Bilindiği gibi siber suçlar her sektör ve büyüklükteki şirket için ciddi bir tehdit oluşturuyor. Suç kapsamı casusluktan sabotaja ve şantaja kadar uzanıyor. Ancak tehlike sadece internetten gelmiyor. Kendi çalışanlarınız da ciddi bir risk faktörü olabilir. Özellikle şirketiniz uygun önlemleri almadıysa - ISO 27001 Ek A.7'yi incelemenizi tavsiye ederiz.

Loading...

ISO 27001 standardına uygun iyi yapılandırılmış bir bilgi güvenliği yönetim sistemi, bütünsel bir bilgi güvenliği stratejisinin etkin bir şekilde uygulanması için temel sağlar. Sistematik yaklaşım, gizli şirket verilerinin kayıp ve kötüye kullanımdan korunmasına ve şirkete yönelik potansiyel risklerin güvenilir bir şekilde belirlenmesine, analiz edilmesine ve uygun önlemlerle kontrol edilebilir hale getirilmesine yardımcı olur. Bu, BT güvenliğinin yönlerinden çok daha fazlasını içerir. Standardın Ek A'sında yer alan tedbirlerin uygulanması, uygulama için özellikle değerlidir.

ISO 27001:2022 - Bilgi güvenliği, siber güvenlik ve kişisel verilerin korunması - Bilgi güvenliği yönetim sistemleri - Gereklilikler.

Standardı ISO web sitesinden indirebilirsiniz.

 

ISO 27001:2022 Ek A: Önlemler

Yönetim sistemi odaklı gereksinimler bölümüne (bölüm 4 ila 10) ek olarak, ISO standardının Ek A'sı, 14 bölümde çok çeşitli güvenlik yönlerine ilişkin 114 somut önlemle birlikte 35 önlem hedefinin (kontrollerinin) kapsamlı bir listesini içerir.

Not: Ek A'da "önlemler" olarak anılan ifadeler aslında bireysel hedeflerdir (kontroller). Uygun (bireysel) önlemlerin standartlara uygun bir sonucunun nasıl olması gerektiğini tanımlarlar.

Şirketler, bilgi güvenliği politikalarının bireysel, daha derinlemesine yapılandırılması için bu kontrolleri bir temel olarak kullanmalıdır. Personel konusuyla ilgili olarak, Ek A.7'deki "Personel güvenliği" önlem amacı özellikle ilgi çekicidir.

"Önlemler, çalışanların güvensizliğine değil, açıkça yapılandırılmış personel süreçlerine dayanmaktadır."

Personel süreçleri, istihdamın tüm aşamalarında bilgi güvenliği ile ilgili sorumluluk ve görevlerin verilmesini ve uyumun izlenmesini sağlar. Bilgi güvenliği politikasının - hem kasıtlı hem de kasıtsız olarak - ihlal edilmesi bu nedenle imkansız değildir, ancak çok daha zor hale getirilir ve en kötüsü gerçeğe döndüğünde, etkili bir ISO 27001 bilgi güvenliği yönetim sistemi, kuruluşa ihlalle başa çıkmak için uygun mekanizmalar sağlar.

Bilgi güvenliği güvensizlik değildir

Bir şirketin içeriden yetkisiz erişimi daha zor hale getirmek veya daha da iyisi, tamamen önlemek için uygun yönergeler yayınlaması kesinlikle bir güvensizlik meselesi değildir. Neticede şu bir gerçek ki, bir çalışanın işine son verilmesi yakınsa veya önceden duyurulduysa, memnuniyetsizliği hedeflenen veri hırsızlığına yol açabilir. Bu, özellikle işine son verilen çalışan, proje verileri üzerinde mülkiyet haklarına sahip olduğuna inandığında gerçekleşir. Tersine, belirli bir iş için başvuru zaten suç işlemek niyetiyle yapılmış da olabilir.

