spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

Ana Menü

Anasayfa
Etkinlikler
Güvenlik Bildirileri
Teknik Yazılar
Kılavuzlar
Herkes İçin Güvenlik
Raporlar
Duyurular
Terimler Sözlüğü
Site İçerisinde Arama
İçerik Arşivi
TR-BOME KM
TR-CERT
Ortak Kriterler
 

spacer.png, 0 kB
 spacer.png, 0 kB
Yazarın bu bölümdeki diğer yazıları...
İş Sürekliliği Tatbikatları İçin Örnek Bir Model Yazdır E-posta
Ali Dinçkan, BTYÖN Danışmanlık   
15.11.2010

Tatbikatlar öngörülen bir çok riske karşı hazırlık seviyesinin ölçüldüğü aktivitelerdir. Bu sebeple iş sürekliliği tatbikatları doğası gereği gerçekleştirilmesi zor olan tatbikatlardır. Gerçekçi senaryolar üzerinden tatbikat yapmak olası acil durumlara hazırlık için son derece önemlidir. Tatbikat öncesinde hangi kapsamda, hangi iş süreçlerinin ve teknolojik sistemlerin test edileceği dikkatli bir çalışma gerektirmektedir.  Gerekli hazırlık ve planlama faaliyetleri gerçekleştirilmediğinde tatbikat sırasında yaşanması öngörülmeyen ciddi kesintilerin oluşması söz konusudur.  Bu sebeplerle iş sürekliliği tatbikatları için bir model belirlemek gereklidir. Bu makalede iş sürekliliği tatbikatları için örnek bir model sunulmuştur. Sunulan modelde iş sürekliliği tatbikatları için senelik tatbikat programının hazırlanması gerektiği vurgulanmıştır. İş sürekliliği tatbikat programında yer alan her bir tatbikat için tatbikat planı hazırlanması gerektiği ve bu planın hangi adımlardan geçerek hazırlanacağı detaylı olarak açıklanmıştır. Son olarak tatbikatın nasıl gerçekleştirileceği ve her bir tatbikatın değerlendirilmesi gerektiği vurgulanmış, ayrıca örnek değerlendirme kriterleri sunulmuştur. 

İş sürekliliği eksiklerini tespit etmenin en iyi yolu planın tatbikatının gerçekleştirilmesidir. İş sürekliliği tatbikatlarının amaçları aşağıda sıralanmıştır;

  • Kuruluşun iş sürekliliği konusundaki yeteneklerini değerlendirmek.
  • Planda bulunması gerektiği halde bulunmayan bilgileri tespit etmek
  • Planın geliştirilmesi gereken yönlerini tespit etmek
  • Kurtarma takımlarının çalışma performansını gözlemek ve iyileştirmek
  • İş sürekliliği bilincini arttırmak
  • Kurtarma faaliyetlerinin etkinliğini ölçmek
  • Belirlenmiş olan kurtarma hedeflerinin gerçekçiliğini kontrol etmek.

İş sürekliliği çalışmalarının tamamını bir defada test etmek pratikte oldukça zordur. Bu sebeple planın her yönü ile kontrolü için düzenli aralıklarla ve planın farklı yönlerini test eden bir tatbikat programı hazırlanmalıdır.

Tatbikat Programı

Yıllık tatbikat programı iş sürekliliği çalışmalarını her yönü ile test etmek üzere hazırlanır. Program, iş sürekliliği çalışmalarının teknik, lojistik, yönetimsel ve dokümantasyon parçalarının tamlığını ve güncelliğini kontrol eder.

Kuruluşun iş sürekliliği kabiliyetinin arttırılması için gerekli olan yıllık tatbikat planı kuruluş içinde iş sürekliliğinin yaşatılmasından sorumlu olan kişi veya grup tarafından hazırlanır. Program iş sürekliliği planının kapsamı ile uyumlu olmalı ve kuruluşun uyması gereken herhangi bir kanun veya yönetmelik bulunması durumunda söz konusu düzenlemelere uygun hazırlanmalıdır. Hazırlanan program, kuruluşun İş Sürekliliği Planının sahibi tarafından onaylanmalıdır.

İş Sürekliliği tatbikat programının aşağıda listelenen bilgileri içermesi önerilmektedir;

  • Tatbikatın kapsamı
  • Tatbikatın amaçları
  • Tatbikat türü
  • Katılımcılar ve katılımcıların görev ve sorumlulukları
  • Tatbikat ile ilgili kabullenmeler ve kısıtlar.

