Merhaba,
Sorunuza çok değerli cevaplar ulaşmış. Ben de bir danışman olarak tecrübelerimi paylaşmak isterim. Öncelikle; bir sistem kurmak için teknoloji, süreç ve insan unsurları ayrılmaz üçlü biliyorsunuz ve üç noktada da elinizin güçlü olması gerekir. Bugüne kadar edindiğimiz tecrübelerde öncelikle gördüğümüz; bireylere atanmış sorumluluklara karşı yetkilerin atanmamış olması veya bireylerin görev tanımlarında yer almayan sorumlulukların verilmiş olması, yönetim sisteminin zamanla sahiplenilmeyerek faydasız bir hale dönüşmesine neden olabilir. Bu konunun öneminin denetimlerle de karşınıza çıkması muhtemeldir. Bir başka çok kritik nokta ise, üst yönetimin bu çalışmaların arkasında durmasının önemi. Bu durum hem oluşabilecek dirençleri önlüyor, hem de kaynak eksikliği nedeniyle tıkandığınız noktalarda çözüm sağlayıcı olabiliyor. Ki zaten, yönetim sistemi denetimleri de genellikle ilk önce üst yönetim mülakatı ile başlıyor. Yönetimin iknası oldukça kritik bu noktada ve bir o kadar da zor olabiliyor. Zaman ayırmaları veya konuya dahil olmaları için bazen çokça çaba göstermek gerekebiliyor. ISO 27001 risk temelli bir standarttır ve risk yönetimi; hayata geçireceğiniz uygulamalarda omurga görevi görmelidir. Risklerinizi olabildiğince yalın ve katma değeri yüksek şekilde yönetecek bir metot bulmanızı önerebiliriz. Karmaşık ve zor anlaşılabilen yöntemler de yine zaman içinde faydasını kaybederek; kurumunuza değer katmayan bir hale dönüşebilecektir. İnsan kaynağı gerçekten çok kritik, hem bu işi yöneten yürüten ekibin yetki ve motivasyonu; hem de son kullanıcı farkındalığı belki de hayati önem taşıyor. Altyapınızda açıklar zaman zaman olacaktır, düzenli testlerde tespit edildikçe kapatılacaktır veya süreçleriniz zamanla, edinilen derslerle iyileşecektir ancak sizi hem bu sırada hem de sonraki aşamalarda, bilgi güvenliğine inanan ve bilinçli kullanıcılar iyi bir seviyede tutacaktır. Farkındalık hem denetimlerde ciddi bir artı, hem de iyileşen bir sistem için bir fırsattır. Bir de; metotlar, süreçler, uygulamalar ilk yıllar için illa ki eksik, hatalı, fazla sert vb. olabilir. Ancak önemli olan, doğru hedefler koymuş ve gerçek verilerle bu hedeflerin başarılma durumlarını izliyor olmaktır. Bu izleme ve iyileştirme, size zaman içinde kendi kendini olgunlaştıran bir sistem getirecektir. Tavsiyem, bilgi güvenliği süreçleriniz için performans göstergeleri oluşturmanız ve genel anlamda yönetim sisteminden beklenen çıktılar ile kısa/uzun vadeli hedeflerinizi belirlemeniz. Kapsam analizi, iç denetimler ve penetrasyon testlerinin de önemi ile ilgili zaten fikirler verilmiş durumda. Yukarda bahsetmeye çalıştığım konular genelde hızlı geçilen veya farkında olunmayan noktalar olabiliyor. Bu noktalara da dikkat ederseniz, en büyük zorluklar olan; kaynak ayırmaktan çekinen yönetim ve direnç gösteren çalışanları da sizinle aynı tarafta bulabilirsiniz diye umuyoruz, Ek olarak bir önerim, belge için zaman kısıtınız varsa; denetim firmanızı erkenden belirleyip denetim günü almak faydalı olacaktır. Gün yaklaşınca takvimler sıkışabilir ve zaman kaybı yaşayabilirsiniz. Başarılar diliyorum, Gizem Göktaş From: NetSec [mailto:[email protected]] On Behalf Of Ercan ALACA Sent: Tuesday, June 14, 2016 8:45 AM To: [email protected] Subject: [NetSec] TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri Standartları Arkadaşlar Merhaba; Kurumsallaşmakta olan firmamız için İSO27001 Bilgi güvenliği yönetim sistemleri standartları için bir çalışma yapıyoruz. Daha önce iso27001 sürecine dahil olanınız vardır diye düşünüyorum. Sürecin ilerleyişiyle ilgili, zorlukları, engelleri, denetimlerin nasıl yapıldığını, toplam süreç ile ilgili kısaca bilgi verirseniz sevinirim. İyi çalışmalar .
------------------- Siber Güvenlik Yaz Kampı 24 - 31 Temmuz 2016 tarihlerinde İzmir Yüksek Teknoloji Enstitüsü http://www.siberkamp.org/ -------------------
