Related Articles
Onaylanmış kişi statüsü (OKS) ya da bilinen adıyla Mavi Hat Ağustos 2017’den itibaren geçerliliğini yitirdi. Bunun yerine Yetkilendirilmiş Yükümlü Statüsü (YYS) hayata geçirildi. Firmalarda lojistik departmanında çalışanlar Mavi Hattın ithalat-ihracat işlemlerinde sağladıkları kolaylıkları bilirler, adeta kırmızı pasaport gibidir. Yeni yürürlüğe giren YYS içindeki Yeşil Hat özelliği de firmalara aynı ayrıcalıkları tanımaktadır. YYS için birçok ön koşul olmakla birlikte ön plana çıkan ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikasına sahip olma zorunluluğudur. Mavi hattı olan birçok firma bu sertifikaya sahip olmadığı için YYS’ye başvuramamıştır. Yazımda ISO 27001 BGYS sisteminin temel bileşenlerinden, proje olarak nasıl ele alınması gerektiğinden bahsedeceğim. Proje detaylarına geçmeden önce önemli bir uyarı yapmak istiyorum. YYS için başvuru yaparken birçok evrak hazırlamanız gerekiyor. Bu evraktan bir tanesi 108 sorudan oluşan bir form. Bu soruların yaklaşık 60 tanesi ISO 27001 ile ilgili konuları adresliyor. ISO 27001 projesini yürütürken Bakanlığın doldurmanızı istediği 108 soruyu da göz önünde bulundurmanız büyük fayda sağlayacaktır. Projede son aşamaya geldiğinizde ya da bitirdiğinizde bu sorular için tekrar çaba harcamak, değişiklik yapmak zorunda kalmazsınız.
ISO 27001:2013 versiyonu 114 kontrol maddesinden oluşmaktadır. Bu maddelerin yaklaşık yarısı direkt olarak IT sistemleri ile ilgilidir. Geriye kalan diğer maddeler ise bilgi varlıkları, risklerin değerlendirilmesi ve yönetimi, organizasyonun yapılandırlması ve sistemin sürdürülmesi ile ilgilidir. Projeye başlamadan önce ilk yapacağınız iş iyi bir danışmanlık firması bulmak olmalıdır. Herşeyde olduğu gibi bu işte de iyi firmalar diğerlerine göre biraz daha fazla ücret talep etmekteler ama gerçekten verdiğiniz parayı hak ediyorlar. İyi bir danışmanlık firması özellikle dökümantasyonla ilgili yükü üzerinizden alıyor. Danışmanlık firması ile görüşten sonra ilk adımda bir gap analizi (mevcut durum ile ulaşılması istenen durum arasındaki fark) yaptırmanız çok faydalı olacaktır. Gap analizinde firmanızın mevcut durumu standardın 114 maddesi üzerinden gözden geçiriliyor ve size raporlanıyor. Rapor sonucuna göre ne kadar kişi-saat kaynak harcayacağınızı, ne kadar danışmanlık ödeyeceğinizi, altyapı için ne kadar para harcayacağınızı yaklaşık olarak hesaplayabilirsiniz.
Mavi hattın kaldırılıp Yetkilendirilmiş Yükümlü Statüsünün devreye alınacağı ilk olarak 2013 yılı başlarında bir yönetmelik ile yayınlanmıştı. O zaman isteğe bağlıydı ve mavi hatta alternatif olarak ortaya konmuştu. Fakat firmalar ISO 27001 sertifika zorunluluğundan dolayı YYS’ye ilgi göstermediler. Bunun üzerine bakanlık ISO 27001 sertifika kapsamını yalnızca ithalat-ihracat işlemleriyle ilgili departmanlar ile sınırlandırdı. Son duruma göre lojistik (ithalat-ihracat ve depo), IT (bilgi-işlem), muhasebe, insan kaynakları, satınalma ve kalite departmanları kapsam dahilindedir. Proje ekibi oluşturulurken söz konusu departmanlardan muhakkak bir çalışanın proje ekibinde yer alması gerekir. Proje yöneticisinin yanısıra sistemi sürekli ayakta tutacak bilgi güvenliği sistem yöneticisinin seçilmesi elzemdir. Kalite departmanından bir çalışan bu görev için iyi bir aday olabilir. Bilgi güvenliği sistemi teknik yöneticisi olarak ta IT departmanından bir çalışan seçilmelidir.
