TÜRK STANDARDI. Toplumsal güvenlik - İş sürekliliği yönetim sistemleri - Şartlar (ISO 22301:2012)

Transkript

1 TÜRK STANDARDI TS EN ISO Aralık 2014 TS ISO 22301:2013 yerine ICS Tadil+2. Baskı Toplumsal güvenlik - İş sürekliliği yönetim sistemleri - Şartlar (ISO 22301:2012) Societal security - Business continuity management systems - Requirements (ISO 22301:2012) Sécurité sociétale - Systèmes de management de la continuité d'activité - Exigences (ISO 22301:2012) Sicherheit und Schutz des Gemeinwesens - Aufrechterhaltung der Betriebsfähigkeit Anforderungen (ISO 22301:2012) TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

2

3 ICS TÜRK STANDARDI TS -12 Milli Önsöz Bu standard; kaynağı standardı olan TS Türk standardının Mühendislik Hizmetleri İhtisas Kurulu na bağlı TK29 Yönetim Sistemleri Teknik Komitesi marifetiyle hazırlanan Türkçe tercümesidir. Bu standard yayınlandığında TS ISO 22301:2013 ün yerini alır. CEN resmi dillerinde yayınlanan diğer standard metinleri ile aynı haklara sahiptir. - Bu standardda kullanılan kelime ve/veya ifadelerle patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz. TS standardı, standardı ile birebir aynı olup, Avrupa Standardizasyon Komitesi nin (Avenue Marnix 17 B-1000 Brussels) izniyle basılmıştır. Avrupa Standardlarının herhangi bir şekilde ve herhangi bir yolla tüm kullanım hakları Avrupa Standardizasyon Komitesi (CEN/CENELEC) ve üye ülkelerine aittir. TSE kanalıyla CEN/CENELEC den yazılı izin alınmaksızın çoğaltılamaz.

4

5 AVRUPA STANDARDI EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM ICS TS -12 Toplumsal güvenlik - İş sürekliliği yönetim sistemleri - Şartlar (ISO 22301:2012) Societal security - Business continuity management systems - Requirements (ISO 22301:2012) Sécurité sociétale - Systèmes de management de la continuité d'activité - Exigences (ISO 22301:2012) Sicherheit und Schutz des Gemeinwesens - Aufrechterhaltung der Betriebsfähigkeit - Anforderungen (ISO 22301:2012) Bu Avrupa standardı CEN tarafından 17 Şubat 2014 tarihinde onaylanmıştır. CEN üyeleri, bu Avrupa Standardına hiçbir değişiklik yapmaksızın ulusal standard statüsü veren koşulları öngören CEN/CENELEC İç Tüzüğü ne uymak zorundadırlar. Bu tür ulusal standardlarla ilgili güncel listeler ve bibliyografik atıflar, CEN Yönetim Merkezi ne veya herhangi bir CEN üyesine başvurarak elde edilebilir. Bu Avrupa Standardı, üç resmi dilde (İngilizce, Fransızca, Almanca) yayınlanmıştır. Başka herhangi bir dile tercümesi, CEN üyesinin sorumluluğundadır ve resmi sürümleri ile aynı statüde olduğu CEN Yönetim Merkezi ne bildirilir. CEN üyeleri sırasıyla, Almanya, Avusturya, Belçika, Birleşik Krallık, Bulgaristan, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Hırvatistan, Hollanda, İrlanda, İspanya, İsveç, İsviçre, İtalya, İzlanda, Kıbrıs (Güney Kıbrıs Rum Yönetimi), Letonya, Litvanya, Lüksemburg, Macaristan, Makedonya, Malta, Norveç, Polonya, Portekiz, Romanya, Slovakya, Slovenya, Türkiye ve Yunanistan ın milli standard kuruluşlarıdır. AVRUPA STANDARDİZASYON KOMİTESİ EUROPEAN COMMITTEE FOR STANDARDIZATION COMITÉ EUROPÉEN DE NORMALISATION EUROPÄISCHES KOMITEE FÜR NORMUNG Yönetim Merkezi: Avenue Marnix 17, B-1000 Brussels 2014 CEN Dünya genelinde herhangi bir şekilde ve herhangi bir yolla tüm kullanım hakları CEN ulusal Üyelerine aittir. Ref. No. E

6 ICS TS -12 İçindekiler Sayfa Ön söz

7 ICS TS -12 Ön söz Bu doküman (ISO 22301: 2012) ISO/TC 223 "Toplumsal güvenlik Teknik Komitesi tarafından hazırlanmış olup, sekretaryası NEN tarafından yürütülen CEN/TC 391 Toplumsal güvenlik ve sivillerin güvenliği teknik komitesi tarafından EN ISO 22301:2014 olarak kabul edilmiştir. Bu Avrupa Standardına en geç Ocak 2015 tarihine kadar aynı metni yayınlayarak ya da onay duyurusu yayınlayarak ulusal standard status verilmeli ve çelişen ulusal standardlar en geç Ocak 2015 tarihine kadar yürürlükten kaldırılmalıdır. Bu standardın bazı unsurları patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda CEN [ve/veya CENELEC] sorumlu tutulamaz. CEN/CENELEC İç Tüzüklerine göre, bu Avrupa Standardının ulusal standard olarak uygulamaya alınmasından sorumlu ulusal standard kuruluşlarının ülkeleri sırasıyla; Almanya, Avusturya, Belçika, Birleşik Krallık, Bulgaristan, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Hırvatistan, Hollanda, İrlanda, İspanya, İsveç, İsviçre, İtalya, İzlanda, Kıbrıs (Güney Kıbrıs Rum Yönetimi), Letonya, Litvanya, Lüksemburg, Macaristan, Makedonya, Malta, Norveç, Polonya, Portekiz, Romanya, Slovakya, Slovenya, Türkiye ve Yunanistan dır. Onay bilgisi ISO 22301: 2012 standardının metni, CEN tarafından EN ISO 22301:2014 olarak hiçbir değişiklik yapılmaksızın kabul edilmiştir. 3

8

9 ULUSLARARASI STANDARD INTERNATIONAL STANDARD ISO Birinci Baskı Düzeltilmiş Baskı Toplumsal güvenlik - İş sürekliliği yönetim sistemleri - Şartlar Societal security - Business continuity management systems - Requirements Sécurité sociétale - Systèmes de management de la continuité d'activité - Exigences Sicherheit und Schutz des Gemeinwesens - Aufrechterhaltung der Betriebsfähigkeit Anforderungen Referans Numarası ISO 22301: 2012(E) ISO 2012

10 PDF Yasal Uyarı Bu PDF dosyası gömülü yazıyüzleri içerebilir. Adobe nin lisans politikası uyarınca bu dosyalar yazdırılabilir ya da izlenebilir ancak gömülü yazıyüzlerinin düzenlenmesi izin alınmadıkça ve metin düzenlemesi yapan bir bilgisayara yüklenmedikçe yapılamaz. Bu dosyaları indirirken, taraflar Adobe nin lisans politikalarını ihlal etmeme sorumluluğunu kabul ederler. ISO Merkez Sekretarya bu alanda hiçbir sorumluluk kabul etmez. Adobe, Adobe Systems Incorporated in tescilli markasıdır. Bu PDF dosyasını oluşturmak için kullanılan yazılım ürünleriyle ilgili detaylar, dosyanın Genel Bilgiler kısmında bulunabilir; PDF oluşturma parametreleri yazdırmak için optimize edilmiştir. Bu dosyanın ISO üyesi kuruluşların kullanımına uygun olmasını sağlamak için her türlü özen gösterilmiştir. Düşük bir ihtimal de olsa dosya ile ilgili bir sorunla karşılaşıldığında, lütfen aşağıda adresi verilen Merkez Sekretaryayı bilgilendiriniz. TELİF HAKKI KORUMALI DOKÜMAN ISO 2012 Tüm hakları saklıdır. Aksi belirtilmedikçe, bu yayının herhangi bir bölümü herhangi bir şekilde ya da fotokopi ve mikrofilm dahil aşağıda adresi verilen ISO dan yazılı izin alınmaksızın ya da dokümanı talep edenin ülkesindeki ISO üyesinin yazılı izni olmaksızın elektronik veya mekanik herhangi bir yolla çoğaltılamaz ya da kullanılamaz. ISO Telif Ofisi Case postale 56 CH-1211 Geneva 20 Tel Faks e-posta: copyright@iso.org Web İsviçre de basılmıştır. ii ISO 2012 Tüm hakları saklıdır.

