İş Etki Analizinin (BIA — Business Impact Analysis) Üç Adımı
İş Sürekliliği Planlamasının en önemli adımlarından biri olan İş Etki Analizi aynı zamanda CISA sınavının kapsadığı beş alandan dördüncüsünün (Domain IV) alt başlıklarından biri.
Sertifikalı Bilgi Sistemleri Denetçisi (CISA) sertifikası, Bilgi Sistemleri Denetim ve Kontrol Birliği (Information Systems Audit and Control Association — ISACA) tarafından gerçekleştirilen sınav sonucunda verilen, bilgi sistemleri denetimi alanında küresel geçerliliği olan bir sertifikadır.
İş Etki Analizi iş sürekliliğinin sağlanması için sistem gereksinimlerinin, kritik süreçlerin ve süreçler arasındaki karşılıklı bağımlılıkların tanımlanması ve önceliklerin belirlenmesi için izlenmesi gereken kritik bir adım.
Bu yazı, hem İş Etki Analizi gerçekleştirilirken, hem de bu alanda Bilgi Sistemleri Denetimi yürütülürken faydalanılabilecek temel konuları içeriyor. Bu temel konular ise İş Etki Analizinin üç adımı ekseninde sınıflandırıldı:
1. Süreç ve sistem kritikliğinin belirlenmesi,
2. Kaynak gereksinimlerinin belirlenmesi,
3. Sistem kaynakları için kurtarma önceliklerinin belirlenmesi.
CISA Domain IV
İş Etki Analizine geçmeden önce, çok kısa CISA Domain IV’ten bahsedeyim. Bu bölümün başlığı “Bilgi Sistemleri İşlemleri ve İş Direnci (Information Systems Operations and Business Resilience)”.
Burada ‘resilience’ kavramı yerine direnç kelimesini kullandım ama ‘resilience’ aslında dirençten ötesini, güçlükler ve olumsuzluklardan sonra eski haline dönebilme yeteneğini, yılmazlığı ifade eden daha geniş bir kavram. İş direnci ifadesini gördüğünüz yerde bunun ‘resilience’ olduğunu hatırlamakta fayda var.
CISA Domain 4 aşağıdaki şekilde görüldüğü üzere iki ana başlıktan oluşuyor: Bilgi Sistemleri İşlemleri ve İşletme Direnci. İş Etki Analizi konusu da İşletme Direnci başlığı altındaki beş alt başlıktan birincisi. İş süreklilik planına temel oluşturduğu için oldukça önemli bir konu. Genellikle gözden kaçırılan ya da gerektiği biçimde detaylı ve sistematik bir biçimde yürütülmeyen, uygun biçimde yürütülmediğinde de iş süreklilik planlarının başarısını doğrudan etkileyen bir ön adım.
Genel Bilgiler
İş Etki Analizi bir felaket durumunda, ilgili kuruluşun ya da birimin çalışmaya devam etmesi için hayati önemdeki iş süreçlerini (ve bu süreçleri destekleyen BT bileşenlerini) tanımlamak ve bir felaketin ardından söz konusu süreçlerin ne kadar kısa sürede kurtarılması gerektiğini, öncelikleri, bağımlılıkları ve kaynakları tespit etmek amacıyla kullanılır.
Alt adımlar izlenerek, sistematik bir biçimde yürütülmeli, bu analizde hem kuruluş çalışanları hem de kilit tedarikçilerden katılımcılar rol almalıdır. Ayrıca, kuruma zarar verebilecek olayları tespit eden ve tanımlayan İş Sürekliliği risk değerlendirmesinden elde edilen bilgiye göre yürütülmelidir.
İş Etki Analizinin yürütülmesinde izlenmesi gereken temel adımları aşağıdaki şekilde kısaca listelemeye çalıştım. Temelde yapılması gereken, bu işlemlerin yazının devamında verilmiş olan detaylara uygun biçimde gerçekleştirilmesi. Aynı biçimde, bir bilgi sistemleri denetimi gerçekleştirilirken de yine bu işlem adımları hem denetim alanımızı hem de kontrol noktalarımızı oluşturuyor.
