ISO 22301 İş Sürekliliği Yönetim Sistemi: Felaket Senaryolarına Hazırlık

ISO 22301 Nedir?

ISO 22301, İş Sürekliliği Yönetim Sistemi (BCMS — Business Continuity Management System) için uluslararası gereksinimleri tanımlayan standarttır. Sel, deprem, siber saldırı, pandemi veya kritik tedarikçi kaybı gibi yıkıcı olaylar karşısında kurumun hayatta kalmasını ve operasyonlarını sürdürmesini güvence altına almak amacıyla tasarlanmıştır.

Temel Kavramlar

• BIA (Business Impact Analysis — İş Etkisi Analizi): Her iş sürecinin kesintiye uğraması durumundaki mali, operasyonel ve itibar etkisini sayısal olarak ortaya koyar. Hangi süreçlerin önce kurtarılacağına bu analiz karar verir.
• MTPD (Maximum Tolerable Period of Disruption): Bir sürecin kesintiye uğrayabileceği maksimum kabul edilebilir süre. Aşılırsa kurum için geri dönüşü zor sonuçlar doğar.
• RTO (Recovery Time Objective): Kesinti sonrasında sistemin hedef sürede yeniden devreye alınması.
• RPO (Recovery Point Objective): Veri kurtarmada kabul edilen maksimum veri kaybı süresi.
• MBCO (Minimum Business Continuity Objective): Kabul edilebilir minimum hizmet düzeyi; tam kapasite yerine hayatta kalma için yeterli seviye.

ISO 22301 Uygulama Aşamaları

• 1. Kapsam Belirleme: Hangi lokasyonlar, süreçler ve hizmetler BCMS kapsamına alınacak? Kritik ürün ve hizmetler öncelikli olarak seçilir.
• 2. Risk Değerlendirme: Olası tehditler (doğal afet, siber saldırı, tedarik zinciri kesintisi) ve bunların gerçekleşme olasılığı ile etkisi değerlendirilir.
• 3. BIA Yürütme: Her kritik süreç için MTPD, RTO ve RPO değerleri belirlenir; kaynaklar (insan, sistem, tesis) eşlenir.
• 4. Sürekliliği Stratejileri Geliştirme: Her kritik süreç için alternatif çalışma yöntemi tanımlanır (ikincil site, bulut yedek, manuel süreç vb.).
• 5. BCP Planları Hazırlama: İş Sürekliliği Planı (BCP), Felaket Kurtarma Planı (DRP) ve Kriz İletişim Planı yazılır.
• 6. Test ve Tatbikat: Masa başı tatbikatı, fonksiyonel test ve tam ölçekli tatbikatla planların işlerliği doğrulanır.
• 7. Sürekli İyileştirme: Tatbikat sonuçları, gerçek olaylar ve değişen iş gereksinimleri doğrultusunda planlar güncellenir.

İş Sürekliliği Stratejileri

• Hot Site: Hazır ekipman ve güncel veriyle ikincil tesis; en hızlı devreye alma (dakikalar). En yüksek maliyet.
• Warm Site: Ekipman hazır ama veri senkronizasyonu periyodik; devreye alma süresi saatler. Orta maliyet.
• Cold Site: Fiziksel alan hazır, ekipman kurulmamış; günler içinde devreye alınır. En düşük maliyet.
• Cloud DR: Bulut tabanlı ikincil altyapı; esnek ölçekleme, düşük sabit maliyet. Azure Site Recovery, AWS Elastic Disaster Recovery.

Test Türleri

• Masa Başı Tatbikatı (Tabletop Exercise): Senaryolar üzerinden tartışma; sistemler gerçekten kapatılmaz. En az maliyetli test.
• Fonksiyonel Test: Belirli süreçler gerçek koşullarda test edilir (örn. yedekten geri yükleme).
• Kesintisiz Sürekliliği Testi: Tam ölçekli tatbikat; üretim sistemleri gerçekten devredışı bırakılarak ikincil altyapıya geçilir. En kapsamlı ve maliyetli test.

ISO 27001 ile İlişkisi

ISO 22301 ve ISO 27001 birbirini tamamlar. ISO 27001'in Ek A'sında yer alan "Bilgi Güvenliği Sürekliliği" kontrolleri (A.17) doğrudan ISO 22301 ile örtüşür. Birlikte uygulanan kuruluşlar hem bilgi güvenliği hem de operasyonel dayanıklılık açısından güçlü bir çerçeveye sahip olur.

Sonuç

ISO 22301, bir felaket senaryosunda kurumun ayakta kalmasını planlı ve test edilmiş biçimde güvence altına alır. Lider Network, BIA yürütme, DR planı hazırlama ve tatbikat organizasyonu konularında danışmanlık hizmeti sunmaktadır.