11 ICS TS -12 İçindekiler Sayfa Ön söz... iv 0 Giriş... v 0.1 Genel... v 0.2 Planla - Uygula - Kontrol et - Önlem al (PUKÖ) modeli... v 0.3 Bu standarddaki PUKÖ nün bileşenleri... vi 1 Kapsam Atıf yapılan standardlar ve/veya dokümanlar Terimler ve tarifler Kuruluşun içeriği Kuruluşun ve içeriğinin anlaşılması İlgili tarafların ihtiyaçlarının ve beklentilerinin anlaşılması İş sürekliliği yönetim sisteminin kapsamının belirlenmesi İş sürekliliği yönetim sistemi Liderlik Liderlik ve yönetim desteği Yönetimin desteği Politika Kuruluş içerisindeki görevler, sorumluluklar ve yetkiler Planlama Risklere ve fırsatlara yönelik faaliyetler İş sürekliliği amaçları ve söz konusu amaçlara ulaşmak için planlar Destek Kaynaklar Yeterlilik Farkındalık İletişim Yazılı bilgi İşletim İşletimsel planlama ve kontrol İş etki analizi ve risk belirlemesi İş sürekliliği stratejisi İş sürekliliği prosedürlerinin oluşturulması ve gerçekleştirilmesi Tatbik etme ve test işlemi Performansın değerlendirilmesi İzleme, ölçme, analiz etme ve değerlendirme İç tetkik Yönetimin gözden geçirmesi İyileştirme Uygunsuzluk ve düzeltici faaliyet Sürekli iyileştirme Kaynakça iii

12 ICS TS -12 Ön söz ISO (Uluslararası Standardizasyon Kuruluşu) ulusal standard kuruluşlarının (ISO ülke kuruluşları) dünya çapında federasyonudur. Uluslararası Standard hazırlama çalışması normalde ISO teknik komiteleri aracılığı ile yapılır. Teknik komitenin kurulmasını sağlayan konu ile ilgilenen her bir üyenin o teknik komitede temsil edilme hakkı vardır. ISO ile işbirliği içindeki resmi ya da hükümet dışı uluslararası kuruluşlar da, çalışmalarda yer alabilir. ISO, elektroteknik standardizasyonla ilgili tüm konularında Uluslararası Elektroteknik Komisyonu (IEC) ile yakın işbirliği içinde çalışır. Uluslararası Standardlar, ISO/IEC Direktifleri Bölüm 2 de verilen kurallara uygun olarak kaleme alınır. Teknik komitelerin ana görevi, Uluslararası Standard hazırlamaktır. Teknik komitelerin kabul ettiği Taslak Uluslararası Standardlar, oylama için üye ülke kuruluşlarına gönderilir. Bir Uluslararası Standardın yayınlanması için oy veren üye ülkelerin en az % 75 inin onayı gerekir. Bu dokümanın bazı kısımlarının patent haklarına konu olabileceğine dikkat edilmelidir. Bu tür herhangi bir ya da tüm patent haklarının belirlenmesi durumunda ISO sorumlu tutulamaz. ISO 22301, ISO/TC 223 "Toplumsal güvenlik" Teknik Komitesi tarafından hazırlanmıştır. ISO in düzeltilmiş bu baskısı, aşağıdaki düzeltmeleri içerir: - Madde 6.1 de numaralandırılmış olan ilk liste, numaralandırılmamış bir liste ile değiştirilmiştir. - Madde ve Madde de listelenen öğelerin sonuna virgüller eklenmiştir. - Kaynaklar bölümünde, ilk baskısında birleştirilmiş halde olan [19] ve [20] no lu kaynak dokümanlar ayrıştırılmıştır. - Dokümanın muhtelif yerlerinde, yazı tipi boyutu yeniden düzenlenmiştir. iv

13 ICS TS Giriş 0.1 Genel Bu standard, etkili bir İş Sürekliliği Yönetim Sistemi (İSYS) nin kurulması ve yönetilmesi konusundaki şartları açıklar. İSYS, aşağıda belirtilen hususlara önem verir: - Kuruluşun ihtiyaçlarının ve iş sürekliliği yönetim politikası ve amaçlarının gerekliliğinin anlaşılması, - Kuruluşun karışıklığa yol açan ihlal olaylarını yönetme konusundaki tüm yeteneğinin idare edilmesi için kontrollerin ve tedbirlerin gerçekleştirilmesi ve yürütülmesi, - İSYS nin performansının ve etkinliğinin izlenmesi ve gözden geçirilmesi, - Amaç ölçümüne dayanan sürekli iyileştirme. İSYS, diğer yönetim sistemleri gibi aşağıda belirtilen önemli bileşenlerden oluşur: a) Bir politika, b) Tanımlanan sorumluluklarıyla birlikte insanlar, c) Aşağıda belirtilen hususlarla ilgili yönetim prosesleri, 1) Politika, 2) Planlama, 3) Gerçekleştirme ve yürütme, 4) Performansın değerlendirilmesi, 5) Yönetimin gözden geçirmesi, 6) İyileştirme, d) Tetkik edilebilir delil sağlayan bir dizi dokümantasyon, e) Kuruluşla ilgili herhangi bir iş sürekliliği yönetim prosesleri. İş sürekliliği, toplumun daha dirençli olmasına katkı sağlar. Topluluk ne kadar büyürse, kuruluşta kuruluşun ortamına etkisi de o kadar büyük olur ve bundan dolayı, diğer kuruluşların da kurtarma prosesine katkıda bulunmasına ihtiyaç duyabilir. 0.2 Planla - Uygula - Kontrol et - Önlem al (PUKÖ) modeli Bu standard, bir kuruluşun İSYS nin planlanmasına, kurulmasına, gerçekleştirilmesine, işletilmesine, izlenmesine, gözden geçirilmesine, sürdürülmesine ve etkinliğinin sürekli olarak geliştirilmesine Planla-Uygula- Kontrol et-önlem al (PUKÖ) modelini uygular. Bu sayede, ISO 9001 Kalite yönetim sistemleri, ISO Çevre yönetim sistemleri, ISO/IEC Bilgi güvenliği yönetim sistemleri, ISO/IEC Bilgi güvenliği- Hizmet Yönetimi ve ISO Tedarik zinciri için güvenlik yönetim sistemlerinin belirtimi gibi başka yönetim sistem standardlarıyla belli bir seviyede tutarlılık temin edilir. Böylelikle, ilgili yönetim sistemleriyle tutarlılık, tümleşik gerçekleştirme ve yürütme desteklenir. Şekil 1 de, İSYS nin, iş sürekliliği için ilgili tarafları, şartları girdi olarak nasıl aldığını ve gerekli işlem ve proseslerden geçirerek söz konusu şartları karşılayan süreklilik sonuçlarının (yönetilen iş sürekliliği gibi) nasıl ortaya çıktığı gösterilir. v

