ISO 22301 nedir?
ISO 22301, şirketlerin beklenmedik durumlara karşı hazırlıklı olmasını sağlayan bir iş sürekliliği yönetim sistemi standardıdır.
Başka bir deyişle:
Bir kriz yaşandığında şirketin tamamen durmaması ve kritik faaliyetlerin devam edebilmesi için gerekli planları oluşturur.
Bu krizler şunlar olabilir:
Doğal afetler
Siber saldırılar
Sistem kesintileri
Elektrik problemleri
Veri kaybı
Tedarik zinciri sorunları
İnsan kaynaklı hatalar
ISO 22301 sayesinde şirketler bu durumlara önceden hazırlanır ve operasyonlarını daha hızlı toparlayabilir.
ISO 22301 belgesi ne anlama gelir?
ISO 22301 belgesi, bir kurumun iş sürekliliği yönetim sistemini uluslararası standartlara uygun şekilde kurduğunu ve uyguladığını gösteren bir sertifikadır.
Bu belgeyi alan kurumlar şunu kanıtlamış olur:
Risklerini analiz etmişlerdir
Olası kesintiler için planları vardır
Kriz yönetimi süreçleri hazırdır
Operasyonlarını sürdürebilecek yapıdadırlar
Bu nedenle ISO 22301 sertifikası, özellikle kurumsal müşterilerle çalışan şirketler için oldukça önemli bir güven göstergesidir.
ISO 22301 neden bu kadar önemlidir?
Birçok şirket kriz planı olduğunu düşünür.
Ancak çoğu zaman bu planlar:
güncel değildir
test edilmemiştir
doküman olarak kalmıştır
ekipler tarafından bilinmez
ISO 22301 bu problemi çözer çünkü sistem şunları zorunlu kılar:
Risk analizi yapılması
İş etki analizi hazırlanması
İş sürekliliği planlarının oluşturulması
Tatbikatların yapılması
Sürekli iyileştirme
Bu sayede şirketler krizleri daha kontrollü şekilde yönetebilir.
ISO 22301 Süreçleri ile İlgili Sorular
BCMS nedir?
BCMS, yani Business Continuity Management System, Türkçe adıyla İş Sürekliliği Yönetim Sistemi anlamına gelir.
Bu sistem kurumların şu sorulara cevap bulmasını sağlar:
Hangi süreçler kritik?
Bu süreçler durursa ne olur?
Ne kadar sürede toparlanmamız gerekir?
Kriz anında kim ne yapacak?
ISO 22301 aslında bu sistemin uluslararası standardıdır.
İş Etki Analizi (BIA) nedir?
BIA (Business Impact Analysis), iş sürekliliği çalışmalarının en önemli adımlarından biridir.
Bu analiz sayesinde şu sorular cevaplanır:
Bir süreç durursa şirkete ne kadar zarar verir?
Finansal kayıp ne olur?
Müşteri etkisi ne olur?
İtibar kaybı oluşur mu?
Operasyonlar ne kadar sürede toparlanmalı?
BIA sayesinde şirketler gerçekten kritik olan süreçleri net şekilde belirler.
Risk değerlendirmesi neden yapılır?
İş sürekliliği sadece plan yazmak değildir.
Aynı zamanda potansiyel riskleri de anlamak gerekir.
Risk analizi yapılırken şu konular incelenir:
Siber saldırılar
veri kaybı
elektrik kesintileri
doğal afetler
insan hataları
tedarik zinciri problemleri
Bu analizler sayesinde şirketler olası krizleri önceden görüp önlem alabilir.
ISO 22301 Teknik Kavramları
RTO nedir?
RTO (Recovery Time Objective), bir sistem veya sürecin kesinti sonrası en geç ne kadar sürede tekrar çalışması gerektiğini ifade eder.
Örneğin:
Bir e-ticaret sitesinin RTO değeri 2 saat olabilir.
Bu durumda sistem en geç 2 saat içinde tekrar çalışmalıdır.
RPO nedir?
RPO (Recovery Point Objective), kabul edilebilir maksimum veri kaybı süresini ifade eder.
Örneğin:
RPO değeri 30 dakika ise en fazla 30 dakikalık veri kaybı kabul edilir.
ISO 22301 Eğitimleri Hakkında Sorular
ISO 22301 Lead Implementer eğitimi nedir?
ISO 22301 Lead Implementer eğitimi, kurumlarda iş sürekliliği yönetim sistemini kurabilecek ve uygulayabilecek uzmanları yetiştirmeyi amaçlayan bir eğitimdir.
Bu eğitimde genellikle şu konular ele alınır:
ISO 22301 standardı
BCMS kurulumu
İş etki analizi
risk yönetimi
iş sürekliliği planlarının hazırlanması
tatbikat süreçleri
Bu konuda daha detaylı bilgi almak isteyenler
ISO 22301 Lead Implementer eğitimi sayfasını inceleyebilir.
Certified ISO 22301 Lead Implementer Eğitimi
ISO 22301 Lead Auditor eğitimi nedir?
Lead Auditor eğitimi ise iş sürekliliği yönetim sistemlerini denetleyebilecek uzmanları yetiştirmek için verilen ileri seviye bir eğitimdir.
Bu eğitimde katılımcılar:
ISO 22301 denetim tekniklerini öğrenir
denetim planı oluşturmayı öğrenir
uygunsuzlukları değerlendirmeyi öğrenir
denetim raporları hazırlamayı öğrenir
ISO 22301 denetim süreçleri hakkında daha fazla bilgi için
ISO 22301 Lead Auditor eğitimi sayfasına göz atabilirsiniz.
Certified ISO 22301 Lead Auditor Eğitimi
ISO 22301 Sertifikasyonu
ISO 22301 sertifikası nasıl alınır?
ISO 22301 sertifikası almak için genel süreç şu şekilde ilerler:
İş sürekliliği yönetim sistemi kurulması
Dokümantasyon hazırlanması
Risk ve iş etki analizlerinin yapılması
İş sürekliliği planlarının oluşturulması
Tatbikatların yapılması
İç denetim gerçekleştirilmesi
Belgelendirme denetimi
Denetim başarıyla tamamlanırsa kurum ISO 22301 sertifikasını almaya hak kazanır.
ISO 22301 ile ISO 27001 Arasındaki Fark
ISO 27001 ve ISO 22301 sıkça karıştırılan iki standarttır.
Basit şekilde açıklamak gerekirse:
ISO 27001
bilgi güvenliğine odaklanır.
ISO 22301
iş sürekliliğine odaklanır.
Birçok kurum bu iki standardı birlikte uygular.
Bugünün iş dünyasında krizler kaçınılmazdır.
Önemli olan krizlerin olup olmayacağı değil, onlara ne kadar hazırlıklı olduğunuzdur.
ISO 22301 bu hazırlığı sistematik hale getirir.
Doğru uygulandığında kurumlara şu avantajları sağlar:
operasyonların devamlılığı
risklerin kontrol altına alınması
müşteri güveninin artması
kurumsal dayanıklılığın güçlenmesi
Bu nedenle iş sürekliliği yönetimi artık birçok kurum için stratejik bir gereklilik haline gelmiştir.