini ve söz

konusu kişilerin BC kapasitelerinin bakımı sırasında etkin ve etkili olabilmeleri için

yönetimin bu kişilere kılavuzluk etmesini sağlamak amacıyla sürdürme gerekliliklerini

gözden geçirmek,

Güncel çalışma gereklilikleriyle uyumlu olmalarını sağlamak için, BC tahminlerini

gözden geçirme. Ek yerler, yeni risk yoğunlaşmaları (örn. Yeni bir felaket senaryosu

makul hâle gelebilir.), yeni/farklı üçüncü taraflara bağımlılık veya yeni ülkelerde

operasyonlar gibi yeni sorunlara çözüm olabilmesi için BC tahminlerinin değişmesi

gerekir.

Yapılan her değişikliğin bir temele dayandığından emin olmak için BC tahmin

değişikliklerini gözden geçirmek,

BC planlarının temelinin yeterli yönlendirme sağlayabilecek kadar güncel olmasını

sağlamak için BIA’in gerçekleştirilme tarihini gözden geçirmek,

Görevlerini anlayıp anlamadıklarını ve görevlendirildikleri işleri layıkıyla yapıp

yapamayacaklarını belirlemek için planlardaki görevleri yapacak kişilerle iletişime

geçmek. Çoğu durumda, planlarda adları geçen kişiler sadece isim olarak halef olurlar;

çünkü BCM programı ve/veya BC planı başlatılmadan önce selefleriyle aynı eğitime tâbi

tutulmamışlardır.

Güncel kurumsal model ve yapıyı ne kadar doğru yansıttığını belirlemek için BC

dokümanının yapısını/planını gözden geçirmek,

Özellikle bir doküman elektronik ortamda mevcutsa, dokümanın kurumdaki

güncellemeleri gerçekten izleyip izlemediğini değerlendirmek için “güncel” ve “bugünkü”

sözcüklerini tarayıp ilgili içeriği bu bakımdan değerlendirmek.

İyileştirmeyi gerektiren istisnalar (örn. açıklar) için tatbikat/test sonuçlarını ve ilgili

faaliyet raporlarını gözden geçirmek.


Gerekli açıkları düzeltmek için doğru uygulanmalarını ve etkin bir şekilde uygulamaya

konmalarını sağlamak için BCM programını ve BC kurtarma kapasitelerini

değerlendirmek.

5.8 İş Sürekliliği Tatbikatı

Tatbikatlar veya testler, genel olarak, bir BCM programını ve BC planlarını güncel ve

uygulanabilir tutabilmenin en etkili yolu olarak düşünülürler. Bazı kurumlar tatbikat ve test

kelimelerine özel tanımlar getirirler; ancak bu terimleri özel bağlamlarda kullanmaya gerek

yoktur. Bilinen anlamı dikkate alınmaksızın, planın test edilmesi üzerindeki vurgunun gerçek

bir olayda kurumun performansını geliştirmek olmalıdır. Uygun kullanıldıkları zaman

güvence veren ve değer katan çok sayıda tatbikat türü bulunduğunu belirtmek önemlidir. Tüm

ana BC standartları, bir BCM programının vazgeçilmez bir parçası olabilmek için birtakım

tatbikat/test biçimlerine ihtiyaç duyarlar. Genel olarak, BCM programlarının ve planlarının

büyük ölçekli bir tatbikatı en azından yılda bir kez uygulanmalıdır. Daha karmaşık ortamlar

ve kurum üzerindeki etkisi büyük (örn. kayıt) olan ortamlar için daha sık test etmek

gerekebilir.Birkaç bileşen testi yıl boyunca düzenli aralıklarla planlanmalıdır.

Tatbikat/test gereklilikleri, ya bir planın kendisinde ya da kurumsal düzeyde bir BCM

politikasında belgelenmelidir. BCM programlarını düzenlemek için kullanılan standartların

çoğu, test rejiminin üç temel unsurunu gerektirir:

Testler periyodik aralıklarla yapılmalı. Olaylar arasında geçmesi gereken gerçek süre

BCM Yürütme Komitesi tarafından belirlenir ve programın amaç ve hedeflerine

dayanır.

Testler, BCM programındaki çeşitli tehditleri/senaryoları konu edinmelidir. Bir dizi

geniş tabanlı yıllık tatbikat ya da daha özel amaçlı çalışma yeri düzeyinde veya bileşen

düzeyinde testlerle bu konuları ele ele almak mümkündür.

Testte ortaya çıkarılan bu konuları ve açıkları ve çözüm yollarını izlemek amacıyla bir

yol belirlenmiş olmalıdır.


Şekil 5. BCM Programının bileşenlerini uygulamak

BCM Programının hangi bileşenlerini geçen yıl en az bir kere uyguladınız? (Size uygun olanların hepsini işaretleyiniz.)

Bölüm bazında iş kurtarma tatbikatı

Tesise özel kurtarma tatbikatı

Alternatif tesis (çalışma alanı kurtarma) tatbikatı

Kriz simülasyonu/acil durum yönetimi tatbikatı

Hiçbiri

Kaynak: 2008 Süreklilik Görüşleri / KPMG Danışmanlık Hizmetleri İş Sürekliliği Karşılaştırma Raporu


A. Tatbikat Türleri

Tatbikat Türü Tanım ve Hedefler

Masa-başı Denetim

veya Plan Denetimi

Bu tatbikat/test, hâlâ bir test olarak düşünülen en az yayılmacı tatbikat/test türüdür. Bir masa-başı denetimi, normalde test sahibinin yanında muhtemelen bir de yansız bir üçüncü taraftan oluşur. Bu tür bir çabanın amacı, sadece plan içeriğinin tarihinin hâlâ güncel olduğundan (örn. iletişim bilgileri) ve planın genel gidişatının hâlâ ilgili ve olumlu olduğundan emin olmaktır. Bu denetim normalde sadece sayfa sayfa okuma ve planının kendisini güncellemeyi içerir.Hedefler:

Ekip üyelerinin doğru kişiler olmasını sağlamak,

Dâhili ve dış iletişim numaralarının güncel olmasını sağlamak.

Yönlendirme veya

Kapsamlı İnceleme

Özellikle Bir BC veya CM planı yakın zamanda edinildikten veya önemli ve anlamlı düzeyde geliştirildikten sonra, dokümanı onu uygulaması beklenen kişilerle gayr-i resmi olarak incelemek faydalı olur. Çalışma, bu iş için seçilen bir ekip liderinin olanak sağladığı bir ekip toplantısını da içerir. Normalde, bu tür düşük yoğunluklu bir olay, kurumun BCM politikasının gerekliliği bakımından bir “test” oluşturmaz.

Hedefler

Ekip üyelerinin yeni/güncellenmiş görevlerini anlamalarını sağlamak.

Ekip üyelerinin planın temel içeriğini ve formatını anlamalarını sağlamak.

Masaüstü Tatbikatı

(Kurul Odası Türü

Tatbikat)

Çoğu durumda, gerçekçi bir senaryo üzerinde çalışarak zorlukları tespit etmek ve söz konusu sorunları çözmek için uyum oluşturmak için işbirliği içinde çalışma oturumu için tüm BC/CM ekibini bir araya getirmek faydalıdır. Genel olarak, tatbikatlar iki ilâ dört saat sürer ve bir BC/CM yöneticisinin veya bağımsız bir üçüncü tarafın katılımıyla etkinliği artar. Çalışma, önceden belirlenen hedeflerin karşılanıp karşılanmadığını ayrıntısıyla sunan ve olay sırasında ortaya çıkarılan açıkların yanı sıra buna dönük iyileştirme zaman çizelgesini ve bundan sonra atılacak adımları özetleyen tatbikatın resmi eleştirisiyle sonlandırılır.

Hedefler:

Ekip üyelerinin görev ve sorumluluklarının önemini anlamalarını sağlamak.

Süreklilik/kriz sorunlarını bir ekip olarak çözmenin faydalarını görmek.

Fonksiyonel alanlardaki özel planlama/eğitim açıklarını tespit etmek.

İletişim Testi

İletişim, bir BCM sürecinin kilit bileşenlerinden birisidir. Aslında, herhangi bir konuda paydaşlara doğru bildirimde bulunamama kriz müdahalesinin başarısız olmasının en sık karşılaşılan nedenlerindendir. Bu testler, iletişim planlamasının kapsamına göre ve kriz bildirim sürecinde kullanılan otomasyon düzeyine göre değişir. Bir kitle bildirim aracı kullanılan şirketler bu uygulamalarından iki kat daha fazla fayda görürler: Bu aracın performansını değerlendirmek ve bildirimin nasıl alınacağını katılımcılara ifşa etmek. Normalde, bu olay sadece rehber bilgilerinin gözden geçirilmesini değil, aksine işletme ortaklarının ve çalışanların işe alınmasını içerir.

Hedefler:

Kilit paydaşların iletişim bilgilerini doğrulamak.

Katılımcılara kitle bildirimi kullanma ve tepki kısmındaki her tülü görevleri konusunda eğitim vermek.

Kitle bildirim araçlarını uygun şekilde yapılandırmak.

Bir olayda İletişimin zamanında gerçekleşmesini engelleyebilecek iletişim açıklarını/darboğazlarını tespit etmek.


Uygulama Türü Tanım ve Hedefler

BT Ortamının

(Sistemler ve

Uygulama)

Kapsamlı

İncelenmesi

Bu test bildirilmiş veya bildirilmemiş bir felaket simülasyonu yapmayı ve belgelenmiş sistem

kurtarma prosedürlerini uygulamayı kapsar. Çoğu BT ortamı son derece karmaşıktır ve tüm veri

merkezi kaybından ziyade,özel uygulamaların veya sistemlerin kurtarılmasına göre planlar

oluşturulabilir. Bu koşullar altında, veri tabanı kaybının test edilmesi son derece zarar verici ve

maliyetli olabilir. İyi planlanmış bir kapsamlı inceleme, birbirinden farklı ve ayrık olan tarafları

pratik olarak mümkün olan tek yolla bir araya getirmek için etkin bir uygulama olabilir.

Hedefler:

Büyük ölçekli bir olayda kritik sistemlerin ve verilerin kurtarılabileceğini doğrulamak.

Çok sayıda sistemin/uygulamanın kaybolması durumunda, her bir münferit sistem veya

uygulama planındaki iç kaynakların sorumluluklarını yerine getirip getiremeyeceklerini

belirlemek.

Müdahale/kurtarma kaynaklarının birden fazla yerde/iş kolunda kullanımını koordine

etmek.

Destekleyici/Ek kaynakların (insan, kaynaklar, satın alma gibi) BT tepkisi/cevabı

bakımından yeterli olduğundan emin olmak.

