DÜZENLEMELERDE İŞ SÜREKLİLİĞİ VE ISO 22301 SERTİFİKASI GEREKLİLİKLERİ

Sinem Varol, Danışman

ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS) sertifikasına sahip olmak, bir kuruluşun kritik faaliyetlerini iş etki analizi aracılığıyla belirlediğinin, iş sürekliliği stratejisi ve planlarının olduğunun, test ve tatbikatlar gerçekleştirdiğinin ve düzenli olarak kurdukları bu sistemi denetlediklerinin bir göstergesidir. Bu standardın ilk versiyonu 2012, son versiyonu 2019 yılında yayınlanmıştır. Bu standartlar Türkçeye çevrilip TS ISO 22301:2013 ve TS ISO 22301:2020 olarak yayınlanmıştır.

ISO 22301 iş sürekliliği yönetim sistemi işletiyor olmanın kuruluşlara birçok faydası bulunmaktadır. Kabul edilebilir kesinti sürelerinin belirlenmesiyle kritik olan süreçler ortaya çıkarılır, riskler belirlenerek aksiyon alınır ve bu sayede kesintilerin kuruluşa olan negatif etkileri azaltılmaya çalışılır. Aynı zamanda testler ve tatbikatlar gerçekleştirilip olası bir felaket durumunda önceden belirlenmiş olan planlara ne kadar uyulduğu ölçülmüş olur.

Kuruluşlar ISO 22301 iş sürekliliği yönetim sistemini kendi istek ve ihtiyaçları doğrultusunda kurabilir. Ancak bazı sektörlerde iş sürekliliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu ISO 22301 sertifikasına sahip olmak zorunlu tutulmuştur. Örneğin e-belge özel entegratörleri için detayları aşağıda sunulan düzenleme ile ISO 23301 zorunluluğu getirilmiştir.

Gelir İdaresi Başkanlığı

·        Gelir İdaresi Başkanlığı tarafından 19 Kasım 2019’da e-belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu yayınlanmıştır. Bu kılavuzda belirtildiği üzere GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesine sahip olmaları zorunlu tutulmuştur. Ek olarak ISO/IEC 20000:1 2011 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi ve ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olmaları gerekmektedir. Kılavuzda risk yönetiminin ISO 27001 ve ISO 22301 standartlarına göre yapılması gerektiği belirtilmiştir. Ayrıca bu kuruluşların yılda en az bir kez sızma testi yaptırmaları gerekmektedir.

Bu yazının devamında tebliğlerde ve yönetmeliklerde yayınlandığı üzere doğrudan ISO 22301 sertifikasına sahip olma zorunluluğu bulunmayan fakat iş sürekliliği yönetim sistemi kurmak, iş sürekliliği planı hazırlamak, kabul edilebilir kesinti sürelerini belirlemekle yükümlü olan kuruluşlara yönelik düzenlemelere yer verilmiştir. Belirtilen gereklilikler ISO 22301 standardı baz alınarak bir iş sürekliliği yönetim sistemi kurulduğunda karşılanmış olacaktır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde yer aldığı üzere iş etki analizi, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri doğrultusunda bilgi sistemlerine ilişkin iş süreklilik ve kurtarma planı hazırlanması gerekmektedir. Bu gereklilikler ISO 22301 standardına uyum sağlandığında karşılanmaktadır. Ek olarak tebliğde yer aldığı üzere bağımsız ekiplere en az yılda bir kez sızma testi yaptırılması gerekmektedir. Bu tebliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

·        15 Mart 2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte “bilgi sistemlerinin sürekliliğinin sağlanması” başlığında gerekli hususlar açıklanmıştır. Yönetmeliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır ve 1 Temmuz 2020 tarihinde yürürlüğe girecektir. İş etki analizi, risk değerlendirmesi, risk yönetimi, izleme ve test faaliyetlerini içeren bir bilgi sistemleri süreklilik yönetim sürecinin oluşturulması, ikincil merkezin tesis edilmesi ve yılda en az bir defa gerçek bir felaket senaryosu sağlayıp test gerçekleştirilmesi gibi gereklilikler göz önünde bulundurulduğunda ISO 22301 standardı baz alınarak bir İSYS kurulması ve işletilmesi kuruluşa uyum açısından büyük avantaj sağlayacaktır. Ek olarak bağımsız ekiplere yılda en az bir defa sızma testi yaptırılması gerekmektedir.

·        4 Aralık 2013 tarihinde Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yayınlanmıştır. Bu tebliğde yer alan her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilmesi, testlerin yapılması gibi süreçler ISO 22301 standardına uyum süreciyle örtüşmektedir. Bunlara ek olarak kuruluşların yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir. Bu tebliğ Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarını kapsamaktadır.

