BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1
Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının
Gizliliği
Tamlığı (Bütünlüğü)
Erişebilirliği (Kullanılabilirliği)
Üzerine inşa edilmiş ve risk yaklaşımına dayanan bir yönetim sistemidir.
ISO/IEC 27002 kılavuzunda ayrıntıları verilen ve “İş Sürekliliği” olarak tasnif
edilen “Bilgi”nin ve bilginin üzerinde durduğu “Bilgi Varlıkları”nın sürekliliği
kontrol kriterleri A-14 başlığı altında işlenmiştir. »»
A-14 Kontrol Kriterleri
A.14,1 İş sürekliliği yönetiminin bilgi güvenliği hususları
Amaç: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük
bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların
zamanında devam etmesini sağlamak.
A.14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme Kuruluş genelinde iş sürekliliği için, bu amaçla ihtiyaç duyulan bilgi
güvenliği gereksinimlerini ifade eden bir yönetilen proses geliştirilmeli ve
sürdürülmelidir.
A.14.1.2 İş sürekliliği ve risk değerlendirme İş proseslerinde kesintilere yol açan olaylar, bu tür kesintilerin
olasılığı ve etkisi ve bunların bilgi güvenliği için sonuçları ile birlikte
tanımlanmalıdır.
A.14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve
gerçekleştirme Önemli iş proseslerinde yaşanan kesintileri ya da başarısızlıkları
takiben iş operasyonlarını sürdürmek ya da onarmak ve bilginin gerekli seviyede
ve gerekli zaman ölçeklerinde kullanılabilirliğini sağlamak için planlar
geliştirilmeli ve gerçekleştirilmelidir.
A.14.1.4 İş sürekliliği planlama çerçevesi Tüm planların tutarlı olmasını sağlamak, tutarlı şekilde bilgi
güvenliği gereksinimlerini ifade etmek ve test ve bakım önceliklerini tanımlamak
için tek bir iş sürekliliği planları çerçevesi oluşturulmalıdır.
A.14.1.5 İş sürekliliği planlarını test etme, sürdürme ve yeniden
değerlendirme İş sürekliliği planları, güncel ve etkili olmalarını sağlamak için,
düzenli olarak test edilmeli ve güncelleştirilmelidir.
İş sürekliliği Yönetimi yalnızca ISO/IEC 27000 yönetim sistemi serisi için değil
aynı zamanda ISO 20000 BT Servis Yönetimi Sistemi serisi için de kritik önemi
olan bir yönetim sistemidir.
Son dönemde önemi ortaya çıkan BS 25999 İş Sürekliliği Standardı özellikle
ticari kurumların iş sürekliliği yapılarının yönetimi, tasarlanması,
planlanması, uygulanması ve geliştirilmesine yönelik bir çerçeve sunmaktadır.
Ancak uygulamada veya sistemin kurulması sürecinde neler yapılacağı konusunda
danışmanların, kuruluşların yardımcısı olabilecek kaynaklara erişim hem sınırlı
hem kısıtlıdır.
Denetimler esnasında kuruluşların en az üzerinde durduğu veya geliştirebildiği
konu “İş Sürekliliği” konusudur.
Amacımız bu yazıda BT esaslı “İş Sürekliliği” için bir çerçeve ortaya
koyabilmektir. Geliştirmek, derinleştirmek ise hepimizin sorumluluğundadır.
BT esaslı İş Sürekliliği Yönetimi;
• Masaüstü ve taşınır sistemler
• Sunucular (donanım)
• Sunucular (yazılım)
• Web servisleri / siteleri
• LAN / WAN
• Dağıtık sistemler
• Mainframe yapılar
üzerine inşa edilir. Her bir bileşenin enerji beklentileri, çalışan / müşteri
odaklı personel gereksinimleri, fiziksel alanlar (elektrik kabloları, data
kabloları, telefon kabloları, odalar, kapılar vs.), çevre faktörleri (çalışma
ortamları, toz, nem, ısı vs) İş Sürekliliği Yönetimi sistemlerinde içkindir
(Sistemlerin alt bileşenleri içinde spesifikasyonları ile vardırlar).
BT İş Sürekliliği Süreci aşağıda belirtilen yedi adımda kurulabilir. Her bir
adım için ayrı tasarım, geliştirme ve prosedürler yazılabilir.
1. İş Sürekliliği Planı için politika ifadeleri geliştirmek.
Tüm bölümler için tanımlanmış, iş sürekliliği faaliyetlerinin etkinliğini,
denetimlerini geliştirecek politikalar, kılavuzlar.
2. İş Etki Analizi (Business Impact Analysis-BIA) yapmak. BIA
BT sistemleri ve bileşenleri için öncelikleri tanımlar. İş sürekliliğinin
gelişimi için kullanıcılara yardımcı olacak şablonlar hazırlamak.
3. Önleyici kontrolleri belirlemek, tanımlamak. İş sürekliliği
maliyetlerini düşürmek, sistemlerin ulaşılabilirliğini artırmak ve kesintilerini
azaltmak için kontroller seçmek ve bu kontroller için ölçekler belirlemek.