İş Etki Analizine hem kuruluş personelinden hem de kilit tedarikçilerden personel katılımı olmalıdır. İş Etki Analizi kuruma zarar verebilecek olayları tespit eden ve tanımlayan İş Sürekliliği risk değerlendirmesinden elde edilen bilgiye göre yürütülmelidir.
İş Etki Analizindeki ilk adım görev ekibi (fonksiyonel ekip) tarafından uygulanan iş süreçlerini, söz konusu görevi (fonksiyonu) yerine getirmek için gereken kaynakları, işi yapan kritik personeli belirlemek ve tanımlamaktır. İş süreçleri başlangıçta çok sayıda münferit alt sürece bölünmemelidir. Personel alımları, hizmet sağlayıcıları veya kaynakları farklıysa iş süreçleri ayrı ayrı tanımlanmalıdır.
İş Etki Analizinin ikinci adımı ise iş sürecinin kesintiye uğraması halindeki iş etkisi türünü tespit etmektir. Bazı iş etkisi türleri aşağıdaki biçimdedir:
· Sağlık ve güvenlik (örneğin yaralanma)
· Çevresel (örneğin sızıntı)
· Müşteri hizmetleri (örneğin müşteri kaybı)
· Finansal (örneğin cezalar)
· Düzenlemelerle ilgili/hukuki (örneğin devlet kararları)
· İtibar
Daha sonra iş etki türlerine dayalı olarak bir kurtarma zamanı hedefi (RTO-Recovery Time Objective) belirlenir. Bir sonraki adımda ise bilgi sistemleri için bir kurtarma noktası hedefi (RPO-Recovery Point Objective) belirlenir.
İş Etki Analizinin üçüncü adımı ise diğer departmanların, tedarikçilerin, diğer üçüncü tarafların, kritik ekipmanın ve fiziksel kayıtların da dâhil edilebileceği iş süreci için kritik olan diğer tarafları ve fiziksel kaynakları belirlemektir.
İş Etki Analizi süreci esnasında saptanan kritik iş süreçleri için işletme kurtarma ve süreklilik stratejilerinin geliştirilmesi gerekir. İş kurtarma ve süreklilik stratejileri aşağıdaki çözüm türlerini içerebilir:
Manuel İş Süreçleri: BT sistemleri arızalıyken işler manuel olarak gerçekleştirilebilir.
Dışarıdan Hizmet Temini: İşlerin bir kısmını dış şirketler, rakipler (karşılıklı anlaşmalar yoluyla) veya ikincil satıcılar yapabilir.
BT İçin Felaket Kurtarma: Kritik sistemler için bir BT kurtarma çözümü gerekir, ancak bunlar pahalıya mal olabilecekleri için bir felaketin ardından başlangıçta manuel iş süreçleri kullanılabilir.
Alternatif Personel Görevlendirme: Personel içerisinde söz konusu işi yapabilecek başka kişiler belirlenebilir.
Alternatif Tesisler: Birincil personelin çalışabileceği alternatif tesisler belirlenebilir.
İşletme kurtarma ve süreklilik stratejileri geliştirilirken İş Süreklilik risk değerlendirmesi esnasında belirlenen olayların yanı sıra bu olayların kaynaklar üzerindeki olası etkileri de dikkate alınmalıdır. Şiddetli hava olayları veya deprem gibi aynı anda hem kurum tesislerini hem de çalışanların evlerini etkileyen bölgesel çapta etkili felaketler için alternatif tesis seçenekleri son derece sınırlı olabilir.
