İŞ SÜREKLİLİĞİ YÖNETİMİ Kamu-BİB 14. DÖNEM 2.ÇALIŞMA GRUBU Erman Taşkın Danışman, Eğitmen EDUCORE erman.taskin@educore.com.tr 12 Mayıs 2012 , Antalya

İş Sürekliliği Yönetimi Raporu İş sürekliliğinin önemi Türkiye’de durum Standartlar Strateji ve analiz Planlama Uygulama Kamu BİB model önerisi 11-12/05/ 2012 Kamu Bilişim Platformu XIV

İş Sürekliliği Yönetimi kritiktir! 1999 Gölcük Depremi Tüm Marmara Bölgesi'nde, Ankara'dan İzmir'e kadar geniş bir alanda hissedildi. 42.902 işyeri 285.211 konut hasar gördü Ölü sayısı: 17.840 (Resmi olmayan: 45 bin) Yaralı sayısı: 43.953  Sakat kalan: 505 Yıkılan ve ağır hasarlı bina: 16 bin 649 Orta hasarlı konut: 90 bin 536 Orta hasarlı işyeri: 14 bin 133 Az hasarlı konut: 102 bin 822 Az hasarlı işyeri: 13 bin 344

İş Sürekliliği Yönetimi kritiktir! 2009 İstanbul Sel Felaketi Zarar Gören Konut ve İşyeri Sayısı = 4730 Zarar gören fabrika sayısı: 17 Sigortalı işyerlerinin oranı %30 27 ölü, 4 kayıp Eylül ayı sonu itibariyle 9.605 adet hasar ihbarı ve yaklaşık700.000.000 TL tahmini hasar tutarı sözkonusu olmuştur.

İş Sürekliliği Nedir? İş Sürekliliği Yönetimi (Business Continuity Management), organizasyonların kritik fonksiyon ve süreçlerini etkileyecek olaylara karşı hazırlıklı olmasının ve herhangi bir olaya, önceden planlandığı ve test edildiği şekilde yanıt verilebilmesinin sağlanmasıdır. (Business Continuity Institute)

BS 25999 İş Sürekliliği Yaşam Döngüsü Kuruluşu Anlamak İSY Stratejisinin Belirlenmesi Tepkisi/Müdahalesi geliştirmek ve uygulamak Tatbikatlar, sürdürme ve gözden geçirme İSY Program Yönetimi İSY'nin kuruluş kültürüne yerleştirilmesi Kapsam Terimler ve tarifler İSYS’nin planlanması İSYS’nin uygulanması ve işletilmesi İSYS’nin izlenmesi ve gözden geçirilmesi İSYS’nin sürdürülmesi ve iyileştilmesi İSY sisteminin Politika ve süreçlerinden beklenenleri açıklamak Kuruluşu anlamak Strateji belirlemek Yanıtı oluşturmak (müdahale) Tatbikat ve gözden geçirmeler İSY farkındalığının organizasyonun kültürüne dahil edildiğinden emin olmak

İSYS Genel Resim 1 Kritik iş süreçlerinin tanımlaması ve önceliklendirilmesi İş Etki Analizi(BIA) Risk Değerlendirmesi YGG Sürekli iyileştirme Politkaları duyurmak Tatbikatlar Testler Bakımlar DÖF Eğitimler Güncellemeler... Kapsamın, stratejilerin belirlenmesi, Yatırım planlama İSY Planlama hz. çalışması İş Sürekliliği Seçenekleri İş öncelikleri ve iş sürekliliğinin amaçları dikkate alınarak iş sürekliliği stratejisinin oluşturulması -> Planın yazılı hale getirilmesi, Risk Değerlendirmesi – kuruluşun kritik faaliyetlerine karşı tehdit unsurları ve hasara uğrama olasılıklarının anlaşılması, riskin hafifletilmesi için strateji seçeneklerinin belirlenmesi 2 İş Sürekliliği Seçenekleri – kuruluşun kritik faaliyetlerde nasıl eski haline kavuşabileceğinin tanımlanması 3Tepki (Müdahale) Faaliyetleri – bir kesintiye karşılık verebilme ve iş iyileştirme faaliyetlerinin idaresi amaçlı süreçlerin belirlenmesi 4 (Politikaların duyurulması, tatbikatlar, farkındalık) Planın bir yaşam döngüsü çerçevesinde işletilmesi (Test, Eğitim ve Güncelleme) 5 (Yönetimin Gözden Geçirmesi ve İyileştirici Önlemler) Plalama Tepki müdahale faal. Uygulamalar (FKP, KY, ODY, OYP...)