·        6 Nisan 2019 tarihinde yayınlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde “bilgi sistemleri süreklilik planı” başlığında gereksinimler açıklanmıştır. Her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilip yılda en az bir defa ikincil merkez üzerinden test yapılması, bilgi sistemleri süreklilik planı hazırlanması gibi gereklilikler ISO 22301 standardına uyum ile ilişkilendirilebilir. Tebliğde ayrıca kuruluşların iki yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmıştır ve ödeme hizmeti sağlayan ve gerçekleştiren kuruluşlarla elektronik para ihraç eden kuruluşları kapsamaktadır. Bu tebliğde “bilgi sistemleri süreklilik planı” başlığı altında bilgi sistemleri süreklilik planı hazırlanması, ikincil merkez tesis edilmesi ve bu merkez üzerinden testler yapılması, dış hizmet sağlayıcıyla yapılan sözleşmede dış hizmet sağlayıcının bilgi sistemleri süreklilik planı kapsamındaki yükümlülükleri hususlarını içermesi gibi gerekliliklere yer verilmiştir. Bu gereklilikler ISO 22301 standardı ile ilişkilendirilebilir. Ek olarak kapsamdaki kuruluşların bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir.

Bilgi Teknolojileri ve İletişim Kurumu

·        13 Temmuz 2014 tarihinde yayınlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri kapsamaktadır. Bu tebliğdeki “iş sürekliliği” başlığı altında iş sürekliliği planları yapılması, tatbikat ve testlerin gerçekleştirilmesi gerekliliklerine yer verilmiştir.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde bahsedildiği üzere “EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri” rehberindeki kontrollerin öneri mahiyetinde olduğunda yer verilmiş, rehberde de bu kontrollerin EKS’lerin güvenliğinin denetlenmesi için bir el kitabı niteliği taşıdığı bilgisi verilmiştir. Bu rehberde iş sürekliliğinin sağlanması adına acil durum ve felaketten kurtarma planlamalarının yapılmasının ve bu planlar yapılırken organizasyonun tabi olduğu yasa, yönetmelik, standart vb. yükümlülüklerin değerlendirilmesi gerektiğinden bahsedilmiştir. Aynı zamanda bu rehbere göre bu kuruluşların belirlenen sıklıkta sızma testi gerçekleştirmeleri gerekmektedir. Bu yönetmeliğe uymakla yükümlü olan kuruluşlar aşağıda verilmiştir.

-       Elektrik iletim lisansı sahibi

-       OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi

-       OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi

-       Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi

-       Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi

-       Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama)

-       Ham petrol iletim lisansı sahibi

-       Rafinerici lisansı sahibi

Sermaye Piyasası Kurulu

·        Bilgi Sistemleri Yönetim Tebliği 5 Ocak 2018’de yayınlanmış olup iş sürekliliği planı hazırlanması, bilgi sistemleri süreklilik planı hazırlanması ve risk değerlendirme, azaltma ve izleme faaliyetlerini gerçekleştirmeye dair hususlar içermektedir. Ayrıca kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil sistem tesis edilmesi gibi gereklilikler de ISO 22301 standardıyla ilişkilendirilebilir. Bu tebliğ kapsamındaki kuruluşlar için en az yılda bir kez sızma testine tabi tutulma gerekliliği de belirtilmiştir. Aşağıda bu tebliğin kapsamındaki kuruluşlar verilmiştir.

-       Borsa İstanbul A.Ş.

-       Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri

-       Emeklilik yatırım fonları

-       İstanbul Takas ve Saklama Bankası A.Ş.

-       Merkezi Kayıt Kuruluşu A.Ş.

-       Portföy saklayıcısı kuruluşlar

-       Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

-       Sermaye piyasası kurumları

-       Halka açık ortaklıklar

-       Türkiye Sermaye Piyasaları Birliği

-       Türkiye Değerleme Uzmanları Birliği

Sonuç olarak, kritik faaliyetlerinin farkında olmak, risklerini yönetmek, iş sürekliliği prosedürleri oluşturup bunları test edip olası felaket durumlarına karşı hazırlıklı olmak isteyen kuruluşlar iş sürekliliği yönetim sistemi işletiyor olmalıdır. İş sürekliliği planları hazırlama ve ikincil merkez tesis etme gibi gerekliliklerin finans ve enerji sektöründeki önemi gözden kaçırılmamalıdır. Bazı tebliğ ve yönetmeliklerde doğrudan geçmese bile ISO 22301 standardına uyumlu bir iş sürekliliği yönetim sisteminin kurulması bahsedilmiş olan gerekliliklerin yerine getirilmesinde büyük katkılar sağlayacaktır.