Sinem Varol, Danışman
ISO 22301 İş Sürekliliği Yönetim
Sistemi (İSYS) sertifikasına sahip olmak, bir kuruluşun kritik faaliyetlerini
iş etki analizi aracılığıyla belirlediğinin, iş sürekliliği stratejisi ve
planlarının olduğunun, test ve tatbikatlar gerçekleştirdiğinin ve düzenli
olarak kurdukları bu sistemi denetlediklerinin bir göstergesidir. Bu standardın
ilk versiyonu 2012, son versiyonu 2019 yılında yayınlanmıştır. Bu standartlar
Türkçeye çevrilip TS ISO 22301:2013 ve TS ISO 22301:2020 olarak yayınlanmıştır.
ISO 22301 iş sürekliliği yönetim sistemi işletiyor olmanın kuruluşlara
birçok faydası bulunmaktadır. Kabul edilebilir kesinti sürelerinin
belirlenmesiyle kritik olan süreçler ortaya çıkarılır, riskler belirlenerek
aksiyon alınır ve bu sayede kesintilerin kuruluşa olan negatif etkileri
azaltılmaya çalışılır. Aynı zamanda testler ve tatbikatlar gerçekleştirilip
olası bir felaket durumunda önceden belirlenmiş olan planlara ne kadar uyulduğu
ölçülmüş olur.
Kuruluşlar ISO 22301 iş sürekliliği yönetim sistemini kendi
istek ve ihtiyaçları doğrultusunda kurabilir. Ancak bazı sektörlerde iş
sürekliliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu ISO
22301 sertifikasına sahip olmak zorunlu tutulmuştur. Örneğin e-belge özel
entegratörleri için detayları aşağıda sunulan düzenleme ile ISO 23301
zorunluluğu getirilmiştir.
Gelir İdaresi Başkanlığı
·
Gelir İdaresi Başkanlığı tarafından 19 Kasım
2019’da e-belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu
yayınlanmıştır. Bu kılavuzda belirtildiği üzere GİB’den izin alan/alacak olan
Özel Entegratör kuruluşlarının ISO 22301 İş Sürekliliği Yönetim Sistemi
Belgesine sahip olmaları zorunlu tutulmuştur. Ek olarak ISO/IEC 20000:1 2011
Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi ve ISO/IEC 27001:2013 Bilgi
Güvenliği Yönetim Sistemi Belgesine sahip olmaları gerekmektedir. Kılavuzda
risk yönetiminin ISO 27001 ve ISO 22301 standartlarına göre yapılması gerektiği
belirtilmiştir. Ayrıca bu kuruluşların yılda en az bir kez sızma testi
yaptırmaları gerekmektedir.
Bu yazının devamında tebliğlerde ve yönetmeliklerde
yayınlandığı üzere doğrudan ISO 22301 sertifikasına sahip olma zorunluluğu
bulunmayan fakat iş sürekliliği yönetim sistemi kurmak, iş sürekliliği planı
hazırlamak, kabul edilebilir kesinti sürelerini belirlemekle yükümlü olan
kuruluşlara yönelik düzenlemelere yer verilmiştir. Belirtilen gereklilikler ISO
22301 standardı baz alınarak bir iş sürekliliği yönetim sistemi kurulduğunda
karşılanmış olacaktır.
Bankacılık Düzenleme ve Denetleme Kurumu
·
14 Eylül 2007 tarihinde yayınlanan Bankalarda
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde yer aldığı
üzere iş etki analizi, risk değerlendirmesi, risk azaltma ve risk izleme
faaliyetleri doğrultusunda bilgi sistemlerine ilişkin iş süreklilik ve kurtarma
planı hazırlanması gerekmektedir. Bu gereklilikler ISO 22301 standardına uyum
sağlandığında karşılanmaktadır. Ek olarak tebliğde yer aldığı üzere bağımsız
ekiplere en az yılda bir kez sızma testi yaptırılması gerekmektedir. Bu
tebliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır. Bu tebliğ
1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.