Alternatif Tesisin

Testi

Tüm kurtarma bileşenlerinin alternatif bir yerde test edilmesi, kurumun personelini alternatif bir

tesise kaydırma yeteneğinin test edilmesini ve kurtarma süreçlerinin ve BT varlıklarının

alternatif bir tesiste planlandığı gibi çalıştıklarına yönelik bir doğrulamayı da içermelidir.

Hedefler:

Alternatif bir tesiste kilit süreçlere devam edebilme konusunda gerçek kapasiteyi

belirlemek.

Alternatif bir çalışma ortamında gizlilik, güvenlik ve finansal kontrollerin muhafaza

edilip edilemediğini tespit etmek.

Kilit süreçleri alternatif bir tesiste tamamlamak için katılımcıları gözden

geçirilmiş/revize edilmiş prosedürler konusunda eğitmek.

Alternatif bir tesiste BT varlıklarının yeterliliğini ve etkinliğini değerlendirmek.

BCM risk değerlendirmesinde tanımlanan felaket senaryolarına dayalı olarak çalışanları

bir yerden bir yere götürmenin makul olduğundan emin olmak.

Uçtan Uca Test

Etme

Alternatif bir tesisteki olanaklarının testi,söz konusu tesis olanaklarının hem iş hem de BT

bakımından test edilmesini içermelidir. Kritik tedarikçiler/işletme ortakları ve müşterilerin –

hem iç hem dış – kapsama alındıkları için, uçtan uca test bir alternatif tesis testinden

farklıdır. Bu test, genel olarak, kurumun üretim tesisiyle bağlantısını doğrular.

Hedefler:

Kilit süreçleri, kayda değer sorunlar yaşamadan önceden belirli bir düzeyde gerçekleştirme

yeteneğini göstermek. Uçtan uca testte, yüzde 100 operasyon kapasitesini göstermek

gerekmez; ancak en iyi uygulama süreklilik stratejisinin etkinliğini, süreklilik planında

öngörülen veya belgelenen performans beklentileriyle uzlaştırmaktır.


B. Tatbikat Sıklığı

İç denetim yöneticileri, BCM programı için “doğru” bir tatbikat/test sıklığının olup

olmadığını sık sık merak etmişlerdir. Uygulamanın sıklığı tek başına cevap olamaz; çünkü

aynı testi yılda iki kere yapmak çok geçmeden durgun sonuçlara ve katılımcıların

sıkılmalarına neden olacaktır. Pek çok alanda olduğu gibi, genel olarak kabul görmüş en iyi

standart, uygulama sıklığının programın giderek daha fazla olgunlaşmasını sağlayacak ölçüde

olmasıdır. Kurumsal olgunluğa ulaşmış kurumların çoğu, iş sürekliliği süreçlerini yılda bir

veya iki kere test ederler; bu sıklık aşağıda verilen faktörler nedeniyle arttırılabilir:

İş süreçlerinde yapılan değişiklikler,

Teknolojide yapılacak değişiklikler,

BCP ekip üyeliğinde yapılan bir değişiklik,

Olası iş kesintilerine neden olabilecek öngörülen olaylar (örneğin, kasırga mevsiminin

başlaması veya bir pandemi tehlikesi algısı).

Tatbikatların ve yapılan testlerin sıklığına bakılmaksızın, iç denetim yöneticilerinin (İDY)

odağı, gerçekleştirilen tatbikatların/testlerin programın sürekli gelişmesine katkıda

bulunmasını sağlamak olmalıdır.

5.9 Kriz İletişimi

Kriz durumunda iletişimi planlama, bütüncül bir BCM programının vazgeçilmez bir

parçasıdır ev çoğunlukla da kurumsal iletişim, halkla ilişkiler veya iletişim uzmanlarının

istihdam edildiği başka bir birim tarafından koordine edilir. Kriz iletişim planlarının

bulunduğu yerlerde, bir krizin ardından iletişimin ve iletişim araçlarının nasıl yönetileceği

sıklıkla ele alınır. Her halükarda, kriz iletişimin tek başına ve bağımsız bir çaba olmak yerine

genel CM sürecinin bir parçası olmalıdır.

Maalesef iletişim araçlarını ele almak gerçek bir durumda yaşanan kriz iletişiminin sadece

küçük bir kısmını oluşturur. Kitle iletişim araçları önemli ve oldukça kamusal olmasına

rağmen, “daha az önemli” görülen kriz iletişimi unsurlarında yaşanan aksaklık veya sorunlar

da iyi yönetilemediklerinde veya uygulanamadıklarında aynı derecede yıkıcı ve tahrip edici

olabilirler.

Etkin kriz iletişimi planları, entegre bir mesajın çok sayıda ve çeşitli paydaşlara uğraşları ve

ilgi alanlarına göre proaktif olarak iletilmesi amacıyla tasarlanmıştır. Finansla ilgilenen kesimi

ilgilendirebilecek konular, çalışanlar ve komşular için aynı derecede ilgi çekici olmayabilir;

ancak temel mesaj tutarlı olmalıdır. Bir kriz durumunda uygulanacak kriz iletişimini her

yönüyle öngörmek imkânsız olsa da, planlarda ve hazırlık çalışmalarında muhatap alınacak

hedef kitle içerisinde:

Kurumun kriz müdahale ekibinin üyeleri.

Operasyonlara devam etmekten ve çalışanlarla ilgilenmekten sorumlu yöneticiler.


Daha geniş kapsamlı konuları anlama konusunda yönetime göre daha az bilgisi olan hat

çalışanları,

Çalışanların aileleri, özellikle felaketten veya kurumun söz konusu felakete

müdahalesinden etkilenen çalışanların aile bireyleri,

Kuruma olan ilgisinin odağında güncel kriz yönetimi bulunan finans medyası da dâhil

ulusal medya,

Geniş bir konu yelpazesinde kurumu konu alan - matbu veya yayın yapan – yerel medya

organları,

Yatırımcılar, özellikle bir olayın kısa ve uzun vadeli bölümlere ayrılmasında şeffaflık

isteyen kurumsal yatırımcılar,

Vergi matrahının uzun vadede devamlılığıyla ve kurumun kendi birimlerine sağladığı

diğer faydalarla ilgilenen yerel yönetimler ve eyalet/il yönetimleri,

Kurtarma (felaket sonrası toparlanma)koşullarında çalışırken bile sürekli uyumu

sağlamaktan sorumlu düzenleyici otoriteler,

Olaydan, kurumun müdahalesinden veya yerel makamların (otoritelerin) toplumun genel

etkisini en aza indirme çabalarından olumsuz etkilenen komşular.

5.10 Dış Kurumlarla Koordinasyon

BCM planının hiçbir safhası her şeyden yalıtılmış bir boşlukta var olamaz. Kurumun kendi

birimleri arasında çeşitli alanları koordine etmesinin yanı sıra dış kurumlarla da koordinasyon

noktalarını planlama sürecinde yansıtılması gerekir. Devlet kurumları, her türlü acil durum

karşısında gerektiği gibi hazırlıklı olan özel sektör kurumlarıyla ilgilenirler. Örneğin,

Amerika Birleşik Devletleri 2007 yılında, özel sektör kurumlarının bir kriz durumuna hazırlık

durumlarını değerlendirmek için baz alabilecekleri bir gönüllü acil durum hazırlığı

standardının hazırlanmasını öngören Kamu Kanunu (Public Law) 110-53’ü kabul etmiştir.

Birleşik Krallık Sivil Beklenmeyen Durumlar Kanunu (Civil Contingencies Act), bir acil

durum anında devletin özel sektör kurumlarıyla nasıl farklı yöntemle ilgileneceğini ele alır.

Dış kurumlarla söz konusu temas noktalarının her birini belgelemenin bir standart “doğru”

yolu yoktur; ancak en azından planlama aşağıda verilenleri içermelidir:

Bir felaket olayının ardından hangi devlet kurumlarıyla temasa geçmek gerekir?

Zorunlu bildirimin eşikleri nelerdir ve hangi durumlarda kurumlar gönüllü bildirimde

bulunurlar?

Her bir devlet dairesinin iştigal konuları nelerdir; bunlar ne kadar farklı veya benzer

olabilir?

Kendi kurumsal bağımsızlığından ödün vermeksizin,kurum deneyimlerinden yararlanmak

üzere devlet kurumlarını planlama veya uygulama süreçlerinde nasıl işe koşabilir?

Düzenleyici otoriteler açısından ne gibi BCM programı gereklilikleri vardır ve kurum bu

gerekliliklere uyum durumunu nasıl bildirir?

Ürünleri geçici olarak sertifikasız bir tesiste üretmek, düzenlemelere tâbi fonksiyonlarını

farklı coğrafi alanlardan gerçekleştirmek, hammaddelerin veya bitmiş ürünlerin (mamul

ürünlerin) ülkeye girişini değiştirmek gibi süreklilik stratejilerini gözden geçirmesi ve

onaylaması gereken dış otoriteler var mıdır?


Kurum içerisinde, her bir devlet kurumuyla ilişkileri kim, nasıl yürütecektir?

Genellikle, bu ve diğer kaygılara cevap vermenin en iyi yolu yönetimin BCM programından

sorumlu olmasını ve konuyla ilgili dış otoritelerle görüşmeler yapmasını sağlamaktır. Dış

otoritelerin BCM performansı konusundaki beklentilerini yönetime bildirmemiş olmaları, bu

yönde bir beklentilerinin olmadığı anlamına gelmez. Söz konusu kurumlarla önceden

koordinasyon ve işbirliğine girmek, bir felaket durumunda ortak çalışmayı güvence altına

almak için hayati önemi haizdir.

6. Acil Durum Müdahalesi

Acil durum müdahalesi, genel olarak, herhangi bir felaketin hemen ardından can ve mal

kaybını önlemek üzere tasarlanmış taktik planlama ve pratik faaliyetler olarak tanımlanır.

Sanayileşmiş ülkelerin çoğunda, büyük kurumlara acil durum (ER) planları geliştirmeleri şartı

getirilmiştir ve sektöre özel çok sayıda gereklilik bulunmaktadır. Çoğu durumda, devlet

kurumları özel gereklilikler tanımlamaktadır; fakat hem ulusal hem de uluslararası sanayi

gruplarının yayımladığı ve acil durum konularını ele alan çok sayıda kılavuz bulunmaktadır.

Bir Acil durum programının en önemli bileşenlerinden bazıları arasında aşağıda sayılanlar yer

alır:

Tahliye planı ve toplanma

Üst makama havale protokolleri

Hasar değerlendirme ve raporlama

Tehlikeli maddelere müdahale ve sızıntı kontrolü

Tıbbi müdahale

Kurtarma ve ıslah etme

İtfaiye, ilk yardım, yüksek açı kurtarma veya dar alanda kurtarma gibi uzmanlık

gerektiren konular.