14 ICS TS -12 Çizelge 1 - PUKÖ modelinin açıklanması Şekil 1 - İSYS proseslerine uygulanan PUKÖ modeli Planla (Tesis et) Uygula (Gerçekleştir ve yürüt) Kontrol et (İzle ve gözden geçir) Önlem al (Sürdür ve iyileştir) Kuruluşun genel politikaları ve amaçlarıyla paralel sonuçlara ulaşılması amacıyla iş sürekliliğinin iyileştirilmesi ile ilgili iş sürekliliği politikasının, amaçlarının, hedeflerinin, kontrollerinin, proseslerinin ve prosedürlerinin belirlenmesi. İş sürekliliği politikasının, kontrollerinin, proseslerinin ve prosedürlerinin gerçekleştirilmesi ve yürütülmesi. İş sürekliliği politikası ve amaçlarına karşılık performansın izlenmesi ve gözden geçirilmesi; sonuçların, gözden geçirilmek üzere yönetime rapor edilmesi; düzeltme ve iyileştirme için yapılacak işlemlerin belirlenmesi ve yetki verilmesi. Yönetimin yapacağı gözden geçirmenin sonuçlarına dayanarak ve İSYS nin kapsamının, iş sürekliliği politikasının ve amaçlarının yeniden değerlendirilmesi suretiyle düzeltici faaliyet yapılarak İSYS nin sürdürülmesi ve iyileştirilmesi. 0.3 Bu standarddaki PUKÖ nün bileşenleri Çizelge 1 de gösterilen Planla-Uygula-Kontrol et-önlem al modelinde, bu standardın 4 ila 10 uncu maddeleri aşağıdaki bileşenleri kapsar: - Madde 4, Plan ın bir parçasıdır. İhtiyaçlara, şartlara ve kapsamla birlikte kuruluşa da uygulanırken İSYS nin içeriğini belirlemek için gerekli olan şartları belirtir. - Madde 5, Plan ın bir parçasıdır. İSYS de üst yönetimin rolüne yönelik şartların ve liderliğin, bir politika ifadesiyle kuruluşun beklentilerini nasıl dile getirdiğini özetler. - Madde 6, Plan ın bir parçasıdır. İSYS için stratejik amaçları ve yol gösteren ilkeleri bir bütün olarak ortaya koyarken şartları açıklar. Madde 6 nın içeriği, kurtarma amaçlarından elde edilen iş etki analizi (İTA)nden risk değerlendirmesinden çıkarılan risk iyileştirme fırsatlarına kadar değişiklik gösterir. Not - İş etki analizi ve risk değerlendirme prosesinin şartlarının ayrıntılarına Madde 8 de yer verilmiştir. vi

15 ICS TS Madde 7, Plan ın bir parçasıdır. Gerekli olan dokümantasyon oluşturulurken, kontrol edilirken, sürdürülürken ve muhafaza edilirken ilgili taraflarla tekrar eden bir şekilde veya gerektiği zamanda vazifelerin belirlenmesi ve iletişimin tesis edilmesi ile ilişkili olduğunda İSYS işlemlerini destekler. - Madde 8, Uygula bölümünün bir parçasıdır. İş sürekliliği şartlarını tanımlar, söz konusu şartların nasıl yönlendirileceğini belirler ve kesintiye neden olan bir ihlal olayını yönetmek için prosedürleri ortaya koyar. - Madde 9, Kontrol et bölümünün bir parçasıdır. İş sürekliliği yönetim performansını, bu standard ile yönetimin beklentilerinin İSYS uyumluluğunu ölçmek için gerekli olan şartları özetler ve beklentilere ilişkin yönetimden geri bildirimler ister. - Madde 10, Önlem al ın bir parçasıdır. Düzeltici faaliyet vasıtasıyla İSYS uygunsuzluklarını tespit eder ve gerekli önlemlerin alınmasını sağlar. vii

16

17 ICS TS -12 ULUSLARARASI STANDARD ISO 22301: 2014 Toplumsal güvenlik - İş sürekliliği yönetim sistemleri - Şartlar 1 Kapsam İş sürekliliği yönetimi konusundaki bu standard, kesintiye neden olan ihlal olayları ortaya çıktığında, söz konusu ihlal olayına karşı korunmak, ihlal olayının tekrar meydana gelme olasılığını azaltmak, ihlal olayına karşı hazırlıklı olmak ve ihlal olayında gerekli kurtarma işlemini yapmak üzere yazılı bir yönetim sistemini planlamak, kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve sürekli olarak iyileştirmek amacıyla şartları kapsar. Bu standardda belirtilen şartlar genel niteliktedir ve türüne, büyüklüğüne ve yapısına bakılmaksızın tüm kuruluşlara veya kuruluşların bölümlerine uygulanması amacıyla tasarlanmıştır. Bahsedilen şartların uygulama kapsamı, kuruluşun işletim ortamına ve karmaşıklığına bağlı olarak değişiklik gösterir. Kendi ihtiyaçlarına uygun olan ve ilgili taraflarının şartlarını karşılayan bir İSYS yi tasarlamak isteyen kuruluşlar dışında, İş Sürekliliği Yönetim Sistemi (İSYS) nde tek tip bir yapının zorunlu tutulması bu standardda düşünülmemiştir. Söz konusu ihtiyaçlar; yasal ve düzenleyici şartlara, kuruluş ve sanayi şartlarına, ürün ve hizmetlere, kullanılan proseslere, kuruluşun büyüklüğüne ve yapısına ve ilgili tarafların şartlarına göre şekillenir. Bu standard, aşağıdaki hususları yerine getirmek isteyen her tür ve büyüklükteki kuruluşa uygulanabilir: a) İSYS kurmak, gerçekleştirmek, sürdürmek ve iyileştirmek, b) Belirtilen iş sürekliliği politikasına uyumluluğu temin etmek, c) Başka yönetim sistemlerine uyumluluğu göstermek, ç) Akredite olmuş üçüncü bir taraf sertifikasyon kuruluşu tarafından kendi İSYS nin sertifikasyonunu/ tescili istemek, d) Bu standarda uyumlu olma kararını vermek ve uyumluluk beyanında bulunmak. Bu standard, kuruluşun kendi iş sürekliliği ihtiyaçları karşılama ve yükümlülüklerini yerine getirme konusundaki yeteneğini belirlemede kullanılabilir. 2 Atıf yapılan standard ve/veya dokümanlar Atıfta bulunulan standard yoktur. 3 Terimler ve tarifler Bu standardın amaçları bakımından, aşağıda yer alan terimler ve tarifler uygulanır. 3.1 Faaliyet Bir veya daha fazla ürün üreten veya hizmet veren bir kuruluş tarafından (ya da kuruluş adına) yerine getirilen proses veya prosesler kümesi. Örnek: Söz konusu prosesler, hesapları, çağrı merkezini, bilgi teknolojilerini, imalatı, dağıtımı içerir. 3.2 Tetkik Tetkik delili elde etme ve bunları objektif olarak değerlendirerek tetkik kriterlerinin karşılanma derecesini tespit etmek için yapılan sistematik, bağımsız ve dokümante edilmiş proses. Not 1 - Bir tetkik, kuruluş içi (birinci taraf) veya kuruluş dışı (ikinci veya üçüncü taraf) tetkik şeklinde olabileceği gibi birleşik tetkik (iki veya daha fazla disiplinin birleşmesi suretiyle) şeklinde de yapılabilir. Not 2 - Tetkik delili ve tetkik kriteri, ISO standardında tanımlanmıştır. 3.3 İş sürekliliği Kesintiye neden olan bir ihlal olayının ardından ürün ve hizmetlerin önceden tanımlanmış kabul edilebilir seviyelerdeki sunumuna devam etme konusunda kuruluşun sahip olduğu yetenek. [KAYNAK: ISO 22300] 1

18 ICS TS İş sürekliliği yönetimi Kuruluşa yönelik olası tehditleri ve söz konusu tehditlerin gerçekleşmesi durumunda iş ile ilgili işlemlere tesirini tespit eden ve kuruluşun önde gelen hissedarlarının menfaatini, itibarını, marka ve değer yaratan faaliyetlerini koruyan etkili bir karşılık verme yeteneğiyle kurumsal direncin oluşması için bir altyapı ortaya koyan bütüncül yönetim prosesi. 3.5 İş sürekliliği yönetim sistemi (İSYS) İş sürekliliğini kuran, gerçekleştiren, işleten, izleyen, gözden geçiren, sürdüren ve iyileştiren yönetim sisteminin bölümü veya tamamı. Not - Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, prosedürleri, prosesleri ve kaynakları içerir. 3.6 İş sürekliliği planı Kesintinin ardından karşılık vermek, kurtarma işlemini yapmak, yeniden başlangıç yapmak ve önceden tanımlanan iş seviyesini geri kazanma konusunda kuruluşa yol gösteren yazılı prosedürler. Not - İş sürekliliği planı genellikle, kritik iş fonksiyonlarının sürekliliğini sağlamak için gerekli olan kaynakları, hizmetleri ve faaliyetleri içerir. 3.7 İş sürekliliği programı Üst yönetim tarafından desteklenen ve iş sürekliliği yönetimini gerçekleştirmek ve sürdürmek için uygun biçimde kaynak tahsis edilen, sürekli yönetim ve yönetişim prosesi. 3.8 İş etkisi analizi İşin kesintiye uğraması üzerinde etkisi olabilen faaliyetlerin ve etkinin analiz edilmesi prosesi. [KAYNAK: ISO 22300] 3.9 Yeterlilik İstenilen sonuçlara ulaşmak için bilgi ve becerileri uygulama yeteneği Uygunluk Bir şartın yerine getirilmesi. [KAYNAK: ISO 22300] 3.11 Sürekli iyileştirme Performansı geliştirmek için tekrar eden faaliyet. [KAYNAK: ISO 22300] 3.12 Düzeltme Tespit edilen bir uygunsuzluğu ortadan kaldırma işlemi. [KAYNAK: ISO 22300] 3.13 Düzeltici faaliyet Bir uygunsuzluğun nedenini ortadan kaldırma ve tekrar meydana gelmesini önleme faaliyeti. Not - Başka istenmeyen sonuçların ortaya çıkması durumunda, nedenleri en aza indirmek veya ortadan kaldırmak ve etkiyi azaltmak veya tekrar meydana gelmesini önlemek için işlem yapılması gerekir. [KAYNAK: ISO 22300] 3.14 Dokümante Bilgi ve bilgiyi destekleyen ortam. 2