·
15 Mart 2020 tarihinde yayınlanan Bankaların
Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte “bilgi
sistemlerinin sürekliliğinin sağlanması” başlığında gerekli hususlar
açıklanmıştır. Yönetmeliğin kapsamı mevduat, katılım, kalkınma ve yatırım
bankalarıdır ve 1 Temmuz 2020 tarihinde yürürlüğe girecektir. İş etki analizi,
risk değerlendirmesi, risk yönetimi, izleme ve test faaliyetlerini içeren bir
bilgi sistemleri süreklilik yönetim sürecinin oluşturulması, ikincil merkezin
tesis edilmesi ve yılda en az bir defa gerçek bir felaket senaryosu sağlayıp
test gerçekleştirilmesi gibi gereklilikler göz önünde bulundurulduğunda ISO
22301 standardı baz alınarak bir İSYS kurulması ve işletilmesi kuruluşa uyum
açısından büyük avantaj sağlayacaktır. Ek olarak bağımsız ekiplere yılda en az
bir defa sızma testi yaptırılması gerekmektedir.
·
4 Aralık 2013 tarihinde Bilgi Alışverişi, Takas
ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ
yayınlanmıştır. Bu tebliğde yer alan her bir servis için kabul edilebilir
kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilmesi, testlerin
yapılması gibi süreçler ISO 22301 standardına uyum süreciyle örtüşmektedir. Bunlara
ek olarak kuruluşların yılda en az bir defa sızma testi yaptırmaları gerektiği
belirtilmiştir. Bu tebliğ Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma
kuruluşlarını kapsamaktadır.
·
6 Nisan 2019 tarihinde yayınlanan Finansal
Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine
ve Denetimine İlişkin Tebliğde “bilgi sistemleri süreklilik planı” başlığında
gereksinimler açıklanmıştır. Her bir servis için kabul edilebilir kesinti sürelerinin
belirlenmesi, ikincil merkez tesis edilip yılda en az bir defa ikincil merkez
üzerinden test yapılması, bilgi sistemleri süreklilik planı hazırlanması gibi
gereklilikler ISO 22301 standardına uyum ile ilişkilendirilebilir. Tebliğde
ayrıca kuruluşların iki yılda bir sızma testi yaptırmaları gerektiği
belirtilmiştir.
·
Ödeme Kuruluşları ve Elektronik Para
Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27
Haziran 2014 tarihinde yayınlanmıştır ve ödeme hizmeti sağlayan ve gerçekleştiren
kuruluşlarla elektronik para ihraç eden kuruluşları kapsamaktadır. Bu tebliğde “bilgi
sistemleri süreklilik planı” başlığı altında bilgi sistemleri süreklilik planı
hazırlanması, ikincil merkez tesis edilmesi ve bu merkez üzerinden testler yapılması,
dış hizmet sağlayıcıyla yapılan sözleşmede dış hizmet sağlayıcının bilgi
sistemleri süreklilik planı kapsamındaki yükümlülükleri hususlarını içermesi gibi
gerekliliklere yer verilmiştir. Bu gereklilikler ISO 22301 standardı ile
ilişkilendirilebilir. Ek olarak kapsamdaki kuruluşların bağımsız ekiplere yılda
en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir.
Bilgi Teknolojileri ve İletişim Kurumu
·
13 Temmuz 2014 tarihinde yayınlanan Elektronik
Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik
haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt
yapısını işleten şirketleri kapsamaktadır. Bu tebliğdeki “iş sürekliliği”
başlığı altında iş sürekliliği planları yapılması, tatbikat ve testlerin
gerçekleştirilmesi gerekliliklerine yer verilmiştir.