4. Kurtarma stratejileri Geliştirmek. Bozulan, kesilen
sistemleri hızlı ve etkin bir şekilde geri almayı sağlayacak tam, eksiksiz
kurtarma stratejileri belirlemek.
5. BT İş Sürekliliği Planı geliştirmek. İş Sürekliliği Planı
sistemlerin hasara uğraması halinde yapılacak işlere dair kılavuzlar ve geri
yükleme faaliyetlerini içerir.
6. Planların test edilmesi, eğitimler ve tatbikatlar. Planların
açıklıkları, eksikliklerinin yönetilebilmesi için kurtarma personeline yönelik
etkinlikler, hazırlıklı olmak için uygulamalar.
7. Planların gözden geçirilmesi. Planlama dokümanları sürekli
güncellenmeli, geliştirilmelidir. Sistemlerin sürdürülebilirliğinin etkinliği
artırılmalıdır.
BT İş Sürekliliği planlaması, BT sistemlerinin maruz kalacağı kesintileri en
aza indirgemek amacı ile kesintilere yönelik operasyonlara, çözüm planlarına,
prosedürlere, teknik ölçümlere dayanır.
Planlama, BT servislerinin durması halinde genellikle aşağıdaki yaklaşımlara
dayanan işlemleri içerir:
• BT işlemleri için geri yüklemeler ve alternatif yerler
• Kurtarma için BT operasyonları için alternatif ekipmanlar
• BT dışı tüm iş süreçlerinin performansları
İş Sürekliliği Planlaması için görev, rol ve sorumluluklar ise kısaca aşağıdaki
gibi tanımlanabilir:
• Yöneticiler. İş sürekliliği planında yer alan tüm birimlerin
sorumluları ile birlikte iş sürekliliği planlarından sorumlu olan yöneticiler
• Sistem yöneticileri. BT operasyonlarına yönelik günlük
işlemleri sürdüren yöneticiler.
• Bilgi Güvenliği Sistem uygulayıcıları ve geliştirme, uygulama, bakım
ve organizasyon bilgi teknolojileri faaliyetlerini sürdüren personel. • Bilgi sistemlerini tasarlayan, geliştiren, uygulayan ve
düzenleyen sistem mühendisleri ve mimarları. • Masaüstü ve taşınır bilgisayarların kullanıcıları. • Bilgi sistemlerini tasarlayan, geliştiren, uygulayan, bakan
ve kullanan diğer personel.
İş Sürekliliği ile İlişkili Diğer Planlar ise aşağıdadır:
Plan
Amaç
Kapsam
İş Sürekliliği Planı
Temel iş operasyonlarının
sürdürülmesi için prosedürler
·İş süreçleri
·BT esaslı iş
süreçleri
İşe Yeniden Başlama Planı
Felaketten hemen sonra
kurtarma prosedürleri
·İş süreçleri
·BT odaklı değil
·BT esaslı
süreçler
Süreklilik Operasyonları
Planı
30 güne kadar işlerin
sürdürülebilirliği için iş gerekleri,stratejik fonksiyonlar için prosedürler.
·BT odaklı değil
·Kurumsal misyon
için kritik
·Genellikle üst
yönetimler için
Destek Sürekliliği / BT
Sürekliliği Planı
Genel destek veya major
uygulamaları kurtarmak için kapasiteler ve
prosedürler
·BT odaklı
·BT Sürekliliği
Planı
·BT Sistem
kesintileri
Kriz İletişim Planı
Personel ve halk için
ilgili raporları yayınlama ve bilgilendirme
prosedürleri
·BT odaklı değil
·Personel ve halk
için iletişim araçları
İnternet temelli İhlallere
Yönelik Karşılık Planları
Kötü niyetli internet
esaslı saldırılara karşı taramalar, limit
sınırlamaları.
·Bilgi güvenliği
esaslı
·Sistemlere veya
ağlara yönelik ihlallerin etkileri
Felaket Kurtarma Planı
Alternatif yerler ,
imkanlar, varlıklar için ayrıntılı kapasite ve
prosedürler
·BT bazlı
·Büyük kesintiler
·Uzun süreli
etkiler
Acil Durum Planı
Fiziksel tehditler için
minimum kayıplar, hasarlar için koordinasyon
prosedürleri
Bir kuruluşu başarılı bir şekilde çalıştırmak için, kuruluşu sistematik...
Günümüzde, kuruluşlardan beklentiler artmıştır... 
ISO 50001:2018 Enerji Yönetim Standardı Ağustos 2018'de ...
Kyoto protokolü ile birlikte küresel ısınma ve küresel ısınmaya sebep olan...
Orman Yönetim Konseyi (FSC), dünya ormanlarının yönetiminin geliştirilmesi...
ISO Kozmetik ve Kişisel Bakım Ürünleri sektörüne standardını 2007 yılında yayımlamıştır.
6 Sigma operasyonel mükemmellik yaklaşımıyla koşulsuz müşteri...
"CE" Fransızca "Conformité Européene" kelimelerinin
kısaltmasıdır...