19 ICS TS -12 Not 1 - Ortam; kağıt, manyetik, elektronik veya optik bilgisayar diski, fotoğraf veya esas kopya ya da bunların birleşimi şeklinde olabilir. Not 2 - Belirtimler veya kayıtlar gibi belge kümesine genellikle dokümantasyon denir Yazılı bilgi Kuruluş ve içinde yer aldığı ortam tarafından kontrol edilmesi ve sürdürülmesi gereken bilgi. Not 1 - Yazılı bilgi, herhangi bir biçimde ve herhangi bir kaynaktan alınan her türlü ortamda olabilir. Not 2 - Yazılı bilgi aşağıda yazılı olanlara atıfta bulunabilir: - İlgili prosesler de dahil olmak üzere yönetim sistemine; - Kuruluşun çalışması için oluşturulan bilgiye (dokümantasyona), - Elde edilen sonuçların (kayıtların) deliline Etkinlik Planlanan faaliyetlerin gerçekleştirilmesi ve planlanan sonuçların elde edilmesinin derecesi. [KAYNAK: ISO 22300] 3.17 Olay Meydana gelme veya belirli bir koşul kümesinin değişimi. Not 1 - Bir olay, bir veya daha fazla meydana gelen durum şeklinde ortaya çıkabileceği gibi bir olayın birden fazla nedeni de olabilir. Not 2 - Bir olay, meydana gelmeyen bir durumu içerebilir. Not 3 - Bir olay, bazen ihlal olayı veya kaza şeklinde ifade edilebilir. Not 4 - Sonuçları ortaya çıkmayan bir olay, ramak kaldı, tesadüf eseri, ucuz atlatıldı, kılpayı şeklinde de ifade edilebilir. [KAYNAK: ISO/IEC Kılavuz 73] 3.18 Tatbikat Kuruluş için performansın değerlendirilmesi, uygulanması ve iyileştirilmesi için eğitim yapılması prosesi. Not 1 - Alıştırmalar; politikaların, planların, prosedürlerin, eğitimin, ekipmanın ve kuruluşlar arası anlaşmaların doğrulanması; personelin görev ve sorumluluklarının açıklanması ve personelin eğitilmesi; kuruluşlar arası koordinasyon ve iletişimin iyileştirilmesi; kaynak açığının belirlenmesi; bireysel performansın iyileştirilmesi; iyileştirme için fırsatların ve geçici olarak yapılabilecekleri hayata geçirmek amacıyla kontrol altındaki fırsatın tespit edilmesi için kullanılabilir. Not 2 - Test, planlanan alıştırmanın hedefi veya amaçları kapsamında geçti veya kaldı değerlendirmesini bünyesinde barındıran benzersiz ve özel bir alıştırmadır. [KAYNAK: ISO 22300] 3.19 İhlal olayı Bir kesintiye, kayba, acil bir duruma veya krize neden olan veya olabilen durum. [KAYNAK: ISO 22300] 3.20 Altyapı Bir kuruluşun işleyişi için gerekli olan tesisler, ekipman veya hizmetler sistemi İlgili taraf, paydaş Bir karar veya faaliyetle kendilerini etkileyebilen, etkilenebilen ya da bir karar ya da faaliyetle kendilerinin etkileneceğini düşünen kişi veya kuruluş. 3

20 ICS TS -12 Not - İlgili taraf, bir kuruluşun herhangi bir kararında veya faaliyetinde ilgisi olan bir şahıs veya grup olabilir İç tetkik Yönetimin gözden geçirmesi veya başka amaçlarla, kuruluşun kendisi tarafından veya kuruluş adına yapılan ve kuruluşun uygunluğunu beyan etmek için esas teşkil edebilen tetkik. Not - Pek çok durumda, bilhassa küçük kuruluşlarda, bağımsızlık, denetlenen faaliyet için sorumlu olmadan gösterilebilir Yürütme Önemli ürünlerin veya hizmetlerin sürekli şekilde sunulması maksadıyla yürürlüğe girmesi gereken kuruluşun iş sürekliliği düzenlemelerinin beyan edilmesi Yönetim sistemi Politikaları ve amaçları belirlemek için kuruluşun birbiriyle ilintili veya etkileşimli öğeler kümesi ve söz konusu amaçlara ulaşmak için prosesler. Not 1 - Bir yönetim sistemi, tek bir disipline veya birkaç disipline dönük olabilir. Not 2 - Sistem öğeleri; kuruluşun yapısını, görev ve sorumluluklarını, planlama, işletimi vb.lerini içerir. Not 3 - Yönetim sisteminin kapsamı; kuruluşun tamamını, kuruluşun belirli veya tespit edilmiş fonksiyonlarını, kuruluşun belirli veya tespit edilmiş bölümlerini ya da kuruluşlardan oluşan bir grubun bir veya daha fazla fonksiyonunu içerebilir Kabul edilebilir en uzun hizmet kesinti süresi (MAO) Bir ürünün/hizmetin verilmemesinin veya bir faaliyetin yapılamamasının bir sonucu olarak ortaya çıkabilen olumsuz etkilerin kabul edilemez hale geldiği süre. Not - Kesintiyi tahammül edilebilecek en uzun süre tanımına da bakılmalıdır Kesintiye tahammül edilebilecek en uzun süre (MTPD) Bir ürünün/hizmetin verilmemesinin veya bir faaliyetin yapılamamasının bir sonucu olarak ortaya çıkabilen olumsuz etkilerin kabul edilemez hale geldiği süre. Not - Kabul edilebilir en uzun hizmet kesinti süresi tanımına da bakılmalıdır Ölçme Bir değer belirleme prosesi En küçük iş sürekliliği hedefi (MBCO) Bir kesinti sırasında, kuruluşun kendi iş hedeflerine ulaşmak için kabul edebileceği en düşük hizmet ve/veya ürün seviyesi İzleme Bir sistemin, prosesin veya faaliyetin durumunun belirlenmesi. Not - Durumu belirlemek için kontrol etmeye, nezarette bulunmaya veya hassas bir biçimde gözlem yapmaya ihtiyaç duyulabilir Karşılıklı yardım anlaşması İki veya daha fazla kurum/kişi arasında birbirlerine yardımda bulunmak amacıyla önceden yapılan mutabakat. [KAYNAK: ISO 22300] 3.31 Uygunsuzluk Bir şartın karşılanmaması. [KAYNAK: ISO 22300] 4