Tatbikat programında kullanılabilecek tatbikat türleri Tablo 1'de tanımlanmıştır. Tatbikat türleri maliyet, zaman, karmaşıklık, efor ve normal operasyonda oluşacak kesintiler açısından farklı özelliklere sahiptir. Kavramsal tatbikat en basit tatbikat türüdür. Tatbikatın karmaşıklığı, maliyeti ve gereken zaman kavramsal tatbikattan tam tatbikata doğru gidildikçe artmaktadır. Kuruluş için uygun olan tatbikat türleri ve sıklığı belirlenerek tatbikat programı hazırlanmalı ve iş sürekliliği planında belirtilmelidir. 

Tatbikat Türü Tanım
Kavramsal tatbikat İş sürekliliği planı ve ilgili dokümantasyonun gözden geçirilmesidir.
Detaylı kavramsal tatbikat Kavramsal tatbikatın daha detaylı olarak yerine getirilmesidir. Bu tatbikat türünde planda yer alan her adımın üzerinden geçilerek eksiklikler tespit edilmeye çalışılır.
Simülasyon Bu tatbikat türünde örnek bir olay üzerinden iş sürekliliği planı çalıştırılır. Tatbikat sırasında süreç veya sistemlerde herhangi bir kesinti gerçekleştirilmez. İş sürekliliği planı kesinti gerçekleşmiş gibi düşünülerek çalıştırılarak tatbikatı yapılır.
Bileşen veya servis tatbikatı İş süreçlerinin bir kısmı için gerçekleştirilir. İş süreçlerinde kesintiye neden olabilecek bir olay gerçekleştirilir ve süreç tekrar çalışır hale getirilir. Bu tatbikat çalışan bir sistem üzerinde gerçekleştirildiğinden, kurumun acil durum tatbikatı kapsamında olmayan operasyonunu aksatmayacak biçimde planlanması gereklidir.
Tam tatbikat İş sürekliliği planının tamamının test edilmesidir. Tam tatbikat kurum süreçlerinin felaketten kurtarma merkezinde tekrar çalıştırılmasını da kapsayan detaylı bir tatbikattır.

  Tablo 1 - Tatbikat Türleri

Tatbikatların Gerçekleştirilmesi

İş sürekliliği tatbikatının tatbikata hazırlık, tatbikatın gerçekleştirilmesi ve tatbikatın değerlendirmesi olmak üzere üç adımı vardır. İş sürekliliği planı tatbikat faaliyetlerinin özeti Şekil 1'de verilmiştir. 

bcp-tatbikat.jpg

Şekil -1 İş Sürekliliği Planı Tatbikat Faaliyetlerinin Özeti   

Gerekli hazırlıklar ve planlama yapılmadan iş sürekliliği tatbikatı yapmak, süreçlerde beklenmeyen kesintilere yol açabileceği gibi kurum imajını zedeleyen problemlere dahi yol açabilir. Bu sebeple tatbikat öncesi yeterli seviyede hazırlık yapılması tatbikattan elde edilmek istenen fayda için gereklidir.

Yıllık tatbikat programında bulunan her bir tatbikat için öncelikle tatbikat planı hazırlanmalıdır. Bu plan bir sonraki bölümde detayları verilen tatbikata hazırlık adımının çıktısıdır.

Bir sonraki adım tatbikatın icra edilmesidir. Tatbikatın icra edilmesi ile ilgili detaylar Adım 2 başlığı altında verilmiştir. Bu adım, tatbikat planı kapsamında İş Sürekliliği Planlarının, kritik sistem, servis ve kaynaklarının her yönüyle test edildiği adımdır.

Tatbikatın gerçekleştirilmesi ile ilgili son adım tatbikatın değerlendirilmesidir. Bu adım tatbikatın planlama aşamasına uygunluğunun, tatbikat hedeflerinin, tatbikatın başarılı ve başarısız yönlerinin dokümante edildiği bölümdür. Her tatbikatın sonunda tatbikat değerlendirme raporu hazırlanması gereklidir. Bu adım ile ilgili detaylar Adım 3 altında incelenmiştir.

