Belki de 2020’nin kilitlenme öncesi ilk aylarında beklemediğimiz bir şey, ISO 27001 Bilgi Yönetiminin ne kadar değerli olacağıydı. Birçoğumuz evden çalışırken – işverenimizin hassas verilerini işlemek ve yerel Wi-Fi ağımıza bağlı mutfak masasına tünemiş bir dizüstü bilgisayardan müşteri kayıtlarını yönetmek – iş uygulamalarının güvenlik açıkları kapsamlı bir şekilde test edildi. Ve kırılma noktasının ötesine geçen çok fazla şey duydum.
ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kendine geldiği yer burasıdır. Kuruluşunuzun beklenmedik bir durum olduğunda işlemesini sürdürmenize yardımcı olmak için iş sürekliliği ve felaket kurtarma unsurlarını bir araya getirir. Başka bir deyişle, sizi daha dirençli kılar.
Belgelendirme sayfamızda ISO 27001 Bilgi Güvenliği Yönetim Sistemi hakkında daha fazla bilgi edinebilirsiniz. Ama dikkatinizi çekerken, bu bağlantılarda bulamayacağınız birkaç şey hakkında konuşmak istiyorum.
Öncelikle ve ISO 27001’i (veya aslında herhangi bir ISO yönetim sistemini) tanıtmayı düşünürken muhtemelen en önemli ipucu – ve diyebilirsiniz ki kör edici bir şekilde açık olan bir ifade – ne yaptığınızı bilmektir.
Sürükleyici olmayabilir, ama gerçekten standardı okumalısınız. Ve ISO 27001 BGYS söz konusu olduğunda, ISO 27002 yorum belgesini okumak da kötü bir fikir değildir. ISO 27001 uygulaması hakkında faydalı rehberlik sağlar (ancak buna bağlı kalamazsınız; sonuçta bu sadece rehberliktir). Standardı bildiğinizden emin olun.
Yolculuğunuzun bu aşamasındayken, zaten ne yapmakta olduğunuzu bildiğinizden emin olun. Bir tür Bilgi Güvenliği kontrolleri olmadan iş hayatınızda bu kadar ileri gidemezsiniz: fiziksel güvenlik, personel eğitimi ve yeterliliği, şifreler, güvenlik duvarları vb. Bunların çoğu standardın Ek A’sında listelenen kontrollerdir. Zaten kontrolleriniz varsa ve iyi çalışıyorsa, tekerleği yeniden icat etmeye gerek yoktur!
Bunların her ikisini de anlayın ve ISO 27001’i uygulamanın daha önce düşündüğünüz kadar korkutucu olmadığını göreceksiniz.
ISO 27001 ile ilgili yanılgılar
“Her şey bilişim teknolojileri ile ilgili.” Yanlış. Bilgi güvenliği ile ilgili. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, sahip olduğunuz tek şey tüy kalemleri ve parşömen olsa bile geçerlidir – bu yine de bilgidir. Bilgi birçok şekilde tutulur; kağıt, web siteleri, insanların kafaları. Sadece öyle oluyor ki, bu günlerde çok şey bilgisayarlarda.
“Bunu ihtiyaçlarımıza uyarlayamayız.” Yanlış ve bu tüm ISO yönetim sistemleri için geçerli. Pek çok kişi, bir ISO standardının size personelin incelenmesi ve incelenmesi ve şifrelerin karmaşıklığı vb. gibi tam olarak ne yapmanız gerektiğini söylediğini düşünür. ISO standartları bunu yapmaz. Risk değerlendirmesi ve bağlam gibi alanlarda genel hatlar verirler ancak nasıl yapılacağını size söylemezler. Kuralcı standartlar kolay görünür; sadece kuralları izleyin ve geçersiniz, ancak çoğu zaman kendinizi kurallara uyacak şekilde organizasyonu değiştirirken bulursunuz. Yönetim standartları biraz daha düşünmeyi gerektirir ama sonunda size uygun bir sistem geliştirirsiniz.
“Bu sadece bilgileri gizli tutmakla ilgili. Bunu zaten yapıyoruz.”Yanlış. Anahtar gereksinimler CIA kısaltmasıdır – Gizlilik, Bütünlük ve Kullanılabilirlik. Bilginin doğru miktarda gizliliğe ihtiyacı vardır, ancak aynı zamanda doğru ve eksiksiz olması ve ihtiyaç duyduklarında insanlar tarafından kolayca erişilebilir olması gerekir. Bu, birbirlerine karşı çalışabilecekleri için bir dengeleme eylemi yaratır. Çok sayıda insanın görmesi gerekiyorsa bilgileri gizli tutmak kolay değildir.
Yukarıdakileri izleyin ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına ve daha dayanıklı bir işletmeye giden doğru yoldasınız.