İç denetim yöneticilerinden (İDY), genellikle, hazırlıklı olmanın bu yönünü tek başına bir

bileşen olarak gözden geçirmeleri istenmez. Bu yüzden her türlü BCM gözden geçirme veya

danışma sürecinde ele alınması gereken kilit nokta, acil durum (ER) planından sorumlu iç

kaynaklarla uygun entegrasyon ve koordinasyon düzeyidir. Her BC olayı acil durum

çalışmalarıyla başladığı için plan ve faaliyetleri koordine edememe, sadece olayın acil

etkilerine cevap vermeyi engellemez; aynı zamanda aksaklığa neden olan olayın kaynağı ve

özgün özellikleri hakkındaki bir bilgiyi gereksiz yere atlayarak uzun vadeli karar-verme

sürecini de zorlaştırır.

Çoğu acil durum (ER) planı can güvenliğine odaklandığı için –neredeyse diğer tüm

meselelerin göz ardı edilmesi pahasına da olsa- sürekliliği ve acil durum planlamasını

koordine etmenin en sık karşılaşılan zorluklarından birisi, sorumluların ana odağı

zayıflatmadan birbirlerinin önceliklerini nasıl dâhil edeceklerini belirlemektir. Tarafsızlığı ve

danışma yaklaşımı sayesinde iç denetimin değer katabileceği bir alandır bu. Çoğu durumda,

BC ekipleri BC planlarını geliştirmek için zaten acil durum (ER) ekipleri tarafından

toplanmakta olan bilgileri kullanabilirler ve ER ekipleri de eylemlerinin, operasyonel, finansal

toparlanmayı ve kurumun itibarını nasıl etkilediği hakkında daha iyi bilgi alabilirler.


Çalışmalarının doğası itibariyle, önemli ve büyük acil durum (ER) ihtiyaçları olan kurumlar,

müdahale çabasını yönetmek için hemen hemen her zaman yapılandırılmış bir yaklaşım

kullanır. Lojistik, planlama, durum raporu verme ve operasyonel müdahale gibi acil durumun

(ER) tüm yönlerini denetlemesi için seçilen bir Olay Komuta Ekibi modeli bu konuda yaygın

olarak kullanılan oldukça tercih edilen bir mekanizmadır. Olay Komuta Ekibi mekanizmasını

kullanan kurumların çoğu, kurumlarına yönelik yaklaşımlarını buna göre değiştirirler; ancak

komuta birliği ve açıkça tanımlanmış görev ve sorumluluklar gibi kilit ilkeleri muhafaza

ederler. Olay Komuta Ekibiyle ilgili daha fazla bilgiye

http://www.fema.gov/txt/nims/nims_ics_position_paper.txt adresinden ulaşılabilir.

Eğer denetim planına BC ve Er programlarının koordinasyonu dâhil edilecekse, bazı kilit

soruların dikkate alınması gerekir:

Program sahipleri program sorunlarını ve bu konudaki endişeleri görüşmek için ne kadar

sık bir araya gelirler?

Program sahipleri çeşitli ve farklı büyüklüklerdeki felaketlerin hem acil hem de uzun

süreli etkileri bakımından en iyi nasıl yönetilebilecekleri üzerine bir görüş birliğine

varmak için yerel ER otoriteleriyle bir araya geldiler mi?

ER koordinatörü,gerektiğinde, BC stratejilerini değiştirmek konusunda veya tam tersi bir

durum için yeterli nüfuza sahip mi?

Üst yönetim ER ve BC’nin bir kurumdaki sorumluluklarının çerçevesini onayladı mı?

ER sürecinin önceliği azalıp BC’nin önceliği artarken bilgi ve dış ilişkiler konusunda

somut aktarım protokolleri var mı?

Eğer Olay Yönetimi Ekibi modeli kullanıldıysa, ekip liderinin BC programı üzerinde bir

etkisi var mı?

GTAG – Kriz Yönetimi

7. Kriz Yönetimi

Kriz Yönetiminin bütün BCM alanı içerisinde en çok yanlış anlaşılmaya müsait kelimelerden

biri olduğunu söyleyebiliriz. Bizim az önce acil durum müdahalesi olarak tanımladığımız şeyi

bazı kurumlar son derece taktik bir planlama olarak tanımlamaktadırlar. Bazı kurumlar ise,

bunun fiziksel güvenlik olaylarını kapsayacak biçimde kullanırlar. Bazı kurumlar ise, kurum

düzeyindeki büyük olaylara cevap vermeyi amaçlayan yönetim düzeyindeki planlar olarak

tanımlarlar; fakat aslında planları sadece kriz durumunda iletişim sorunlarını çözmeye

yöneliktir. Bu GTAG’ın amaçları için, bir kurumun karşı karşıya kaldığı acil ve yüksek-

düzeydeki etkilere cevap vermek amacıyla tasarlanmış kurum-düzeyindeki planlamayı

tanımlamak için kullanacağız.

Çoğu kriz yönetimi planı, etkileri ne olursa olsun her türlü acil durum için harekete geçirilmek

üzere hazırlanmıştır. Sıklıkla bir olayı bir üst makama havale etmekle ilişkilendirilen öznelliği

ortadan kaldırmak amacıyla çoğu durumda çeşitli etki türleri için özel eşikler belirlenmiştir.

Bu üst makama havale etme kriterleri insani, finansal ve operasyonel etkilerini içermeli ve

kurumun faaliyet gösterdiği hemen hemen her yerde çalışanların olay yönetiminin kriz

yönetimine havale edilmesinin gerekip gerekmediğini anlamasını sağlayacak kadar anlaşılır

olmalıdır. Benzer şekilde, eşiklerin kurum çapında tutarlı bir biçimde kullanılması, kriz

yönetiminin acil durumla ilgili kendisine henüz ulaşılmadığı ve olayın önceden belirlenmiş

sınırları aşmadığı konusunda emin olmasını sağlar.

Bu kilit eşiklerin bir diğer avantajı ise, bir BC olayını kurum düzeyinde bir krizden ayırt etme

konusunda sağladıkları eşik değerleridir. Küçük çaplı bir yangın veya kilit bir tedarikçinin

kaybedilmesi bir iş kolu için veya bir çalışma bölgesi için önemli bir etkiye sahip olabilir;

ancak kriz yönetimi ekibinin etkin hale getirilmesini gerektirecek, kurum çapında bir kriz

oluşturmaz. Uygun şekilde belirlenmiş eşik değerleri, üst yönetimin onları eleştirip

eleştirmeyeceğini düşünmeksizin işleri yeniden başlatmak üzere harekete geçme konusunda

işletme birimi yöneticilerini cesaretlendirir. Olgun kriz yönetimi programları kullanan

şirketlerin çoğunda, birbiriyle uyumlu ve ortak olan konu, iyi tanımlanmış ve sınanmış

komuta kontrol kapasitelerinin olmasıdır. Gerçek bir olay, özellikle de karmaşık bir olay

meydana geldiğinde, her yerde bir kaos yaşanır. Böyle bir durumda her zaman doğru kararlar

almak için kısa sürede yönetimin elinde yeterince güvenilir bilgi bulunmaz. Kriz yönetiminde

mükemmeliyet arayan kurumlar, mevcut bilgileri toplayabilen, “gürültüyü” filtreleyebilen,

bilginin çabuk ve güvenli yayılmasını sağlayarak karar verme kapasitesini en üst düzeye

çıkarabilen sistemler geliştirip önceden test etmektedirler.

GTAG – Kriz Yönetimi

Bir acil duruma müdahale protokollerine, insanların, süreçlerin ve bilginin komuta ve

kontrolüne ek olarak, etkin kriz yönetimi programlarının diğer yönleri de şunlardır:

Ürün gaspı/ürün geri çağırma, güvenlik olayları (özellikle uluslararası olaylar) genel kriz

yönetimi programına yapılacak sektöre özel (örneğin, havacılık) acil durum müdahalesi

gibi uzmanlık alanlarını şirket bünyesine katmak. Genellikle bu alanlarda olaylara maruz

kalmış şirketler söz konusu sorunları çözmek amacıyla bazı planlar geliştireceklerdir;

fakat bu planlar kurumsal kriz yönetimi programıyla ilgili olmayabilir.

Bir felaketten etkilenen çalışanlara yardım etmek ki bu yardım içerisinde psikolojik destek

sağlamak, çalışanın ailesine yardım etmek veya bölgesel bir olayda maddi yardımda

bulunmak sayılabilir. Yapılan yardımlar, seyahat teşviklerini veya bir acil durumda geçici

olarak yerini değiştirmek gibi yardımları da içerebilir.

Bir acil durum müdahale sürecine yönetim kurulunun beklentilerini katmak ve müdahale

esnasında kurula rapor vermek.

Bir acil durum olayından sonra, hata ve ihmaller, müdürlerin ve üst düzey yöneticilerin

sorumluluğunu doğuran sorunlar da dâhil hissedar sorunları ve sorumlulukları konularını

yönetmek.

Her iki programın da birbirinin güçlü yanlarından faydalanabilmesi ve çalışmanın

tamamının birlikte olgunlaşması ve gelişmesi için hem CM hem de BC programını birlikte

test etmek.

Bazı operasyonlar ortak bir girişim olarak yönetildiklerinde ve/veya çok sayıda ülkeye

yayıldıklarında, ilgili yasal otoriteleri ve bu otoritelerin nerede bulunduklarını ayrıntılı

olarak tanımlamak. Eğer kararlar başka bir yasal kurum tarafından veya başka bir ülkede

veriliyorsa, yasal sorumluluk bir ortak girişimden veya bir başka ülkeden devralınabilir.

Özellikle CM ekibi ABD’deyse, ülkenin çekişmeli yasal ortamından dolayı bu konuya

özellikle önem verilmelidir.

GTAG – Sonuç / Özet

8. Sonuç/Özet

BCM, şirketleri kritik iş süreçlerine zarar verebilecek olaylarla bağlantılı olarak ortaya çıkan

önemli ve anlamlı potansiyel sonuçlardan korunmak amacıyla hazırlanmış önemli bir risk

yönetimi programıdır. İç Denetim Yöneticisi (İDY), kurumun etkin ve etkili bir BCM

programı oluşturulurken, karşılaşabileceği risk ve seçenekleri anlamasına yardım edebilir.

Kurumdaki tüm yöneticiler, kurumdaki iş süreçlerine ve ilgili işletme fonksiyonlarına zarar

verebilecek risklerin uygun şekilde yönetilmelerinden sorumlu tutulmalıdır.

Bir BCM programı, uygun risk hafifletme kararları vermek ve kurum direnci oluşturmak için

bir çerçeve sunar. Kritik işletme operasyonlarının kurtarılmasını sağlamak için kritik iş

süreçleri kurtarılmalıdır. BCM programı, kurumsal kapasiteler, bilgilerin, sistemlerin ve

enformasyonun kurtarılması, kaynakların yeniden yüklenmesi ve satın alınması, tedarikçi

yönetimi ve acil durum yönetim süreçleriyle uyum da dâhil olmak üzere bir kurumun

kurtarma kapasitelerini sürdürmesini sağlar.

