ISO 22301, kuruluşun maruz kalabileceği ve iş yapmasını engelleyecek olaylardan kurtarmak için bir yönetim sistemini planlamak, oluşturmak, iletmek, izlemek ve sürekliliğini sağlamak üzere gereksinimleri belirlemek üzere oluşturulmuş bir standarttır.
ISO 22301, kuruluşun boyutu, organizasyonu ve sektörü açısından bağımsız, bütün kuruluşlara uygulanabilir bir yönetim sistemidir. Kuruluşun belirleyeceği kapsam özgündür ve kuruluşun yapısına, çalışma ortamına ve karmaşıklığına bağlıdır.

Niçin ISO 22301 İş Sürekliliği Yönetim sistemini uygulanır?
Her kuruluş farklı sebeplerle iş sürekliliğini uygulamak isteyebilir. Başarılı uygulamalarda kuruluş, fayda sağlayacağını bilir ve buna uygun kararlılık gösterir.

• İş sürekliliğine yönelik metriklere dayalı başarımın gözlemlenmesi,
• İş sürekliliği konusundaki gerekliliklerin belirlenmesi,
• Uygun iş planlarının hazırlanarak, tehditlere yönelik hazırlıkların yapılabilmesi
• İş sürekliliğini sağlamak için, gerçekçi ve uygun kaynak kullanımının sağlanması

ISO 22301 İş Sürekliliği Yönetim Sistemi, farklı sektör, ölçek ve karmaşıklıktan kuruluşların başarı ile uygulayabilecekleri bir çerçevedir.

• İş Sürekliliği Yönetim Sistemini planlamayı, oluşturmayı, uygulamayı ve korumayı,
• Kuruluşun belirlediği iş sürekliliği ilkesine uymasını,
• İş sürekliliği yapısını diğer taraflara göstermeyi,
• Akredite bir kuruluş tarafından belgelendirmeyi
• Bu standardın gereklerine uygunluğunu kendi iş ortaklarına beyan etmeyi hedefler.

ISO 22301:2012 Temel Bölümleri

ISO 22301’in standart maddeleri, ISO Guide 83 rehberine göre düzenlenmiştir. Söz konusu bölümler;
Madde 4: Organizasyon
Madde 5: Liderlik
Madde 6: Planlama
Madde 7: Destek
Madde 8: Uygulama
Madde 9: Performans değerlendirme
Madde 10: İyileştirme

Madde 4: Organizasyon

Kuruluşun İş Sürekliliği amacını başarabilmesi için faaliyet göstermesi ile ilişkili iç ve dış unsurları değerlendirmek gerekmektedir.

Organizasyonun etkinlikleri, işlevi, hizmetleri, ürünleri, işbirliği yaptığı kuruluşlar, tedarik zincirleri, ilişkilerine yönelik yıkıcı olayların gizil etkisi, İş sürekliliği politikası ile genel risk yönetim stratejileri de dahil olmak üzere şirketin amaç, hedefleri ve diğer konulardaki politikaları arasındaki bağlantı, kuruluşun risklere karşı açık olma derecesi. Sektör veya yapı kaynaklı eksiklikler.

İlgili tarafların beklenti ve gereksinimleri, Kuruluşun uygulaması zorunlu olduğu yasalar, mevzuat ve diğer gereklilikleri, İş sürekliliği kapsamının belirlenmesinde, kuruluşun stratejik hedefleri, ana ürünleri ve hizmetleri, risk toleransı, yasal ve kontrata bağlı yaptırımları bu bölümde değerlendirilmelidir.

Madde 5: Liderlik

Üst yönetim, İş Sürekliliği Yönetim Sistemi gereklerinin yerine getirilmesi konusunda sürekli desteğini ve taahhüdünü göstermelidir. Yönetim kuruluşun hedeflerini ve amaçlarını yerine getirmek için kuruluş kaynakların kullanımını sağlamalıdır.

Üst yönetimin sorumlulukları;
• İSYS’nin, kuruluşun stratejik hedefleri ile uyumlu olmasını sağlamak,
• İSYS gerekliliklerini kuruluşun iş süreçleri ile bütünleştirmek,
• İSYS için gerekli kaynakları sağlamak,
• İş Sürekliliği yönetiminin etkin olmasının önemini ilgili taraflara iletmek,
• İSYS’nin başarımlarının, beklenen sonuçları karşılaması
• Sürekli gelişimi yönlendirmesi ve desteklemesi,
• İş sürekliliği politikasının oluşturulması ve iletilmesi,
• İSYS planlarının oluşturulması
• Gerekli sorumlulukların belirlenmesi ve yetkilendirmenin yapılması,

Madde 6: Planlama

Bu madde, başarılı bir iş sürekliliği yapısının kuruluşta uygulanabilmesi için yapılacak planlamada nelerin bulunması gerektiğini açıklar. İSYS’nin hedef, tanımlanan risklerin kuruluş tarafından karşılanmasıdır. İş sürekliliği hedeflerinin karşılaması zorunlu olduğu konular;

