İş Sürekliliği Yönetimi - Türkiye Bilişim Derneği

Download Report

Transcript İş Sürekliliği Yönetimi - Türkiye Bilişim Derneği 

TÜRKİYE BİLİŞİM DERNEĞİ
İŞ SÜREKLİLİĞİ YÖNETİMİ
Kamu-BİB 14. DÖNEM
2.ÇALIŞMA GRUBU
Erman Taşkın
Danışman, Eğitmen
EDUCORE
[email protected]
12 Mayıs 2012 , Antalya
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Yönetimi Raporu







İş sürekliliğinin önemi
Türkiye’de durum
Standartlar
Strateji ve analiz
Planlama
Uygulama
Kamu BİB model önerisi
11-12/05/ 2012
Kamu Bilişim Platformu XIV
2
İş Sürekliliği Yönetimi kritiktir!
TÜRKİYE BİLİŞİM DERNEĞİ
1999 Gölcük Depremi
Tüm Marmara Bölgesi'nde,
Ankara'dan İzmir'e kadar geniş bir
alanda hissedildi.
 42.902 işyeri
 285.211 konut hasar gördü
Ölü sayısı: 17.840
(Resmi olmayan: 45 bin)
Yaralı sayısı: 43.953
Sakat kalan: 505
Yıkılan ve ağır hasarlı bina: 16 bin 649
Orta hasarlı konut: 90 bin 536
Orta hasarlı işyeri: 14 bin 133
Az hasarlı konut: 102 bin 822
Az hasarlı işyeri: 13 bin 344
İş Sürekliliği Yönetimi kritiktir!
TÜRKİYE BİLİŞİM DERNEĞİ
2009 İstanbul Sel Felaketi
Zarar Gören Konut ve
İşyeri Sayısı = 4730
Zarar gören fabrika
sayısı: 17
Sigortalı işyerlerinin oranı %30
27 ölü, 4 kayıp
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Nedir?
İş Sürekliliği Yönetimi (Business Continuity
Management), organizasyonların kritik
fonksiyon ve süreçlerini etkileyecek olaylara
karşı hazırlıklı olmasının ve herhangi bir olaya,
önceden planlandığı ve test edildiği şekilde
yanıt verilebilmesinin sağlanmasıdır.
(Business Continuity Institute)
TÜRKİYE BİLİŞİM DERNEĞİ
BS 25999 İş Sürekliliği Yaşam Döngüsü
Kuruluşu
Anlamak
Tatbikatlar,
sürdürme
ve gözden
geçirme
İSY
Program
Yönetimi
İSY
Stratejisinin
Belirlenmesi
İSY
Tepkisi/Müdahalesi
geliştirmek
ve uygulamak
1. Kapsam
2. Terimler ve tarifler
3. İSYS’nin planlanması
4. İSYS’nin uygulanması
ve işletilmesi
5. İSYS’nin izlenmesi ve
gözden geçirilmesi
6. İSYS’nin sürdürülmesi
ve iyileştilmesi
İSYS Genel Resim 1
•Kritik iş süreçlerinin
tanımlaması ve
önceliklendirilmesi
•İş Etki Analizi(BIA)
•Risk Değerlendirmesi
•YGG
•Sürekli
iyileştirme
•Politkaları duyurmak
•Tatbikatlar
•Testler
•Bakımlar
•DÖF
•Eğitimler
•Güncellemeler...
•Kapsamın, stratejilerin
belirlenmesi,
•Yatırım planlama
•İSY Planlama hz.
çalışması
•İş Sürekliliği Seçenekleri
•Plalama
•Tepki müdahale faal.
•Uygulamalar (FKP,
KY, ODY, OYP...)
İSYS Genel Resim 2
İŞ SÜREKLİLİĞİ SÜRECİ
Olay Yönetimi
Değişim Yönetimi
Test/Tatbikat
Strateji/Analiz
Devam
Eden
Süreçler
TEST SÜRECİ
Planlar / Prosedürler
Risk Azaltma
PLANIN
Yedek Sistemler
OLUŞTURULMASI
Proje
Süreci
SÜREKLİLİK STRATEJİLERİ
RİSK ANALİZİ
Politika
Organizasyon
Kaynaklar
İş Sürekliliği Proje Başlangıcı
Kapsam
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Yönetimi kritiktir!
“Felaket veya çok büyük kesintiye neden
olan bir olay yaşamış firmaların beş
tanesinden
ikisinin
faaliyetlerini
sürdüremediği,
sürdürebilenlerden
üç
tanesinden birinin iki yıl sonunda faaliyetini
durdurduğu A.B.D araştırma kurumlarınca
belirtilmiştir.”
Gartner (Roberta Witty, Donna Scott)
Disaster Recovery Plans and Systems Are Essential
Bir defa felaket yaşarsak bir daha plana
ihtiyacımız olmayabilir...
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Ne Değildir?