BCM programı, iş sürekliliği kapasitelerinin sürdürülmesi ve sürekli geliştirilmesini

sağlayacak biçimde tasarlanmalıdır. BCM kapasitelerinin etkin şekilde sürdürülmesi ve

yönetilmesi; personelin düzenli olarak eğitimini, periyodik uygulamaları (tespit edilen her

türlü açığın çözümü ve yönetimin program taahhüdü de dâhil), BCM programının ve işletme

birim kapasitelerinin denetim değerlendirmelerini ve BCM programının sürekli iyileştirilmesi

ve geliştirilmesini de kapsamalıdır.

GTAG – EK

9.0 Ekler

9.1 Örnek BCP Denetim Rehberi

Federal Finansal Kurumları Denetleme Kurulu’nun mükemmel bir İş Sürekliliği Planlama

Kitapçığı bulunmaktadır (Mart 2008). Söz konusu rehbere kurulun web sitesinden,

www.ffiec.gov, ulaşabilirsiniz. Söz konusu kitapçıkta üzerinde durulan başlıca hedefler

aşağıda verilmiştir:

BC planlama programını gözden geçirmek amacıyla kapsamını inceleme ve denetlemenin

kapsamını ve hedeflerini belirlemek.

Kurum çapında uygun bir BC planının bulunup bulunmadığını belirlemek.

Yönetim kurulunun ve üst yönetimin sağladığı BC planı gözetimi ve desteğinin kalitesini

belirlemek.

Yeterli düzeyde BIA ve risk değerlendirmesinin yapılıp yapılmadığını belirlemek.

BC süreciyle ilgili uygun risk yönetiminin uygulanmakta olup olmadığını belirlemek.

İş süreçlerine planlandığı gibi bakım yapılması, bu süreçlerin kaldıkları yerden devam

etmesini ve/veya kurtarılmasını sağlamak için BC planının/planlarının uygun test etmeyi

içerip içermediklerini belirlemek.

BT ortamında uygun şekilde belgelenmiş, kurum çapındaki ve departmanlara ait BC

planlarını tamamlayan bir BC planı olup olmadığını belirlemek.

BC planının/planlarının uygun donanım yedekleme ve kurtarmayı kapsayıp kapsamadığını

belirlemek.

BC sürecinin uygun veri ve uygulamalarına yönelik yedekleme ve kurtarmayı içerip

içermediğini belirlemek.

Veri kurtarma merkezinin istendiği gibi çalışmasını sağlamak için BC planının/planlarının

uygun hazırlığa yer verip vermediğini belirlemek.

BC planında/planlarında uygun güvenlik prosedürlerinin bulunup bulunmadığını

belirlemek.

BC planının/planlarının kritik dışarıdan satın alınan faaliyetleri ele alıp almadıklarını

belirlemek.

Düzeltici müdahaleyi tartışmak ve bulguları açıklamak.

GTAG – EK

9.2 BCM Standartları ve Kılavuz İlkeler

Kurum / Yönetim Organı Standart Standartların Tanımı

İş Sürekliliği Enstitüsü (BCI) İş Sürekliliği Enstitüsü’nün tanımladığı 10 Yetkinlik alanı

Uluslararası Standartlar Örgütü (ISO)

ISO9000 Kalite Yönetimi

ISO14001 Çevre Yönetim Sistemi

ISO25002 Bilgi Güvenliği Yönetimi için Uygulama Prensipleri— İş Sürekliliği Yönetimi bölümü

İngiliz Standartlar Enstitüsü

(BSI)kapsar:

Birleşik Krallık

Avustralya

Yeni Zelanda

AS/NZ4360 Risk Yönetimi— (AS/NZ:Avustralya / Yeni Zelanda

Standartları)HB221 İş Sürekliliği Yönetimi Rehberi—4360’a ek el kitabı

AS/NZ4390 Kayıt Yönetimi

AS/NZ4444 İş Sürekliliği Yönetimiyle Bilgi Güvenliği

Genel Kullanıma Açık Standartlar (PAS)

Birleşik Krallık ve Commonwealth Ülkeleri

PAS56 BCM Rehberi — (PAS— UK)

Kurum / Yönetim Organı Standart Standartların Tanımı

ABD Ulusal Para DenetimBürosu(OCC)Bültenleri finansalhizmetler birimleri —özellikle, BTkonuları için geçerlidir.

Bülten 97-23 Kurumsal İşe Yeniden Başlama ve Acil Durum Planlaması

Bülten2001-14 Çabuk Toparlanma

Bülten2003-18 İş Sürekliliği Planlaması ve Teknoloji Sağlayıcılarının

Gözetimi

New YorkBorsası(NYSE)/FinansalSektör Düzenleme Otoritesi(FINRA)

ABD Menkul Kıymetler ve Borsa Komisyonu, ABD UlusalPara Denetimi Bürosu ve ABD Merkez Bankası Sistemi Guvernörler Kurulu’nun yayımladığı Geçerli ve Güvenilir BCP Uygulamaları Hakkında Ortak Kurumlar arası Beyaz Kâğıt http://www.sec.gov/news/press/studies/2006/soundpractices.pdf

Amerikan Ulusal Standartlar Enstitüsü

(ANSI)

ANSI/ ARMA5 Hayati Kayıtlar Programı (İşletme için kritik öneme sahip kayıtların tanımlanması, yönetimi ve kurtarılması)

ARMA: Amerikan Kayıt Yönetimi Derneği (American RecordsManagement Association)

Amerikan Endüstriyel Güvenlik

Derneği (ASIS)

ASISGDL BC 10 İş Sürekliliği Kılavuzu: Acil durum hazırlığına pratik bir yaklaşım, kriz yönetimi ve felaket durumunda kurtarma(2004 taslağı)

ABD Ulusal Standartlar ve TeknolojiEnstitüsü (NIST)

NISTSP 800-34,45 BT Sistemleri için Acil Durum Planlama Rehberi (2002)

ABD Ulusal Yangın Koruma

Derneği(NFPA)

NFPA1600 Felaket / Acil Durum Yönetimi ve İş Sürekliliği Programlarına ilişkin Standart (BCP için bir standart olarak kaynak gösterilmiştir.)

GTAG – EK

9.3 BCM Kapasite Olgunluğu Modeli

Aşağıda verilen BCM Kapasite Olgunluğu Modeli bu GTAG rehberine birebir aynı olmasa da

hem GTAG hem de BC endüstri uygulamalarına ve standartlara uygundur. Sadece bir BC

programını değerlendirme yollarından biri olarak verilmiştir.

Kaynak: Protiviti Inc. (www.protiviti.com). “Kapasite Olgunluğu Modeli: Yazılım Sürecini

Geliştirmeye Yönelik Kılavuz İlkeler” (Capability Maturity Model: Guidelines for Improving

the Software Process), Carnegie Mellon University Software Engineering Institute, 1994.)

Değerlendirme Hedefi: İcraî Yönetimin Desteği ve Sponsorluğu

Olgunluk Değerlendirmesi

Kapasite Özellikleri Gerçekleştirme Yöntemi

Optimize Edici BCM kapasiteleri sürekli ve sistematikolarak geliştirilir. Üst yönetim, diğer alanlarda içte diğer verimlilikleri teşvik etmek; dışarıda ise stratejik ilişkiler kurmak amacıyla BCM kapasitelerini kullanır.

BCM stratejileri stratejik hedeflerle vemüşteri beklentileriyle uyumlu hâle getirilir. Üst yönetim, BCM planlamasının, çerçevesi açık hesapverebilirlik ve sorumlulukla çizilmiş ana işletme birimlerinden biri olarak çalışmasını sağlar.

Yönetilen Üst yönetim, kilit ölçütleri mevzuatgereklilikleri ve sektör kılavuz ilkelerine uygun olarak tanımlamıştır. Bu ölçütler BCM kapasitelerinin etkinliğini ve kalitesini tayin etmek için kullanılır. Yönetim, testlere ve eğitim faaliyetlerine katılır ve iç politika ve test sonuçlarındaki istisnaları gözden geçirir.

Üst yönetim,kendisini BCM programının yönetiminin kalitesine adamıştır. Ölçüm sonuçları alınır ve BCM stratejilerinin ve planlarının kalitesini garanti altına almak üzere düzenlenir. BC’ye ilişkin hedefler performans hedeflerinde belirtilmiştir.

Tanımlanan Bir BCM yürütme komitesi kurulmuştur ve bilgi teknolojileri departmanından olmayan bir üst yönetim ekibi tarafından yönetilmektedir.Söz konusu yürütmekomitesi, BCM stratejileri veçözümleri konusunda karar vermeyetkisine sahip en üst organdır. BCM kapasitelerinin etkinliğini arttırmak için özel bir BCM bütçesi tahsisedilmiş ve kurum için genel bir BCMçözümü sunmak için BCM disiplinlerientegre edilmiştir.

Üst yönetim, bir yürütme komitesifonksiyonuyla BCM karar verme sürecinintamamına katılmaktadır. Kurum; işe yeniden başlama, CM ve BT felaket kurtarma kapasitelerine ek olarak uygunsürdürme, test etme ve eğitim süreçlerinin entegrasyonunu sağlamak için BCM politikasının yanı sıra özel çerçeveler de tanımlamıştır.

Tekrarlanabilir Üst yönetim BCM programını desteklemektedir; fakat sürecin icrasına katılım hâlâ sınırlı düzeydedir. CM, BC ve BT felaket kurtarma faaliyetlerininkoordinasyonunu sağlama görevi, orta yönetime verilmesine rağmen, BCM’nin genel koordinasyonu ya ihtiyacacevaben gelişmektedir ya da yoktur.Arızalar ve hatalar ancak meydana geldikten sonra tanınıp düzeltilmektedir.

Üst yönetim, BCM kapasitelerine duyulanihtiyacın farkındadır. Bir BCM politikası oluşturulmuştur ve BCM çalışmaları bir BIA’in (remi veya gayri resmi) sonuçları esas alınarak yürütülmektedir.

Başlangıç Üst yönetimin, BCM çabalarına yönelik desteği ya gayri resmidir ya da yoktur. Bu aşamada, BCM kapasiteleri bireysel çabalara ve “kahramanlıklara” dayanır ve çoğunlukla BT sistemlerinin yedeklenmesi ve geri yüklenmesi, binatahliye prosedürleri gibi acil durummüdahalelerine odaklanır.

Bu çabalar orta yönetiminsorumluluğundadır ve uygun finansman ve yeterli kaynaklar olmadan yürütülür.Sonuçta, mevcut her türlü süreklilikkapasitesi taktik ölçüt olarak tanımlanır.