Adım 1 - Tatbikata Hazırlık

Tatbikata hazırlık adımının çıktısı tatbikat planıdır. Tatbikat planın geliştirilmesi konusunda izlenecek iş akışı, önemli faaliyetler, her bir faaliyetin girdi ve çıktıları ile genel sorumluluklar Şekil 2'de verilen iş akışında görünmektedir. Her bir adımda gerçekleştirilmesi gereken faaliyetler ilerleyen bölümlerde verilmiştir.

tatbikat_sorumluluklar.jpg
Şekil - 2 Tatbikat Planın Geliştirilmesi Konusunda İzlenecek İş Akışı
Adım-1.1: Geçmiş tatbikat planlarının ve sonuçlarının gözden geçirilmesi

Daha önce gerçekleştirilmiş tatbikatların planları ve sonuçları, hazırlanacak yeni tatbikat planı için önemli bir bilgi kaynağıdır. Eğer daha önce gerçekleşmiş tatbikatta benzer amaçlar ve kapsam kullanıldı ise yeni planda strateji, lojistik ve zaman planı olarak kullanılabilecek bilgiler bulunmaktadır. Ayrıca daha önce yaşanan problemlerin tekrarlanmaması için dikkat edilmesi gereken hususlar yeni planın hazırlanması aşamasında fayda sağlayacaktır.

Adım-1.2: Tatbikat stratejisinin geliştirilmesi

Tatbikat hedeflerine ulaşabilmek için gerekli olan stratejinin oluşturulduğu adımdır. Daha önceki tatbikatlarda oluşturulmuş stratejiler yeni oluşturulacak strateji için bir temel oluşturmaktadır. Tatbikat stratejisinin tatbikat zamanı, tatbikat senaryosu, değerlendirme kriterleri ve tatbikat bütçesi olmak üzere dört bacağı vardır. 

Tatbikatın zamanı

Tatbikat zamanı, tatbikat kısıtları ve tatbikat için gerekli kaynakların uygunluk durumuna göre belirlenir. Genel kural normal iş operasyonlarına verilecek etkinin en az olacağı bir zaman diliminin seçilmesidir.

Tatbikat senaryosu

Tatbikat senaryosu aynı zamanda kesinti veya felaket senaryosu olarak ta bilinir. Tatbikat senaryosu iş kesintilerini, kesinti türü, kesinti senaryosu, kesintinin işe vereceği zarar biçiminde açıklamalıdır.

  • Kesinti türü: İş sürekliliği planının test edilmesi için seçilecek kesinti türü gerçekçi olmalıdır. Bodrum katta bilgi sistemi barındıran bir işletme için sel riskini ele almak gerçekçi bir senaryo olarak ele alınabilir.
  • Kesinti senaryosu: İş kesintisine neden olacak hayali bir veya daha fazla olaydan oluşan senaryodur. Felaketin gün ve saat bilgisi senaryo içinde verilmelidir. Ayrıca kesinti sonrasında gerçekleşecek olayların sırası belirli bir kurgu çerçevesinde anlatılmalıdır.
  • Kesintinin işe vereceği zarar: Tatbikat kapsamında, gerçekleştiği düşünülen olayın hangi iş süreçlerini etkilediği, hangi çalışma ortamlarının zarar gördüğü, çalışanların zarar görüp görmediği gibi bilgiler verilmelidir.

Değerlendirme kriterleri

Tatbikat stratejisinin bir parçası olarak değerlendirme kriterleri belirlenmelidir. İş Sürekliliği değerlendirme kriterlerlerine örnekler aşağıda listelenmiştir.

  • Tamamlanmış tatbikat görevlerinin listesi
  • Tamamlanamamış tatbikat görevlerinin listesi
  • Tamamlanmış görevlerin yüzdesi
  • İş sürekliliği dokümantasyonunda görülen eksiklikler
  • Tatbikata katılan takımların performans değerlendirmesi
  • Tatbikat kaynaklarının ve felaketten kurtarma merkezinin yeterliliği
  • Tatbikatların verimliliğinin arttırılması için öneriler
  • Tatbikat sırasında tespit edilen problemlerin listesi.

Tatbikat bütçesi

Tatbikatın türüne göre her bir tatbikatın işletmeye maliyeti vardır. Tatbikatın türü, kapsamı, hedefi ve senaryosu tatbikat bütçesini etkileyen faktörlerdir. Tatbikat stratejisinin bir parçası olarak gereken bütçe hesap edilmeli, onayı alınmalı ve tatbikat planında belirtilmelidir. Tatbikat bütçesinin parçaları olabilecek genel harcama kalemlerine örnekler aşağıda listelenmiştir.

