ISO Standartlarında Annex SL Yapısı

Annex SL Nedir?

ISO uzun yıllardır kalite ve çevreden, bilgi güvenliği, iş sürekliliği yönetimi ve kayıt yönetimine kadar çeşitli konularda birçok yönetim sistemi standardı oluşturmuştur. Paylaşımların ortak unsurları olmasına rağmen, ISO yönetim sistemi standartları çok farklı şekil ve yapılarda yayınlanmıştır. Bu ortak yapı eksikliği, uygulama aşamasında bazı karışıklıklar ve zorluklara sebep olmaktadır. Bu karışıklıklar ve zorluklar ISO standartlarında Annex SL yapısına geçilmesine yol açmıştır.

Başlangıçta, ISO 9001 ve ISO 14001 arasındaki uyumluluğu koordine etmek için kurulan Annex SL, tüm ISO yönetim sistemi standartları için uygulanabilir bir taslak haline getirilmiştir.

Yazının tamamını okumak için ilgili makaleye buradan ulaşabilirsiniz.

Bilgi Güvenliği ve Bilgi Varlıklarının Sahipliği

8.1.2 Varlıkların Sahipliği

Kontrol: Envanterdeki varlıklar sahiplenilmiş olmalıdır.

Uygulama Kılavuzu:

Varlık yaşam döngüsünde, varlıkların etkin yönetimini sağlamak adına varlık sahibi belirlenmelidir. Varlık sahibi kişiler ya da bölümler/birimler olabilir. Varlık sahibi ilgili varlığın mülkiyet haklarına sahip olma zorunluluğu yoktur. Varlık sahibi kısmı olarak varlığa ilişkin sorumlulukları kurum içi organizasyonda yer alan kişilerle paylaşabilir fakat ana sorumluluk varlık sahibinde olacaktır.

Varlık sahipliği belirleme çalışmaları bir süreç olarak değerlendirilmeli ve yeni bir varlık envantere eklendiğinde, değiştirildiğinde, ya da kuruma transfer edildiğinde varlıkların sahipleri atanmalıdır.

Varlık sahibi; varlık yaşam döngüsü süresince varlığın yönetiminden sorumlu olmalıdır.

Bir varlık sahibi aşağıdakileri sağlamalıdır;

·        -Sorumluluğu altında olan varlıkların envantere işlenmesini sağlamak

·       -Varlık türüne göre uygun bir biçimde sınıflandırılması ve korunmasını garanti altına almak

·      -Varlıklara erişim gereksinimleri tanımlamak ve erişim kontrolünü periyodik olarak gözden geçirmek ve gerekli durumlarda önlem almak

·       -Varlıkların imhası ile ilgili gereksinimleri tanımlamalı ve uygun bir biçimde işletildiğini garanti altına almak

Bilgi Güvenliği ve Varlıkların Kabul Edilebilir Kullanımı

8.1.2 Varlıkların Kabul Edilebilir Kullanımı

Kontrol: Bilginin, bilgi ve bilgi işleme araçları ile ilişkilendirilmiş varlıkların kabul edilebilir kullanım kuralları,  tanımlanmış, dokümante edilmiş ve uygulanmış olmalıdır.

Uygulama Kılavuzu:

Kurum çalışanları ve kurumsal varlıklara erişebilen tüm üçüncü taraf çalışanlar/tedarikçiler varlıkların kullanımı ile ilgili bilgi güvenliği gereksinimlerini sağlamak adına gerekli farkındalığıa sahip olmalıdır. Kendi sorumlulukları altında olan bilgi varlıklıklarının üretilmesi, işlenmesi ve depolanmasına ilişkin  sorumlukları yerine getirmelidir.  Varlıklıkların kabul edilebilir kullanım easları belirlenirken, kuruluşun verdiği hizmetler gözönünde bulundurulmalıdır. (Ör: E-posta kullanımı, ağ servislerinin kullanımı, mobil cihazların kullanımı)

İnsan Kaynakları Güvenliği -İstihdamın Sonlandırılması ve Değiştirilmesi-

7.3 İstihdamın Sonlandırılması ve Değiştirilmesi

Hedef: İstihdamın değiştirilmesi ve sonlandırılması sürecinde, kuruluşun çıkarlarını korumak.