Bir plan
Bir ürün
Teknoloji
Yedekleme
Felaket merkezi
Felaket kurtarma
Prosedürler
Detaylı talimatlar
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliğinin Önemi










Tehditler
Zayıflıklar
Kesintiler
Afetler
Saldırılar
Hassasiyet
IT odaklılık
Artan kullanıcı beklentileri
Koordinasyon
Yakınsama
11-12/05/ 2012
Kamu Bilişim Platformu XIV
11
TÜRKİYE BİLİŞİM DERNEĞİ
Türkiye’de Durum
Resmi Olmayan Anket Sonuçları
 144 kişinin katılımı sağlanmıştır.
 Kamu’nun felaketlere hazırlık durumu
ve iş sürekliliği uygulamalarının
durumunun tespiti nispi olarak
yapılmıştır.
 Sonuçlar tam ve bilimsel
olmadığından rapora alınmamıştır.
Anket Sonuçları
 1) Kurum sektörünü seçiniz
70
TÜRKİYE BİLİŞİM DERNEĞİ
60
50
40
30
20
10
0
13
Anket Sonuçları
 2) Kurumunuzun çalışan sayısı nedir?
TÜRKİYE BİLİŞİM DERNEĞİ
140
120
100
80
60
40
20
0
1 10
10 50
50 100
100 200
200 +
TÜRKİYE BİLİŞİM DERNEĞİ
Anket Sonuçları
 3) Kurumunuzda Bilgi İşlem Biriminde çalışan
(Veri Hazırlama ve Kontrol İşletmeni ve
Sekreter hariç) sayısı nedir?
80
70
60
50
40
30
20
10
0
1 10
10 50
50 100
100 200
200 +
Anket Sonuçları
TÜRKİYE BİLİŞİM DERNEĞİ
 4) İş sürekliliği ile ilgili aşağıdaki konulardan
hangileri kurumunuzda yer almaktadır.
120
100
80
60
40
20
0
İş sürekliliği
politikası
İş sürekliliği planı Felaket kurtarma
merkezi
Yedekli altyapı
İş sürekliliği
tatbikatları
Hiçbiri
TÜRKİYE BİLİŞİM DERNEĞİ
Anket Sonuçları
 5) Felaket durumunda kurumunuzun bilgi
teknolojileri ile ilgili kritik, kesinti tahammülü
en düşük olan işlevleri ne kadar sürede tekrar
çalışır hale getirilebilir durumdadır?
50
45
40
35
30
25
20
15
10
5
0
0-1 saat
1-6 saat
6-12 saat
12-24 saat
24-48 saat
2-4 gün
Belirlenmedi
DİĞER
TÜRKİYE BİLİŞİM DERNEĞİ
Anket Sonuçları
 6) Kurumunuzda hangi standartlar
kullanılmakta veya kullanılması
planlanmakta.Birden fazla seçebilirsiniz.
90
80
70
60
50
40
30
20
10
0
ISO 27031 IT İş BS 25999- ISO ISO 27001 –
ISO 20000 –
22301 –İş
Bilgi Güvenliği Hizmet Yönetimi
Sürekliliği
Sürekliliği
ITIL
COBIT
Diğer belirtiniz.
TÜRKİYE BİLİŞİM DERNEĞİ
Durumumuz?
 Kesintilere hazır mıyız?
 Felaketlere dayanıklı mıyız?
 Prestij
 Vatandaş güvenliği
 Ekonomik etkiler
 Koordinasyon
TÜRKİYE BİLİŞİM DERNEĞİ
Standartlar
 BS 25999 – ISO 22301
 ISO 27001 ve ISO 27031
 ITIL ve ISO 20000
 COBIT
 ISO Standartları (TC 223)
 Ulusal standart var mı ? Bize özgü
bir çalışma yapıldı mı?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
20
TÜRKİYE BİLİŞİM DERNEĞİ
ISO İş Sürekliliği Standartları
 İş sürekliliği konusu TC 223 Societal
security isimli teknik komite
tarafından hazırlanmaktadır.
 BS25999-1 ve BS25999-2 yerine
teknik komitenin 223 numarasının
sonuna 00′dan devam ederek yeni
rehber ve standartlar
geliştirilmektedir.
 Bu nedenle BS25999 yerine 2012
ortalarından itibaren ISO 22301
kullanmaya başlayacağız.
ISO İş Sürekliliği Standartları
TÜRKİYE BİLİŞİM DERNEĞİ
 ISO 22301 standardı yayınlanmasına 4-6 ay kadar var.
 Diğer Standart ve Rehberler
 ISO/FDIS 22300 Terminology
 ISO/DIS 22301 Business continuity management
systems — Requirements
 ISO/TR 22312:2011— Technological capabilities
 ISO/DIS 22313— Business continuity management
systems — Guidance
 ISO/NP 22315 Societal security — Mass evacuation
 ISO 22320:2011 Societal security — Emergency
management — Requirements for incident
 response
 ISO/CD 22322 Societal security — Emergency
management — Public warning
TÜRKİYE BİLİŞİM DERNEĞİ
ISO İş Sürekliliği Standartları
 Diğer Standart ve Rehberler
 ISO/WD 22323 Organizational resilience management
systems – Requirements with guidance for use
 ISO/NP 22324 Emergency managament
 ISO/NP TS 22351 Disaster and emergency management
 ISO/NP 22397 Public Private Partnership
 ISO/CD 22398 Guidelines for exercises and testing
 ISO/PAS 22399:2007 Guideline for incident
preparedness and operational continuity management
 ISO/IEC 27031:2011 Guidelines for information and
communication technology readiness for business
continuity
 ISO/IEC 24762:2008 Guidelines for information and
communications technology disaster recovery services
ISYS Kurulumunda Ek Rehberler


