İlk bölümünde ISO 27001 İnsan Kaynakları Güvenliği – İstihdam Öncesi  konusunu anlattığım yazının ikinci ve son bölümünde, İnsan Kaynakları güvenliğinde çalışma esnasında, İstihdamın sonlandırılması ve değiştirilmesi başlıkları altında ISO 27001 standardının İnsan Kaynakları tarafında neleri istediklerine değineceğim. Yönetimin Sorumlulukları, Bilgi güvenliği farkındalığı, eğitim ve öğretimi, Disiplin prosesi ve İstihdam sorumluluklarının sonlandırılması veya değiştirilmesi başlıkları altında toplanan bu başlıkları açıklarsak…

Yönetimin Sorumlulukları:  Standardın bütününe baktığımızda yönetimin desteği olmadan sistemin yürütülemeyeceği anlamını çıkartıyoruz. Bu maddede de üst yönetimden bilgi sistemlerine veya kritik (gizli) bilgilere veya tesislere erişim yetkisi verilmeden önce tüm personele ve yüklenicilere bilgi güvenliğinin sağlanması ile ilgili rol ve sorumluluklarını doğru şekilde bilgilendirmesi gerekmektedir.

Az sonra aşağıda detaylı olarak değineceğim Farkındalık ile ilgili personelin yeterli seviyeye getirilmesini sağlamalıdır.

Bilgi Güvenliği ile ilgili yaşanan olay ve ihlaller ile ilgili bir raporlama metodunun oluşturulmasının sağlanması. (Bu durumu tüm kullanıcılara aşılamak gerekir. “Şahsi fikrime göre; İhlal Olaylarını iyi yönetebilen (kayıt altına alma, aksiyon gerçekleştirme ve etkinlik ölçme) firma bence sistemi çalıştırıyor demektir.”)

Kuruluşun bilgi güvenliği politikası ve istihdam koşullarına uyulmasının temin edilmesi sağlanmalıdır.

Üst Yönetim; Yetkin personeller için, etkinlik ve performans değerlendirmelerin düzenli olarak gerçekleştirilmesi, gerekli yetkinliğe sahip olmayan personelinde o yetkinliği kazanabilmesi için gerek iç, gerekse dış eğitimlere gönderilerek bu yetkinliği kazanmasının sağlanmasından sorumludur.

Sonuçta kurmuş olduğunuz sistemin düzgün olarak çalışmasını istiyorsanız. Personelinize değer vermeniz gerekmektedir. Moral ve motivasyonu yüksek olan personel kurum ya da kuruluşlar için daha güvenilir kişiler olacağından. İçeride yaşanan ihlal olayları sayısının da düşük olması oranı da bir o kadar düşük olacaktır. Kötü bir yönetim ise bu durumun tam aksine neden olabilir. Bu durumu formüle dökersek

İhlal Olayı  = 1 / Motivasyonu Yüksek Personel

bu şekilde özetleyebilirim. : )

 

Bilgi güvenliği farkındalığı, eğitim ve öğretimi:  Az önce yukarıda bahsettiğimiz farkındalık maddesinde Kuruluştaki tüm çalışanlar ve ilgili olan yerlerde yükleniciler, kendi iş fonksiyonları ile ilgili olduğunda, kurumsal politika ve prosedürlerle ilgili uygun farkındalık eğitim ve öğretimini ve düzenli güncellemeleri almalıdırlar.

Bu eğitim, kuruluşun bilgi güvenliği politikaları doğrultusunda bilginin nasıl korunacağı ile ilgili, kişilere ne gibi kontroller uygulamaları gerektiğini anlatmalıdır.

Yıl içerisinde düzenli olarak planlanmalı. Hatta sırf eğitim şeklinde değil değişik programlar ile de güncellenebilir. Örn: Son günlerde meşhur olan CryptoLocker virüsü ile ilgili tüm çalışanlara bilgilendirme maili atılması gibi…

Etkinlik ölçüm metodu mutlaka belirlenmeli ve düzenli olarak etkinlik ölçümleri gerçekleştirilmelidir.

Farkındalık eğitimi, sınıf tabanlı, uzaktan eğitimi, web tabanlı, kendi kendine ve diğer yöntemler de dâhil olmak üzere farklı dağıtım ortamlarını kullanabilir.

Farkındalık programı bilgi güvenliği ihlal olaylarından öğrenim üzerine inşa edilmelidir.

 

Disiplin Prosesi: Kasıtlı yada kasıtsız olarak bir bilgi güvenliği ihlaline yol açan personeller için bu olayı yaptığında başına ne geleceğini anlatan bir disiplin prosesi uygulanmalıdır. Bu proses tüm çalışanlara bildirilmelidir.

Disiplin prosesi, bir bilgi güvenliği ihlalinin gerçekleştiğinin doğrulanmasından önce devreye girmemelidir.

Disiplin prosesi, kuruluşun bilgi güvenliği politikaları ve prosedürlerinin ihlal edilmesi ve diğer bilgi güvenliği ihlallerini önlemek için caydırıcı olarak kullanılmalıdır. Kasıtlı ihlallerde acil eylemler gerekebilir. Yasal süreç başlatılacaksa da gerekli kanıt ve kayıtların mutlaka toplanması gerekmektedir.

İstihdamın sonlandırılması ve değiştirilmesi

İstihdam sorumluluklarının sonlandırılması veya değiştirilmesi: İstihdamın sonlandırılması ile ilgili tüm işlemlerin tanımlanmış olması ve düzenli olarak gerçekleştirilmesi gerekmektedir.

Çalışan ve yüklenici sözleşmelerinde istihdamın sona ermesinden sonra da geçerli olan çalışan veya yüklenicinin istihdam hüküm ve koşulları yer almalıdır.

Sorumluluk veya istihdam değişiklikleri, mevcut sorumluluğun sona erdirilmesi veya yeni sorumluluk ve istihdam başlaması ile birlikte işe dâhil edilmesi yönetilmelidir.

İstihdam sonlandırılması ile ilgili proseste erişim haklarının kaldırılmış olmasının kontrolünün düzenli olarak gerçekleştirilmesi gerekmektedir. (Erişim hakları yalnızca bilişim sistemleri üzerinde değil, kartlı giriş yetkileri vb. farklı erişim yöntemlerini de içerebilir.)

Görev ve pozisyon değişiklikleri ile ilgili olarak da prosesin detaylı olarak gerçekleştirilmesi. Zimmet olayları ile ilgili değişiklik gerçekleşecekse bunun takibinin yapılması, yeni erişim yetkilerinin verilmesi, eski pozisyondaki erişim yetkileri kaldırılacaksa bu yetkilerin kaldırılması gibi kritik noktalara değinilmelidir.

İnsan kaynakları güvenliği ile ilgili az da olsa bilgilendirme yapmaya çalıştım. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ile ilgili yazılarıma devam edeceğim.

Yazar Hakkında

Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

Bir Yorum Yap

This site uses Akismet to reduce spam. Learn how your comment data is processed.