SÜREKLİLİK STRATEJİLERİ İş Sürekliliği Proje Başlangıcı İSYS Genel Resim 2 İŞ SÜREKLİLİĞİ SÜRECİ Devam Eden Süreçler Değişim Yönetimi Olay Yönetimi Test/Tatbikat Strateji/Analiz TEST SÜRECİ Planlar / Prosedürler Risk Azaltma Yedek Sistemler P L A N I N O L U Ş T U R U L M A S I Proje Süreci SÜREKLİLİK STRATEJİLERİ RİSK ANALİZİ Şekilde iş sürekliliği planlamasının özeti görünmektedir. İş sürekliliği planı kurumun politikası, çalışanları ve kaynakları üzerine oturur. Proje sürecinin en önemli adımı risk analizi ve iş etki analizidir. Analiz çıktılarına göre iş sürekliliği stratejileri oluşturulur ve stratejilere dayanarak plan geliştirilir. Planın yazılı hale getitilmesinin ardından test, eğitim ve bakım faaliyetleri gelmektedir. Şekilde plan yaşadığı sürece tekrarlanması gereken faaliyetler eğitim, test/gözden geçirme ve değişim yönetimi (güncelleme) olarak görünmektedir. İŞ ETKİ ANALİZİ Politika Organizasyon Kaynaklar Kapsam İş Sürekliliği Proje Başlangıcı

İş Sürekliliği Yönetimi kritiktir! “Felaket veya çok büyük kesintiye neden olan bir olay yaşamış firmaların beş tanesinden ikisinin faaliyetlerini sürdüremediği, sürdürebilenlerden üç tanesinden birinin iki yıl sonunda faaliyetini durdurduğu A.B.D araştırma kurumlarınca belirtilmiştir.” Gartner (Roberta Witty, Donna Scott) Disaster Recovery Plans and Systems Are Essential Bir defa felaket yaşarsak bir daha plana ihtiyacımız olmayabilir...

İş Sürekliliği Ne Değildir? Bir plan Bir ürün Teknoloji Yedekleme Felaket merkezi Felaket kurtarma Prosedürler Detaylı talimatlar

İş Sürekliliğinin Önemi Tehditler Zayıflıklar Kesintiler Afetler Saldırılar Hassasiyet IT odaklılık Artan kullanıcı beklentileri Koordinasyon Yakınsama 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Resmi Olmayan Anket Sonuçları Türkiye’de Durum Resmi Olmayan Anket Sonuçları 144 kişinin katılımı sağlanmıştır. Kamu’nun felaketlere hazırlık durumu ve iş sürekliliği uygulamalarının durumunun tespiti nispi olarak yapılmıştır. Sonuçlar tam ve bilimsel olmadığından rapora alınmamıştır.

Anket Sonuçları 1) Kurum sektörünü seçiniz

Anket Sonuçları 2) Kurumunuzun çalışan sayısı nedir?

Anket Sonuçları 3) Kurumunuzda Bilgi İşlem Biriminde çalışan (Veri Hazırlama ve Kontrol İşletmeni ve Sekreter hariç) sayısı nedir?

Anket Sonuçları 4) İş sürekliliği ile ilgili aşağıdaki konulardan hangileri kurumunuzda yer almaktadır.

Anket Sonuçları 5) Felaket durumunda kurumunuzun bilgi teknolojileri ile ilgili kritik, kesinti tahammülü en düşük olan işlevleri ne kadar sürede tekrar çalışır hale getirilebilir durumdadır?