7.3.1 İstihdamın sonlandırılması veya değiştirilmesi sorumlulukları

Kontrol:

İstihdamın sonlandırılması veya değiştirilmesinden sonra geçerliliğini koruyan bilgi güvenliği sorumlulukları ve yükümlülükleri tanımlanmış, çalışanlara ve yüklenicilere bildirilmiş ve uygulamaya zorlanmış olmalıdır.

Uygulama Kılavuzu

İstihdamın sonlandırılması ile birlikte önceden tanımlanmış süre boyunca bilgi güvenliği rol ve sorumlulukları devam etmelidir. Bilgi güvenliği açısından kurum içi pozisyon değişiklikleri de istihdam sonlandırılması olarak değerlendirilmesi fayda sağlayacaktır. İstihdam sonrası bilgi güvenliğinin sağlanması adına, istihdam sonrası rol ve sorumluluklar işe alım sırasında yapılan sözleşmelerle garanti altına alınmalıdır. Erişilen bilginin hassasiyetine göre  anlaşmalara bilgiyi ifşa etmeme süresi tanımlanmalıdır.

Kurumsal ortamda istihdamın sonlandırılmasına ilişkin sorumluluklar genellikle İnsan Kaynakları bölümlerinin işlettiği bir süreç olarak görülmektedir. Bu süreçte istihdamı sonlandırılan personelin çalıştığı bölüm/birim/departman ile koordineli olarak çalışmak faydalı olacaktır. Kurum içinde dış kaynak çalıştırılıyorsa, personelin bağlı olduğu kurum ile sürecin yönetilmesi sağlıklı olacaktır. Gerekli ise istihdam sonlandırılması ve görev değişimlerinde tüm ilgili tarafların örneğin; çalışanlar vemüşterilerin bilgilendirilmesi faydalı olacaktır.

İstihdam Süresince-Disiplin Süreci

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.3 Disiplin Süreci

Kontrol: Bilgi güvenliği ihlaline karışan bir çalışana ne yapılacağına ilişkin, resmi ve bildirilmiş bir disiplin süreci olmalıdır.

Uygulama Kılavuzu:

Disiplin süreci bilgi güvenliği yönetimi sürecinin en sıkıntılı konu başlıklarından biridir.  Etik olarak ve kişi haklarını ihlal etmeden bilgi güvenliğinin sağlanması gerekliliği ana motivasyon kaynağı olmalıdır. Disiplin süreci ihlal olayına karışmayan çalışanları güvence altına alacak şekilde düzenlenmelidir.

Bilgi ihlali gerçekleşmeden ve ihlal olayı ile ilgili kesin bilgi sahibi olunmadan disiplin süreci başlatılmamalıdır.

Disiplin süreci adil ve doğru olarak işletilmelidir. İhlal olayı değerlendirilirken, işe vekuruma etkisi göz önünde bulundurulmalıdır. Kasıt veya kazara olmasına, aynı zamanda tekrarlı olup olmadığına bakılmalıdır.

Disiplin süreci öncelikle caydırı nitelikte olmalıdır. Olayın büyüklüğüne göre süreç işletimi boyunca sorumlulukların bir kısmının devre dışı bırakılması gerekli durumlarda uygulamaya alınmalıdır.

Disiplin sürecinin kendisine ödüllendirici bir boyut da kazandırılabilir. Bilgi güvenliğine pozitif katkı yapanlar bu bağlamda teşvik edilip ödüllendirilebilir.

Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.2 Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

Kontrol: Kuruluştaki tüm çalışanlar ve ilgili yükleniciler, kendi iş fonksiyonları ile ilgili olarak uygun bilgi güvenliği farkındalığı eğitimini almalı ve kurumsal politika ve prosedürler hakkında düzenli olarak bilgilendirilmelidir.

Uygulama Kılavuzu:

Öncelikle bilgi güvenliği farkındalık programı, kuruluştaki çalışanların ve ilgili yüklenicilerin, bilgi güvenliğine ilişkin sorumlulukların anlaşılmasını hedeflemelidir.