TÜRKİYE BİLİŞİM DERNEĞİ







ISO 9001:2008, Quality management system
ISO 14001:2004, Environmental management systems –
Requirements with guidance for use
ISO/IEC 20000-1:2005 Information Technology - Service
Management
ISO/PAS 22399:2007, Societal security – Guideline for incident
preparedness and operational continuity management
ISO/IEC 24762, Information technology – Security techniques
– Guidelines for Information technology disaster recovery
services
ISO/IEC 27001:2005 (Information Security Management
System)
ISO/IEC 27031, ICT readiness for business continuity
ISO 31000:2009, Risk Management
ISO/IEC 31010:2009, Risk management – risk assessment
techniques
ISYS Kurulumunda Ek Rehberler

TÜRKİYE BİLİŞİM DERNEĞİ






HB 221:2004, Business continuity management, Standards
Australia/Standards New Zealand, ISBN 0-7337-6250-6
SI 24001:2007, Security and continuity management systems —
Requirements and guidance for use, Standards Institution of
Israel
NFPA 1600:2010, Standard on disaster/emergency management
and business continuity programs, National Fire Protection
Association (USA)
Business Continuity Plan Drafting Guideline, Ministry of Economy,
Trade and Industry (Japan), 2005
Business Continuity Guideline, Central Disaster Management
Council, Cabinet Office, Government of Japan, 2005
Organizational Resilience: Security, preparedness, and Continuity
Managements Systems – Requirements with Guidance for Use,
Singapore Standard for Business Continuity Management, SS
540: 2008
TÜRKİYE BİLİŞİM DERNEĞİ
Strateji ve Analiz
İş Sürekliliği Politikası
Mevcut Durum Analizi ve Tespiti
Risk Analizi
İş Etki Analizi
Beklenmedik Durum Senaryoları
İş Sürekliliği Stratejisinin
Geliştirilmesi
 Planlama İçin Temel İlke ve
Yöntemler






11-12/05/ 2012
Kamu Bilişim Platformu XIV
26
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Planlama
 Görev ve Sorumluluklar
 Üst Yönetim
 İş Sürekliliği Yönetimi Program Ofisi / İş
Sürekliliği Yöneticisi
 İş Birimi Yöneticileri
 Dokümanlar
 İş Sürekliliği Planı
 İş Kurtarma (Felaket Kurtarma) Planları
 Eğitim ve Bilinçlendirme
 Tatbikatlar ve İyileştirme
 Denetim ve Öz değerlendirme
11-12/05/ 2012
Kamu Bilişim Platformu XIV
27
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Uygulama









