Kurum veya  kuruluşlar şirketleri içerisinde kullandıkları güvenlik ürünleri ile bilgi güvenliğini tam olarak sağlayamaz ve sürekliliğini koruyamazlar. ISO 27001 Bilgi Güvenliği Yönetim Sistemi işte burada devreye girerek kurum / kuruluş içerisindeki farkındalığın arttırılması ve gerek erişim yönetimi gerekse insan kaynakları güvenliği gibi kendi içerisindeki alt başlıklarla bir çok alanda bilginin gizlilik, bütünlük ve erişebilirliği ile ilgili önlemler alınmasını sağlar. Aşağıda bu standardı uygulamanın avantajlarından bazılarına değindim. Genel bir tablo çizdiğimden standardın tüm faydalarını içermediğini belirtmek isterim.

Bilgi varlıkları konusunda farkındalık: Firma sahip olduğu varlıkları belirler ve bu varlıkların kuruluş için önem derecelerini belirler.

İç ve Dış Hususları belirlemek: Firma standart dahilinde belirlediği kapsam doğrultusunda iletişim içerisinde olduğu iç ve dış hususlarını belirler. (Çalışanlar, müşteriler, tedarikçiler, yasal merciler vb..)

İç Kapsam: İçinde kuruluşun hedeflerini gerçekleştirmek için aradığı iç ortam.

  • İdare, kuruluşa ait yapı, roller ve sorumlulukları.
  • Gerçekleştirilmek üzere yerlerinde olan politikalar, hedefler ve stratejiler.
  • Kaynaklar ve bilgi birikimi açısından anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler).
  • Bilgi sistemleri, bilgi akışı ve karar alma süreçleri (resmi ve resmi olmayan).
  • İç paydaşlarla ilişkiler ve onların algılamaları ve değerleri.
  • Kuruluşun kültürü. -Kuruluş tarafından kabul edilen standartlar, kılavuzlar ve modeller.
  • Sözleşme ile ilgili ilişkilerin biçimi ve kapsamı. [1][2]

 

Dış Kapsam:  İçinde kuruluşun hedeflerini gerçekleştirmek için aradığı dış ortam.

  • Uluslararası, ulusal, bölgesel veya yerel olmak üzere kültürel, sosyal, politik, yasal, mevzuata ait, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam
  • Kuruluşun hedefleri üzerinde etkisi olan kilit sürücüler ve eğilimler.
  • Dış paydaşlarla (Madde 2.13) ilişkiler ve onların algılamaları ve değerleri. [3][4]

 

İş sürekliliği: Olası bir kesinti veya işin aksamasına yol açacak bir durum gerçekleştiğinde alınacak aksiyonların önceden belirlenerek işin devamının sağlanması açısından tedbirli olunmayı sağlar.

İlgili taraflar ile iletişim içerisinde olma: Müşteriler, çalışanlar ve tedarikçilere güven verir.

Risklerin Değerlendirilmesi ve İşlenmesi: Firma süreçleri için gerçekleşebilecek risklerin değerlendirilmesi ve işlenerek oluşabilecek tehditlere karşı önlemler alınması.

Yasal Şartlara Uyum: Yasal, meşru, düzenleyici veya sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlenmesini sağlar.

İtibar: Firmanın saygınlığını arttırır.

Farkındalık: Kurum/kuruluş içerisinde bilgi güvenliği ile ilgili bir farkındalık oluşmasını sağlar.

İhlal Olayı Yönetimi: Bilgi güvenliği ihlal olaylarının yönetimine, güvenlik olayları ve açıklıklar üzerindeki bağlantısını da içeren, tutarlı ve etkili yaklaşımın uygulanmasının sağlanması

Teknik açıklık kontrolünün sağlanması: Bilgi güvenliği ile ilgili oluşabilecek teknik açıklıkların tespit edilerek kapatılması için alınması gereken aksiyonların alınmasını sağlar.

Kaynakça

[1] ISO Guide 73: 2009, tarif 3.3.1.2

[2] ISO 31000 Risk Yönetimi, Madde 2.11

[3] ISO Guide 73: 2009, tarif 3.3.1.1

[4] ISO 31000 Risk Yönetimi Standardı, Madde 2.10

Yazar Hakkında

Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

Bir Yorum Yap

This site uses Akismet to reduce spam. Learn how your comment data is processed.