Bilgi güvenliği farkındalık programı kuruluşun politika/prosedür/standartlarına paralel olarak geliştirmelidir ve kuruluşun bilgi varlıklarının korunması ve uygulanan kontrolleri tanıtıcı özellikte olmalıdır. Farkındalık programının etkinliğini artırmak için kurum içi ödüllendirme mekanizmaları, yarışmalar  ve “Farkındalık Günü” gibi çalışmalar önemli ölçüde katkı sağlayacaktır.

Farkındalık programı, çalışanlar ve ilgili yüklenicilerden beklentileri açıkça ifade etmelidir. Farkındalık programı bir düzen çervesinde ele alınmalı ve periyodik olarak tekrarlanmalıdır. Gerekli durumlarda yeni çalışanlar ve düzeltici faaliyet olarak tekrarlanması için program gerekli esnekte tasarlanmalıdır. Farkındalık eğitimleri, kurum içi yıllık eğitim programı takvimine alınmalıdır. Farkındalık eğitimi kurumsal ihtiyaçlara göre güncellenmeli ve gerekli durumlarda uzmanlardan destek alınmalıdır.

Bilgi Güvenliği Farkındalık eğitiminde aşağıdakilerle sınırlı olmamak üzere aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

•         Üst yönetimin Bilgi Güvenliği’ne bakış ve desteği
•         Politika, prosedür, talimatlar, yasalar ve düzenlemelerle kuruluş bünyesine dahil olan bilgi güvenliği gereksinimlerin tanıtılması
•         Son kullanıcı sorumlulukları, hesap verebilirlik
•       Temel düzeyde yönetim sistemi gereksinimleri (ihlal olayı bildirme, temiz masa temiz ekran kurallarına uyum v.b)
•         Ek bilgi gereksinimi için kaynaklara nerden ve nasıl ulaşılacağı
•         Bilgi güvenliği iletişim kanallarının tanıtılması (acil danışma hattı, e posta grubu v.b)

Bilgi güvenliği farkındalık programı, sınıf içi eğitim olabileceği gibi e-öğrenme ve self-study (kendi başına çalışma) şeklinde planlanabilir.

Bilgi güvenliği kontrolleri anlatılırken sadece ne ve nasıl yapıldığından çok neden yapıldığı ve kök nedenlerden de bahsedilmesi, kuruluş bünyesinde anlaşılmayı kolaylaştıracaktır.

İnsan Kaynakları Güvenliği -Yönetimin Sorumlulukları-

7.2 İstihdam Süresince

Amaç:  Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.1 Yönetimin Sorumlulukları

 Kontrol: Yönetim, tüm çalışanlar ve yüklenicilerden, kuruluşun politika ve prosedürlerine uygun olarak, bilgi güvenliğini uygulamalarını istemelidir.

Uygulama Kılavuzu:

Yönetimin sorumluklarına ilişkin aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır.

-Gizli bilgiye erişimin sağlanmasından önce bilgi güvenliği rol ve sorumlulukların etkin ve etkili bir biçimde aktarılması

-Çalışanların ve yüklenicilerin kuruluşun bilgi güvenliği politikalarına uyumu konusunda desteklenmesi ve motive edilmesi

-Çalışanların ve yüklenicilerin belirlenen seviyede bilgi güvenliği farkındalığına erişmesi için gerekli desteğin sağlanması

-Yönetim, çalışanların ve yüklenicilerin istihdam süresince bilgi güvenliği politikalarına ve çalışma yöntemlerine uygun olarak çalıştığının garanti altına alınması

-Çalışan ve yüklenicilerin gerekli bilgi seviyesi ve yetkinlikte kalması adına eğitim programı düzenlenmesine öncülük etmesi

-Politika ve prosedürlere ilişkin uyumsuzlukların, bağımsız şekilde raporlanmasını sağlayacak kontrollerin geliştirilmesi

Bilgi güvenliğinin hedeflenen etkinlikte olabilmesi adına, üst yönetim çalışanlar için rol-model olmalı ve örnek teşkil etmelidir.

Yönetimin desteğinin yetersiz olması durumda oluşabilecek ihlal olayları kuruluşa büyük zarar verebileceği göz ardı edilmemelidir.