Anket Sonuçları 6) Kurumunuzda hangi standartlar kullanılmakta veya kullanılması planlanmakta.Birden fazla seçebilirsiniz.

Kesintilere hazır mıyız? Felaketlere dayanıklı mıyız? Prestij Durumumuz? Kesintilere hazır mıyız? Felaketlere dayanıklı mıyız? Prestij Vatandaş güvenliği Ekonomik etkiler Koordinasyon

Standartlar BS 25999 – ISO 22301 ISO 27001 ve ISO 27031 ITIL ve ISO 20000 COBIT ISO Standartları (TC 223) Ulusal standart var mı ? Bize özgü bir çalışma yapıldı mı? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

ISO İş Sürekliliği Standartları İş sürekliliği konusu TC 223 Societal security isimli teknik komite tarafından hazırlanmaktadır. BS25999-1 ve BS25999-2 yerine teknik komitenin 223 numarasının sonuna 00′dan devam ederek yeni rehber ve standartlar geliştirilmektedir. Bu nedenle BS25999 yerine 2012 ortalarından itibaren ISO 22301 kullanmaya başlayacağız.

ISO İş Sürekliliği Standartları ISO 22301 standardı yayınlanmasına 4-6 ay kadar var. Diğer Standart ve Rehberler ISO/FDIS 22300 Terminology ISO/DIS 22301 Business continuity management systems — Requirements ISO/TR 22312:2011— Technological capabilities ISO/DIS 22313— Business continuity management systems — Guidance ISO/NP 22315 Societal security — Mass evacuation ISO 22320:2011 Societal security — Emergency management — Requirements for incident response ISO/CD 22322 Societal security — Emergency management — Public warning

ISO İş Sürekliliği Standartları Diğer Standart ve Rehberler ISO/WD 22323 Organizational resilience management systems – Requirements with guidance for use ISO/NP 22324 Emergency managament ISO/NP TS 22351 Disaster and emergency management ISO/NP 22397 Public Private Partnership ISO/CD 22398 Guidelines for exercises and testing ISO/PAS 22399:2007 Guideline for incident preparedness and operational continuity management ISO/IEC 27031:2011 Guidelines for information and communication technology readiness for business continuity ISO/IEC 24762:2008 Guidelines for information and communications technology disaster recovery services

ISYS Kurulumunda Ek Rehberler ISO 9001:2008, Quality management system ISO 14001:2004, Environmental management systems – Requirements with guidance for use ISO/IEC 20000-1:2005 Information Technology - Service Management ISO/PAS 22399:2007, Societal security – Guideline for incident preparedness and operational continuity management ISO/IEC 24762, Information technology – Security techniques – Guidelines for Information technology disaster recovery services ISO/IEC 27001:2005 (Information Security Management System) ISO/IEC 27031, ICT readiness for business continuity ISO 31000:2009, Risk Management ISO/IEC 31010:2009, Risk management – risk assessment techniques

ISYS Kurulumunda Ek Rehberler HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand, ISBN 0-7337-6250-6 SI 24001:2007, Security and continuity management systems — Requirements and guidance for use, Standards Institution of Israel NFPA 1600:2010, Standard on disaster/emergency management and business continuity programs, National Fire Protection Association (USA) Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005 Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of Japan, 2005 Organizational Resilience: Security, preparedness, and Continuity Managements Systems – Requirements with Guidance for Use, Singapore Standard for Business Continuity Management, SS 540: 2008

Strateji ve Analiz İş Sürekliliği Politikası Mevcut Durum Analizi ve Tespiti Risk Analizi İş Etki Analizi Beklenmedik Durum Senaryoları İş Sürekliliği Stratejisinin Geliştirilmesi Planlama İçin Temel İlke ve Yöntemler 11-12/05/ 2012 Kamu Bilişim Platformu XIV

İş Sürekliliği Planlama Görev ve Sorumluluklar Üst Yönetim İş Sürekliliği Yönetimi Program Ofisi / İş Sürekliliği Yöneticisi İş Birimi Yöneticileri Dokümanlar İş Sürekliliği Planı İş Kurtarma (Felaket Kurtarma) Planları Eğitim ve Bilinçlendirme Tatbikatlar ve İyileştirme Denetim ve Öz değerlendirme 11-12/05/ 2012 Kamu Bilişim Platformu XIV

