ISO 27001 standardı ve buna bağlı sertifikasyon uygulanması, kamu ve özel kurumların talepleri doğrultusunda oldukça yaygınlaşmıştır. Ancak çeşitli vesilelerle yapılan gözlemlerde, pratik olarak standardın anlaşılması ve uygulanması ile ilgili ciddi bir problem olduğu görülmektedir. Bu durumda asıl amaç olan “bilgi güvenliği konusunda iyileştirme” amacına ulaşmaktan uzak kalınmaktadır.
Bu yazı dizisinde ISO 27001 mantığının anlaşılması ve fayda elde edilecek şekilde kurumlara ve diğer paydaşlara katkı sunmak hedeflenmektedir. Bu yazı özelinde ise, ISO 27001 kapsamında İnsan Kaynakları ve Tedarik Güvenliği için bilgilendirme yapmak hedeflenmektedir.
Serinin başlangıç aşamasından itibaren takip edilerek daha iyi anlaşılması için aşağıdaki yazıların okunması faydalı olacaktır.
- UYGULAMALI ISO 27001: ISO 27001’E BAŞLARKEN BİLİNMESİ GEREKENLER
- UYGULAMALI ISO 27001: PLANLAMA ve HAZIRLIK
- UYGULAMALI ISO 27001: ISO 27001 GÖZDEN GEÇİRME VE İYİLEŞTİRME
yazılarının okunması faydalı olacaktır.
ISO 27001 bilişim güvenliği standardı değil mi? İnsan kaynakları ve tedarik neden burada çalışma konusu oluyor?
ISO 27001 bilişim güvenliği değil “bilgi güvenliği” standardıdır. Bilgi güvenliği ise yalnızda bilişim teknolojileri ile sınırlı olmayıp bilgi yöneten insan kaynağının seçimini ve tedarik zincirini de içeren genel bir standarttır. Bu nedenle ISO 27001 süreçlerinin bir parçasını oluşturmaktadır.
İnsan Kaynakları ve Satınalma Birimi kapsam dışı bırakıldığında bu isterler devre dışı kalır mı?
Hayır. Burada önemli olan İnsan Kaynakları veya Satınalma Süreçleri’nin kendileridir. Bilgi sistemleri yönetecek insan kaynağı ve bu kapsamda tedarikler konusu daima ihtiyaç olacağından bu kontrol maddeleri devre dışı kalmayacaktır.
İnsan kaynakları yönetimi için genel olarak hangi isterler mevcuttur.
İnsan kaynakları ile ilgili isterler genel olarak standardın EK-A kontrol maddeleri için de “A.7 İnsan Kaynakları Güvenliği Başlığı” ile ele alınmaktadır.
İsterler aşağıdaki gibi toparlanabilir.
- İstihdam öncesi sürece dair isterler
- Temin edilen personel hakkında tarama yapılması
- Çalışan ile güvenlik sözleşmesi yapılması
- Çalışma dönemine dair isterler
- Çalışana bilgi güvenliği ile ilgili gerekli eğitim ve oryantasyonun yapılması
- Çalışanların bilgi güvenliği ihlalleri için bir “disiplin süreci” ortaya konması, çalışan üzerinde bir mağduriyet yaramasının önüne geçilmesi
- İstihdamın sonlandırılması ile ilgili isterler
- Çalışanın iş akdinin sonlanması sürecinde sorumlulukları ile ilgili bilgilendirme yapılması
- Çalışanın iş akdinin sonlanması aşamasında fiziksel ve BT sistemleri ile ilgili yetkilerinin sonlandırılması
Kuruma alınacak personel için nasıl bir tarama yapılmalı? Sabıka kaydı yeterli midir?
Bu konu tamamen kurumun politikaları ile alakalı olup kapsamındaki işlerin kritiklik seviyesi ile orantılı olmalıdır.
Örneğin sınırlı bir ticari faaliyet için alınacak personel için sabıka kaydı ev referans seviyesinde araştırma yeterli olurken, askeri veya benzer kritik alanlarda verilere erişecek personel için yapılacak tarama daha detaylı olmalıdır.
Gizlilik sözleşmesi ve zimmet tüm seviye kurumlar için zorunlu mudur?
