Herkese tekrar merhaba;
İşlerin yoğunlaşması nedeniyle yazılarıma biraz ara verdim. Fakat güzel bir baş denetçi eğitimimizin ardından tekrar sizlerleyim. Bu yazımda Bilgi Güvenliği Yönetim Sisteminde en kritik varlık olan ve bilgiyi asıl taşıyan kişi olan İNSAN : )))) için hazırlanmış madde olan İnsan Kaynakları Güvenliği Maddesi ile ilgili bilgi ve birikimlerimi paylaşacağım. Her zaman dediğim gibi yazmış olduğum yazılar standardın tamamını karşılamamakla beraber, sadece sistem kurmak veya denetim icra etmek isteyen arkadaşlarımız için yol gösterici veya kafalarında bir ışık uyandırıcı niteliği taşımaktadır.
Standardımızın bu maddesi (A.7) Bilgi güvenliği ile ilgili işe alım, çalışma esnasında ve sonlandırma veya yer değiştirme ile ilgili ne gibi aksiyonlar almamız gerektiğine değinmektedir.
Tarama: Bu madde de ISO 27001 işe alım sırasında kurum yada kuruluşlardan geçmiş doğrulama kontrollerinin yapılmasını beklemektedir. Şuanda da ülkemizde çeşitli kurum veya kuruluşlarda karşımıza çıkan bu ilginç durumlara bol bol örnekleri gerek medyadan gerekse sosyal medya üzerinden takip etmekteyiz. Peki nedir bu TARAMA? Aslında gayet basit bir şekilde özet geçersek geçmiş doğrulama kontrolü yani işe alınacak personelin daha önce herhangi bir sabıkası var mı? yok mu?, bize vermiş olduğu Diploma gerçek mi? Sahte mi? Daha önce çalışmış olduğu iş ile ilgili vermiş olduğu referansların doğruluğu var mı? [1], Kişi kimlik doğrulamasının gerçekleştirilmesi (Nüfus kağıdı, pasaport, ehliyet vb..), Özellikle kritik veya hassas bölgelerde yer alacak personel için ise daha detaylı güvenlik araştırmaları gerçekleştirilmelidir.
Örn: Finans bölümünde çalışacak bir personel işe alırken çek-senet işinden cezaevinde yatmış bir kişi aldığınızı bilmeniz gibi.. :)))
Tabi bu tarama işlemleri ile ilgili kuruluşlar yalnızda kendi personeli için değil çalışmış oldukları yükleniciler içinde aynı yolları izlemelidirler.
[1] Referans kontrolü yapmadan önce işe alınacak kişiye göstermiş olduğu referans kişilerin aranacağı hakkında bilgi vermemiz gerekmektedir.
İstihdam Hüküm Koşulları: Gizli bilgilere erişim izni olan tüm çalışanlar ve yükleniciler ile bilginin olduğu yere erişim yetkisi vermeden önce birer gizlilik sözleşmesi imzalatılmalıdır.
Çalışanlar yada yükleniciler belirlenen kurallara uymadığı durumlarda neler yapılacağı. (Bu madde ile ilgili Disiplin Prosesi maddesinde detaylı olarak açıklama bulacaksınız.)
Bilgi güvenliğinin sağlanması ile ilgili belirlenen rol ve sorumlulukların kişilere bildirilmiş olması.
İşten ayrılma ile ilgili olarak da gerek iş bitimi gerekse yüklenici için iş bitimi gerçekleştiğinde sır saklama ile ilgili kuralların da sözleşme içerisinde belirlenmesi yada kuruluşun bunun ile ilgili bir aksiyon alması gerekmektedir.
İnsan Kaynakları Güvenliği ile ilgili 2 bölümden oluşacak makalemizin ilkinin sonuna geldik en kısa zamanda diğer kalan bölüm ile karşınızda olacağım. Yazıyı sonuna kadar okuduğunuz için hepinize çok teşekkür ediyorum. Yazdıklarım ile ilgili genişletme talebiniz ya da düzeltmem için beni uyaracağınız noktalarınız olursa bilgi@burakeksi.com adresinden bildirebilirseniz çok memnun olurum.