| Doküman No | P-DR221103 |
| Versiyon | 1.1 |
| Tür | Prosedür |
| Gizlilik | Genel Kamuya Açık |
Amaç
Bu politikanın ve bağlı planların amacı, EticSoft Bilgi Teknolojileri A.Ş.’nin, beklenmedik ve olağanüstü durumlarda müşterilerine, iş ortaklarına, düzenleyici kurumlara, iştirak ettiği ürün ve servislere, personeline ve üçüncü taraflara karşı olan yükümlülüklerini yerine getirme koşullarını, yöntemlerini ve prosedürlerini belirlemektir.
Acil ve Beklenmedik Durumların Tanımı ve Sınıflandırılması
EticSoft Bilgi Teknolojileri A.Ş.’nin faaliyetlerini durduran, kısıtlayan, engelleyen beklenmedik olaylar, doğal afetler, siber saldırılar, enerji ve iletişim kesintileri, güzenlik zaafiyetleri, fiziksel ortamın ve altyapının güvenliğine yönelik saldırılar acil ve beklenmedik durumlar olarak tanımlanmıştır.
1. Çalışma Ortamı İçin Olağanüstü Durumlar
EticSoft Bilgi Teknolojileri A.Ş’nin ofislerindeki çalışma ortamının erişilemez veya kullanılamaz hale gelmesi durumları:
- Doğal afetler,
- Yangın, sel, patlama, fırtına gibi doğa olayları,
- Su baskını, enerji kesintisi, iletişim hatlarının zarar görmesi gibi fiziksel olaylar,
- Gösteriler, salgın hastalıklar gibi toplumsal olaylar,
- Çatışma, savaş, terör saldırısı gibi güvenlik olayları.
Çalışma ofislerinin kullanılmasının mümkün veya güvenli olmadığı durumlarda çalışanların ofisleri kullanmadan, bulunduğu yerden (uzaktan çalışma) çalışma yöntemi ile iş sürekliliği sağlanacak olup, ilgili durumun ve varsa hasarın tespiti ve giderilmesi süresinde ofis ve envanterdeki cihaz bağımlılığı olmaksızın çalışabilme koşulları planlanmıştır.
Uzaktan çalışma modelinde çalışanlar arasındaki iletişimi sağlayacak yöntem ve uygulamalar her yıl belirlenerek acil durum planı olarak tüm pesonele iletilir.
Uzaktan çalışma modelinde şirketimizin tüm fonksiyonlarının asgari derece devam edilebileceği tecrübe edilerek bu çalışma modeli üzerinde verimliliği arttıracak geliştirmeler yapılmıştır.
2. Ürün ve Servisler İçin Acil Kurtarma Gereken Durumlar
EticSoft Bilgi Teknolojileri A.Ş’nin elektronik ürün ve servislerinin kullanım dışı kalması durumları aşağıdaki koşullarda mümkün görünmektedir.
- Doğal afetler, yangın, sel, patlama, fırtına gibi doğa olayları veya herhangi bir nedenle sonucunda veri merkezlerindeki iletişim veya enerji hatlarının zarar görmesi.
- Siber saldırılar.
- Veri merkezlerinin yaşayacağı olağanüstü durumlar.
EticSoft Bilgi Teknolojileri A.Ş. sunduğu ürün ve servisleri bu tür durumlarda aşağıdaki önlem ve yöntemleri sırasıyla kullanmak üzere her ürüne özel olarak felaket kurtarma planları olarak düzenlemiştir.
A) Otomatik Devreye Giren Yedek Sistemler
İlgili ürünün desteklemesi durumunda kesinti yaşanmaması amacıyla çok veri merkezli bulut yapılar üzerine kurulur. Bu yapıda veri merkezindeki kesinti durumunda yedekte bekleyen başka bir veri merkezindeki sistem devreye girer. Felaket durumlarında, yayın kaybı, veri kaybı veya herhangi bir kesinti olmaksızın yedek sistemler devreye girecek şekilde düzenlenir. İlgili servis/ürün çalışmaya devam eder. Felaket senaryo testlerini ürün servis ortamında yayına alınmadan önce uygulanır.
B) Felaket Kurtarma Yedekleri
İlgili ürünün mümkün kıldığı en yüksek sıklıkta yedeklenmesi planlanır ve yedekleme işlemlerini bir otomasyon sistemiyle yapar. Yedekler birbirinden en az 500km uzaklıktaki iki ayrı veri merkezinde saklanır. Bu yedeklerin kurtarma noktası hedefi ( RPO ) ve kurtarma süresi hedefi ( RTO ), olağanüstü durum kurtarma ve kesinti süresinin ölçümü için kullanılır.
EticSoft Bilgi Teknolojileri A.Ş. ürünleri ve sağladığı servisleri için her ürüne özel olarak devamlılık ve felaket kurtarma planı yapar. Felaket kurtarma planların genel taslağı aşağıdaki gibidir:
Felaket Kurtarma Planı Hazırlama Prosedürü
- Ürün veya servise ait varlıkların kaybı veya zarar görmesi halinde zarar görecek taraflar, oluşacak maddi ve hukuki kayıp belirlenir.
- Ürüne veya servise özel olarak riskler tanımlanır. Varsa diğer ürünlerle ilişklerin doğurduğu dolaylı riskler belirlenir. Bu risklerin ortaya çıkaracağı hukuki, ticari ve idari sorumluluklar ve kayıpların boyutu belirlenir.
- Ürüne/servise ait mimari çizimler ve erişim ağı topolojisi acil durum planına da eklenmek üzere tekrar incelenir ve ek riskler tanımlanmaya çalışılır.
- Mümkünse çok veri merkezli bir yapı ile otomatik devreye girecek anlık yedek sistem mimarisi planlanır. Bu mimari test edilir.
- Otomatik devreye giren yedek sisteminden bağımsız olarak bir felaket kurtarma planı hazırlanır. Kurtarma adımlardan oluşan bir iş planı halinde geliştirilir. Yazılı hale getirilir.
- Görevli personel için Acil durum üst düzey erişim prosedürüne göre erişim planı yapılır.
- Kurtarma işleminin süresi (RTO) ve noktası (RPO) belirlenir.
- RTO süresinde ve sonunda ilgili müşterileri bilgilendirme yöntemleri belirlenir.
- İlgili personellerin çalışma planına göre ön görevlendirmeleri yapılır. Gereksinimleri (kurtarma sistemine erişim gibi) belirlenir ve iletişim bilgileri ile kayıt altına alınır.