ISO 27001 projesini dört ana parçaya bölerek inceleyebiliriz. İlki danışmanların desteğinde kalite departmanı tarafından yürütülmesi gereken dökümantasyonun oluşturulması işidir. İkinci önemli konu IT ile birlikte yapılması gereken teknik işlerdir. Üçüncü başlığımız ise fiziksel ve çevresel güvenlik ile ilgili atılması gereken adımlarla ilgilidir. Dördüncü ve bence en önemli parça ise firma organizasyonunun sisteme uyum sağlaması için gerekli çalışmaların yapılmasıdır. Bilgi güvenliği sistem yöneticisine bu aşamada büyük sorumluluk düşmektedir.
ISO 27001 BGYS danışmanlığı aldığınız firmadan en çok istifade edeceğiniz bölüm dökümantasyonla ilgili olanlar diyebilirim. Politikaların yazılması, yeni prosedürlerin ISO 9001 sistemi ile entegre edilmesi, el kitabının hazırlanması gibi konularda çok büyük destek veriyorlar. Sistem bütün olarak kafanızda oluşuyor. Dökümantasyonun oluşturulmasında tahmin edeceğiniz gibi kalite departmanı etkin rol oynuyor. ISO 27001 sertifika denetiminde dökümantasyonun incelenmesi başlı başına bir konu. BGYS sistem yöneticinizin dökümantasyona hakim olduğundan emin olmalısınız.
Bilgi işlem (IT) ile ilgili teknik konular gerçekten sistemin önemli bir parçası. Gap analizinde önünüze çıkan açıklıkları hızla gidermeniz gerekir. ISO 27001 projesi içinde IT ile ilgili yapılması gerekenler başlı başına ayrı bir yazının konusu. Özellikle Server’larınızın olduğu bölümü koruma altına almalısınız. Server odasına giriş çıkışların log kayıtlarının tutulması, FM200 otomatik yangın söndürme sisteminin kurulması, yedek klima yerleştirilmesi, zeminin yükseltilerek su basmasına karşı server’ların ve switch’lerin korunması gibi birçok fiziksel önlemin alınması tavsiye ediliyor. Diğer taraftan penetrasyon testi yaptırarak sisteminizin zayıf yönlerini görüp iyileştirme yapmanız faydalı olacaktır. ISO 27001’in IT ile ilgili konularını ele alan ayrı bir makale yazmayı düşünüyorum.
Diğer önemli bir konu fiziksel ve çevresel güvenlik ile ilgili. Kapsam dahilindeki departmanlarda bulunan varlıkların özellikle evrakın güvenliğinden emin olmalısınız. Eğer arşivinizi firma bünyesinde saklıyorsanız, fiziksel güvenliğini sağlamalısınız. Arşiv girişlerine kartlı okuyucu sistemi, FM200 yangın söndürme sistemi, nemi önlemek için klima sistemi kurmanız gerekebilir. Danışmanların da size söyleyeceği gibi önlemlerin seviyesi risk algısı ve nasıl işlediğinizle ilgili. Danışmanlar sizi yönlendireceklerdir. İnsan kaynakları gibi gizli evrakın olduğu bölümlere giriş çıkışları kayıt altına almalısınız. Bunun için kamera sistemi ve kartlı giriş sistemi kurulabilir. Yine ana giriş çıkışlara, koridorlara, arşivin bulunduğu bölgeye, depo yükleme boşaltma alanlarına kamera sistemi kurmak gerekiyor. Fabrika sahasının sınırlarına tel çit, duvar gibi fiziksel güvenlik önlemleri alınmış olmalı.
