ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetiminde Dikkat Edilecek Hususlar

Değerli Dostlar;

Bilgiye erişimin çok kolay ve hızlı bir hale gelmesiyle birlikte üretilen bilginin korunması hepimiz için çok önemli bir sorun haline gelmiştir. Bu sorun işletmeler açısından ele alındığında; şirketin geleceği ve mevcudiyetinin devamı açısından mutlaka ama mutlaka üzerinde düşünülmesi gereken, önlem alınması şart olan bir zorunluluk halini almıştır. İşletmeler için Bilgi Güvenliği ve Yönetimini tehdit eden birkaç örnek aşağıda paylaşılmıştır.

• İşletmedeki teknik resimlerin kopyalanması ve dışarıya transfer edilmesi, 
• Satın alma ve satış rakamlarının rakiplerin eline geçmesi, 
• Yazılımların kopyalanması,
• Üretim süreçlerinin dışarıya aktarılması   

Bu sorunlara sistematik bir şekilde yaklaşarak çözümler üretmek amacıyla Uluslararası Standart Organizasyonu ISO, işletmelerin kendilerinin ve müşterilerinin gizli bilgilerini güvende tutmalarına ve yönetmelerine yardımcı olmak hedefiyle ISO 27001 Bilgi Güvenliği Yönetim Sistemini yayınlamıştır.

27001 Bilgi Güvenliği Yönetim Sistemi, işletmelerin mali verilerini, fikri-sınai mülkiyetlerini ve hassas müşteri bilgilerini korumalarına yardımcı olan bir sistemdir. ISO 27001 sayesinde işletmeler Bilgi Güvenliği ile ilgili risklerini tanımlayabilir, gizli bilgileri konusundaki riskleri yönetebilir veya azaltabilir. 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirmesi diğer ISO belgelerinde olduğu gibi ISO 9001 Kalite Yönetim Sistemi üzerine inşa edilmiştir. Bu nedenle belgeyi alabilmek için öncelikle ISO 9001 Kalite Yönetim Sistemi Belgesine sahip olunması ve sistemin uygulanması gerekmektedir. Yeri gelmişken söyleyelim kendi ihracatını – ithalatını yapmak için Yasal Yükümlü Statüsünde başvuru yapmak isteyen işletmeler ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olmalıdır.

Uzun bir girizgâhtan sonra son yıllarda çok popüler olan ISO 27001 Bilgi Güvenliği Yönetim Sistemine geçmek isteyen İşletmelere faydalı olacağı düşüncesiyle Belgelendirme Denetimlerinde dikkat edilecek hususları sıralayalım.

1-  İşletmeye giren çıkan personel, misafir, iş görüşmesine gelen aday vb herkes mutlaka Ziyaretçi Kayıt Defterine kayıt edilmelidir. Ziyaretçilere ziyaretçi kartı tanımlanmalı ve ziyaretçinin gideceği yere kadar refakat edilmelidir. Denetçilere de ziyaretçi kartı verilmelidir.

2-   İşletmeye gelen araçlar da ziyaretçi kayıt defterine kayıt edilmelidir. Kargo için gelen araçlar da bu uygulamaya dahil edilmelidir.

3-  Temiz Masa Temiz Ekran uygulaması tüm çalışanlarına öğretilmelidir. Bu uygulama personelin masasında ilgisiz kişilerin görmemesi gereken bilgilerin muhafaza edilmesi, saklanması ile bilgisayar başından ayrılırken bilgisayarın kitlenmesini içermektedir. Denetim esnasında personel masalarında açık teknik resimler bulunmamalıdır. Bilgisayarlar boşken kilitlenmelidir. (Kısayol Windows+L) Bu bilinç tüm personel tarafından mutlaka özümsenmelidir. Bu noktada tüm personelin yer alacağı genel bir eğitim düzenleyebilirsiniz.

4- Sızma- penetrasyon testleri tamamlanmış ve bir rapor haline getirilerek denetçiye sunulmalıdır. Bu raporlar (kaç atak geldi, ne zaman nereden vb bilgiler) işletmenizin kullandığı anti virüs programı tarafından verilebilmektedir. Bu konuda bilgi işlem personelinizden mutlaka destek istemelisiniz. Sızma testi, bir diğer ifade ile penetrasyon testi bu denetim için çok önemlidir. Dolayısıyla penetrasyon testi dosyanız iyi olsun. 

5-  Kalite Yönetim Sistemi Hedeflerinde Bilgi Güvenliği Yönetim Sistemi ile ilgili konulara yer verin ve bunu personelin görebileceği yerlere asmalısınız.

6- Yönetimi Gözden Geçirme toplantılarında Bilgi Güvenliği konusunda kararlar ve değerlendirmeler yapmalısınız.

7-      Denetim Risk Analiz Planınız üzerinden yapılacağından Risk Analiz Planınız tutarlı olsun.

8-  Bilgi İşlem ve Arşiv Odalarına giriş çıkışlar kontrol altında olmalıdır. Yetkisiz kişilerin girmesini engelleyecek önlemler alınmalıdır.

9-      Tedarikçileriniz ile Gizlilik sözleşmelerini imzalayıp muhafaza ediniz.

10-  Personeliniz ile de Gizlilik sözleşmesi imzalayıp muhafaza ediniz.

Değerli Dostlar;

27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak isteyen işletmelerimizin belgelendirme denetiminde dikkat etmesi gereken hususları yukarıda açıklamaya çalıştık. Bu konuda sorularınız/eklemeleriniz varsa lütfen yorumlar kısmında paylaşınız.