21 ICS TS Amaç Ulaşılacak sonuç. Not 1 - Amaç; stratejik, taktik veya işletim boyutunda olabilir. Not 2 - Amaçlar, farklı disiplinlerle (mali, sağlık ve emniyet, çevresel hedefler) ilgili olabilir ve farklı seviyelerde (stratejik, kuruluş çapında, proje, ürün ve proses) uygulanabilir. Not 3 - Bir amaç farklı yollarla da ifade edilebilir; örneğin, beklenen sonuç, hedef, işletim ölçütü şeklinde, toplumsal güvenlik amacı olarak veya benzer anlam taşıyan başka sözcüklerin (gaye, maksat, hedef gibi) kullanılmasıyla. Not 4 - Toplumsal güvenlik yönetim sistemleri standardları kapsamında toplumsal güvenlik amaçları, belirli sonuçları elde etmek için toplumsal güvenlik politikasıyla tutarlı olacak şekilde kuruluş tarafından belirlenir Kuruluş Amaçlarına ulaşmak için sorumlulukları, yetkileri ve ilişkileriyle birlikte kendi işlevleri olan kişi veya insan topluluğu. Not 1 - Kuruluş kavramı; anonim, kamu veya özel kuruluş olup olmadığına göre, tek başına çalışan tüccar, şirket, birlik, firma, girişim, yetkili, ortaklık, yardım kuruluşu veya kurumu veya burada sayılanların bir bölümü ya da bunların birkaçının bir araya gelmesiyle oluşan yapıları içerir, ancak kavram, sayılan yapılarla sınırlı değildir. Not 2 - Birden fazla işletim ünitesi olan kuruluşlar için, tek bir işletme ünitesi bir kuruluş olarak tanımlanabilir Dış kaynaktan karşılama Kuruluş dışındaki bir kuruluşun, kuruluşun işlev veya prosesinin bölümünü yerine getiren bir anlaşma yapılması. Not - Dış kaynak tarafından yerine getirilen işlev veya proses kapsam içerisinde olmasına rağmen, kuruluşun dışındaki kuruluş, yönetim sisteminin kapsamının dışında kalır Performans Ölçülebilen sonuç. Not 1 - Performans, nicel veya nitel sonuçlarla anlatılabilir. Not 2 - Performans; faaliyetlerin yönetimi, prosesler, ürünler (hizmetler de dahil olmak üzere), sistemler veya kuruluşlarla ilişkili olabilir Performans değerlendirmesi Ölçülebilir sonuçların belirlenmesi prosesi Personel Kuruluş için veya kuruluşun kontrolü altında çalışan kişiler. Not - Personel kavramı; çalışanları, yarı zamanlı çalışan idari personeli veya firmanın idari personelini içerir ancak bunlarla sınırlı değildir Politika Üst yönetim tarafından resmi olarak ifade edilen, kuruluşun niyeti ve ilerleme istikameti Prosedür Bir faaliyeti veya prosesi yürütmek için belirli yol Proses Girdileri sonuca dönüştüren karşılıklı etkileşim veya ilişki içerisindeki faaliyetler kümesi. 5

22 ICS TS Ürünler ve hizmetler İmal edilen parçalar, araç sigortası ve toplum sağlığı hemşireliği gibi kuruluş tarafından müşterilerine, alıcılarına veya ilgili taraflara sunulan yararlı sonuçlar Öncelik verilen faaliyetler İhlal olayının yaşanmasının ardından olası etkileri azaltmak amacıyla öncelik verilmesi gereken faaliyetler. Not Bu gruba dâhil olan faaliyetleri açıklamak için kullanılan ortak terimler; kritik, zaruri, hayati, acil ve önemli yi içerir. [KAYNAK: ISO 22300] 3.43 Kayıt Ulaşılan sonuçların ifade edilmesi veya yapılan faaliyetlerin delili Kurtarma noktası hedefi (RPO) Faaliyeti kaldığı yerden başlatmak için işlemi etkinleştirmesi amacıyla, bir faaliyette kullanılan bilginin tekrar dönülmesi gereken nokta. Not - En büyük veri kaybı olarak da anılabilir Kurtarma zamanı hedefi (RTO) Bir ihlal olayının ardından; - Ürün veya hizmetin yeniden verilmeye başlanma ya da, - Faaliyetin yeniden başlatılma ya da, - Kaynakların kurtarılma süresi. Not - Ürünler, hizmetler ve faaliyetler için kurtarma zamanı hedefi, bir ürün veya hizmetin verilmemesinin ya da kabul edilemeyen bir faaliyetin yapılmasının sonucu olarak ortaya çıkan olumsuz tesirlerin alacağı zamandan daha az olmalıdır Şart Belirtilen, genellikle kastedilen veya zorunlu olan ihtiyaç veya beklenti. Not 1 - Genellikle kastedilen ifadesiyle, göz önüne alınan ihtiyaç veya beklentinin kastedildiği kuruluş veya ilgili taraflar için adet olan veya alışıldık bir uygulama ifade edilmektedir. Not 2 - Belirli bir şart, örneğin, yazılı bir bilgide, ifade edilendir Kaynaklar Bir kuruluşun, gerektiğinde çalışmak ve amacına ulaşmak için kullanımına hazır olması gereken her türlü varlık, insan, beceri, bilgi, teknoloji (tesis ve ekipman da dahil), taşınmazlar, malzeme ve bilgi (elektronik ortamda olanlar ve olmayanlar) Risk Hedeflere ulaşım hakkında belirsizliğin etkisi. Not 1 - Etki, beklenenden olumlu veya olumsuz yönde bir sapmadır. Not 2 - Amaçların farklı yönleri (mali, sağlık ve emniyet, çevresel hedefler) bulunabilir ve farklı seviyelerde (stratejik, kuruluş çapında, proje, ürün ve proses gibi) uygulanabilir. Bir amaç farklı yollarla da ifade edilebilir; örneğin, beklenen sonuç, hedef, operasyonel ölçüt şeklinde, iş sürekliliği amacı olarak veya benzer anlam taşıyan başka sözcüklerin (gaye, maksat, hedef gibi) kullanılmasıyla. Not 3 - Risk, sıklıklı, gerçekleşmesi muhtemel olaylar (Kılavuz 73, Madde ) ve sonuçları (Kılavuz 73, Madde ) veya her ikisinin bir arada gerçekleşmesi şeklinde ifade edilir. Not 4 - Risk, sıklıkla, bir olayın sonuçları (koşullardaki değişiklikler de dâhil olmak üzere) ve olayın tekrar meydana gelme olasılığıyla (Kılavuz 73, Madde ) birlikte ifade edilir. 6

23 ICS TS -12 Not 5 - Belirsizlik, kısmen de olsa, bir olayla, olayın sonuçlarıyla veya benzerliğiyle ilgili bilginin, anlayışın veya bilgi birikiminin eksikliği durumudur. Not 6 - İş sürekliliği yönetim sistemi standardları kapsamında iş sürekliliği amaçları, belirli sonuçlara ulaşmak için iş sürekliliği politikasıyla tutarlı olarak kuruluş tarafından belirlenir. Risk ve risk yönetiminin bileşenleri teriminden bahsederken bu husus, Madde 6.2 de belirtilen iş sürekliliği amaçlarını içeren ancak bunlarla sınırlı kalmayan, kuruluşun amaçlarıyla ilgili olmalıdır. [KAYNAK: ISO/IEC Kılavuz 73] 3.49 Risk iştahı Kuruluşun izlemeye veya almaya istekli olduğu risk türü ve büyüklüğü Risk belirleme Riskin belirlenmesi, risk analizinin yapılması ve riskin değerlendirilmesinin tamamını içeren proses. [KAYNAK: ISO Kılavuz 73] 3.51 Risk yönetimi Risk ile ilgili olarak kuruluşu yönetmek ve kontrol etmek için yürütülen koordineli faaliyetler. [KAYNAK: ISO Kılavuz 73] 3.52 Test işlemi Değerlendirme prosedürü; herhangi bir hususun varlığını, kalitesini veya gerçekliğini belirleme usülü. Not 1 - Test işleminde, bir deneme ye atıfta bulunulabilir. Not 2 - Test işlemi genellikle destekleyen planlara uygulanır. [KAYNAK: ISO 22300] 3.53 Üst yönetim Kuruluşu en üst seviyede yöneten veya kontrol eden kişi veya kişiler topluluğu. Not 1 - Üst yönetiminin yetkiyi temsil etme gücü bulunur ve kuruluş içerisindeki kaynakları sağlar. Not 2 - Yönetim sisteminin kapsamının, kuruluşun yalnızca bir bölümünü kapsaması halinde, üst yönetim, kuruluşun o bölümünü yöneten ve kontrol eden kişilere atıfta bulunur Doğrulama Delilin ortaya konulmasıyla belirli şartların karşılandığının teyidi Çalışma ortamı Çalışmanın yapıldığı koşullar kümesi. Not - Koşullar; fiziki, sosyal, psikolojik ve çevresel faktörleri (sıcaklık, tanıma düzenleri, ergonomik ve atmosferik bileşim gibi) içerir. [KAYNAK: ISO 22300] 4 Kuruluşun içeriği 4.1 Kuruluşun ve içeriğinin anlaşılması Kuruluş, amacıyla ilgili ve kendi İSYS nin arzu edilen sonucuna/sonuçlarına ulaşma yeteneğine etki eden iç ve dış konuları belirlemelidir. Kuruluşun İSYS si kurulurken, gerçekleştirilirken ve sürdürülürken bu hususlar göz önüne alınmalıdır. Kuruluş, aşağıda yazılı olan hususları tespit etmeli ve yazılı hale getirmelidir: 7