Uygulama Modelleri ve Mimarileri
İş Sürekliliği Merkezi Sistem Mimarileri
İş Sürekliliği İçin Veri Yedekleme Yöntemleri
Güvenlik
Koordinasyon
Kurumlar Arası Koordinasyon
Kurum İçi Koordinasyon
Sürdürülebilirlik
İş Sürekliliği – Sürdürülebilirlik İlişkisi
11-12/05/ 2012
Kamu Bilişim Platformu XIV
28
TÜRKİYE BİLİŞİM DERNEĞİ
Kamu BİB Model Önerisi
 Hangi Standardı ve Rehberi Seçmeliyiz?
 İş Sürekliliği Yönetim Sistemi Kurma Projesi
Modeli
 İş Etki Analizi Nasıl Yapılır?
 Risk Analizi Nasıl Yapılır?
 Olay Yönetimi Nasıl Yapılır?
 İş Sürekliliği Planı Nasıl Yapılır?
 İş Sürekliliği Test/Tatbikatlari Nasıl Yapılır?
 Felaket Kurtarma Merkezi Nasıl Kurulur?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
29
TÜRKİYE BİLİŞİM DERNEĞİ
Hangi Standardı ve Rehberi Seçmeliyiz?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
30
TÜRKİYE BİLİŞİM DERNEĞİ
ISYS Projesi Modeli
11-12/05/ 2012
Kamu Bilişim Platformu XIV
31
TÜRKİYE BİLİŞİM DERNEĞİ
İş Etki Analizi Nasıl Yapılır?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
32
TÜRKİYE BİLİŞİM DERNEĞİ
Risk Analizi Nasıl Yapılır?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
33
TÜRKİYE BİLİŞİM DERNEĞİ
Olay Yönetimi Nasıl Yapılır?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
34
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Planı Nasıl Yapılır?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
35
TÜRKİYE BİLİŞİM DERNEĞİ
İş Sürekliliği Test/Tatbikatlari Nasıl Yapılır?
11-12/05/ 2012
Kamu Bilişim Platformu XIV
36
Felaket Kurtarma Merkezi Nasıl Kurulur?
FKM için iş süreçlerinin belirlenmesi
TÜRKİYE BİLİŞİM DERNEĞİ
Yerleşke seçimi
Personel planlama
Fiziksel altyapı
Veri yedekleme yapısı
Güvenlik altyapısı
İşletim yapısı
11-12/05/ 2012
Kamu Bilişim Platformu XIV
37
TÜRKİYE BİLİŞİM DERNEĞİ
Bu işin sahibi kim?






Kamuda bir teknoloji kurumu?
Özel bir teknoloji şirketi?
Kurumun IT birimi?
Kiralık bir felaket merkezi?
Koordinatör bir üst kurum?
Kurumun kendisi tekbaşına?
TÜRKİYE BİLİŞİM DERNEĞİ
Nasıl yapalım?











Hazır örneklere bakıp?
Tedarikçinin metodu ile
Teknoloji imkanları doğrultusunda
Paramız ne kadarına yeterse
Durumlar karışık bir sakinleşsin ortam
Kesintileri bekleyelim
Vatandaş bekleyiversin
IT birimi yapıversin
Daha ne yapacağız, yedek alıyoruz
Dokümanları yazdım mı tamamdır
Plan yaptık olay tamamdır
TÜRKİYE BİLİŞİM DERNEĞİ
Düşünülmesi gereken noktalar
 Dünya’ya karşı prestijimiz?
 Vatandaşın güvenliği-sağlığı-işleri nasıl
etkilenir?
 Devletin güvenliği-gizliliği ne kadar etkilenir?
 Devlet kurumlarının sürekliliği nasıl etkilenir?
 Sürekli olmasa da olur diyeceğimiz şeyler?
 Sadece IT mi sürekli olmalıdır?
 Sadece yazılım mıdır ya da sunucu mudur
yedeklenecek olanlar?
TÜRKİYE BİLİŞİM DERNEĞİ
Unutulanlar






Erişilebilirlik yönetimi
Olay yönetimi
İş birimlerinin sürekliliği
Personelin süreklilikteki yeri
Üst yönetim
IT sürekliliği ≠ İş sürekliliği
TÜRKİYE BİLİŞİM DERNEĞİ
Öneriler
 Ürün-teknoloji yaklaşımından yönetim
yaklaşımına geçiş
 Sağlıklı analiz ve doğru kontrol seçimleri
 Kuruma özgü stratejiler geliştirme
 IT odaklılıktan İş odaklılığa geçiş
 Felaket odaklılıktan Süreklilik odaklılığa geçiş
 Olay, Erişilebilirlik, Event süreçlerine önem
 Değişim ve Konfigürasyon süreçlerine önem
 Önleyici yaklaşıma öncelik
 Proje yerine süreç yaklaşımı
11-12/05/ 2012
Kamu Bilişim Platformu XIV
42
TÜRKİYE BİLİŞİM DERNEĞİ
Çalışma grubumuz adına teşekkürler
Sorularınız için :
[email protected]
11-12/05/ 2012
Kamu Bilişim Platformu XIV
43