Değerlendirme Hedefi: Risk Değerlendirmesi ve İş Etki Analizi (BIA)



Optimize Edici Risk değerlendirmesi ve BIA sonuçları, kurtarma stratejilerini sürekli geliştirir. Risk değerlendirmelerinin ve BIA’ların uygulanması ve gözden geçirilmesi, kurumsal ve teknolojideğişiklik yönetimi/itinalı değerlendirme süreçleriyle koordine edilmiştir.

Üst yönetim, risk ve etki sonuçlarını tanımlamak ve onaylamak amacıyla bir yürütme komitesi olarak çalışır. Yürütme komitesi işletmenin ihtiyaçları ve gereklilikleri doğrultusunda risk değerlendirmesi ve BIA sürecine yönelik değişiklik önerilerinde bulunur.

Yönetilen Üst yönetim, risk değerlendirmesi ve BIA’e yönelik resmi yaklaşımları destekler. Hedefler ve etkinliğin oluşturulması ölçülebilirdir. Hem kurtarma zamanı hedefleri (Recovery Time Objective-RTO) hem de kurtarma noktası (veri kaybetme toleransı) hedefleri (Recovery Point Objective-RPO) belirlenmiştir ve aynı şekilde RTO’daki kapasite/kabiliyet oluşturulmuştur. Risk değerlendirmesi süreci, kontrollerin değerlendirilmesini hesaba katar. Bu süreçler tekrarlanabilir niteliktedir ve planlanmış düzenli aralıklarla uygulanır.

Risk değerlendirmelerinin ve BIA’ların sonuçları, kurtarma stratejilerinin ve çözümlerinin tanımlarına ve geliştirilmesine yön vermektedir. Çekirdek iş süreçleri ve BT uygulamaları/sistemleri ele alınmıştır ve düzenli aralıklarla programlanmış risk değerlendirmesi ve BIA güncellemeleri sırasında gözden geçirilmektedir. Üst yönetim, bu sonuçları tüm kurumdaki riskleri değerlendirmek ve yönetmek için kullanır.

Tanımlanan Risk ve iş etkisinin değerlendirilmesiyle ilgili daha resmi bir yaklaşım uygulanmıştır. Yönetim, iş etkisi verilerini toplamak/tahmini olarak hesaplamak için bir metodolojiyi destekleyerek,kritiklik seviyelerini tanımlamak için bir yaklaşım tanımlamıştır. Kurtarma zamanı hedefleri tanımlanmış ve bu gereklilikleri karşılamak için stratejiler belirlenmiştir. Yönetim, risk değerlendirmesini ve BIA sonuçlarını gözden geçirir ve onaylar.

Resmi bir BC stratejisi seçme ve uygulama sürecininbir parçası olarak, tanımlanmış bir risk değerlendirmesi veya BIA yaklaşımı oluşturulmuştur. Strateji belirleme süreci, kritiklik düzeylerine ve kuruma etkilerinedoğrudan bağlı olan kurtarma hedeflerini de içerir. İcraî yönetim bu analizleri resmi olarak yürütür ve onaylar.

Tekrarlanabilir Yönetim, risk değerlendirme sonuçlarını ve kurtarma önceliklerini, resmi analizler yerinegenellikle tartışmalar ve interaktif atölyeler sonucunda gayri resmi yolla geliştirmiştir. Öncelikler normalde bileşen düzeyine odaklanır. İş etki analizi bilgileri (ister finansal ister finans-dışı) yarım kaldığından dolayı, yönetim kurtarma stratejisi fonunu tamamengerekçelendiremeyebilir.

İşletme ve/veya BT yönetimi, iş kesintileriyle ilgili süreklilik/kullanılabilirlik risklerini veya algılanmış etkileri tartışmış ve özetlemiştir. Ön/yüksek düzeyde kurtarma hedefleri üzerinde uzlaşmaya varılmıştır; fakat söz konusu hedeflerin etkinliklerini ve makul olupolmadıklarını ölçecek bir süreç bulunmamaktadır.

Başlangıç Henüz ne resmi ne de gayri resmi bir riskdeğerlendirmesi ve BIA gerçekleştirilmemiştir. İşletme ve BT yönetimi kurtarma öncelikleri geliştirmiş olabilirler; ancak bu sonuçlar, potansiyelolarak algılanmış önem düzeyleriyle (onların işle ilgili münferit bilgilerine odaklıdır) sınırlıdır. Kurum iş kesintileriyle ilintili etkileri (finansalya da finans-dışı) hesaba katmamıştır.

İşletme ve/veya BT yönetimi algılanmış önem düzeylerini esas alarak “ihtiyaca cevaben” kurtarmaöncelikleri geliştirmiştir. Hata senaryoları ve kontrol değerlendirmeleri yarım kalmıştır. Ölçüm kriterleri belirlenmemiştir.

Değerlendirme Hedefi: İş Sürekliliği Stratejisi ve Tasarımı



Optimize Edici BC stratejileri, stratejik karar verme vekurumsal/teknoloji değişiklik yönetiminin bir parçası olarak gözden geçirilir. Stratejiler, ihtiyaçlar esas alınarak güncellenir.

Üst yönetim strateji oturumları ve/veya değişiklik yönetimi komiteleri, BC stratejilerinin tasarımına, seçimine, fonuna ve uygulanmasına yön verir.

Yönetilen Risk değerlendirmesi ve BIA sonuçları BC stratejilerinin seçimini yönlendirir. Çokçeşitli ve farklı alanlardan sorumlu bir yürütme komitesi, CM’yi, işe yeniden başlama ve BT felaket kurtarma seçeneklerini bir maliyet-fayda analizidoğrultusunda değerlendirir. BC stratejileri, periyodik aralıklarla, genellikle 12 ayda bir (Risk değerlendirmesi ve/veya BIA yenilenmesinden sonra) gözden geçirilir.

Bir BC yürütme kurulu, bir maliyet-fayda analizitemelinde BC stratejilerinin seçimine yön verir. Buçok-fonksiyonel ekip tamamlayıcı iş ve BT çözümlerini değerlendirir ve seçer.

Tanımlanan Nokta çözümler veya uzmanlık alanlarına özel stratejiler yönetimin talimatları doğrultusunda tasarlanır ve uygulanır. Kurum, CM’yi, işi sürdürme ve BT felaket kurtarma süreçlerini entegre eden kurumçapında strateji belirlemeye bağlı olarak ortaya çıkabilecek avantajlardan henüz yararlanmamıştır. Kurum, yerleşik kurtarma hedeflerini karşılayan stratejiler uygulamaya giderek daha fazlayaklaşmaktadır.

Bilgi teknolojisi kurumu (ITO) BT felaket kurtarmastratejileriyle ilgili karar verme yetkisini elindetutar. CM ve işe yeniden başlama stratejisi tasarımı ve seçimi; risk yönetimi, güvenlik, iç denetim veyahatta ITO tarafından yürütülerek ayrı ele alınır. İşletme ve ITO arasındaki koordinasyon çoğu zaman göz ardı edilir.

Tekrarlanabilir Maliyet kontrolü, BC strateji seçimine yönveren en önemli etkenlerdendir. Stratejiler,normalde temel altyapısı bulunan; fakat ofis eşyaları konulmamış olan işyeri düzenlemelerine (dâhili veya üçüncütaraflar) ve üreticiden tüketiciye kaynaklaradayanır. BC stratejileri daha rekabetçi (agresif) işletme hedeflerini karşılayamayabileceği için, kurum risk altında olmaya devam eder.

Kurum BC stratejisinin uygulanması ve sürdürülmesine yönelik bir bütçe ayırmaz. Bunun yerine öngörülen minimum bütçe uygulanır ve ek fonlama gerektiği takdirde, bu durumlar bütçe istisnaları olarak ele alınır.

Başlangıç Yetersiz ve kötü BC programı sahipliği veya hesap verebilirliğinden dolayı, BC planları kurtarma stratejisi ve kaynak tanımlarından yoksundur. Kriz veya iş kesintisinden sonra, kurum satıcı desteğine oldukça bel bağlar.

Yönetim, ihtiyaca cevaben gelişen eylemlere veya test edilmemiş müdahalelere ve kurtarma stratejilerine dayanır. Müdahale ve kurtarma stratejilerinin tasarımı önceden planlanmamıştır; aksine, yönetim, bir kriz durumunda deneyimlerin,yaratıcılığın ve pratik zekânın duruma hâkim olmasını bekler.

Değerlendirme Hedefi: İş Uyumu



Optimize Edici BCM, mevcut müdahale ve kurtarmastratejileri üzerinde etkisi olabilecek tümdeğişikliklerden kurumu haberdar etmek için değişiklik yönetimi gözden geçirme stratejileri toplantısına ve iş stratejisi toplantısına katılır. BCM yürütme kurulu, mevcut ve önerilenstratejilerin makul olup olmadıklarını değerlendirmek amacıyla üç ayda bir toplanır.

BCM bütün kurumda kullanılan daha ileri iş stratejilerinden ve değişiklik yönetimi süreçlerinden yararlanır.

Yönetilen Bir BCM yürütme kurulu, BIA sonuçlarını ve BC strateji yatırımlarını değerlendirirken müşteri gereksinimlerini ve/veya resmi hizmet düzeyi sözleşmelerini dikkate alır. İç denetim, BCM çalışmasında bir danışman olarak yer alabilir ve programı iç politika ve düzenleme gereklilikleri (ilgiliyse) doğrultusunda gözden geçirir. Kurum, BC stratejilerini test ettiğinde, iş/BT stratejileri de birlikte test edilir.

BCM kilit bir kontrol olarak değerlendirilir ve iç denetim de mevcut belgelenmiş politikaya uyuma yön verir. BCM yaşam döngüsünün tüm yönleri ortak bir iş/BT tarzıyla uygulanır. BCM, diğer iş girişimleri arasında rekabetçi bir avantaj olarak kullanılır.

Tanımlanan Kurum, BCM uzmanlık alanlarını entegre etmiştir; stratejiler ve çözümler konusunda tek bir BCM yürütme kurulu karar vermektedir.Bir BCM bütçesi geliştirilmiştir. Bir BIA ve resmi bir maliyet-fayda analizi karar vermesürecine yön vermektedir. İç denetim ve üçüncü taraf müdahaleleri ve kurtarmastratejileri resmi olarak değerlendirilir ve yapılan seçimler risk değerlendirmesinden alınan sonuçlara dayanır.

BCM programının sorumluluğu, veri merkezinin dışına taşınmıştır. Bütün kurumu etkileyebilecek bir yönetici, çalışmayı desteklemektedir. BCM hedefleri, işletme biriminin yıllık performans hedefleri arasında yer alır.

