ISO 27031 Bilgi Ve İletişim Teknolojileri İş Sürekliliği

ISO 27031 Bilgi ve İletişim Teknolojileri İş Sürekliliği Nedir?

ISO/IEC 27031, kuruluşların bilgi ve iletişim teknolojileri (BİT) altyapısının iş sürekliliğine hazırlığını tanımlayan bir kılavuz standarttır. ISO 22301 iş sürekliliği yönetim sisteminin BİT bileşenini detaylandırır ve ISO 27001 bilgi güvenliği yönetim sistemi ile uyumlu çalışacak şekilde yapılandırılmıştır. Standart; tehdit analizi, BİT kesinti senaryoları, kurtarma hedefleri (RTO ve RPO), yedekleme stratejisi, alternatif çalışma alanları, olağanüstü durum kurtarma planı (DRP) ve düzenli test programlarını kapsar. Felaket, siber saldırı, donanım arızası, elektrik kesintisi gibi senaryolarda kritik sistemlerin tanımlı süreler içinde yeniden çalışmasını sağlayacak yapıyı kurar.

ISO 27031 Hangi İşletmelere Yönelik?

Standart; bankalar, sigorta şirketleri, e-ticaret platformları, ödeme kuruluşları, bulut hizmet sağlayıcıları, telekomünikasyon operatörleri, kamu BT departmanları, sağlık veri merkezleri, lojistik firmaları ve büyük üretim tesislerinin BT operasyonları için tasarlanmıştır. KVKK kapsamında veri sorumlusu konumundaki kuruluşlar için kişisel veri işleme süreçlerinin sürekliliğini kanıtlamak açısından da değerli bir referans oluşturur. Aynı zamanda ISO 27001 sertifikasına sahip kuruluşların iş sürekliliği yetkinliklerini güçlendirmek istediğinde tamamlayıcı bir standart olarak değerlendirilir. Kritik altyapı sağlayıcıları için BTK ve sektör regülatörlerinin denetimlerinde önemli bir gösterge sunar.

Belgelendirme Süreci ve Denetim Aşamaları

Süreç, kritik iş süreçlerinin ve bunlara bağımlı BİT bileşenlerinin haritalanması ile başlar. İş etki analizi (BIA) yapılır, her servis için kurtarma süresi hedefi (RTO) ve veri kaybı toleransı (RPO) belirlenir. Tehdit ve risk değerlendirmesi yapılır; siber saldırı, donanım arızası, doğal afet, elektrik kesintisi senaryoları çalışılır. Yedekleme, replikasyon, alternatif veri merkezi ve bulut DR seçenekleri planlanır. Olağanüstü durum kurtarma planı (DRP) yazılır ve sorumlular atanır. DRP testleri (masaüstü, parsiyel ve tam test) takvime alınır ve test sonuçları kayıt altına alınır. Tedarikçi sürekliliği, kritik personel yedeği ve haberleşme planı da yapıya dahil edilir. İç tetkik ve yönetim gözden geçirme toplantısının ardından belgelendirme kuruluşu doküman incelemesi ve saha denetimini yapar. Belge üç yıl geçerlidir; yıllık gözetim denetimleriyle sürdürülür.

ISO 27031 Belgesinin Faydaları

• Operasyonel Süreklilik: Beklenmedik kesintilerde kritik servislerin geri dönüş süresi öngörülebilir hale gelir.
• Veri Koruma: Yedekleme, replikasyon ve veri kaybı toleransı planlı bir yapıya kavuşur.
• Siber Olay Hazırlığı: Fidye yazılımı ve hizmet kesintisi gibi senaryolar için planlı yanıt sağlanır.
• Müşteri Güveni: Kurumsal müşteriler için BT hizmet seviyesi sözleşmelerinin (SLA) altyapısı güçlenir.
• KVKK Uyumu: Kişisel veri sürekliliğine ilişkin yükümlülükler somutlaşır.
• Test Disiplini: Düzenli DRP testleri sayesinde planın gerçek işler durumda olduğu kanıtlanır.
• Yatırım Kararı: Yedekleme ve felaket kurtarma yatırımları somut risk verisine dayanır.

Sistem Kalite'nin ISO 27031 Danışmanlık Hizmetleri

Sistem Kalite, BT yöneticilerinin günlük operasyonel yükünü artırmadan iş sürekliliği yapısını kuran bir danışmanlık modeli sunar. Doküman üretmekle yetinmeyen, fiilen test edilen ve raporlanan bir sistem hedefliyoruz. ISO 27001 ile entegre çalıştığımızda denetim ve dokümantasyon yükünü ciddi ölçüde azaltırız.

• Ön Değerlendirme: Mevcut altyapı, yedekleme stratejisi ve felaket kurtarma yapınızı gözden geçiririz.
• İş Etki Analizi: Kritik iş süreçleri için RTO ve RPO değerlerini iş birimleri ile birlikte belirleriz.
• DRP Hazırlığı: Olağanüstü durum kurtarma planını teknik ve organizasyonel detaylarıyla yazarız.
• Test Senaryoları: Masaüstü ve parsiyel test senaryolarını tasarlar, sonuçlarını raporlarız.
• Eğitim ve Tatbikat: BT, ağ, veri tabanı ve uygulama ekiplerine olay yanıt eğitimi veririz.

BT kesintisi olmayan kuruluş yoktur; ancak süresi belirsiz kesinti yaşayan kuruluşların kaybı çok daha büyüktür. Test edilmemiş bir kurtarma planı yalnızca dosyada kalan bir vaat hükmündedir. Sistem Kalite olarak 1999'dan bu yana yönetim sistemi alanında biriktirdiğimiz tecrübeyi, ISO/IEC 27031 iş sürekliliği yapısının kurulmasında firmanızın hizmetine sunuyoruz.