Bir kurumun bilgi güvenliği ile ilgili tedbir alması için illaki çok kritik bir alanda çalışması gerekmez. Tüm kurumların sorumluluklarında olan bilgilerinin ve varlıklarının bir değeri olduğu düşünülebilir. Bu bağlamda her türlü seviyede bilgi işleyen kurumun çalışanlarına gizlilik sözleşmesi imzalatması ve eriştikleri bilgi güvenliğine değen varlıkları zimmetlemeleri gerekir.
ISO 27001 kapsamında disiplin süreci neden gereklidir? Zaten çalışanlar kanunlara tabi değil mi?
ISO 27001 kapsamında tanımlanacak disiplin süreci personelin bilgi güvenliği konusunda hassasiyetlerine tekabül eden ve bunlara karşılık uygulanacak yaptırımları içerecek şekilde hazırlanmalıdır?
Yoksa personelin çalışma performansı gibi konularla ilgilenmemektedir.
Bu kapsamda en temelde; düşük, orta, yüksek gibi bilgi güvenliği ihlal seviyeleri tanımlanabilir. Personel düşük seviye ihlal yaptığında sadece sözlü uyarı yapılırken daha yüksek seviyeli ihlallerde daha ciddi yaptırımlar belirlenebilir.
Her durumda önemli olan bu sürecin tutarlı bir şekilde tanımlanması ve uygulanmasıdır.
Personel için yapılacak eğitimin hangi seviyede olması beklenir.
ISO 27001 BGYS işleten bir kurum personeline en temelde aşağıdaki eğitimleri uygulamalıdır.
- İşe başlangıç aşamasında BGYS oryantasyonu eğitimi
- Belirli periyotlarla farkındalık eğitimleri
BGYS bunun dışında personelin kurum içindeki yetki ve sorumluluklarına göre gerekli eğitimleri almasını bekler.
ISO 27001 BGYS tedarik süreçlerinde temel olarak hangi gereksinimleri bekler.
Tedarik için gereksinimler standardın EK-A kısmında “A.15 Tedarikçi İlişkileri” bölümünde ele alınmıştır. Bu gereksinimler genel olarak:
- Tedarikçi ilişkilerinde bilgi güvenliği yönetimini bir politika ile yönetme
- Tedarikçilerle gizlilik sözleşmeleri gerçekleştirme
- Tedarikçi ve tedarik süreçlerinde yaşanan değişikliklerde bilgi güvenliğini dikkate alma
başlıkları altında toplanabilir.
Tüm tedarikçilerle gizlilik sözleşmesi gerekir mi?
Gizlilik sözleşmesi kurumun bilgi güvenliği yönetimini etkileyecek tedarikçilerle yapılmalıdır. Örneğin, kuruma mobilya tedarik eden bir tedarikçi için sözleşme gerekmezken, kuruma yazılım yada sızma testi desteği sağlayan bir tedarikçi ile kesinlikle gizlilik sözleşmesi yapılması gerekir.
Ancak bu noktada gizlilik sözleşmesinin yalnızca BT alanındaki tedarikçilere özgü olduğu düşünülmemelidir. Örneğin kuruma temizlik yada güvenlik personeli tedarik eden kurumlar ve personellerle de gizlilik sözleşmeleri yapılmalıdır. Zira bu kişiler ve kurumlarının alacağı aksiyonlar kurumun bilgi güvenliği altyapısını ilgilendirmektedir.
Burada en uygun yöntem kurumun tedarikçilerini listelemesi ve bu listeyi yaparken her biri için “gizlilik sözleşmesi ihtiyacı” gereksinimi için belirleme yapmasıdır.
Tedarikçi değerlendirme nedir? Nelere dikkat edilmelidir?
Kurumlar uyguladıkları farklı standartlar veya yönetim sistemleri gereği tedarikçilerini değerlendirirler.
Ancak ISO 27001 kapsamında istenen değerlendirme tedarikçilerin bilgi güvenliği hassasiyeti açısından değerlendirilmesidir. Değerlendirme tamamen bilgi güvenliği kriterleri açısından yapılabileceği gibi, uygulanan değerlendirme metodolojisine bilgi güvenliği parametreleri eklenerek gereksinim karşılanabilir.