• İş sürekliliği politikası ile tutarlı olması,
• Organizasyonun hedeflerine ulaşmak için gerekli ürün ve hizmetleri asgari seviyeye çekmesi,
• Ölçülebilirlik,
• Kuruluşun geçerli olan gereksinimlerini dikkate alması,
• Uygun şekilde izlenmesi ve güncellenmesi,

Madde 7: Destek

Etkili bir iş sürekliliği yönetimi, gerekli kaynakların sürekli ve her uygulama aşamasında sağlanması ile başarılır. Bu kaynakların içinde, eğitim almış yeterliliğe sahip çalışanların bulunması, farkındalığın sağlanması ve iletişim ortamının oluşturulması bulunmaktadır.
Bu destek, doğru yönetilen dokümantasyon sistemi ile desteklenmelidir.
Örgütün iç ve dış iki iletişim biçimi, iletişimin içeriği, zamanlaması da dahil olmak üzere, bu bölümde ele alınmalıdır.
Dokümantasyonun oluşturulması, güncellenmesi ve kontrolü gereklilikleri bu bölümde belirtilmiştir.

İş Etki Analizi (Business Impact Analysis (BIA)): İş etki analizi, kuruluşun kritik süreçlerinin kabul edilebilir en düşük seviyede işletilmesi için önem taşıyan anahtar ürün ve hizmetlerin bağımlılığını belirlenmesini hedefler.

Risk denetimi: ISO 22301 standardı, bu sürecin işletilmesi için ISO 31000 Risk Yönetimi Standardını referans olarak alır. Bu gerekliliğin hedefi, risk denetim sürecini kurmak, uygulamak ve korumak için dokümante edilmiş tanımlamaları, analizleri ve kuruluşta olan risk oluşturan unsurların değerlendirilmesini hedefler.

İş Sürekliliği Stratejisi: İş etki analizi ve risk denetiminin sonuçları doğrultusunda elde edilen sonuçlar ışığında, kuruluşun kritik süreçlerine yönelik tehditleri önlemek için stratejiler geliştirilmelidir. Tecrübeler ve en iyi uygulamalar, kuruluşun iş sürekliliğini sağlayacak uygun göstergeleri olan stratejilerin oluşturulmasına yardımcı olabilir. İş sürekliliği stratejisi, bir kurumun kurumsal stratejinin ayrılmaz bir parçası olmalıdır.

İş Sürekliliği Prosedürü: Kuruluş, iş sürekliliğine zarar verebilecek olaylara karşı iş sürekliliğini sağlayacak yöntemleri dokümante etmelidir. Bu yöntemler;

• Uygun iç iletişim kurallarını belirlemeyi,
• Bir kesinti anında yapılacak uygulama adımlarını,
• Beklenmeyen tehditler karşısında değişen iç ve dış koşullara karşı esnek bir yapıya sahip olmayı
• Potansiyel bozucu uygulamaların etkisine odaklanmayı,
• Bağımsız olarak belirlenmiş varsayım ve analizlerin geliştirilmesini,
• Uygun azaltma faaliyetleri ile risk seviyelerinin düşürülmesini içermelidir.

Sınama ve Test: İş sürekliliği prosedürlerinin, iş sürekliliği hedefleri ile tutarlı olduğundan emin olmak için, kuruluş, düzenli olarak bu prosedürleri test etmelidir. Sınama ve testler, iş sürekliliği planları ile geçerliliği sorgulanmalı, seçilen stratejiler doğrultusunda istenen zaman dilimlerinde elde edilen sonuçların yeterliliği yönetim tarafından kabul edilen seviyede olması sağlanmalıdır.

Madde 9: Performans değerlendirme
İş Sürekliliği Yönetim sistemi oluşturulduktan sonra, sistem, geliştirilmesi amacı ile belirli zaman aralıkları ile gözlemlenmelidir. Gözlemlenmesi beklenen konular;

• İş sürekliliği kapsamı, politikası ve hedeflerinin karşılanması,
• Süreçlerin, yöntemlerin ve işlevlerin eylemlerinin başarımının ölçülmesi,
• ISO 22301 standardı ve iş sürekliliği hedeflerine uygunluğun izlenmesi,
• Planlanmış aralıklarla iç denetimler yaparak eksik İSYS başarımının izlenmesi,
• Planlanmış aralıklarla, yönetim sisteminin gözden geçirme faaliyetinin gerçekleştirilmesi

Madde 10: İyileştirme
Sürekli iyileştirme, kurum ve paydaşların faydasını arttırmak için kuruluştaki iş sürekliliğine yönelik süreçlerde güvenliğin ve verimliliğin arttırılması için yapılan faaliyetleridir.
Kuruluş, iş sürekliliği politikası, hedefleri, denetim sonuçları, gözlemlenen olayların analizi, göstergelerin geliştirilmesi, düzeltici ve önleyici faaliyetler ve yönetimin gözden geçirme etkinliği ile yönetim sisteminin etkinliğini arttırabilir.