Tekrarlanabilir Kurum, BC’yi planlamak, uygulamak veyönetmek amacıyla resmi bir BCM politikası geliştirmiştir. CM, işe yeniden başlama ve BT felaket kurtarma süreçleri arasında olgunlaşmış bir koordinasyon olmasa veya böyle koordinasyon hiç olmasa da, bu süreçlervardır ve müdahale ve kurtarma operasyonlarına yardımcı olacak şekilde konumlandırılmışlardır. Bir BIABCM stratejilerinin tasarımına yön verir.

Planlama çalışmasının kapsamı iş sahibi olmayı içerecek şekilde genişlemiş olsa da, sahiplik ve hesapverebilirlik hâlâ BT kapsamında yer alır ya da iç denetim BCM çalışmasına yön veren olarak karşımıza çıkar. BIA, BCM stratejilerini tasarlamak için kullanılan ana araçtır.

Başlangıç Kurumun BC programı, ER’yi ve/veya BT felaket kurtarma süreçlerini elealmaktadır; fakat stratejik CM ve/veya iş süreci kurtarmayı ele almamaktadır.

Taktik ER ve sistem geri yüklemelerinesınırlandırılmış olabilecek BC çözümleri, orta yönetim düzeyinde yönetilmekte ve mevcut ekfonla (veya kullanılabilen iç kaynaklarla) icra edilmektedir.

Değerlendirme Hedefi: Plan Geliştirme ve Strateji Uygulama



Optimize Edici Kriz, felaket kurtarma ve işi sürdürme planları planlama ve icraya entegre edilmiştir. Ekip üyeliği çapraz fonksiyonel ve bölgeler arasıdır. Beklentiler tüm paydaşlarca açıkça anlaşılır. Plan sürdürülmesi kurumsal değişiklik yönetimi süreçleriyle yakından bağlantılıdır.

Üst yönetim stratejisi oturumları, planlama önceliklerini ve uyumu yönlendirir. BCMiçeriklerini kapsayan standartlaştırılmış eğitim ve farkındalık programları tüm planlama katılımcılarına verilir. Plan geliştirme sorumlulukları konularla en yakından ilgili olanlardadır; konular içerik ve uyum bakımından değerlendirilir. Bağımsız uzman değerlendirmesi programlanır ve hem taktiksel hem stratejik değişikliğe yön verir.

Yönetilen CM, işi sürdürme ve BT felaket kurtarma planları ve ekipleri arasındaki koordinasyon iyi tanımlanmıştır. Planlar minimum bir standardı (örneğin, yılda en az bir) yerine, ihtiyaçlara göre sürdürülmektedir. Planların dokümantasyonu merkezi otorite/karar organı tarafından gözden geçirilir ve üst yönetim tarafından imzalanır. Test sonuçları ve günlük deneyimler, plan iyileştirme ve geliştirmeye katkıda bulunur. Belgeleme uygun şekilde güvenceye alınmış ve ihtiyaçlara göre dağıtılmıştır.

Tüm personelin plan belgeleme konusundaki görevve sorumluluklarıyla ilgili eğitim gördükleri merkezileştirilmiş ve kısmi merkezileştirilmiş planlama çalışmalarının bir kombinasyonu bulunur. Kurumsal ve teknoloji değişiklikleri ve test/tatbikat sonuçları plan güncellemelerine yön verir.

Tanımlanan CM (ER ve kriz iletişimi dâhil) işe yeniden başlama ve BT felaket kurtarma planları belgelenir ve kurumsal detaylar içerir. Tüm planlar yıllık bazda güncellenir. Görev ve sorumluluklar açık olmasına rağmen, planlar arasındaki koordinasyon yeterince tanımlanmamıştır.

Her plan için planı geliştirmeden ve sürdürmeden (bir kurumun şablon standardını başlangıç noktası olarak kullanmak suretiyle) sorumlu plan sahibiatanır. Uygun taraflar planların içeriklerine yön verir ve kalite kontrolü plan sahibine kalır. Planlanmış bir sürdürme süreci, plan güncelleştirmelerine yön verir. İç denetim, bir BC planlama ortağı olarak görülür ve sürekli gelişme sürecinin bir parçasıdır.

Tekrarlanabilir Planlama çalışmasının odağı, BT felaket durumunda kurtarma sürecinin dokümantasyonu ve ER planlamasıdır (bina tahliye etme, ilk yardım vb.). Bir dereceye kadar CM dokümantasyonu bulunur; fakat işi odağında BT olay müdahalesi vardır. Plan dokümantasyonunun en önemli nedenlerinden birisi, denetim yorumlarından kaçınmaktır. Planlar, çoğunlukla, ihtiyaca cevaben güncellenir.

İç veya üçüncü taraf denetim bulguları, plan dokümantasyonuna yön verir. Teknoloji liderliği ekibi, plan dokümantasyonu çalışmasını yönetir ve bu yüzden de, BT dışında az vardır.

Başlangıç Planlar vardır; ancak söz konusu planlar kurumun diğer birimlerinden bağımsız geliştirilmiştir ve bu nedenle de iş ve teknoloji prosedür detaylarından yoksundur. BCM paydaşları görev ve sorumluluklarını, hatta bazı durumlarda olaya müdahale ve kurtarma süreçleriuygulamasındaki rollerini tam olarak bilmezler. Planlar çoğunlukla güncel değildir. Olaya müdahale ve kurtarma süreçleri hafızaya dayanır ve sıklıkla ihtiyaca cevaben gelişir ve birkaç kilit çalışan tarafından yürütülür.

BCM yeterince anlaşılmadan ve odağa alınmadan üretilmiştir. Planlar, sıklıkla, genel kullanıma açık veya yazılım-tabanlı şablonlarla başlar ve içeriği özelleştirip kuruma uygun hale getirmek için ise çok az çaba vardır. Planlar, çoğunlukla, ER’ye ve kurtarma planlama teorisine odaklanır.

Değerlendirme Hedefi: Eğitim ve Farkındalık



Optimize Edici Kurumun tüm katmanları, BCM programı ve bunun günlük operasyonlar üzerindeki etkisi konusundadaha derin bir kavrayış ve anlayışa sahiptir. BCM görevlerini gerçekleştirmekten sorumlu olanlar diğerlerinin eğitiminde daha etkindirler. BCM stratejileri, kurum değerine etkileri bakımından değerlendirilir. BCM eğitimi, performans değerlendirmelerine (örn. dengeli puantaj cetveli) dahil edilmiştir.

Ekip üyeleri, nasıl bir BCM savunucusu olunacağı konusunda özel eğitim alırlar. BCM liderleri, BCM hedeflerini tanınmış üst düzey işletmelerin hedefleriyle koordine eder ve bu yolla da söz konusu işletmelerin itibarlarından yararlanmış olurlar. Çapraz eğitim verilen ekip üyelerine, normal sorumluluklarının dışında kullanmaları için olanaklar sağlanır.

Yönetilen Yönetim, BCM bileşenlerinin nasıl birlikte çalıştığıyla ilgili geniş ve kapsamlı bir bilgiye sahiptir. Üyeler, gerçek bir felaket durumundasorumluluklarını bilirler ve pek çoğu da uzun vadeli faaliyetlerini bilirler. Ekip üyeleri, kendi BCMbileşenlerinin diğer BCM bileşenleriyle ve bir bütün olarak şirket hedefleriyle nasıl bağlantılı olduğunun yanı sıra kendi münferit sorumluluklarını dile da getirebilirler.

Tüm ekip üyeleri hem görevleri hem de dahageniş bir program hakkında eğitim alırlar. BCM yönetimi, program güncellemelerinidüzenli olarak üst yönetime bildirir. Eğitim ve farkındalık programları ayrı bütçelendirilir ve gerekirse dış kaynaklar da dâhil edilir. Ekip üyeleri üçüncü taraf veya vaka çalışması eğitimlerine katılırlar. Etkileri şirketin dışına uzanan bir olayın ortasında, planın nasıl uygulanacağıyla ilgili konular eğitimin kapsamındadır.

Tanımlanan Tüm bileşenlerin katılımıyla, BCM programının amaç ve hedeflerini anlatacak yapılandırılmış bir program geliştirilmiştir. Planlama ve uygulama ekipleri dışındaki çalışanlar programın amaç ve hedeflerini anlarlar. Yönetim içerisinde BCMprogramına çok yönlü bir yaklaşım konusunda genel bir farkındalık mevcuttur.

Yönetimin her iş kolunda programı anladığı, BCM eğitimine ilişkin yapılandırılmış yaklaşım bulunur. Tüm kurumda birincil veya yedek ekip üyeleri olarak listelenenkişiler için görevlerle ilgili eğitim zorunludur. Şirket iç ağı veya yeni işe alınanların oryantasyonu gibi mevcut kaynaklar programhakkında genel bir farkındalık oluşturmak için kullanılır.

Tekrarlanabilir Bir program bileşeninde sınırlı eğitim veya farkındalık vardır; fakat kriz, işe yeniden başlama ve felaket kurtarma eğitimleri arasında çapraz eğitim yoktur. Özel program bileşenlerinin tayin edilmiş yedekleri olabilir ve ekip üyeleri programla ilgili resmi olmayan iletişime dâhil edilirler.

Program bileşenleri konusunda taktik sorumluluğu olan orta yönetim, kritik bir BCM görevi için tek bir kişiye güvenme konusundaki tehlikenin farkındadır. BCM testleri ve/veya güncellemeleri departmanpersoneli toplantılarında dönemsel konulardır. BCM testleri/güncellemelerini yapacak kişilere özel görevler konusunda resmi eğitim verilir; ancak bunun dışında bir şey yapılmaz. Eğitim, tatbikatlara katılımla sınırlıdır.

Başlangıç Resmi bir eğitim veya farkındalık programı yoktur. Sadece acil sorumluluğu olanlar programın amaç ve hedeflerini bilir. Kriz, işe yeniden başlama ve felaket kurtarma arasında çapraz eğitim yoktur.Mevzuatla ilgili konular, eğitim ve farkındalık çalışmalarına yön verir.

Planlama silolarının bir kombinasyonu tarafından üretilir. BCM’nin temelini olağanüstü bireysel çabaların oluşturduğu kurumlarda bulunur. Eğitim, olduğunda, ER faaliyetleriyle sınırlıdır.

Değerlendirme Hedefi: Test Etme ve Planı Sürdürme



Optimize Edici BC testleri önceden duyurulmaz. Simülasyonlar, bir riskdeğerlendirmesinde belirlenen olası riskler kullanılarak geliştirilir. Testler, ağırlıklı olarak, beklenen kurtarmayla ölçülür. Tüm departmanlar, yedek sistemleri ve kaynakları kullanarak belirli bir süre boyunca alternatif bir yerdeçalışırlar. Üçüncü taraf iş ortakları ve satıcılar teste katılırlar. Plan güncellemeleri, bir sürdürme süreciyle otomatik olarak entegre edilir.

