Değerli Dostlar;
Bilgiye
erişimin çok kolay ve hızlı bir hale gelmesiyle birlikte üretilen bilginin
korunması hepimiz için çok önemli bir sorun haline gelmiştir. Bu sorun
işletmeler açısından ele alındığında; şirketin geleceği ve mevcudiyetinin
devamı açısından mutlaka ama mutlaka üzerinde düşünülmesi gereken, önlem
alınması şart olan bir zorunluluk halini almıştır. İşletmeler için Bilgi
Güvenliği ve Yönetimini tehdit eden birkaç örnek aşağıda paylaşılmıştır.
- İşletmedeki teknik resimlerin kopyalanması ve dışarıya transfer
edilmesi,
- Satın alma ve satış rakamlarının rakiplerin eline geçmesi,
- Yazılımların kopyalanması,
- Üretim süreçlerinin dışarıya aktarılması
Bu sorunlara sistematik bir şekilde
yaklaşarak çözümler üretmek amacıyla Uluslararası Standart Organizasyonu ISO,
işletmelerin kendilerinin ve müşterilerinin gizli bilgilerini güvende
tutmalarına ve yönetmelerine yardımcı olmak hedefiyle ISO 27001 Bilgi Güvenliği
Yönetim Sistemini yayınlamıştır.
27001 Bilgi Güvenliği Yönetim Sistemi,
işletmelerin mali verilerini, fikri-sınai mülkiyetlerini ve hassas müşteri
bilgilerini korumalarına yardımcı olan bir sistemdir. ISO 27001
sayesinde işletmeler Bilgi Güvenliği ile ilgili risklerini tanımlayabilir,
gizli bilgileri konusundaki riskleri yönetebilir veya azaltabilir.
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi belgelendirmesi diğer ISO belgelerinde olduğu gibi ISO 9001 Kalite
Yönetim Sistemi üzerine inşa edilmiştir. Bu nedenle belgeyi alabilmek için
öncelikle ISO 9001 Kalite Yönetim Sistemi Belgesine sahip olunması ve sistemin uygulanması
gerekmektedir. Yeri gelmişken söyleyelim kendi ihracatını – ithalatını yapmak
için Yasal Yükümlü Statüsünde başvuru yapmak isteyen işletmeler ISO 27001 Bilgi
Güvenliği Yönetim Sistemi Belgesine sahip olmalıdır.
Uzun bir girizgâhtan sonra son yıllarda
çok popüler olan ISO 27001 Bilgi Güvenliği Yönetim Sistemine geçmek isteyen
İşletmelere faydalı olacağı düşüncesiyle Belgelendirme Denetimlerinde dikkat
edilecek hususları sıralayalım.
1- İşletmeye giren çıkan personel, misafir, iş görüşmesine gelen aday vb
herkes mutlaka Ziyaretçi Kayıt Defterine kayıt edilmelidir. Ziyaretçilere
ziyaretçi kartı tanımlanmalı ve ziyaretçinin gideceği yere kadar refakat
edilmelidir. Denetçilere de ziyaretçi kartı verilmelidir.
2- İşletmeye gelen araçlar da ziyaretçi kayıt defterine kayıt edilmelidir. Kargo
için gelen araçlar da bu uygulamaya dahil edilmelidir.
3- Temiz Masa Temiz Ekran uygulaması tüm çalışanlarına öğretilmelidir. Bu
uygulama personelin masasında ilgisiz kişilerin görmemesi gereken bilgilerin
muhafaza edilmesi, saklanması ile bilgisayar başından ayrılırken bilgisayarın
kitlenmesini içermektedir. Denetim esnasında personel masalarında açık teknik
resimler bulunmamalıdır. Bilgisayarlar boşken kilitlenmelidir. (Kısayol Windows+L)
Bu bilinç tüm personel tarafından mutlaka özümsenmelidir. Bu noktada tüm
personelin yer alacağı genel bir eğitim düzenleyebilirsiniz.
4- Sızma- penetrasyon testleri tamamlanmış ve bir rapor haline getirilerek
denetçiye sunulmalıdır. Bu raporlar (kaç atak geldi, ne zaman nereden vb
bilgiler) işletmenizin kullandığı anti virüs programı tarafından
verilebilmektedir. Bu konuda bilgi işlem personelinizden mutlaka destek
istemelisiniz. Sızma testi, bir diğer ifade ile penetrasyon testi bu denetim için çok önemlidir. Dolayısıyla penetrasyon testi dosyanız iyi olsun.
5- Kalite Yönetim Sistemi Hedeflerinde Bilgi Güvenliği Yönetim Sistemi ile
ilgili konulara yer verin ve bunu personelin görebileceği yerlere asmalısınız.
6- Yönetimi Gözden Geçirme toplantılarında Bilgi Güvenliği konusunda kararlar
ve değerlendirmeler yapmalısınız.
7- Denetim Risk Analiz Planınız üzerinden yapılacağından Risk Analiz Planınız
tutarlı olsun.
8- Bilgi İşlem ve Arşiv Odalarına giriş çıkışlar kontrol altında olmalıdır.
Yetkisiz kişilerin girmesini engelleyecek önlemler alınmalıdır.
9- Tedarikçileriniz ile Gizlilik sözleşmelerini imzalayıp muhafaza ediniz.
10- Personeliniz ile de Gizlilik sözleşmesi imzalayıp muhafaza ediniz.
27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak isteyen
işletmelerimizin belgelendirme denetiminde dikkat etmesi gereken hususları
yukarıda açıklamaya çalıştık. Bu konuda sorularınız/eklemeleriniz varsa lütfen
yorumlar kısmında paylaşınız.
Yorumlar