Kurtarma çözümlerine ihtiyaç sona erdiğinde, kurumun tekrar normal çalışmalarına geçişini sağlamak üzere bir plan yapılmalıdır. Kurum bir felaket durumunda olağanüstü koşullarda çalışmak durumunda kaldığı için geçiş zor olabilir. Sistemler kurtarılır kurtarılmaz manuel olarak toplanan veriler sistemlere girilmelidir. Felaket sırasında meydana gelen finansal ve düzenleme istisnaları uygun evraklar gönderilip onaylanarak çözümlenmelidir. Felaket durumundayken yapılan tüm ürün alışverişleri ikmal edilmeli ve ödünç alınan ürünler için karşı tarafa ödeme yapılmalıdır.
İş Etki Analizi ISO 22301 İş Sürekliliği Yönetim Sisteminin en temel süreçlerinden biridir. İş sürekliliği çalışmaları iş etki analizine göre yapılır ve sürdürülür.
İş etki analizinde, her birim yürüttüğü kritik faaliyetleri dokümante etmelidir. Bu aşamada aşağıdaki sorular dikkate alınmalıdır:
· Gerekli olan özel ekipman hangileridir ve nasıl kullanılır?
· Ana bilgisayar, ağ ve/veya internet erişimi yoksa departman nasıl çalışır?
· Hangi tek hata noktaları (single point of failure) söz konusudur ve bu riskler ne kadar önemlidir?
· Dış kaynaklı kritik ilişkiler ve bağımlılıklar nelerdir?
· Kurtarma alanında ihtiyaç duyulacak asgari personel ve alan sayısı nedir?
· Kurtarma tesisinde hangi özel formlar veya malzemeler gerekir?
· Kurtarma tesisinde hangi iletişim cihazlarına ihtiyaç duyulur?
· Hangi kritik operasyonel veya güvenlik kontrolleri kurtarma öncesinde uygulanmalıdır?
· Çalışanlar çapraz eğitim almış mıdır? Departman, kilit personele erişilememesi halinde bu personelin görevlerini yerine getirmesi gereken personel için yedekleme fonksiyonları/rolleri tanımlamış mıdır?
· Duygusal destek ve aile bakımı ihtiyaçları yeterince dikkate alınmakta mıdır?
İş Etki Analizi sürecinde temel olarak iki onay durumu söz konusudur:
· Süreç sahiplerinden iş etki analizindeki verilerin doğruluğunun onayının alınması,
· İş etki analizi sonuçları için yönetim onayın alınması.
İş Etki Analizi süreci sonunda aşağıdaki çıktılar üretilir:
· Kilit ürün ve hizmetlerin listesi
· Kilit ürün ve hizmetleri destekleyen faaliyetler
· Faaliyetlerde yaşanabilecek kesintilerin müşteri, finans, itibar ve hukuki açıdan zamana yayılmış etkileri ve varsayımlar
· Faaliyetler için RTO (Kurtarma Zamanı Hedefi) ve MTD (Maksimum Katlanılabilir Arıza Süresi) değerleri
· Faaliyetlerin devam edebilmesi için gerekli kaynaklar
· Ürün ve hizmetler için minimum iş sürekliliği hedefleri
İş Etki Analizi İşlem Adımları
Genel bilgilerden sonra, İş Etki Analizinin üç temel adımına geçecek olursak; aşağıda verilmiş olan şekilde örnek bir İş Etki Analizi süreci ve veri toplama faaliyetleri gösterilmektedir.
Adım 1. İş Süreçlerinin ve Kurtarma Kritikliğinin Belirlenmesi
Bir bilgi sistemi çok karmaşık olabilir ve genellikle çok sayıda görevi ve iş sürecini destekler. İş Etki Analizini uygun biçimde yapmak ve sistem hataları ve kesintilerinin kuruluş üzerindeki etkilerini anlamak için yönetim, iç ve dış irtibat noktaları ve BS Acil Durum (Contingency) Planı Koordinatörü birlikte çalışmalıdır. Belirlenen süreçlerin etkileri daha sonra erişilebilirlik, bütünlük (doğruluk) ve gizlilik bakımlarından daha detaylı analiz edilmeli, etki düzeyi (düşük etki, orta etki, yüksek etki) saptanmalıdır.