Enerji Piyasası Düzenleme Kurumu
·
13 Temmuz 2017 tarihinde yayınlanan Enerji
Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği
Yönetmeliğinde bahsedildiği üzere “EKS (Endüstriyel Kontrol Sistemleri)
Güvenlik Kontrolleri” rehberindeki kontrollerin öneri mahiyetinde olduğunda yer
verilmiş, rehberde de bu kontrollerin EKS’lerin güvenliğinin denetlenmesi için
bir el kitabı niteliği taşıdığı bilgisi verilmiştir. Bu rehberde iş
sürekliliğinin sağlanması adına acil durum ve felaketten kurtarma
planlamalarının yapılmasının ve bu planlar yapılırken organizasyonun tabi
olduğu yasa, yönetmelik, standart vb. yükümlülüklerin değerlendirilmesi
gerektiğinden bahsedilmiştir. Aynı zamanda bu rehbere göre bu kuruluşların
belirlenen sıklıkta sızma testi gerçekleştirmeleri gerekmektedir. Bu
yönetmeliğe uymakla yükümlü olan kuruluşlar aşağıda verilmiştir.
-
Elektrik iletim lisansı sahibi
-
OSB dağıtım lisansı sahipleri hariç olmak üzere
elektrik dağıtım lisansı sahibi
-
OSB üretim lisansı sahibi hariç olmak üzere
geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa
sahip her bir elektrik üretim tesisi sahibi
-
Boru hattı ile iletim yapan doğal gaz iletim
lisansı sahibi
-
Sevkiyat kontrol merkezi kurmakla yükümlü doğal
gaz dağıtım lisansı sahibi
-
Doğal gaz depolama lisansı sahibi (LNG, yer altı
depolama)
-
Ham petrol iletim lisansı sahibi
-
Rafinerici lisansı sahibi
Sermaye Piyasası Kurulu
·
Bilgi Sistemleri Yönetim Tebliği 5 Ocak 2018’de
yayınlanmış olup iş sürekliliği planı hazırlanması, bilgi sistemleri süreklilik
planı hazırlanması ve risk değerlendirme, azaltma ve izleme faaliyetlerini
gerçekleştirmeye dair hususlar içermektedir. Ayrıca kabul edilebilir kesinti
sürelerinin belirlenmesi, ikincil sistem tesis edilmesi gibi gereklilikler de
ISO 22301 standardıyla ilişkilendirilebilir. Bu tebliğ kapsamındaki kuruluşlar
için en az yılda bir kez sızma testine tabi tutulma gerekliliği de
belirtilmiştir. Aşağıda bu tebliğin kapsamındaki kuruluşlar verilmiştir.
-
Borsa İstanbul A.Ş.
-
Borsalar ve piyasa işleticileri ile
teşkilatlanmış diğer pazar yerleri
-
Emeklilik yatırım fonları
-
İstanbul Takas ve Saklama Bankası A.Ş.
-
Merkezi Kayıt Kuruluşu A.Ş.
-
Portföy saklayıcısı kuruluşlar
-
Sermaye Piyasası Lisanslama Sicil ve Eğitim
Kuruluşu A.Ş.
-
Sermaye piyasası kurumları
-
Halka açık ortaklıklar
-
Türkiye Sermaye Piyasaları Birliği
-
Türkiye Değerleme Uzmanları Birliği
Sonuç olarak, kritik faaliyetlerinin farkında olmak,
risklerini yönetmek, iş sürekliliği prosedürleri oluşturup bunları test edip
olası felaket durumlarına karşı hazırlıklı olmak isteyen kuruluşlar iş
sürekliliği yönetim sistemi işletiyor olmalıdır. İş sürekliliği planları
hazırlama ve ikincil merkez tesis etme gibi gerekliliklerin finans ve enerji
sektöründeki önemi gözden kaçırılmamalıdır. Bazı tebliğ ve yönetmeliklerde
doğrudan geçmese bile ISO 22301 standardına uyumlu bir iş sürekliliği yönetim
sisteminin kurulması bahsedilmiş olan gerekliliklerin yerine getirilmesinde
büyük katkılar sağlayacaktır.