Diğer senaryolar, benzer şekilde ciddi sonuçlara yol açabilecek aşırı derecede ihmalkar davranışa veya basitçe umursamazlığa işaret eder. Örneğin, tüm BT departmanlarının kendi kurallarına uymaması (çok hantal, çok zaman alıcı) olur. Ofiste, parolaların veya korumasız akıllı telefonların dikkatsizce kullanılmasıdır. Aynı zamanda USB belleklerin dikkatsiz bağlanması, ekranda açık belgeler, boş ofislerdeki gizli belgeler gibi olası eksikliklerin listesi oldukça uzundur.

 

ISO 27001 Ek A.7 - Personel güvenliği

ISO 27001 standardına uygun bir bilgi güvenliği yönetim sistemi (BGYS) uygulayan şirketler burada daha iyi bir konumdadır. Uluslararası kabul görmüş standardın gerekliliklerini ve uygulamayla ilgili Ek A.7'sini bilirler. ISO 27001'in burada sunacağı çok şey olduğu için: Referans önlemler doğrudan standart gereksinimlerine atıfta bulunsa da, her zaman doğrudan şirket uygulamasını hedefler.

Etkili bir ISO 27001 bilgi güvenliği yönetim sistemine sahip şirketler, A.7'de belirtilen ve standarda tam uyum için personel güvenliği açısından uygulanması gereken hedeflere aşinadır (tüm istihdam aşamalarında).

 

ISO 27001 standardı Ek A.7'de ne diyor?

İstihdamdan önceki önlemler

Kuruluş, Ek A.7.1'e göre, yeni bir çalışanın gelecekteki sorumluluklarını anladığından ve onları işe almadan önce rolüne uygun olduğundan emin olmalıdır. Standart, gereksinimler bölümünde (Bölüm 7.2), "yetkinlik"ten bahseder.

Hedefe yönelik bir referans önlemi olarak, bir iş için başvuranlara öncelikle etik ilkelere ve geçerli yasalara uygun bir güvenlik izni verilir. Bu kontrol, iş gereksinimlerine, elde edilecek bilgilerin sınıflandırılmasına ve olası risklere uygun olmalıdır (A.7.1.1). Bunu başarabilmek için, diğer şeylerin yanı sıra aşağıdakilerin yerinde olması, sağlanması veya doğrulanması gerekir:

  • Bilgi edinme prosedürü (nasıl ve hangi koşullar altında)
  • Uyulması gereken yasal ve etik kriterlerin bir listesi
  • Güvenlik kontrolü uygun, riskler ve şirketin ihtiyaçları ile ilgili olmalıdır.
  • Özgeçmişin, mali tabloların ve diğer belgelerin inandırıcılığı ve gerçekliği
  • Adayın amaçlanan pozisyon için güvenilirliği ve yetkinliği

Sözleşmeli anlaşmalar

Bir sonraki adım, istihdam ve sözleşme şartları ile ilgilidir. Bu nedenle, ISO 27001 Ek A'daki bu referans önlem, çalışanların şirkete karşı ne tür sorumluluklara sahip olduklarına ilişkin sözleşmeye dayalı anlaşmadan oluşur ve bunun tersi de geçerlidir (A.7.1.2). Bu şartın başarılı bir şekilde uygulanması, diğer şeylerin yanı sıra şu noktaların yerine getirilmesini içerir:

  • Gizli bilgilere erişimi olan çalışan (yüklenici) tarafından bir gizlilik sözleşmesinin imzalanması
  • Çalışanın (yüklenicinin) örneğin telif hakkı veya veri koruma sorunlarına uyma yükümlülüğü
  • Dış bilgileri işlerken çalışanların (yüklenicilerin) sorumluluğuna ilişkin bir sözleşme hükmü

İstihdam sırasında - Üst yönetimin sorumlulukları.

Çalışanlar bilgi güvenliği sorumluluklarının farkında olmalıdır. Bu, A.7.2'nin amacıdır ve daha da önemlisi, çalışanlar bu sorumlulukları yerine getirmelidir.