İş Sürekliliği Uygulama Uygulama Modelleri ve Mimarileri İş Sürekliliği Merkezi Sistem Mimarileri İş Sürekliliği İçin Veri Yedekleme Yöntemleri Güvenlik Koordinasyon Kurumlar Arası Koordinasyon Kurum İçi Koordinasyon Sürdürülebilirlik İş Sürekliliği – Sürdürülebilirlik İlişkisi 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Kamu BİB Model Önerisi Hangi Standardı ve Rehberi Seçmeliyiz? İş Sürekliliği Yönetim Sistemi Kurma Projesi Modeli İş Etki Analizi Nasıl Yapılır? Risk Analizi Nasıl Yapılır? Olay Yönetimi Nasıl Yapılır? İş Sürekliliği Planı Nasıl Yapılır? İş Sürekliliği Test/Tatbikatlari Nasıl Yapılır? Felaket Kurtarma Merkezi Nasıl Kurulur? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Hangi Standardı ve Rehberi Seçmeliyiz? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

ISYS Projesi Modeli 11-12/05/ 2012 Kamu Bilişim Platformu XIV

İş Etki Analizi Nasıl Yapılır? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Risk Analizi Nasıl Yapılır? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Olay Yönetimi Nasıl Yapılır? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

İş Sürekliliği Planı Nasıl Yapılır? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

İş Sürekliliği Test/Tatbikatlari Nasıl Yapılır? 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Felaket Kurtarma Merkezi Nasıl Kurulur? İşletim yapısı Güvenlik altyapısı Veri yedekleme yapısı Fiziksel altyapı Personel planlama Yerleşke seçimi FKM için iş süreçlerinin belirlenmesi 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Bu işin sahibi kim? Kamuda bir teknoloji kurumu? Özel bir teknoloji şirketi? Kurumun IT birimi? Kiralık bir felaket merkezi? Koordinatör bir üst kurum? Kurumun kendisi tekbaşına?

Nasıl yapalım? Hazır örneklere bakıp? Tedarikçinin metodu ile Teknoloji imkanları doğrultusunda Paramız ne kadarına yeterse Durumlar karışık bir sakinleşsin ortam Kesintileri bekleyelim Vatandaş bekleyiversin IT birimi yapıversin Daha ne yapacağız, yedek alıyoruz Dokümanları yazdım mı tamamdır Plan yaptık olay tamamdır

Düşünülmesi gereken noktalar Dünya’ya karşı prestijimiz? Vatandaşın güvenliği-sağlığı-işleri nasıl etkilenir? Devletin güvenliği-gizliliği ne kadar etkilenir? Devlet kurumlarının sürekliliği nasıl etkilenir? Sürekli olmasa da olur diyeceğimiz şeyler? Sadece IT mi sürekli olmalıdır? Sadece yazılım mıdır ya da sunucu mudur yedeklenecek olanlar?

Unutulanlar Erişilebilirlik yönetimi Olay yönetimi İş birimlerinin sürekliliği Personelin süreklilikteki yeri Üst yönetim IT sürekliliği ≠ İş sürekliliği

Öneriler Ürün-teknoloji yaklaşımından yönetim yaklaşımına geçiş Sağlıklı analiz ve doğru kontrol seçimleri Kuruma özgü stratejiler geliştirme IT odaklılıktan İş odaklılığa geçiş Felaket odaklılıktan Süreklilik odaklılığa geçiş Olay, Erişilebilirlik, Event süreçlerine önem Değişim ve Konfigürasyon süreçlerine önem Önleyici yaklaşıma öncelik Proje yerine süreç yaklaşımı 11-12/05/ 2012 Kamu Bilişim Platformu XIV

Çalışma grubumuz adına teşekkürler Sorularınız için : erman.taskin@educore.com.tr 11-12/05/ 2012 Kamu Bilişim Platformu XIV