2011 yılının Mart ayında Japonya'yı vuran deprem ve tsunami, yalnızca can kaybına yol açmadı — küresel tedarik zincirlerini aylar boyunca felç etti. Japonya'daki fabrikalara bağımlı otomotiv ve elektronik devleri, dünyanın öbür ucunda üretimi durdurmak zorunda kaldı. O günlerde pek çok kurumsal risk yöneticisi aynı soruyu sordu: "Biz böyle bir durumda ne yapardık?"
ISO 22301, tam da bu soruya sistematik bir yanıt üretmek için var. 2012'de yayımlanan ve 2019'da revize edilen standart, bir kuruluşun beklenmedik olaylar karşısında kritik faaliyetlerini sürdürebilmesini ya da en kısa sürede toparlanabilmesini sağlayan yönetim çerçevesini tanımlıyor.
"Sürekliliği Yönetmek" Ne Demek?
İş sürekliliği yönetimi, sezgisel olarak anlaşılması kolay ama pratikte kurulması güç bir disiplin. Özünde şu soruya cevap arıyor: Olası en kötü senaryoda — deprem, siber saldırı, salgın, tedarikçi iflası, yangın — kuruluşunuz faaliyetlerine devam edebilecek mi? Edemiyorsa ne kadar sürede toparlanacak?
Çoğu kuruluş bu soruya "bir planımız var" diye yanıt veriyor. Ama o plan genellikle bir dosya dolabının köşesinde toz topluyor, yılda bir güncelleniyor ya da hiç güncellenmiyorsa, test edilmemişse ve çalışanlar içeriğinden habersizse — aslında hiç yoktur.
ISO 22301'in farkı tam burada: Plan yapmayı değil, planın çalışmasını güvence altına alan yönetim sistemini kurmayı zorunlu kılıyor.
Standardın Temel Kavramları
ISO 22301 uygulamasının merkezinde birkaç kritik kavram var. İş Etki Analizi (BIA), hangi faaliyetlerin kritik olduğunu ve kesintinin ne kadar süre tolere edilebildiğini belirliyor. Bu analiz olmadan hangi sürece öncelik vereceğinizi bilemezsiniz.
RTO (Recovery Time Objective) — yani Kurtarma Zamanı Hedefi — bir sürecin kesintiden sonra ne kadar sürede yeniden işler hale geleceğini tanımlıyor. RPO (Recovery Point Objective) ise veri kaybını ne noktaya kadar tolere edebileceğinizi gösteriyor. Bu iki parametreyi bilmeden iş sürekliliği stratejisi geliştirmek mümkün değil.
Tüm bunların üzerine İş Sürekliliği Planları (BCP) inşa ediliyor. Bu planların kağıt üzerinde kalmaması için düzenli tatbikatlar ve testler şart.
Kimler İçin Öncelikli?
ISO 22301 her sektöre uygulanabilir olmakla birlikte bazı sektörler için neredeyse zorunlu:
Finans ve bankacılık sektöründe düzenleyici otoriteler iş sürekliliği planını doğrudan istiyor. BDDK ve SPK mevzuatı bu konuda net beklentiler içeriyor. Sağlık sektöründe hastaneler ve ilaç üreticileri için kesinti lüksü yok — insan hayatı söz konusu. Kritik altyapı işleten enerji, telekomünikasyon ve ulaşım şirketleri için ulusal güvenlik boyutu devreye giriyor. Bunların yanı sıra büyük uluslararası alıcılara hizmet veren üretim ve lojistik firmalarından da giderek daha fazla iş sürekliliği belgesi talep ediliyor.
ISO 22301 ile Diğer Standartlar Arasındaki İlişki
İş sürekliliği yönetimi izolasyonda çalışmaz. ISO 27001 bilgi güvenliği olaylarına karşı hazırlıklı olmayı destekliyor; ISO 22301 ise bu olaylar gerçekleştiğinde ne yapılacağını tarif ediyor. Risk yönetimi için ISO 31000 ile de güçlü bir ilişki var — risk değerlendirmesi, hangi senaryolar için sürekliliği planlamanız gerektiğini gösteriyor.
Entegre yönetim sistemi kuran kuruluşlar bu standartları bir arada işlettiğinde hem verimlilik artıyor hem de gerçek anlamda dirençli bir yapı ortaya çıkıyor.
İş sürekliliği yönetim sistemi kurmak ya da ISO 22301 belgesi almak istiyorsanız danışmanlık hizmetlerimizi inceleyebilir ya da bizimle iletişime geçebilirsiniz.