ISO 22301:2019 Neler değişti?
Bu yazıda, ISO 22301:2019 gereksinimlerini yansıtacak şekilde iş sürekliliği yönetim sisteminizi (BCMS) nasıl uygulamamız gerektiğine dair fikirler sunarak yapılan değişikliklere ve kullanıcılara etkisine bakalım istiyorum.
Bildiğiniz üzere 2019 yılı sonu itibari ile ISO 22301 ISYS, iş sürekliliği dünyasında süregelen değişiklikleri yansıtacak ve “Yönetim Sistemi Standardı” gereksinimlerinin sürekli gelişimine yanıt verecek şekilde revize edilmiştir.
ISO Yönetim Sistemi Standartları , uluslararası kullanıcı topluluklarından gelen mevcut düşünce ve geri bildirimleri yansıtmaya devam etmelerini sağlamak için periyodik olarak gözden geçirilir. Değişiklikler, sektör değişikliğine ve genel yeniden modelleme ve/veya iyileştirme isteğine bağlı olarak küçük değişikliklerden büyük düzenlemelere kadar değişiklik gösterir. Genellikle bu her beş yılda bir olur.
ISO 22301:2012, 2017'de gözden geçirilmek üzere gündeme gelmişti ve ISO (Uluslararası Standardizasyon Organizasyonu), ilgili Komiteler ve ülke üyelerinden değişim için ne düzeyde beklenti olduğuna dair geri bildirimleri alarak süreci başlattı. ISO’nun kendisi tarafından yönetilen süreç, orijinal yayınından bu yana hem teknik hem de doğrudan Yönetim Sistemleri ile ilgili ortaya çıkan sorunları ele almak ve içeriğin tekilliğini ortadan kaldırmak için genel bir gözden geçirme ve güncellemenin uygun olacağı yönündeydi.
Ayrıntılara girmeden önce, sizlere YSS’nin hem teknik (yani, ISO 22301 durumunda Madde 8 iş sürekliliği yönetimi gereksinimleri) hem de yönetim sistemi gereksinimlerinden (madde 4, 5, 6, 7, 9, 10) oluştuğunu hatırlatmaya gerek olabilir. Bu öğelerin etrafında oturduğu çerçeveyi korumak ve geliştirmek için birlikte bir dizi gereksinimlerde yer almaktadır. Yönetim sistemi standartlarının bu teknik olmayan gereksinimleri, genel bir yönetim sistemi çerçevesi geliştirmek amacıyla 2012 yılında ISO tarafından gözden geçirilerek, birden fazla YSS’ne sahip kuruluşlar için hayatı çok daha basit hale getirmişti.
İlgili ekler oluşturuldu ve ISO 22301:2012 bu yeni yaklaşımı uygulayan ilk YSS oldu. Bu, ISO 22301'in gözden geçirilmesine başladığımızda dikkate almamız gereken önemli bir durum olacaktır.
ISO 22301'in gözden geçirilmesi, 2017 ve 2019 yılları arasında, dünyanın dört bir yanındaki ilgili taraflardan toplanan yorumlarla birlikte Teknik Komitelerin kendi önerilen değişikliklerini belirlemesiyle gerçekleştirildi ve tümü, önemli olmayan bir inceleme ve üye ülkelerin üzerinde anlaşabileceği uygulanabilir bir çözümün geliştirilmesiyle sonuçlandı.
2019 versiyonu, öncekinden önemli ölçüde daha az ayrıntılı ve kuralcı gözükebilir. Ancak, detayları çıkarma ve daha az yön gösterme sürecinde, Standart, yönetim sistemi süreçlerini tasarlamak ve uygulamaktan sorumlu olan kişilerin becerilerine ve yetkinliğine daha fazla önem vermektedir. Bir iş sürekliliği yönetim sistemini (ISYS) oluşturan süreçlerde önemli değişiklikler bulunmamaktadır ve aynı nihai sonuçların alınması gerekmektedir.
ISO 22301:2019 Neler değişti?