İlk önlem (A.7.2.1) yönetimin, çalışanlarını yerleşik politika ve prosedürlere uygun olarak bilgi güvenliğini uygulamaya teşvik etme yükümlülüğüne yöneliktir. Bu amaçla, asgari olarak aşağıdaki hususlar düzenlenmelidir:

  • Üst yönetim, çalışanları uygulamaya nasıl teşvik eder? Nerede riskler var?
  • Çalışanların bilgi güvenliği ile ilgilenmek için uygulanan yönergelerden haberdar olmalarını nasıl sağlıyor?
  • Çalışanların bilgi güvenliğini yönetme yönergelerine uyup uymadığını nasıl kontrol eder?
  • Çalışanlarını politika ve prosedürleri uygulamaya ve bunları güvenli bir şekilde uygulamaya nasıl motive ediyorlar?

Farkındalık yaratmak

7.3 "Farkındalık" bölümünde, ISO 27001, ilgili faaliyetleri gerçekleştiren kişilerin aşağıdakilerin farkında olmasını gerektirir.

Özellikle yeni çalışanların, bilgi güvenliği konularında zorunlu bilgilendirmeye ek olarak, e-posta veya intranet yoluyla konuyla ilgili düzenli bilgilere ihtiyacı vardır. Somut eğitim (özellikle acil durum planları ve tatbikatları hakkında), konuya özel çalıştaylar ve bilinçlendirme kampanyaları (örneğin posterler aracılığıyla) bilgi güvenliği yönetim sistemi bilincini güçlendirir.

Örneğin, ISO 27001 Ek A'daki A.7.2.1 referans önlemi de bilgi güvenliği konusunda uygun farkındalığın yaratılmasına hizmet eder. Kuruluşlar, çalışanlarını ve uygun olduğunda yüklenicilerini profesyonel olarak ilgili konularda eğitmelidir. İlgili politika ve prosedürler düzenli olarak güncellenmelidir. Diğerlerinin yanı sıra aşağıdaki hususlar da dikkate alınmalıdır:

  • Üst yönetimin kendi adına bilgi güvenliğini taahhüt etme şekli
  • Mesleki eğitim ve öğretimin doğası
  • Politika ve prosedürlerin gözden geçirilme ve güncellenme sıklığı
  • Kullanılan diğer araçlar
  • Çalışanları dahili bilgi güvenliği politikaları ve prosedürlerine alıştırmak için somut önlemler

İpucu: Bilgi aktarımı için birden çok kanalla iyi işleyen bir iletişim sağlayın. Bunun nedeni, ISO 27001 bilgi güvenliği yönetim sisteminin ve standardın gerektirdiği ilgili yönlerin farkındalığının bilgi aktarımı ile yakından ilişkili olmasıdır.

Kınama süreci

Ek 7.2.3: Bu önlem, bilgi güvenliği ihlalleri durumunda kuruluşun kınamaları nasıl ele alacağını belirtir. Bunun temeli bir düzeltici faaliyet sürecidir. Resmi olarak tanımlanacak, kurulacak ve ilan edilecektir. Aşağıdakiler sağlanmalıdır:

  • Bilgi güvenliği politikası ihlalinin ciddiyetinin sınıflandırıldığı kriterler mevcut olmalıdır.
  • Disiplin süreci geçerli yasaları ihlal etmemelidir
  • Disiplin süreci, çalışanları uzun vadede davranışlarını olumlu yönde değiştirmeye motive eden önlemleri içermelidir.

İstihdamın sonu - Sorumluluklar

ISO 27001'in Ek A.7.3'ü, kuruluşun çıkarlarını korumak için etkili bir sonlandırma veya değişiklik sürecini hedef olarak belirtir. Bu hedef, istihdamın sona ermesi veya değiştirilmesi ile ilgili sorumluluklara odaklanmaktadır. Buna göre, iş akdinin feshinden veya iş değişikliğinden sonra kalan bilgi güvenliği ile ilgili sorumluluklar ve yükümlülükler tanımlanmalı, iletilmeli ve uygulanmalıdır. Şu yönleri dikkate almak mantıklıdır:

  • Çalışanların, iş akdinin sona ermesinden sonra bilgi güvenliği ile ilgili devam eden sorumluluk ve görevlerle nasıl başa çıkacaklarına ilişkin iş sözleşmelerindeki anlaşmalar
  • Bu anlaşmalara uyumu sağlamak için izleme mekanizmaları
  • Devam eden sorumluluk ve görevlere uyumun uygulanmasına yönelik prosedürler

 

Sistematik personel güvenliği yoluyla siber güvenlik

İçeriden gelen tehdit gerçektir ve çoğu şirket bunun farkındadır. Bir güvenlik çalışmasına göre (Balabit 2018), geniş kapsamlı erişim haklarına sahip çalışanlar saldırılara karşı özellikle savunmasızdır. Ve tüm güvenlik ihlallerinin yüzde 50'sine dahil olan çalışanlarla, yanıt veren BT uzmanlarının yüzde 69'u, içeriden bilgi ihlalinin en büyük risk olduğunu düşünüyor. Yine de bu konuda çok az şey yapılıyor. Uygulamada, kurum içi personele karşı suçlamada bulunmak genellikle zordur. Özellikle insanların birbirini tanıdığı küçük ve orta ölçekli işletmelerde, genellikle onlara belirli bir miktarda güven duyulur, bu durum da bazen hoş olmayan sonuçları beraberinde getirir. İyi yapılandırılmış bilgi güvenliği yönetimi, koruma gerektiren bilgilerin güvenliğini sağlamak için temel sağlar.

Sonuç: Uygulamada ISO 27001 - Ek A

Ek A.7'de ISO 27001:2022, standardın tanıtımının bir parçası olarak uygulanması gereken personel güvenliği için referans önlemleri sağlar. Şirketler, bilgi güvenliği politikalarının bireysel, daha derinlemesine tasarımı için bu kontrolleri bir temel olarak kullanmalıdır. Tedbirler, çalışanların güvensizliğine değil, açıkça yapılandırılmış personel süreçlerine dayanmaktadır.

 

Uzmanlık ve güven

Sertifikalı şirketler, şeffaflık yaratan, karmaşıklığı azaltan ve güvenlik sağlayan üst yönetim araçları olarak yönetim sistemlerine değer verir. Ancak yönetim sistemleri daha da fazlasını yapar: DQS gibi tarafsız ve bağımsız bir üçüncü tarafça değerlendirilip onaylandığında, ilgili taraflarda şirketinizin performansı konusunda güven yaratır.

Pek çok kuruluş, sertifikayı uygunluk denetimi olarak görmeye devam etmektedir. Müşterilerimiz ise bunu başarı açısından kritik faktörlere ve yönetim sistemlerinin sonuçlarına odaklanmak için bir fırsat olarak görmektedir. Çünkü temel yetkinliklerimiz, belgelendirme denetimlerinin ve değerlendirmelerinin performansında yatmaktadır. Bu, bizi her zaman güvenilirlik, kalite ve müşteri odaklılık konusunda yeni standartlar belirleme iddiasıyla dünya çapında lider sağlayıcılardan biri yapar.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

ISO 27001 Sertifikası

Bilgi güvenliği yönetim sisteminizin ISO 27001 sertifikasına sahip olması için ne kadar çalışmanız gerekiyor? Herhangi bir yükümlülük altına girmeden öğrenin.

Not: Makalelerimiz, yönetim sistemi uzmanlarımız ve deneyimli denetçilerimiz tarafından yazılmaktadır. Metin içerikleri ile ilgili herhangi bir sorunuz varsa, lütfen bizimle iletişime geçin.

Yazar
André Saeckel

Bilgi güvenliği yönetimi alanında DQS Ürün Yöneticisi. Bilgi güvenliği ve BT güvenlik kataloğu (kritik altyapılar) alanında standart uzmanı olan André Säckel, ayrıca aşağıdaki standartlardan ve sektöre özgü standartlardan sorumludur: ISO 27001, ISIS12, ISO 20000-1, KRITIS ve TISAX (otomotiv endüstrisinde bilgi güvenliği). Ayrıca Alman Standardizasyon Enstitüsü DIN'in ulusal delegesi olarak ISO/IEC JTC 1/SC 27/WG 1 çalışma grubunun üyesidir.

Loading...