BS Acil Durum (Contingency) Planı Koordinatörü daha sonra süreç sahipleri, liderler ve yöneticilerle birlikte belirli süreçler veya sistem verilerinin kesinti ya da kullanım dışı olma durumlarına ilişkin kabul edilebilir arıza süresini belirlemelidir. Arıza süresi birçok farklı yolla belirlenebilir:
· Maksimum Katlanılabilir Arıza Süresi (MTD — Maximum Tolerable Downtime): Sistem sahibi/yetkili görevlisinin bir görev ya da iş sürecindeki kesinti ya da arıza için kabul ettiği toplam süredir ve tüm etki hususlarını içerir. Uygun kurtarma yönteminin seçimi, kapsamı ve içeriği de dâhil olmak üzere kurtarma prosedürleri geliştirilirken gerekli olacak detayların derinliğini belirlemek için önemlidir.
· Kurtarma Zamanı Hedefi (RTO — Recovery Time Objective): Diğer sistem kaynakları, desteklenen görev/iş süreçleri ve MTD üzerinde kabul edilemez bir etki oluşmadan önce bir sistem kaynağının kullanılamaz durumda olabileceği maksimum süreyi tanımlar. MTD gereksinimini en iyi biçimde karşılayacak uygun teknolojilerin seçimi için önemlidir.
· Kurtarma Noktası Hedefi (RPO — Recovery Point Objective): Görev/iş süreci verilerinin bir kesinti sonrasında, kesinti veya sistem arızasından önceki kurtarılabileceği (verinin en son yedek kopyası) zaman içindeki noktayı temsil eder. RTO’dan farklı olarak MTD’nin bir parçası olarak değerlendirilmez. Kurtarma süreci süresince görev/iş sürecinin ne kadar veri kaybına tahammülü olduğunu gösterir.
RTO, MTD’nin aşılmamasını sağlamak zorunda olduğundan normal olarak MTD’den daha kısa olmalıdır.
Yukarıda belirtilen faktörler ele alınarak, sistemin çalışmamasının maliyeti ile sistemi geri yüklemek için gerekli kaynakların maliyeti ve kritik görev/iş süreçlerini destekleme durumu dengelenerek bilgi sisteminin kurtarılması için optimum bir nokta belirlenmelidir. Bu noktanın tespiti için aşağıda verilmiş olan basit grafik kullanılabilir:
Bir kesintinin devam etmesine ne kadar uzun süre izin verilirse, kuruluş ve operasyonları için maliyet o kadar artar. Tersine, RTO ne kadar kısa olursa kurtarma çözümlerinin uygulanması o kadar pahalı olur. Örneğin, sistemin derhal kurtarılması gerekiyorsa, sıfır kesinti süresi çözümleri ve alternatif işleme sahası maliyetleri çok daha yüksek olurken, daha uzun bir RTO’ya sahip düşük etkili bir sistemde daha az maliyetli basit bir teyp yedekleme sistemi uygulanabilir. Maliyet denge noktası grafiğinin çizilmesi kesinti ve kurtarma maliyetleri arasındaki optimum noktayı gösterecektir.
Her olası stratejinin sabit bir taban maliyeti vardır (yani; bir felaket meydana gelene kadar zamanla değişmeyen). Her olası stratejinin sabit taban maliyeti farklı olabilir. Daha uzun bir kurtarma süresi hedefleyen bir iş süreklilik stratejisi daha sıkı olan bir stratejiden daha az pahalı, ancak kontrolden çıkan arıza süresi maliyetlerine çok daha duyarlı olacaktır. Normal olarak, hedeflenen kurtarma zamanı kısaldıkça sabit maliyetler artar. Kuruluş, bir felaket meydana gelmese bile planlama ve uygulama maliyetini karşılar.