24 ICS TS -12 a) Kuruluşun faaliyetleri, işlevleri, hizmetleri, ürünleri, ortaklıkları, tedarik zincirleri, ilgili taraflarla ilişkileri ve kesintiye yol açan bir ihlal olayının olası etkisi; b) İş sürekliliği politikası ve kuruluşun amaçları ile genel risk yönetimi stratejisi de dahil olmak üzere diğer politikalar arasındaki bağlantılar; c) Kuruluşun risk iştahı. İçeriğin oluşturulmasında kuruluş; 1) İş sürekliliğiyle ilgili olan hedefler de dâhil olmak üzere hedeflerini açık bir biçimde ifade etmeli, 2) Riski arttıran belirsizliği yaratan iç ve dış faktörlerini tanımlamalı, 3) Risk iştahını dikkate alarak risk kriterini belirlemeli ve 4) İSYS nin amacını tanımlamalıdır. 4.2 İlgili tarafların ihtiyaçlarının ve beklentilerinin anlaşılması Genel İSYS kurulurken, kuruluş aşağıda yazılı olan hususları belirlemelidir: a) İSYS ile ilişkili ilgili taraflar, b) Söz konusu ilgili tarafların şartları (genellikle kastedilen veya zorunlu olarak belirtilen ihtiyaçlar ve beklentiler gibi) Yasal ve düzenleme amaçlı şartlar İlgili tarafların menfaatleriyle ilişkili olduğu kadar, faaliyetlerinin, ürünlerinin ve hizmetlerinin sürekliliğiyle ilgili kuruluşun tabi olduğu yürürlükteki yasal ve düzenleme amaçlı şartları tespit etmek, bu şartlara ulaşmak ve değerlendirmek için kuruluş bir prosedür/prosedürler oluşturmalı, gerçekleştirmeli ve sürdürmelidir. Kuruluşun tabi olduğu söz konusu yürürlükteki yasal, düzenleme amaçlı ve diğer şartların İSYS nin kurulmasında, gerçekleştirilmesinde ve sürdürülmesinde dikkate alınmasını kuruluş temin etmelidir. Kuruluş, bu bilgiyi yazılı hale getirmeli ve güncelliğini sağlamalıdır. Yeni yasal, düzenleme amaçlı ve diğer şartlar veya bunların değişiklikleri, çalışanlara ve ilgili diğer taraflara duyurulmalıdır. 4.3 İş sürekliliği yönetim sisteminin kapsamının belirlenmesi Genel Kuruluş, kapsamını oluşturmak için, İSYS nin sınırlarını ve uygulanabilirliğini belirlemelidir. Söz konusu kapsam belirlenirken, kuruluş aşağıdaki hususları göz önüne almalıdır: - Madde 4.1 de belirtilen iç ve dış konular ve - Madde 4.2 de belirtilen şartlar. Kapsam, yazılı hale getirilmiş bir bilgi şeklinde kullanıma elverişli olmalıdır İSYS nin kapsamı Kuruluş; a) İSYS nde yer alacak kuruluş bölümlerini belirlemeli, b) Kuruluşun misyonu, hedefleri, iç ve dış yükümlülüklerini (ilgili taraflarla ilişkili olanlar da dahil) ve yasal ve düzenleme amaçlı sorumluluklarını dikkate alarak İSYS şartlarını belirlemeli, c) İSYS nin kapsamı içerisinde yer alan ürünleri, hizmetleri ve ilgili tüm faaliyetleri tespit etmeli, ç) Müşteriler, yatırımcılar, hissedarlar, tedarik zinciri ve/veya toplumun girdileri ve ihtiyaçları, beklentileri ve menfaatleri (uygun olduğu şekilde) gibi ilgili tarafların ihtiyaçlarını ve menfaatlerini dikkate almalı, d) Kuruluşun büyüklüğüne, doğasına ve karmaşıklığına uygun biçimde İSYS nin kapsamını tanımlamalıdır. İş etkisi analizi veya risk belirlemesi ve yürürlükteki yasal ve düzenleyici şartlar tarafından belirlendiği şekilde, İSYS nin şartlarını karşılayan iş ve işlemlerin sürekliliğini sağlamak için kuruluşun yeteneğini ve sorumluluğunu etkilemeyecek kapsam dışı tutulanlar gibi hususları, kapsam tanımlanırken kuruluş yazılı hale getirmeli ve açıklamalıdır. 4.4 İş sürekliliği yönetim sistemi Kuruluş, bu standardın şartlarına uygun olarak ihtiyaç duyulan prosesler ve proseslerin karşılıklı etkileşimi de dâhil olmak üzere bir İSYS yi kurmalı, gerçekleştirmeli, sürdürmeli ve sürekli olarak iyileştirmelidir. 8

25 ICS TS Liderlik 5.1 Liderlik ve yönetim desteği Kuruluşta üst yönetimde bulunanlar ile ilgili diğer yönetim görevlerini yerine getiren insanlar, İSYS konusunda önderlik etmelidir. Örnek: İSYS nin etkinliğine katkı yapmaları konusunda insanları motive ederek ve yetki vererek söz konusu liderlik ve yönetimin desteği gösterilebilir. 5.2 Yönetimin desteği Üst yönetim, aşağıda belirtilenleri yerine getirerek, İSYS konusundaki liderliğini ve desteğini göstermelidir: - Politikaların ve amaçların, iş sürekliliği yönetim sistemi için oluşturulmasının ve kuruluşun stratejik yönüyle uyumlu olmasının temin edilmesi, - Kuruluşun iş prosesleri ile iş sürekliliği yönetim sistem şartlarının bütünleştirilmesinin sağlanması, - İş sürekliliği yönetim sistemi için gerekli olan kaynakların hazır bulundurulmasının sağlanması, - Etkili iş sürekliliği yönetim sisteminin öneminin duyurulması ve İSYS şartlarına uyulması, - İSYS nin, düşünülen sonucu/sonuçları elde etmesinin sağlanması, - İSYS nin etkinliğini sürdürmek için kişilerin yönlendirilmesi ve desteklenmesi, - Sürekli iyileştirmenin teşvik edilmesi, - Diğer yönetim görevlerini yerine getiren personelin, kendi sorumluluk alanında liderliklerini ve işe verdikleri önemi göstermeleri için desteklenmesi. Not 1 - Bu standardda geçen iş teriminin, kuruluşun varlık amaçları için önem arz eden faaliyetleri ifade etmek amacıyla yaygın biçimde kullanılacağı düşünülmüştür. Üst yönetim, - İş sürekliliği politikası oluşturarak, - İSYS amaçlarının ve planlarının hazırlanmasını sağlayarak, - İş sürekliliği yönetimi için görev, sorumluluk ve becerileri belirleyerek, - İSYS nin gerçekleştirilmesi ve sürdürülmesi için güvenilecek beceri ve uygun yetkiye sahip bir veya birkaç kişiyi İSYS den sorumlu olacak şekilde belirleyerek İSYS nin kurulmasına, gerçekleştirilmesine, işletilmesine, izlenmesine, gözden geçirilmesine, sürdürülmesine ve iyileştirilmesine destek verdiğinin delilini ortaya koymalıdır. Not 2 - Söz konusu kişiler, kuruluş içerisinde başka sorumluluklar da taşıyabilir. Üst yönetim; - Risklerin kabul edilmesi ve kabul edilebilir risk seviyeleri için kriteri tanımlayarak, - Alıştırma ve test işlemlerinin yapılmasında etkin biçimde yer alarak, - İSYS nin iç tetkiklerinin yapılmasını sağlayarak, - İSYS de yönetimin gözden geçirmesini yaparak, - Üst yönetiminin sürekli iyileştirmeye destek verdiğini göstererek ilgili görevler için sorumlulukların ve yetkilerin belirlenmesini ve kuruluş içerisinde duyurulmasını sağlamalıdır. 5.3 Politika Üst yönetim; - Kuruluş amacına uygun olan, - İş sürekliliği amaçlarının belirlenmesi için bir altyapı sunan, - Yerine getirilecek şartları karşılamaya destek verildiğini gösteren, - İSYS nin sürekli iyileştirilmesine destek verildiğini gösteren bir iş sürekliliği politikası oluşturmalıdır. İSYS politikası; - Yazılı bilgi şeklinde olmalı, - Kuruluş içerisinde duyurulmalı, - Uygun görülmesi durumunda, ilgili tarafların kullanımına da sunulmalı, - Belirli zaman aralıklarında ve önemli değişiklikler söz konusu olduğunda, uygunluğu sürdürmek için gözden geçirilmelidir. Kuruluş, iş sürekliliği politikası hakkında yazılı bilgiyi muhafaza etmelidir. 9