Ekip üyeleri, kapsamlı bir eğitim görürler ve müdahaleleri sadece bir tepki şeklindedir. Testlere hazırlık olarak minimum plan yapılır ve yapılan planlama da birkaç kişi tarafından gizlice yapılır. Müdahale ve kurtarma ekibi üyeleri, güncel bazı teknik prosedürler veya irtibat listesi dışında plan dokümantasyonuna minimum düzeyde bağlıdırlar. Planları sürdürmek ve cari ve işletme operasyonlarını yansıtır hâle getirmek için otomatik araçlar kullanılır.

Yönetilen İşletme ve BT için düzenli olarak tam ve eksiksiz bir BC testi yapılmaktadır. Simülasyonlar, bir risk değerlendirme sırasında tespit edilen olası riskler kullanılarak geliştirilir. Testler, kritik bileşenleri veya bağlantı, uygulama kullanımı veya hareket işleme gibi fonksiyonları kurtarma oranıyla ölçülür. Planlar çalışma yeri dışında (off-site) yapılır ve güncellemeler test sonunda yapılır. İç denetim, tatbikatı gözlemler ve planların güncellenmesini sağlar.

Test planlama; CM, işe yeniden başlama ve BT felaket kurtarmayı kapsar. Ekip üyeleri, tüm ilgili ve önemli prosedürler konusunda çapraz eğitim alırlar. Plan dokümantasyonuna fazla bel bağlanmaz; ancak süreçle ilgili ve irtibat listesindeki yanlışlıklar zamanında düzeltilmelidir. İç denetim, test planlamayı, uygulamayı ve testten kaynaklanan eylemleri izler. Plan güncellemeleri,iç denetimim gözetiminde süreç sahiplerininsorumluluğunda olmalıdır.

Tanımlanan BC ve BT felaket kurtarma testleri bazen birlikte yapılır; fakat odak noktası, genelde, bileşen kurtarmadır. Süreklilik prosedürleri, planlama açıklarını tanımlamak için interaktif atölye çalışmalarıyla tartışılır. Testler, büyük ölçüde, kurtarma ve genel etkinlik için beklenenbir zaman çerçevesi kullanılarak değerlendirilir. Tüm departmanlar, yedek sistemleri kullanarak belirli bir süreboyunca alternatif bir yerde çalışırlar. Çıkarılan dersler belgelenir ve plan güncellemeleri bir programçerçevesinde yapılır.

İşletme ve BT personeli, iş sürecini ve BT varlık kurtarmaya yönelik tasarlanmış düzenli programlanmış BC testlerini uygularlar. Kullanıcılar, bağlantıyı ve uygulamalara erişimi test ederler. Bu testlerin planlama süreci geniş kapsamlıdır ve kolaylaştırıcılar ve/veya izleyenler olarak kurum içinden dışarıdan personeli içerir. İç denetim test uygulamalarına katılır ve test sonuçlarına göre planları güncelleme sürecini izler. Plan güncellemeleri merkezi koordinasyonla süreçsahibinin sorumluluğundadır.

Tekrarlanabilir Test süreci, BT felaket kurtarma sürecine odaklanır ve kurtarılan ortamın veya test sonuçlarının son kullanıcılar tarafından doğrulanmasını da içerebilir. Bazı kurumlarda, yönetim, CM kapasitelerinin bir senaryoya bağlı, masaüstü uygulanmasına katılır. BT felaket kurtarma testleri, bileşen kurtarmaya odaklıdır. İç denetim, süreklilik prosedürlerini – böyle bir fonksiyon varsa –gözden geçirir. Plan güncellemeleri bir program dâhilindeyapılır.

BT personeli, düzenli programlanmış BT felaket kurtarma ve bileşen kurtarma testlerini uygular. Söz konusu testler için planlama sürecikapsamlıdır ve kolaylaştırıcılar ve/veya izleyenler olarak kurum içinden dışarıdan personeli içermelidir. İç denetim test uygulamalarına katılır ve test sonuçlarına dayalı olarak plan güncellemeleri sürecini izler. Plangüncellemelerinden tek bir kişi sorumludur.

Başlangıç BT bileşen testi, yönetimin sınırlı bilgisi dâhilinde ve kullanıcıların katılımı olmadan, BT birimi içerisinde gerçekleşir. Resmi bir test programı oluşturulmamıştır ve test sonuçları nadiren belgelenir. Testler, müdahale/kurtarma süreçlerinde düzeltme ve değişiklikler yapılmasıyla sonuçlanmaz. BCM süreci yeni olduğu için, planlar iyi sürdürülmemiş veya güncel olmayabilir.

BC planlama başarıları, normalde BT’yle sınırlı olmak üzere, olağanüstü bireysel çabalarının temel oldukları yerlerde olur. Eğitim, olduğu yerlerde de , ER (ilk yardım, tesisleri tahliye etme vb.) ve BT bileşenlerini kurtarma faaliyetleriyle sınırlıdır. Plan güncellemeleri süreç sahiplerininsorumluluğundadır ve standart, izlenen belirli bir süreci takip etmez.

GTAG - Sözlük

Değerlendirme Hedefi: Mevzuata Uyumun İzlenmesi ve Denetimi

Olgunluk Değerlendirme


Optimize Edici İç denetim, risk yönetimi ve baş hukuk müşaviri, plan dokümantasyonunu düzenli aralıklarla gözden geçirirler ve aynı zamanda test faaliyetleri de dâhil BCM kapasitelerinin üçünü şahıs denetimlerine de destek verir. Kurum mevzuata uyumla ilgili sektör tartışmalarına katılır ve performans karşılaştırma analizlerini düzenli olarak gözden geçirir. Bir risk değerlendirmesi ve BIA yapılır ve planların işletme gerçeklerini ve mevzuat ortamını yansıtmasını sağlamak için düzenli olarak yenilenir.

Düzenleyici kurumlarla proaktif bir temassürdürülür. İşe özel olarak tahsis edilmiş bir ekip, uzmanlık gerektiren hizmetler için iç denetim ve dış kaynak sağlayıcılarını içeren çapraz fonksiyonel iş ve teknoloji ekibinin desteklediği BCM faaliyetlerini yönetir. Bir risk değerlendirmesi (yer bakımından) ve BIA (süreç bakımından) uygulanmalı ve plan yapımı için temel olarak kullanılmalıdır. Bu planlar, aynı zamanda, periyodik olarak yenilenmelidir.

Yönetilen Aralarında baş hukuk müşaviri ve iç denetimin de bulunduğu çapraz fonksiyonel ekipler, iş koşulları ve mevzuat gereklilikleriyle ilgili düzenli değerlendirmeler yaparlar. İç denetim, risk yönetimi ve baş hukuk müşaviri de plan dokümantasyonunu yıllık bazda bir dereceye kadar gözden geçirirler. Planların işletme gerçeklerini yansıtmasını ve en olası ve ciddi risklere ve etkilere odaklanmalarını sağlamak için bir risk değerlendirme ve BIA kullanılır.

Özel hizmetler için aralarında iç denetim ve dış kaynak sağlayıcıların da bulunduğu çapraz fonksiyonel bir işletme ve teknoloji ekibinin desteklediği işe özel olarak tahsis edilmiş bir ekip BCM faaliyetlerini yönetir. Bir riskdeğerlendirmesi (yer bakımından) ve BIA (süreç bakımından) uygulanmalı ve plan yapmak için temel olarak kullanılmalıdır. Bunlar, aynı zamanda, periyodik olarak yenilenmelidir. İç denetim, planın içeriğinden ziyade BCM programının uygulanmasına odaklanır.

Tanımlanan BCM’yle ilgili mevzuat değerlendirilir ve BCM planlarına dâhil edilir. Mevzuat ortamını izleme sorumluluğu BCM yürütme kuruluyla iletişim içinde olan baş hukuk müşavirindedir. İç denetim, planı sürdürme sürecini izler ve mevzuat değişikliklerinin dokümantasyona ne zaman değişiklik yapılmasını gerektireceğini etkiler. Son iki yıl içinde, mevzuat ortamını dikkate alan bir risk değerlendirmesi ve BIA gerçekleştirilmiştir.

Küçük, çapraz fonksiyonel bir ekip uygulamada yeralmaktadır ve iç denetim birimi de bu ekibin çalışmalarına aktif bir şekilde katılmaktadır. Bir risk değerlendirmesi (yer bakımından) ve BIA (süreç bakımından) uygulanmakta ve plan yapmak ve mevzuatın plan geliştirme üzerindeki etkisini belirlemek için bir temel olarak kullanılır.

Tekrarlanabilir Finansal açıdan mümkün olduğunda, BCM’yle ilgili mevzuat değerlendirilir ve BCM planlarına dâhil edilir. İç denetim birimi, bir uzun-vadeli denetim planına uygun olarak dokümantasyonun anlamını ve önemini gözden geçirir ve plan testi kanıtları talep edebilir.

İç denetim, risk yönetimi veya baş hukuk müşaviri; mevzuat hakkında güncel bilgileri, BCM ekibiyle veya BCM’den sorumlu olanlarla paylaşırlar.

Başlangıç BCM’yle ilgili mevzuat gereklilikleri veya sektörstandartları çok ender dikkate alınır ve BCM planlarına dâhil edilir veya uygulanamayacak kadar maliyetli olarakgörülür. İç denetim, geleneksel BT felaket kurtarma planlarının belgelenmesini sağlamanın dışında başka şeylerle ilgilenmez.

Bir BT felaket kurtarma planlaması süreci vardır. Bir iç denetim fonksiyonu vardır ve felaket kurtarma ise yıllık veya iki yıllık planda yer alır.

GTAG - Sözlük

BC – İş Sürekliliği

BCM – İş Sürekliliği Yönetimi

BCP – İş Sürekliliği Planı

BIA – İş Etki Analizi

BU – İşletme Birimi

İDY–İç Denetim Yöneticisi (İDY)

CBCP – Sertifikalı İş Sürekliliği Uzmanı

CM – Kriz Yönetimi

DRII – Uluslararası Felaket Kurtarma Enstitüsü

DRP – Felaket Kurtarma Planlaması

ER – Acil Durum Müdahalesi

GTAG – Global Teknoloji Denetim Rehberi

BT – Bilgi Teknolojileri

MBCP – Master İş Sürekliliği Uzmanı

RPO – Kurtarma Noktası Hedefi

RTO – Kurtarma Zamanı Hedefi


11. Yazarlar Hakkında

David Everest, CISA

David Everest, Cleveland, Ohio’da bulunan KeyBank’in Kilit Risk Değerlendirme

bölümünün başkan yardımcısıdır. Everest, Key Bank içerisinde teknoloji bölümüne uzman

danışmanlık sunmaya odaklanır. Uzmanlık alanları arasında altyapı ve ağ (networking)

projeleri yer alır. Key’de çalışmaya başlamadan önce Detroit, MI’da bulunan General Motors

şirketinde teknoloji denetçiliği yapmıştır. Everest’in – hem teknolojik olarak hem de stratejik

anlamda - muazzam bir BT arka plan bilgisi vardır; ayrıca veri merkezlerinde çalışmış ve BT

departmanlarını yönetmiştir.