  • Felaketten kurtarma merkezine taşınma gerekiyorsa ulaşım ve taşıma masrafları
  • Çalışanların tatbikat için ayıracakları zamanın maliyeti
  • Üçüncü parti firmalardan alınacak destekler ile ilgili maliyetler
  • Yemek ve barınma hizmeti gereken tatbikatlarda bu hizmetlerin maliyetleri
  • Felaketten kurtarma merkezi hizmeti bir hizmet sağlayıcıdan alınıyorsa kullanım bedeli
Adım-1.3: Tatbikat lojistiğinin belirlenmesi

İş sürekliliği tatbikatında lojistik hizmetlerinin kritik bir rolü vardır. Tatbikat lojistik faaliyetleri, ekipman ve kaynak temini, personelin yer değiştirmesi ve tatbikat ortamının hazırlanması biçiminde üç ana başlık altında incelenebilir.

Tatbikat için gerekli kaynak ve ekipmanların temini (eğer gerekiyorsa)

Tatbikatın gerçekleştirilebilmesi için ekipman ve benzeri kaynakların temini gerekebilir. Söz konusu ekipmanların nereden temin edileceği planlanmalıdır. İhtiyaç duyulabilecek ekipmanlara örnekler aşağıda listelenmiştir.

  • Ses ve veri iletişim ekipmanlarının temin edilmesi
  • Felaketten kurtarma merkezinde gerekli yazılım ve donanım altyapısının bulunmasını sağlama
  • Tatbikat gereği gerekebilecek lisansları, üreticileri ile koordine etmek
  • Yedekleme kartuşlarının aktarımı ile ilgili hizmetler
  • İş istasyonu ve ağ altyapısının felaketten kurtarma merkezinde bulunması ile ilgili tedarik işlemleri

Personelin yer değiştirmesi

Felaketten kurtarma merkezini devreye alma gerektiren tatbikatlarda personelin ana merkezden yeni çalışma ortamına aktarılması gerebilecektir. Örnek faaliyetler aşağıdaki gibidir.

  • Felaketten kurtarma merkezine ulaşım ile ilgili hizmetler
  • Felaketten kurtarma merkezine gidecek personelin sayısı
  • Felaketten kurtarma merkezinde çalışacak personel için gerekli izinlerin temin edilmesi
  • Taşınacak takımların ulaşım, yeme içme ve kalma ihtiyaçlarının sağlanması ile ilgili çalışmalar.

Tatbikat ortamının hazırlanması

Tatbikat ortamı, ana çalışma alanı olabileceği gibi felaketten kurtarma merkezide olabilmektedir. Tatbikat ortamının hazırlanması ile ilgili faaliyetler tatbikat kaynaklarının tatbikatın gerçekleştirildiği ortamda bulunmasını sağlamalıdır.

Adım-1.4: Tatbikat takviminin belirlenmesi

Tatbikat takvimi, tatbikata hazırlık, tatbikatın icra edilmesi ve tatbikat sonu değerlendirme aşamalarını içermelidir. Takvim, kurtarma faaliyetlerinin başlama ve bitiş zamanlarını, ayrıca kurtarma işlerini ve önceliklerini belirtmelidir.

Adım-1.5: Tatbikat risklerinin belirlenmesi

Tatbikat planını hazırlamanın ana amacı, tatbikatın neden olabileceği istenmeyen kesintilerin önüne geçmektir. Her tatbikatın icra edilmesinde bazı riskler vardır. Bu riskleri tatbikat öncesinde belirlemek ve olası problemlere karşı hazırlıklı olmak tatbikatın istenmeyen sonuçlarının önüne geçmek için son derece önemlidir. Aşağıda potansiyel tatbikat risklerini tespit etmek için örnekler verilmiştir.

  • Tatbikatın kapsamı gerektiğinden büyük mü?
  • Felaketten kurtarma merkezi tatbikat için yeterli teknik ortamı sağlıyor mu?
  • Yedekleme donanımı ve yazılımı felaketten kurtarma merkezinde hazır mı?
  • Felaketten kurtarma amacıyla kullanılacak donanımların yapılandırması daha önceden hazırlanmış ve uygunluğu test edilmiş mi?
  • Yedekleme ortamlarının sağlamlığı son zamanlarda kontrol edilmiş mi?
  • Tatbikata katılacak personel ve takımlar durumdan haberdar mı?