Bir felaket durumunda değişken maliyetlerin önemli ölçüde artacağı da göz önünde bulundurulmalıdır. Değişken maliyetler uygulanan stratejiye bağlıdır. Özetle, tüm maliyetlerin toplamı — arıza süresi ve kurtarma — minimize edilmelidir. İlk grup (arıza süresi maliyetleri) zamanla artarken ikinci grup (kurtarma maliyetleri) zamanla azalır. Toplam genellikle bir U eğrisi biçimindedir. Bu U eğrisinin tabanı en düşük maliyeti verir.
Adım 2. Kaynak Gereksinimlerinin Belirlenmesi
Gerçekçi kurtarma çabaları, görev/iş süreçlerini olabildiğince çabuk sürdürmek için gereken kaynakların kapsamlı bir değerlendirmesini gerektirir. Yönetim ve sistemle ilişkili iç ve dış paydaşlarla birlikte çalışılarak sistem kaynakları hakkında tam bilgi sahibi olunduğundan emin olunmalıdır. Aşağıda verilmiş olan basit tablo kullanılarak ilgili bilgi sistemi kaynakları listelenebilir:
Adım 3. Sistem Kaynakları Kurtarma Önceliklerinin Belirlenmesi
Kurtarma önceliklerinin belirlenmesi İş Etki Analizi sürecinin en son adımıdır. Kurtarma öncelikleri görev/iş sürecinin kritikliği, kesintinin etkileri, katlanılabilir arıza süresi ve sistem kaynakları göz önünde bulundurularak etkili bir biçimde oluşturulabilir. Süreç sonunda bilgi sistemi kurtarma öncelikleri hiyerarşisi ortaya çıkar.
Her süreç kendi göreceli önemini belirlemek üzere değerlendirilmelidir. Sağlık ve emniyeti etkileyen süreçler, kesintisi halinde büyük gelir kaybına ya da olağanüstü maliyetlere neden olan süreçler, yasal gereksinimleri karşılayan süreçler kritiklik göstergelerine örnek olarak verilebilir.
Bir süreç, operasyon zamanı ya da operasyonun tipine göre (örneğin mesai saatlerinde ATM işlemleri) kritik ya da kritik olmayan süreç olarak değerlendirilebilir. Kritik bir iş süreci ile ilgili olmadığı sürece, bir bilgi kaynağında meydana gelen aksama/bozulma kendi başına bir felaket değildir.
Önleyici Kontrollerin Belirlenmesi
Bazı durumlarda, İş Etki Analizinde belirlenen kesintilerin etkileri, sistem üzerindeki etkileri engelleyen, tespit eden ve/veya azaltan önleyici tedbirlerle hafifletilebilir veya ortadan kaldırılabilir. Uygulanabilir ve uygun maliyetli olması halinde önleyici tedbirler bir kesintiden sonra sistemi kurtarmak için gerçekleştirilen eylemlere göre daha tercih edilebilirdir.
Sistem tipi ve konfigürasyonuna bağlı olarak değişkenlik göstermekle birlikte bazı önleyici tedbirler aşağıda listelenmiştir:
· Tüm sistem bileşenlerine (çevre ve güvenlik kontrolleri dâhil) kısa süreli yedek güç sağlamak için uygun boyutta kesintisiz güç kaynakları (UPS)
· Uzun süreli yedek güç sağlamak için benzin veya dizel motorlu jeneratörler
· Kompresör gibi bazı bileşenlerin arızalanmasını önlemek için yeterli kapasiteye sahip klima sistemleri
· Yangın söndürme sistemleri
· Yangın ve duman dedektörleri
· Bilgisayar odası tavan ve zeminindeki su sensörleri
· Yedek medya ve elektronik olmayan hayati kayıtlar için ısıya dayanıklı ve su geçirmez kaplar
· Ana sistem acil durum kapatma anahtarı
· Yedekleme medyasının, elektronik olmayan kayıtların ve sistem belgelerinin kurum dışında depolanması
· Kriptografik anahtar yönetimi gibi teknik güvenlik kontrolleri
· Sık zamanlanan yedeklemeler
Operasyonların Sınıflandırılması ve Kritiklik Analizi
İş Etki Analizi sürecindeki ilk adım olan operasyonların sınıflandırılması ve kritiklik analizini biraz daha detaylandırmakta fayda var. Bu adımda riske dayalı analizlerle kritik sistemlerin önceliklendirme faaliyeti desteklenir. Sınıflandırma 4 kategoride gerçekleştirilebilir: kritik, hayati, hassas ve duyarsız. Bir sistemin risk sıralaması, bir aksaklığın meydana gelme olasılığı ile kritik kurtarma süresinden türetilen etkiye dayalı olarak belirlenir.
Birçok kuruluş hazırlıklı olmak için katlanılacak makul bir maliyeti belirlerken meydana gelme riskini kullanır. Bu metot Yıllık Kayıp Beklentisi (ALE — Annual Loss Expectancy) olarak adlandırılır. ALE, bir yıldan uzun süren bir riskten kaynaklanan kayıp maliyetidir. Yıllık Kayıp Beklentisi hesaplaması, bir risk nedeniyle bir zararın yıllık maliyetinin belirlenmesini sağlar. Hesaplandıktan sonra ALE, riski azaltmak için bilinçli kararlar verilmesini sağlar.
Biraz daha somutlaştırmak adına, şifrelenmemiş dizüstü bilgisayarların çalınması ya da kaybedilmesi riskine ilişkin bir örnek üzerinden Yıllık Kayıp Beklentisi ve ilgili parametrelerin hesaplanmasını örneklendirelim:
Bu örnekte, Kişisel Olarak Tanımlanabilir Bilgi (PII — Personally Identifiable Information) içeren 1.000 dizüstü bilgisayara sahip bir firma, kaybedilen ya da çalınan cihazlar nedeniyle Kişisel Olarak Tanımlanabilir Bilgilerin kaybı riski konusunda endişe duymaktadır. Cihazların şifrelenmesi çözümünün satın alınması düşünülmekte olup bu çözüm pahalıdır ve üst yönetimin bu çözüm konusunda ikna edilmesi gerekmektedir.
Varlık Değeri
Korunmaya çalışılan varlığın değeridir. Bu örnekte, dizüstü bilgisayar maliyeti 2.500$ olup asıl değerli olan PII’dır. Daha önce çalınma olayı yaşanmış olup şirkete para cezaları, kötü tanıtım, yasal ücretler, araştırmaya harcanan personel saatleri vb. maliyetleri olmuştur. Bu örnekte, PII ile birlikte laptop fiyatı 25.000$ olarak belirlenmiştir.
Bilgisayar, bina gibi somut varlıkların değerlerinin hesaplanması kolay olup asıl güçlük marka sadakati gibi soyut varlıkların değerlerinin belirlenmesidir.
Deloitte’a göre soyut varlıkları hesaplamak için üç metot bulunmaktadır: pazar yaklaşımı, gelir yaklaşımı ve maliyet yaklaşımı. “Pazar yaklaşımı” bir varlığın gerçeğe uygun değerinin, benzer koşullardaki işlemlerde satın alınan karşılaştırılabilir varlıkların satın alındığı fiyatı yansıttığını varsayar. “Gelir yaklaşımı” bir varlığın değerinin, bir varlığın kalan faydalı ömrü boyunca üreteceği gelecekteki kazanç kapasitesinin, bugünkü değeri olduğu varsayımına dayanmaktadır. “Maliyet yaklaşımı” varlığın gerçeğe uygun değerini varlığın yeniden oluşturulması veya değiştirilmesi için maruz kalınacak maliyetlere göre tahmin eder.
Maruz Kalma Faktörü (Exposure Factor)
Maruz kalma faktörü bir varlığın bir olay yüzünden kaybedilen değerinin yüzdesidir. Şifrelenmemiş PII’a sahip bir laptopun çalınması durumunda Maruz Kalma Faktörü %100’dür. Laptop ile birlikte tüm veriler kaybedilmiştir.
Tek Kayıp Beklentisi (Single Loss Expectancy)
Tek bir kaybın maliyetidir. Tek Kayıp Beklentisi Varlık Değeri ile Maruz Kalma Faktörünün çarpımıdır. Bu örnekte, Tek Kayıp Beklentisi Varlık Değeri olan 25.000$ ile Maruz Kalma Faktörü olan %100’ün çarpımı, yani 25.000$’dır.
Yıllık Meydana Gelme Oranı (Annual Rate of Occurrence)
Her yıl maruz kalınan kayıp sayısıdır. Geçmişte yaşanan olaylara bakılarak, bu örnekte, yıllık ortalama laptop kaybı 11 olarak belirlenmiştir. Bu durumda Yıllık Meydana Gelme Oranı 11’dir.
Yıllık Kayıp Beklentisi
Bir risk yüzünden ortaya çıkan yıllık maliyettir. Tek Kayıp Beklentisi ile Yıllık Meydana Gelme Oranının çarpımı ile bulunur. Bu örnekte, 25.000$ ile 11’in çarpımı olan 275.000$ Yıllık Kayıp Beklentisidir.
Konunun kapsamı nedeniyle mecburen biraz uzun oldu. Kısaca toparlamak gerekirse, İş Süreklilik Planı konusunun biraz gölgesinde kalan, ancak sağlıklı bir İş Süreklilik Planının temel şartı olan İş Etki Analizi süreçlerin ve sistemlerin kritikliklerinin belirlenmesi, kaynak gereksinimlerinin belirlenmesi ve bu sistem kaynakları için kurtarma önceliklerinin belirlenmesi olmak üzere üç temel adımdan oluşmaktadır.
Bu konuda bir BS denetimi gerçekleştirilirken bu adımların gerekli titizlikle ve gerçek durumu yansıtacak biçimde yürütülüp yürütülmediği, sistemlerin kritikliği ve kaynak gereksinimleri, kesinti süreleri, kurtarma zamanı ve noktası hedeflerinin belirlenmesi gibi konularda süreç sahipleri ve tedarikçileri de içerecek biçimde veri toplama ve onay mekanizmalarının geliştirilip geliştirilmediği değerlendirilmelidir.
Bu denetimlerde kritik olan bir diğer konu da İş Süreklilik Planlarının İş Etki Analizine dayanıp dayanmadığı, ikisi arasındaki ilişkinin uygun biçimde kurulup kurulmadığı, risk çalışmaları ile uyumlu olup olmadığı ve güncel durumu yansıtacak biçimde sürekli olarak gözden geçirilip geçirilmediğinin değerlendirilmesidir.
Kaynaklar:
Conrad, E., Misenar, S., & Feldman, J. (2016). CISSP Study Guide. New York: Elsevier Inc.
Çakır, Z., & Dinçkan, A. (2013, 7 1). İş Sürekliliğinde İş Etki Analizi. 2 15, 2020 tarihinde BTYÖN Firması web sitesi: http://www.btyon.com.tr/is_surekliliginde_is_etki_analizi.pdf adresinden alındı
Everest, D., Garber, R. E., Keating, M., & Peterson, B. (2008, 7). İş Sürekliliği Yönetimi. Global Technology Audit Guide (GTAG) 10. Florida: IIA.
Kö, A. (2010). Risks Evaluation and IT Audit Aspects of Business Intelligence Solutions. N. Bajgoric içinde, Always-On Enterprise Information Systems for Business Continuance: Technologies for Reliable and Scalable Operations (s. 17–41). New York: IGI Global.
Swanson, M., Bowen, P., Phillips, A. W., Gallup, D., & Lynes, D. (2010, 5). Contingency Planning Guide for Federal Information Systems. NIST Special Publication 800–34 Rev. 1. National Institute of Standards and Technology.
USA Federal Financial Institutions Examination Council. (2003, 3). Business Continuity Planning. IT Examintion Handbook. USA: Federal Financial Institutions Examination Council.