Bazıları standardın önsözünde yer alan başlık değişiklikleri aşağıdaki gibidir;
ISO 22301, artık ISO’nun 2012'den beri gelişen yönetim sistemi standartları gereksinimlerine uygundur (Ek SL). (ISO 22301:2012'nin yeni Annex SL yönergelerini izleyen ilk ISO YSS olduğunu unutmamak lazım. O zamandan beri bu yaklaşım kullanılarak çok sayıda YSS revize edildi veya geliştirildi ve ISO 22301:2012'de uygulanan yorum o zamandan beri gelişti). Bu, 2019 güncellemesi için önemli bir odak noktası olmuştur;
- Gereksinimler, yeni gereksinim eklenmeden netleştirildi (ancak aşağıdaki değişikliklere bakmamız lazım);
- Disipline özgü iş sürekliliği gereksinimleri artık neredeyse tamamen 8. bölümde yer almaktadır;
- Açıklığı artırmak ve mevcut düşünceyi yansıtmak için disipline özgü bir dizi iş sürekliliği terimi değiştirildi; ve
- Madde 8'deki içerik yeniden düzenlendi, tekrarlar kaldırıldı ve terminoloji basitleştirildi ve daha tutarlı hale getirildi.
Bunların hepsi kulağa mantıklı gelmekte. Daha az tekrar, en uygun madde içinde yer alan gereksinimler ve yönetim sistemi gereksinimleri artık başta ISO 9001 ve ISO 27001 olmak üzere diğer Standartlarla yakından uyumludur. Ancak ISO 22301:2019, üzerinde daha fazla düşünülmesi gerektiğine inandığım değişiklikleri içeriyor. Deneyimli bir uygulayıcı için bu değişikliklerin çoğu ‘yeni’ olarak algılanmayacak ve aslında basitçe iyi bir ISY uygulaması gibi görünse de, iş sürekliliği yönetimi veya yönetim sistemlerinde daha az deneyimli okuyucular için daha fazla açıklama olduğunu hissediyorum.
Örneğin İş etki analizini (BIA) yürütmek için gereksinimler artık daha net. Kabul edilemez etki, maksimum tolere edilebilir kesinti süresi ve faaliyetin yeniden başlatılması için önceliklendirilmiş zaman çerçeveleri arasındaki ilişki, “öncelikli faaliyetleri” belirlemek için BIA’nın kullanılmasının yanı sıra tanımlanmış oldu. 2012 baskısı, yalnızca etkiyi dikkate almak için önceliklendirilmiş zaman dilimleri içeriyordu. 2019 versiyonunda BIA sürecini belgelemek için özel bir gereklilik bulunmadığına dikkat edilmelidir.
Ayrıntılı değişiklikler
Tabii ki Standardın tamamını okumayı unutmayın :) Burada dikkate almanız gereken aşağıdaki noktaları bulacaksınız:
ISO 22301 Giriş
Giriş (0.2) içerisine ‘İş sürekliliği yönetim sisteminin faydaları’ başlıklı yeni bir bölüm eklendi. Bu yararlı bir genel bakış ve BCM’nin üst yönetime ve organizasyonun geri kalanına “anlatılması” için bir temel olabilir.
PUKÖ Döngüsü
PUKÖdöngüsü hala mevcut, ancak ne yazık ki artık her bir maddeyi (4–10) 2012 versiyonunda olduğu gibi 4 PUKÖ aşamasından birine hizalamamaktadır. Bununla birlikte, yine de bu bölüm, ISO 22301 dahil olmak üzere, yönetim sistemlerine yeni başlayan herkese yönetim sistemleri yaklaşımını tanıtmak için faydalı bir bölümdür ve yeni bir yönetim sistemi tasarlarken ve uygularken ‘planlama’ aşamasının ne kadar önemli olduğunu göstermenin güçlü bir yoludur.
Madde 3 — Terimler ve Tanımlar
Bazı yeni (örnekler “bozulma” ve “etki”yi içerir) ve revize edilmiş terimler ve tanımlar vardır, diğerleri kaldırılmış ve ilgili notlarda bazı değişiklikler yapılmıştır. Okuyucular ayrıca birçok başka terim ve tanımın bulunduğu ISO 22300'e başvurmalıdır. (Not ISO 22300:2018 şu anda inceleme altındadır)
Madde 4 — Organizasyonu ve İçeriğini Anlamak
Uzunluğu azaltılmış, bu artık yalnızca yüksek düzeyde bir gerekliliktir. ‘Bağlamınızın’ nasıl görünebileceğini belgelemeye artık gerek bulunmuyor, sadece dış ve iç husuların ne olduğunu belirlemeniz yeterli olacaktır. 2019 azaltılmış ifadeler Standarda yeni başlayanlar için o kadar açık olmayabilir, ancak şimdi benzer ifadeleri uygulayan diğer YSS’leri yansıtmaktadır.
Madde 5.2 — İş Sürekliliği Politikası
Sürekli uygunluk için Politikanın gözden geçirilmesi gerekliliği, Politika maddesinden (5.2.2) kaldırılmıştır, ancak Yönetimin Gözden Geçirme girdileri (madde 9.3.2.e) kapsamındadır ve böylece tekrarlama ortadan kalkmış durumda. Bu gereksinimi gözden kaçırmamaya özen gösterin.
Madde 6 — Planlama
Madde 6, diğer mevcut YSS’yi yansıtacak şekilde yeniden yapılandırılmıştır. ISO 22301 artık “ISYS ‘indeki 6.3 Planlama Değişikliklerini “ içermektedir. Diğer YSS kullanıcılarının bu gerekliliği ele almak için yerinde düzenleme yapmaları gerekebilir, ancak mevcut ISO 22301 (yalnızca) kullanıcıları artık ISYS’de değişiklik yapma planlarını nasıl ifade edeceklerini planlamaya ve karar vermeye yönlendirilmiştir.
Madde 7.4 — İletişim
Madde 7.4 diğer YSS’leri artık daha iyi yansıtıyor, yalnızca ISYS’nin öğelerini iletme ihtiyacına atıfta bulunuyor. Daha önce, ifadeler, yönetim sistemi iletişim beklentileri ile özellikle iş sürekliliği iletişimini yönetmek için olanlar arasında örtüşüyordu; örneğin, kesintiye neden olan bir olay sırasında iletişim araçlarının kullanılabilirliğini sağlamak gibi. İş sürekliliğine özel iletişim gereksinimlerinin tümü artık madde 8.4.3.1'de bulunabilir.
Madde 8 — Operasyon
ISO 22301:2012 de kullanıcıların eleştirilerinden biri, bir kuruluşun tedarik zincirinin kendi iş sürekliliği yeteneklerini yönetme ihtiyacına ilişkin ayrıntılı bir gerekliliğin olmamasıydı. Buna, kuruluşun tedarikçilerinin iş sürekliliği yeteneklerine ilişkin değerlendirmeler yapması gerektiğini belirten Madde 8.3.1'in sonunda ufak bir atıf yapılmıştır. Bu gereklilik, benim deneyimime göre, bunun pratikte neye benzeyebileceğinin geniş bir yorumuna yol açtı, ancak bunu bağlamak için net bir “gereklilik” yoktu. ISO 22301:2019 de de spesifik değil (bkz. madde 8.6 c) ancak , şu anda ek sağlayan ‘PD ISO/TS 22318 Toplumsal Güvenlik — İş sürekliliği yönetim sistemleri — Tedarik zinciri sürekliliği için yönergeler’ adlı özel bir dokümanımız var Bu alanda ayrıntılı rehberlik edeceğini düşünüyorum.
Madde 8.2.2 — İş Etki Analizi
Artık standart, kuruluşun bağlamıyla ilgili ‘etki türleri ve kriterleri’ tanımlama ve bunları zaman içindeki etkiyi değerlendirmek için kullanma gereksinimine odaklanmaktadır. ISO 22313'ün gelecek sürümünü kullanarak (2020'nin başlarında yeniden yayınlanacaktır) ‘etki türleri’ örnekleri sunulmuş ve şunları içerir; Finansal, İtibar, Operasyonel ve Yasal ve Düzenleyici. (Bu, etki türlerinin tam listesi olarak görülmemelidir). Bunlar yeni kavramlar değildir ve birçok kuruluş BIA ve/veya risk yönetimi metodolojilerine bu tür bir değerlendirmeyi zaten dahil etmektedir, dolayısıyla bu yeni bir gereklilik olarak değil, açıklama olarak görülmelidir. Bununla birlikte, bazı ISO 22301 kullanıcılarının artık BIA metodolojilerinin bunu yansıttığından emin olmaları gerekebilir. Bu konuda daha fazla bilgi için PD/ISO/TS 22317 Toplumsal güvenlik — İş sürekliliği yönetim sistemleri — İş etki analizi (BIA) yönergelerine bakmakta fayda var.
İş etki analizi, öncelikli faaliyetleri belirlemek için kullanılır. Kaynakları ve bağımlılıkları belirleme ihtiyacı (madde 8.2.2 g ve h) yalnızca “öncelikli faaliyetlere” kadar uzanmaktadır.
‘Risk iştahına’ yapılan atıflar Risk Değerlendirmesi madde 8.2.3'ten kaldırılmıştır (ancak yine de Bağlam madde 4.1 Not ve Stratejiler madde 8.3.3'te buna atıfta bulunulmaktadır). Bunun için alınan karar, ISO 31000 Risk Yönetimi — Yönergeleri; artık risk iştahını ifade etmemektedir.
Madde 8.3 — İş Sürekliliği Stratejisi
Artık ‘İş sürekliliği stratejisi ve çözümleri’ olarak ifade ediliyor. Her strateji bir veya daha fazla “çözüm”den oluşabilir. Bu yeni bir şey değil elbette. Bir örnek vermek gerekirse, bir üçüncü taraf kurtarma merkezini kullanmak veya sözleşme yapmak için alternatif şirket konumlarını belirlemek olan bir çözümle tesisler etrafında bir strateji uygulamak olabilir. Ayrıca Kaynak Gereksinimleri; Taşımacılık (madde 8.3.4 f) ‘lojistiği’ içerecek şekilde genişletildi.
Artık “seçilen iş sürekliliği çözümlerini uygulamak ve sürdürmek (madde 8.3.5) gerektiğinde etkinleştirilebilmeleri için” bir gereklilik vardır. Yine, bu şimdi daha açık olabilir, ancak iş olgunlaştıkça veya değiştikçe ve gerektiğinde bunları değiştirdikçe, kuruluşların stratejileri ve devam eden uygulanabilirliklerini zaten gözden geçirmeleri umulmaktadır.
Madde 8.4 — Acil durum Müdahale ve İş Sürekliliği Planları
Bu, muhtemelen ilk kez ele alınması gereken bazı özel konular olduğundan, hem sistem uygulayıcısı hem de denetçi açısından ilginç bir bölümdür. Standardın metni artık iş sürekliliği planlarını ve prosedürlerini şart koşmaktadır;
- Kesintilere yanıt vermekten bir veya daha fazla ekip sorumlu olacak şekilde yapılandırılmasını istemektedir.
- Takımlar arasındaki ilişkiler, rolleri ve sorumlulukları belirtilmelidir.
Her takım, ‘yedekler’ dahil personeli ve belirlenen rolü yerine getirmek için devletin sorumluluğu, yetkisi ve yetkinliğini belirlemelidir (Bu, Yedekler açısından öncekinden daha ileri gitmektedir). - Çevre üzerindeki etki de dahil olmak üzere bir kesintinin ani sonuçlarının nasıl yönetileceğine ilişkin ayrıntıları içermelidir.
- Her plan, bir geri çekilme süreci içermelidir (Madde 8.4.4 g’deki toplu listedeydi).
- Her plan, gerekli olduğu zaman ve yerde kullanılabilir ve kullanılabilir olacaktır.
Madde 8.5 — Test Programı
Yine, dikkate alınması gereken ufak tefek eklemeler yapıldı. Artık bir kuruluşun, aksaklıklarla ilgili olarak gerçekleştirmek zorunda olanlar için ekip çalışması, yetkinlik, güven ve bilgi gibi konuları geliştirmelidir.
Madde 8.5.d artık süreklilik stratejilerinin ve çözümlerinin (basitçe IS düzenlemeleri yerine) doğrulanmasına doğrudan atıfta bulunmaktadır.
Madde 9 — Performans Geliştirme
İzleme, ölçme, analiz ve değerlendirme artık sadece izleme ve ölçmenin ne zaman gerçekleştirileceğini değil, aynı zamanda sonuçların ne zaman analiz edilip değerlendirileceğini ve aynı zamanda kimin tarafından gerçekleştirileceğini belirleme gerekliliklerini içermektedir. Bu sorumluluk, zihinlerin odaklanmasına yardımcı olabilir ve kuruluşları her zaman bu ekstra adımı atmaya teşvik etsem de, bu artık bir gerekliliktir.
Performans metriklerine yapılan atıflar kaldırıldı ancak bu, size yardımcı oluyorlarsa bunları üretmeyi otomatik olarak durdurmanız gerektiği anlamına gelmiyor.
Madde gereksinimlerinin düzenlenmesi ile. Performans Değerlendirmesi artık iş sürekliliği belgeleri ve yeteneklerine değil, yalnızca iş sürekliliği yönetim sistemine odaklanmaktadır.
Garip bir şekilde, iç denetim programlarının (diğer şeylerin yanı sıra) risk değerlendirmelerinin sonuçlarına dayanması için artık belirli bir gereklilik yoktur. Açıklanamayan ve basitçe diğer MSS’nin revize edilme şeklini takip eden bu durum, iç denetimlerin planlanması ve yürütülmesinden sorumlu tüm departmanlar için kesinlikle dikkate alınması gereken bir husustur.
Yönetimin Gözden Geçirmesi girdileri ve çıktıları yeniden düzenlendi ve listeler kısaltıldı. Bununla birlikte, alıştırmaların ve testlerin sonuçlarının değerlendirilmesi gibi bazı gereksinimlerin, yalnızca 8.6 (b) maddesine eklenmek üzere en son “girdi” gereksinimlerinden çıkarılmış olabileceğine dikkat edin.
Son olarak, Sürekli İyileştirme genişletildi ve kuruluşun devam eden iyileştirme hedefinde üstlendiği ISYS analizini iyi kullanmasını gerektirmekte olduğunu görüyoruz. Yönetim sistemi kullanıcıları için bunun bir zorluk oluşturması pek olası değil, ancak bir yönetim sistemine sahip olmanın temel amaçlarını gözden kaçırmış görünen ve bu nedenle bir adım geri atıp nasıl maksimize ettiğini düşünme ihtiyacı olan kuruluşlarla sıkça karşılaşıyoruz.
Temel Bakış
ISO 22301:2019, değişiklikleri tespit etmek için “keskin bir göz” gerektiriyor ve birazda çalışma, ancak daha da önemlisi, bence, iş sürekliliği yönetimine ve onun bir parçasını oluşturduğu sisteme daha geniş bir bakış açısı gerektirmekte. Bir ISYS hala bileşenlerinin çoğunun PLANLA, UYGULA, KONTROL ET, AKSİYON AL modelinin Planlama unsuruna odaklanmasını gerektirir, bu nedenle hem ISYS’nizi geliştirirken hem de gözden geçirirken ve güncellerken bunu aklınızda bulundurun.
ISO 22301:2019'a Geçiş
Kuruluşunuz şu anda ISO 22301:2012 sertifikasına sahipse, ISO 22301:2019'a geçmek için muhtemelen üç yıla kadar bir süreniz olacaktır. 30 Ekim 2022'den sonra ISO 22301:2012 sertifikası artık geçerli olmayacaktır.
Bu yazının yazıldığı tarihte BSI, sisteminizi güncellemeniz ve ISO 22301:2019 ile uyumlu hale getirmeniz için size zaman tanımak için 30 Nisan 2021'e kadar ISO 22301:2012'ye göre denetimler sunmaya devam edeceğini belirtti.
ISO 22301'in 2019 versiyonuna geçişle ilgili yukarıdaki bilgiler henüz UKAS tarafından resmi olarak onaylanmamıştır. UKAS tarafından akredite edilmiş Sertifikasyon Kuruluşlarının da geçiş yapması gerekecektir.
Müşterilerine standardın en son versiyonuna akredite sertifika sunmadan önce bu ilişkileri kontrol etmenizde fayda var.