Tatbikat riskleri belirlendikten sonra İş Sürekliliği Koordinatörü (veya tatbikat sorumlusu) riskleri en aza indirmek için gerekli tedbirleri almalıdır. Bu adımda tespit edilen aksaklıklar, tatbikat değerlendirmesi sırasında kullanılmalıdır.

Adım-1.6: Tatbikat planının hazırlanması

Daha önceki adımlarda hazırlanan bilgiler bir araya getirilmeli ve detaylı bir tatbikat planı hazırlanmalıdır. Tatbikat planının yönetim onayı  alınmalı ve tatbikata katılacak personele ulaştırılmalıdır. Tatbikata katılacak üçüncü parti firmalara yeteri kadar erken haber verilmelidir.  

Adım 2 - Tatbikatın İcra Edilmesi

Tatbikatlar bir önceki adımda hazırlanan plana uygun olarak icra edilir. Tatbikatın icra edilmesi tatbikat öncesi son düzenlemeler ve tatbikatın gerçekleştirilmesi olarak iki ana başlıkta incelenmelidir.

1) Tatbikat öncesi son hazırlıklar

  • Tatbikata katılan personelin ve takımların hazır ve uygun olduğunun teyit edilmesi
  • Tatbikat öncesi bilgilendirme ve tatbikat akışının katılımcılara özetlenmesi

2) Tatbikatın gerçekleştirilmesi

  • Tatbikat planına uygun olarak tatbikatın başlatılması ve sürdürülmesi
  • Tatbikat değerlendirmesi için daha önce belirlenmiş kriterlere uygun kanıtların toplanması
  • Tatbikatın bitmesi sonrasında katılımcıların ve ilgili tarafların bilgilendirilmesi.

Adım 3 - Tatbikatın Değerlendirilmesi

Bu adımda, tatbikatta yaşanan problemler ve iş sürekliliği kabiliyetini geliştirmek için gerekli iyileştirme faaliyetleri belirlenir. Tatbikat değerlendirme adımında hazırlanan bilgiler tatbikat sonrası gerçekleştirilmesi gereken faaliyetleri tetikler. Bu sebeple iş sürekliliğinden beklenen faydayı elde edebilmek için bu adımda tatbikatların planda belirtilen kriterlere uygun şekilde değerlendirilmesi gerekir. Bu adımda elde edilen bulgular tatbikata hazırlık ve tatbikatın icrası sırasında elde edilir.

İş sürekliliği tatbikat bulguları potansiyel geliştirme adımlarına girdi oluşturur. Tatbikat bulgularına ait bir tatbikat değerlendirme raporu hazırlanır. Bu rapor aynı zamanda iş sürekliliği çalışmalarını güncellemek için gerekli olan iş adımlarını da içerir. Tatbikat değerlendirme raporunun aşağıdaki bilgileri içermesi önerilmektedir;

  • Tatbikata hazırlık aşamasında yaşanan sıkıntılar
  • Tatbikat hedeflerinin karşılanma durumu
  • İş sürekliliği takımlarının performansları
  • İş sürekliliği planı ve kurtarma planlarının geçerliliği, güncelliği ve yeterliliği
  • Kurtarma amacıyla kullanılan kaynakların ve ortamın yeterliliği
  • Tatbikat değerlendirme kriterlerinin sonuçları
  • Geliştirme önerileri (Taslak iş planı)

Tatbikat sonucunda yeni yatırım gereksinimi ortaya çıkabilir. Tatbikatta belirlenen eksiklerin giderilmesi için gerekli faaliyetler iş sürekliliği koordinatörü (veya atanan kişi) tarafından takip edilmelidir.

Yararlanılan Kaynaklar

[1] BS 25999-1:2006 Code of Practice for Business Continuity Management
[2] Akhtar Syed, "Business Continuity Planning Methodology", Sentryx, 2004
[3] Patrick Woodman, “Business Continuity Management”, Chartered Management Institude , 2007
[4] Ali Dinçkan, UEKAE BGYS-0009 İş Sürekliliği Yönetim Sistemi Kurulum Kılavuzu, Ulusal Bilgi Güvenliği Kapısı


Favori olarak ekle (0) | Görüntüleme sayısı: 2537

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
 
[ Geri ]
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2012 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB