merhaba arkadaşlar,
denetçiler bu konuda farkındalık yaratmaya başladılar.
burada uygulanabilir tatbikatlar yapılması isteniyor.
bu bağlamda acil durum planlarınızda / anormal durum tanımlamalarınıza bakmanız önem arz etmektedir. anormal durumları tanımlamamışsanız üzerine tatbikat yapabilme şansınızda olmuyor.
örnek tatbikatlar;
**siber saldırı / oltalama dediğimiz (IT çalışanlarınız iyi bilir) tatbikat çok rahat yapılabilmektedir. burada tatbikat kısmı kolay ancak siber saldırı olduğu için altında işleyen formlara ihtiyacınız var. sistem belki oltalamayı engelledi. ancak tatbikat raporuna siber saldırı bildirim formu / siber saldırı olay değerlendirme formu gibi alt dokümantasyonu da eklemeniz lazım. ISO 27001 sahipseniz bu tarz dokümanlar mevcuttur.
**anormal durumlarınızdan örneğin kritik elemanın işe gelmemesi;
illaki firmanızda daha önce özellikle doğal olaylar ile ilgili tatbikatlar yapılmıştır. bu tatbikat formatını kullanarak veya isg/çevre uzmanlarında formatlar vardır. bunları üretime direk etki edecek bir olay ile ilgili kullanmak için sisteme tanıtmanız gerekmektedir.
peki ne yapacağız. öncelikle tatbikat yapacağımız kişiler ve ilgili diğer kişilere anormal durum tiplerini akışlarını, eskalasyon sistemi ile alakalı eğitim vermemiz gerekmektedir.
sonrasında sisteme tanıttığımız bir tatbikat formuna bir senaryo yazmamız gerekmektedir.
kritik eleman işe gelmedi?
kim tespit etti?
kime haber verdi? (doğru kişiye haber verdi mi?)
yerine geçecek elemanı kim tespit etti?
yerine geçecek eleman doğrulandı mı? (polivalans-eğitim)
doğrulanırken gerekli dokümantasyon doğruldu mu? (4M change prosedürü)
gibi...
burada odaklanmanız gereken anormal durumlarınız tanımlımı?
eskalasyon net mi?
kayıt sistemi net mi?
sonrasında seçeceğiniz bir anormal durum için ''durumun başlangıcını simüle ederek'' - ilgili kişileri ve yaptıklarını izleyerek tatbikat raporu üzerinden kayıt almanız.
periyodik yapılacağını ve her sene farklı bir anormal durumu simüle ederek ilerleyeceğinizi unutmayınız!
kolay gelsin