Şimdi projenin en önemli kısmına geldik: Sistemin organizasyon tarafından içselleştirilmesi ve sürdürülebilir hale getirilmesi. Tüm projelerde olduğu gibi bu projede de üst yönetimin projeye desteği çok önemli. Proje açılış toplantısı mutlaka yapılmalı ve toplantıya organizasyondaki tüm yöneticiler ile proje ekibi katılmalı. Üst yönetimden bir yönetici de mutlaka toplantıda bulunmalı. Daha sonra bilgi güvenliği politikası genel müdür tarafından imzalanıp yayınlanmalı. El kitapçıkları, broşürler ile çalışanlarda farkındalık sağlanmalı. Danışmanlık firması bahsettiğim konularda ciddi destek sağlıyor. Farkındalığı arttırmak için organizasyondaki tüm çalışanlara eğitim veriyorlar. Sertifika denetimlerinde denetçiler özellikle restgele seçtikleri çalışanlara sistem ile ilgili sorular soruyorlar; amaçları organizasyonun sistemi ne kadar içsellştirdiğini görebilmek. ISO 27001 sistemi çalışma alışkanlıklarında bazı değişiklikleri zorunlu kılıyor. Temiz ekran temiz masa kuralı gereğince artık çalışanların masalarını terkederken ekranlarını kilitlemeleri, gizli evrakı güvenli bir yere kaldırmaları, yazıcıdan çıktı alırken daha dikkatli olmaları gerekiyor. Firmaya gelen ziyaretçiler için uyguladığınız prosedürü tekrar gözden geçirmelisiniz. Zaafiyetleriniz varsa bunları gidermelisiniz.
Üretim yapan firmalar için fabrikanın büyüklüğüne, fiziki şartlarına, mevcut IT sisteminin karmaşıklığına, mevcut ISO 9001 kalite yönetim sisteminin işlevselliği gibi durumlara bağlı olarak proje süresi değişebiliyor. Ama genelde Türkiyede ISO 27001 projeleri 5-6 ay civarında sürüyor. Sertifika denetimine hazır olduğunuzda bağımsız, TÜRKAK’ın akredite ettiği sertifikalandırma firmalarından tercih ettiğiniz birisinden denetim geçiriyorsunuz. Denetime genellikle iki ya da 3 denetçi geliyor ve iki gün kadar sürüyor. Bir tarafta dökümantasyon kontrolü yapılırken diğer yanda sahada denetim devam ediyor. Denetçi kapsam dahilindeki departmanları ziyaret ederek ISO 27001:2013 standardının 114 maddesine göre denetimi gerçekleştiriyor. Diğer bir denetçi ise IT departmanındaki teknik kontrolleri yapıyor. Gerçek denetimden önce danışmanlık firması tarafından yapılan iç denetim çok faydalı oluyor. İç denetimde tespit edilen eksikliklerin sertifika denetiminden önce mutlaka giderilmesi lazım.
Proje yöneticisinin danışmanlık firmasından gelen danışmanlarla kalite departmanı başta olmak üzere kapsam dahilindeki departmanlar arasındaki iletişimi etkili şekilde yönetmesi lazım. Riskleri dikkatli şekilde değerlendirdikten sonra proje bütçesi dahilinde yapılması gereken işleri başlatıp takip etmesi gerekir. Bir tarafta dökümantasyonun yazılıp dağıtımını takip ederken diğer yanda fiziki iyileştirmeler için yapılan yatırımları yönetmeli aynı zamanda IT ile ilgili teknik konuları takip etmeli. Proje planını danışmanlık firması ve proje ekibi ile birlikte yaparak ekibin projeyi sahiplenmesini sağlamalıdır.