Everest’in Ohio, Berea’daki Baldwin Wallace College’da Bilgisayar Bilgi Sistemleri’nden

Bilim Lisansı (Bachelor of Science) derecesi ve Cleaveland’daki Case Western Reserve

University’de Weatherhead School of Management bölümünde MBA yapmıştır.

Roy E. Garber, CIA, CISA

RoyGarber, Safe Auto InsuranceCo.’da Uygulama Geliştirme direktörü ve proje yönetim

bürosundan (PMO) sorumludur ve kurumsal BT uygulama çözümlerinin üretimi ve temin

edilmesinden sorumludur. Şu anki sorumlulukları arasında BT yönetişim ilkeleri ve en iyi

uygulamalar bulunur.

Garber’ın 20 yıldan fazla BT, finansal ve operasyonel risk yönetimi deneyimi var. Daha

önceki iç denetim görevi için, bir uluslararası sigorta şirketinde kurumsal BT denetim

hizmetlerini yönetmekten sorumlu kurumsal üst düzey yöneticilik yapmıştır. Önceki dış

denetim görevinde büyük, orta ve küçük ölçekli şirketlerde BT güvence hizmetlerini

görevlerini yürütmüştür ve BT risk yönetimi ihtiyaçlarını karşılamalarına yardım etmek

amacıyla müşteri yöneticileriyle ortaklıklar kurmuştur.

Michael Keating

Mike Keating, Navigant Consulting şirketinde iş sürekliliği yönetimi uygulamasına başkanlık

etmektedir. Navigant Consulting şirketinde çalışmaya başlamadan önce, kriz yönetimi ve iş

sürekliliği danışma alanlarında çeşitli yöneticilik pozisyonlarında çalışmıştır; bunlar arasında

dünyanın en büyük sigorta aracısı için yaklaşık dört yıl Midwest Practice yöneticiliği yapmak

ve seçkin bir iç denetim ve danışma şirketinde Southeast BCM Practice yöneticisi olarak

görev yapmak bulunmaktadır. Keating, ayrıca, kurumları risklere hazırlamaya yardım eden bu

türdeki programların ilki olan Amerikan Kızılhaç BICEPP programını geliştirmiştir.

Uzmanlık alanı kurum çapında iş sürekliliği programlarıdır ve hemen hemen her büyüklükteki

ve sektördeki müşterilerinin iş duraksamalarının etkisini en aza indirmek üzere hazırlanmaları

konusunda yardım etmiştir.


Brian Peterson

Brian Peterson, Chevron Corp.’daki Global Bilgi Risk Yönetimi Danışma Ekibi’nde ekip

başkanıdır ve dünya çapındaki Chevron şirketlerine danışmanlık hizmetlerini ulaştırmaktan

sorumludur. Şu anki sorumluluklarından birisi dört ülkede risk yönetimi danışmanlığı yapan

danışmanları yönetmektir. Peterson’un BT, proje yönetimi ve risk yönetimi alanlarında 25

yıldan fazla deneyimi vardır. 55 ülkede Chevron işletme birimlerine çeşitli ve farklı risk

yönetimi girişimlerine yardım ederek çalışmıştır. Peterson, tüm Chevron şirketinde bilgi

risklerini yönetmek için kullanılan çeşitli araçlar ve süreçler geliştirmiştir.

Peterson, aynı zamanda, federal devletle sektör arasındaki bir ortaklık olan LOGIIC (Siber

Teknolojiyi Geliştirmek için Petrol ve Doğal Gaz Sektörlerini Birbirine Bağlamak)

konsorsiyumunun kurulmasına yardım etmiştir ve şimdilerde de proje yöneticisi olarak görev

yapmaktadır.

Gözden Geçirenler:

IIA, bu rehber hakkında değerli yorum ve görüşlerini sunan ve büyük değer katan aşağıda

isimleri sayılan kişilere teşekkürlerini sunar:

Mesleki Uygulamalar Komitesi:

o Yüksek Teknoloji Komitesi

o Mütevelli Heyeti

o Kalite Komitesi

o İç Denetim Standartları Kurulu

o Mesleki Konular Komitesi

o Etik Komitesi

Lily Bi, IIA

Larry Brown, The Options Clearing Corp., ABD

Faisal R. Danka, Londra, Birleşik Krallık

Christopher Fox ASA, Delta, New York, ABD

Nelson Gibbs, Deloitte & Touche, LLP, ABD

Markus Künzel, Medizinische Universität Wien, Avustruya

Lemuel Longwe, Ernst &Young Chartered Accountants Zimbabve

Steve Mar, Resources Global, ABD

Tom Margosian, Ford Motor Co., ABD

James Reinhard, Simon Property Group Inc., ABD

PROTIVITI

BAĞIMSIZ

RİSK DANIŞMANLIĞI’NDA

LİDER

Protiviti, risk ve danışmanlık hizmetleri alanında faaliyet gösteren uzmanlardan kişilerden oluşan

bir danışmanlık ve iç denetim şirketidir. Şirket, müşterilerine finans, operasyonlar, teknoloji,

hukuki ihtilâflar ve GRC (Yönetişim, Risk Yönetimi ve Mevzuata Uyum) konularında yardım

eder. Protiviti’nin son derece eğitimli ve sonuç odaklı kadrosu Kuzey ve Güney Amerika’da,

Asya-Pasifik’te, Avrupa’da ve Orta Doğu’da hizmet vermekte ve çok geniş bir yelpazeye yayılan

kritik iş konularında özgün bir bakış açısı sunmaktadır. Protiviti dünya çapında 60’tan fazla

yerde faaliyet göstermektedir ve Robert Half International Inc.’in (NYSE2 sembolü: RHI)

tamamına sahip olduğu bir iştirakidir.1948’de kurulan Robert Half International Inc. S&P 500

endeksine üyedir.

Hizmetlerimiz hakkında daha fazla bilgiye ulaşmak ve yayınlarımızın kopyalarını ücretsiz

indirmek için, lütfen web sitemizi ziyaret edin: protiviti.com

©2008 Protiviti Inc. Hiçbir konuda ayrımcılık yapmayan bir işverendir. Protiviti bir muhasebe ve denetim firması olarak ruhsatlı

veya kayıtlı değildir ve mali tablolar hakkında görüş yayınlamaz ya da onay hizmeti vermez.

2New York Borsası

RİSK

VE RİSKİN İŞ SÜRECİNİZİN NERESİNDE OLDUĞUNU BİLMEK

NEDEN

İYİ BİR GECE UYKUSUNUN

ANAHTARIDIR

Çoğu yönetici, kritik sistemlerinin ve iş süreçlerinin ne zaman aksayacağını ve aksayıp

aksamayacağını düşünerek uykusuz geceler geçirir. Günümüzdeki şirketlerin müşterilerin

istediği kesintisiz hizmeti sağlayabilmek için uyum içerisinde çalışan veya işleyen çok sayıda

tedarikçi, teknoloji, süreçler ve kişiler gerektirdiği göz önüne alındığında bu durum şaşırtıcı

değildir. Bu sorunla başa çıkabilmek için dünya çapında ve çeşitli sektörlerden kurumlar

Protivitiye yönelmektedirler. Protiviti’de iş sürekliliği planlamasına pragmatik bir bakış açısıyla

yaklaşıyoruz ve işletme operasyonlarınızda birbirine bağımlı tüm süreç ve aktörlerin

yapılarından kaynaklanan riskleri değerlendiriyoruz. Daha sonra ise, finansal performansınıza ve

itibarınıza zarar verebilecek olayları/acil durumları yönetmek amacıyla pratik çözümler ve

süreçler geliştirmek konusunda sizlerle birlikte çalışıyoruz. Bu sizlere, insan hatalarını, hatalı

yazılımları ve güvenilir olmayan tedarikçilerden kaynaklanan aksamaları nokta çözümler ve

süreç kılavuzlarıyla yönetmeye çalışan rakipleriz karşısında avantaj sağlar. Bu, onlar diken

üzerinde bütün geceyi uyanık geçirirken sizin bir bebek gibi uyuyacağınız anlamına da gelir.

Protiviti’nin kapasiteleri hakkında daha fazla bilgi edinmek ve İş Sürekliliği Yönetimi

Rehberimizin 2. Basımının ücretsiz bir kopyasını indirmek için, protiviti.com/bcm web sitesini

ziyaret ediniz.

©2008 Protiviti Inc. Hiçbir konuda ayrımcılık yapmayan bir işverendir. Protiviti bir muhasebe ev denetim firması olarak ruhsatlı

veya kayıtlı değildir ve mali tablolar hakkında görüş yayınlamaz ya da onay hizmeti vermez.

İş Sürekliliği Yönetimi

Bu GTAG, kurumun işlerliğini etkileyerek kurumun uzun süre atıl kalmasına neden olan,

kurumun potansiyel olarak karşılaşma ihtimali bulunan doğal veya insan kaynaklı tahrip edici bir

olayın meydana gelmesi durumunda, iş sürekliliği yönetiminin (BCM) işletme yöneticilerinin

kurumun karşılaştığı risk düzeyini yönetebilmelerini sağlamak amacıyla nasıl hazırlandığına

odaklanır. Rehber, ilaveten, kritik bilgi teknolojisi altyapısının ve işletme uygulama sistemlerinin

sürekliliği için felaket kurtarma planlamasını da içerir.

İç denetim yöneticileri (İDY’ler) kurum yöneticilerine riskler, kontroller, maliyetler ve bir BCM

programı edinmenin faydaları hakkında eğitim vermek zorluğuyla karşı karşıyadırlar. Son

zamanlarda yaşanan felaketler, bazı kurum yöneticilerini BCM programlarına dikkat etmeleri

konusunda motive etmişse de, söz konusu programları uygulama henüz yaygın olmaktan çok

uzaktır. Kilit zorluk, BCM programını bir öncelik haline getirmeleri için kurum yöneticilerini

teşvik etmektir. Çoğu yönetici BCM programını edinmenin iyi bir fikir olduğuna katılmasına

rağmen, çoğu hem program için gereken finansman hem de programın başarısını garanti altına

alacak bir yönetici sponsoru bulmaya çalışacaktır. İş Sürekliliği Yönetimi, İDY’nin iş sürekliliği

riski farkındalığını iletmesini ve bir BCM programı geliştirmesinde ve sürdürmesinde yönetime

destek olmasını sağlayacaktır.

Bu rehberi oylamak veya görüş ve yorumlarınızı iletmek için, lütfen

www.thiia.org/guidance/technology/gtag/gtag10 web sitesini ziyaret ediniz.

gtag 10- İş sürekliliği yönetimi...kriz yönetimi planlaması, kurumun kamuoyunu,...

Documents