26 ICS TS Kuruluş içerisindeki görevler, sorumluluklar ve yetkiler Üst yönetim, ilgili görevler için sorumlulukların ve yetkilerin belirlenmesini ve kuruluş içerisinde duyurulmasını temin etmelidir. Üst yönetim; a) Yönetim sisteminin bu standardın şartlarına uymasını temin etmek, b) İSYS nin performansının üst yönetime raporlamak için sorumlulukları ve yetkileri belirlemelidir. 6 Planlama 6.1 Risklere ve fırsatlara yönelik faaliyetler Kuruluş, İSYS için planlama yapılırken, Madde 4.1 de belirtilen hususlar ile Madde 4.2 de belirtilen şartları göz önüne almalı ve - Yönetim sisteminin düşünülen sonuca / sonuçlara ulaşabilmesini sağlamak, - İstenmeyen etkileri önlemek veya azaltmak, - Sürekli iyileştirmeyi hayata geçirmek için riskleri ve fırsatları tespit etmelidir. Kuruluş, a) Söz konusu risklere ve fırsatlara yönelik faaliyetleri, b) Faaliyetleri, İSYS proseslerine nasıl entegre edeceğini ve gerçekleştireceğini (Madde 8.1 e bakılmalıdır), c) Söz konusu faaliyetlerin etkinliğinin nasıl değerlendireceğini (Madde 9.1 e bakılmalıdır) planlamalıdır. 6.2 İş sürekliliği amaçları ve söz konusu amaçlara ulaşmak için planlar Üst yönetim, iş sürekliliği amaçlarının belirlenmesini ve kuruluş içerisindeki işlevler için ilgili kademelere duyurulmasını sağlamalıdır. İş sürekliliği; a) İş sürekliliği politikasıyla tutarlı olmalı, b) Kuruluşun amaçlarına ulaşmak için kuruluşun kabul edebileceği en düşük hizmet ve ürün seviyesini dikkate almalı, c) Ölçülebilir olmalı, ç) Uygulanabilir şartları göz önünde bulundurmalı ve d) İzlenmeli ve uygun şekilde güncellenmelidir. Kuruluş, iş sürekliliği amaçları konusundaki yazılı bilgiyi muhafaza etmelidir. İş sürekliliği amaçlarına ulaşmak için kuruluş; - Kimin sorumlu olacağını, - Neyin yapılacağını, - Hangi kaynakların gerekli olacağını, - İş sürekliliği amaçlarına ulaşma işleminin ne zaman tamamlanacağını, - Sonuçların nasıl değerlendirileceğini belirlemelidir. 7 Destek 7.1 Kaynaklar Kuruluş, İSYS nin kurulması, gerçekleştirilmesi, sürdürülmesi ve sürekli iyileştirilmesi için gerekli olan kaynakları belirlemeli ve sağlamalıdır. 7.2 Yeterlilik Kuruluş, a) Performansını etkileyen, kontrolü altında çalışan kişinin/kişilerin sahip olması istenen gerekli yeterlilik düzeyini belirlemeli, b) Söz konusu personelin, uygun eğitim, öğretim ve deneyim temelinde gerekli yeterliliğe sahip olduğundan emin olmalı, c) Uygun görüldüğünde, istenen yeterliliğe sahip olmaları için gerekli işlemleri yapmalı ve yapılan işlemlerin etkinliğini değerlendirmeli, d) İstenen yeterliliğe sahip olunduğunu gösteren delili uygun biçimde yazılmış bir bilgi şeklinde elinde bulundurmalıdır. 10

27 ICS TS -12 Not - Yapılabilecek işlemler; eğitim verilmesi, çalışan personele danışmanlık yapılması veya söz konusu personelin görev değişikliğinin yapılması, yeterli yeterlilik düzeyine sahip kişilerin işe alınması veya bu kişilerle sözleşme yapılması şeklinde sayılabilir. 7.3 Farkındalık Kuruluşun kontrolü altında çalışan personel; a) İş sürekliliği politikasının, b) İyileştirilmiş iş sürekliliği yönetim performansının yararları da dâhil olmak üzere İSYS nin etkinliğine yaptığı katkının, c) İSYS şartları ile uyumsuzlukların sonuçlarının, d) Kesintiye neden olan ihlal olayları sırasında yapılması gereken görevlerinin farkında olmalıdır. 7.4 İletişim Kuruluş, aşağıda yazılı olanlar da dâhil olmak üzere, İSYS yle ilgili iç ve dış iletişim ihtiyacını belirlemelidir: a) Neyin duyurulacağı, b) Ne zaman duyurulacağı, c) Kime duyurulacağı. Kuruluş, - İlgili taraflar ile kuruluş içerisindeki çalışanlar arasındaki iç iletişim, - Müşteriler, ortak kuruluşlar, yerel halk ve ilgili diğer taraflarla dış iletişim, - İlgili taraflardan gelen bildirimin alınması, yazılı hale getirilmesi ve cevabın verilmesi, - Ulusal veya bölgesel bir tehdit tavsiye sisteminin veya eşiti bir uygulamanın planlama ve uygun görülürse operasyonel kullanım amacıyla bünyeye uyarlanması veya kabul edilmesi, - Kesinti yaşanan bir ihlal olayı sırasında kullanılabilir iletişim vasıtalarının bulunmasının sağlanması, - Uygun makamlarla yapılandırılmış iletişimin kolaylaştırılması ve uygun görüldüğü yerde, yanıt veren birden fazla kuruluş ve personelin birlikte çalışabilmesine imkân sağlanması, - Olağan iletişimde kesinti yaşandığında kullanılmak üzere düşünülen iletişim yeteneklerinin işletilmesi ve test edilmesi için prosedürleri oluşturmalı, gerçekleştirmeli ve sürdürmelidir. Not - Bir ihlal olayına müdahale etmede iletişim konusunda daha fazla gereksinim Madde te belirtilmiştir. 7.5 Yazılı bilgi Genel Kuruluşun İSYS si, - Bu standardın gerektirdiği yazılı bilgiyi ve - Kuruluş tarafından İSYS nin etkinliği için gerekli görülen yazılı bilgiyi içermelidir. Not - İSYS için yazılı bilginin kapsamı; - Kuruluşun büyüklüğüne, faaliyetlerinin türüne, proseslerine, ürünlerine ve hizmetlerine, - Proseslerin karmaşıklığına ve birbirleriyle etkileşimlerine ve - Kişilerin yetkinliğine göre bir kuruluştan diğerine farklılık gösterebilir Yazılı bilginin oluşturulması ve güncellenmesi Yazılı bilgi oluşturulacağı ve güncelleneceği zaman kuruluş; a) Uygun tanımlamayı ve açıklamayı (örneğin; başlık, tarih, yazarı veya yazının tarih-sayı grubunu) yapmalı, b) Biçimi (örneğin; dil, yazılım sürümü, grafik), ortamı (örneğin; kâğıt veya elektronik) belirlemeli, uygunluk ve yeterliliğe karar verilmesi için gözden geçirilmesini ve onaylanmasını sağlamalıdır Yazılı bilginin kontrol edilmesi Bu standardın ve İSYS nin gerekli gördüğü yazılı bilgi aşağıda yazılı olanları sağlamak için kontrol edilmelidir: a) Gerekli görüldüğü yer ve zamanda kullanılabilir ve uygun olduğunu, b) Yeterli düzeyde korunduğunu (örneğin; gizliliğin kaybolması, uygun olmayan kullanım, bütünlüğün bozulması). Yazılı bilginin kontrol edilmesi için kuruluş, uygun olması durumunda, aşağıda yazılı olan faaliyetleri göz önünde bulundurmalıdır: 11

28 ICS TS Dağıtım, erişim, geri kazanım ve kullanım, - Okunabilirliğin korunması da dâhil olmak üzere saklama ve koruma, - Değişikliklerin kontrolü (örneğin, sürüm kontrolü), - Muhafaza veya yok etme, - Geri kazanma ve kullanma, - Okunaklılığın korunması (örneğin; okumak için yeterince net olması) ve - Güncelliğini yitirmiş işe yaramayan bilginin amaç dışı kullanımının önlenmesi. İSYS nin planlanması ve işletimi için kuruluş tarafından gerekli olduğuna karar verilen dış kaynaklı yazılı bilgi uygun görüleceği şekilde tespit edilmeli ve kontrol edilmelidir. Yazılı bilginin kontrolünün nasıl yapılacağı belirlenirken, kuruluş, yazılı bilginin yeterli düzeyde korunmasını sağlamalıdır (örneğin; ele geçirilmesine, yetki dışı değişiklik yapılmasına veya silinmesine karşı korunma). Not - Erişim, yazılı bilgiyi görüntülemek için izin alınmasına veya yazılı bilgiyi görüntülemek için izin alınmasına ve değişiklik yapmak için yetki verilmesine ilişkin bir kararı ifade eder. 8 İşletim 8.1 İşletimsel planlama ve kontrol Kuruluş, şartları karşılamak ve Madde 6.1 de belirtilen işlemleri gerçekleştirmek için; a) Prosesler için kriter belirleyerek, b) Kritere göre proseslerin kontrolü gerçekleştirilerek, c) Proseslerin planlandığı şekilde yürütüldüğünden emin olmak için gerekli olan yazılı bilgi muhafaza edilerek gerekli olan prosesleri planlamalı, gerçekleştirmeli ve kontrol etmelidir. Kuruluş, planlanan değişiklikleri kontrol etmeli ve gerekli görülürse olumsuz etkileri azaltmak için yapılması gereken işlemleri yerine getirerek öngörülmeyen değişikliklerin sonuçlarını gözden geçirmelidir. Kuruluş, dış kaynaklı proseslerin kontrol edildiğinden emin olmalıdır. 8.2 İş etki analizi ve risk belirlemesi Genel Kuruluş; a) Belirlemenin boyutunu belirleyen, kriteri tanımlayan ve kesintiye neden olan ihlal olayının olası etkisini değerlendiren, b) Kuruluşun uymak durumunda olduğu yasal ve diğer şartları dikkate alan, c) Sistematik analizi, risk işlemenin önceliklendirilmesi ve bunlarla ilgili giderleri içeren, d) İş etki analizi ile risk belirlemesinden elde edilmesi gereken sonuçları tanımlayan, e) Bu bilgileri güncel ve gizli tutmak amacıyla şartları belirten iş etki analizi ile risk belirlemesi için resmi ve yazılı bir proses oluşturmalı, gerçekleştirmeli ve sürdürmelidir. Not - İş etki analizi ile risk belirleme için bunların hangi sırada yürütüleceğini belirten çeşitli yöntemler bulunmaktadır İş etki analizi Kuruluş, süreklilik ve kurtarma önceliklerini, amaçları, hedefleri belirlemek için resmi ve yazılı bir değerlendirme prosesi oluşturmalı, gerçekleştirmeli ve sürdürmelidir. Bu proses, kuruluşun ürünlerini ve hizmetlerini destekleyen faaliyetlerin kesintiye uğratan faaliyetlerin etkilerinin belirlenmesini içerir. İş etki analizi aşağıda belirtilenleri içermelidir: a) Ürünlerin ve hizmetlerin sunumunu destekleyen faaliyetlerin tespit edilmesi, b) Söz konusu bu faaliyetlerin yerine getirilmemesinin zaman içerisindeki etkilerinin belirlenmesi, c) Belirlenen kabul edilebilir en düşük seviyedeki faaliyetlerin yeniden başlatılması için önceliklendirilmiş zaman cetvellerinin düzenlenmesi, söz konusu faaliyetlerin yeniden başlatılmasının etkilerinin kabul edilemez hale geldiği sürenin dikkate alınması ve d) Tedarikçiler, kuruluş dışındaki paydaşlar ve ilgili diğer taraflar da dahil olmak üzere, söz konusu faaliyetlerdeki bağımlılıkların tespit edilmesi ve kaynakların desteklenmesi. 12

29 ICS TS Risk belirlemesi Kuruluş, kesintiye neden olan ihlal olayları riskini sistematik biçimde belirleyen, analiz eden, değerlendiren resmi, yazılı bir risk belirlemesi oluşturmalı, gerçekleştirmeli ve sürdürmelidir. Not - Bu proses, ISO e göre yapılabilir. Kuruluş; a) Önceliklendirilmiş faaliyetlerde, proseslerde, sistemlerde, bilgide, insanlarda, varlıklarda, kuruluş dışındaki paydaşlarda ve sayılanları destekleyen diğer kaynaklarda kesinti yaşanması risklerini belirlemeli, b) Sistematik olarak riski analiz etmeli, c) Kesinti ile ilgili hangi risklerin işlenmesi gerektiğinin değerlendirilmesi, d) İş sürekliliği amaçlarıyla ve kuruluşun risk alma iştahıyla orantılı risk işleme usullerini tespit etmelidir. Not - Kuruluş, belli mali veya resmi yükümlülüklerin, bahse konu risklerin değişen ayrıntı düzeyinde duyurulması gerektiğinin farkında olmalıdır. Buna ek olarak, belli toplumsal ihtiyaçlar da bu bilginin doğru ayrıntı düzeyinde paylaşılmasını izin verebilir. 8.3 İş sürekliliği stratejisi Tespit etme ve seçim Stratejinin tespit edilmesi ve seçilmesi, iş etki analizi ve risk belirlemeden elde edilen sonuçlara dayanmalıdır. Kuruluş, aşağıdaki hususlar için uygun iş sürekliliği stratejisini tespit etmelidir: a) Öncelikli faaliyetlerin korunması, b) Öncelikli faaliyetlerin ve bu faaliyetlere bağımlı olanların düzenli hale getirilmesi, sürekli kılınması, yeniden başlatılması ve kurtarılması ve kaynakların desteklenmesi, c) Etkilerin azaltılması, etkilere müdahale edilmesi ve etkilerin yönetilmesi. Stratejinin tespit edilmesi, faaliyetlerin kaldığı yerden sürmesi için önceliklendirilmiş zaman cetvellerinin onaylanmasını içermelidir. Kuruluş, tedarikçilerin iş sürekliliği yeteneklerinin değerlendirilmelerini yapmalıdır Kaynak şartlarının belirlenmesi Kuruluş, seçilen stratejileri gerçekleştirmek için kaynak şartlarını belirlemelidir. Düşünülen kaynak türleri aşağıda belirtilenleri içermeli ancak bunlarla sınırlı olmamalıdır: a) İnsanlar, b) Bilgi ve veri, c) Binalar, çalışma ortamı ve ilgili alt yapı hizmetleri, ç) Tesisler, ekipman ve sarf malzemeleri, d) Bilgi ve iletişim teknolojisi sistemleri, e) Ulaştırma, f) Finansman, g) Paydaşlar ve tedarikçiler Riske karşı korunma ve riskin azaltılması Kuruluş, giderilmesi gereken tespit edilmiş riskler için; a) Kesintinin ortaya çıkma olasılığını azaltan, b) Kesinti süresini kısaltan, c) Kuruluşun önemli ürün ve hizmetleri üzerinde kesintinin etkisini sınırlayan ön tedbirlerin alınmasını düşünmelidir. Kuruluş, risk iştahına göre uygun risk işlemelerini belirlemeli ve gerçekleştirmelidir. 13