SepetimBilgi güvenliği küçük büyük firma bireysel kurum kuruluş demeden hepimizi tehdidi altına almaktadır. Sürekli hacklenen firmalar veya kişisel çalınan hesaplara haberlerde denk gelmekteyiz. Bilgi güvenliğinde vakıf, özel ve devlet üniversiteleri yoğun çalışmalar içine girmiştir. Çünkü ciddi bir tehdit altında olan bu kuruluşlarda gerek öğrenciler gerek veliler ve değerli hocaların bilgisi bulunurken sınav kağıtları sistemle donanımlar ve bilgiler ağırlıkla yer aldığı için üniversite yönetimlerine ciddi bir planlama gerekmektedir. Üniversiteler bilgi güvenliğini için yapması gerekenler öncelikle planlama ve kaynak ayırma ve süreci ciddi şekilde yönetmelidir. KVKK kapsamında yapılması gerekenler olduğu gibi biz bu makalemizde ağırlıklı olarak ISO 27001 yönetim sistem standardından ve uygulamalarından bahsedeceğiz. ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır.
ISO 27001 Kapsamında Üniversitelerin Yapması Gerekenler
Üniversiteler yasal mevzuata uyum ile birlikte iş sürekliliğini ve veri güvenliğini sağlamak için politikalar yayınlamalıdır. Bu politika içinde yaklaşık otuz kırk adet politika bulunabilmektedir. İnternet erişim ve temiz masa kullanımdan siber güvenlik bulut politikasına kadar bilgi güvenliği ile ilgili tüm detaylarda politika yayınlanmalıdır. Bu politikalar tüm kurum kültürüne yayılmalıdır. Duyurusu yapılmalı ve politikalar verilen eğitimlerle desteklenmelidir. Mutlaka üniversiteler tüm paydaşları için politikalarını web sitesinde yayınlamalıdır.
Üniversiteler tüm çalışanlarına bilgi güvenliği kapsamında gerek mevzuat gerekse standart eğitimlerini vermelidir. Üniversitelerde kurulacak ve yönetilecek olan ISO 27001 Bilgi güvenliği Yönetim Sistemi ile çalışanlar farkındalık kazanacaktır. Çalışanlar bilgi güvenliği konusunda üzerine düşen sorumlulukları da bu eğitimlerle öğrenip yerine getirecektir. Eğitimler ile uygulamalarda beceri kazanacak ve çalıştığı kurumu siber saldırılara karşı koruyor olacaktır. Bu şekilde çalışanlar değişime de uyum sağlıyor olacaktır.
Üniversiteler ISO 27001 kapsamında hedeflerini belirlemelidir. Bu hedefler içinde en önemlisi bilgi güvenliğini veri korumayı sağlamak olurken aynı zamanda saldırılara karşı da alınacak önlemler hedef olabilmektedir. Hedeflerin belirlenmesinde tüm süreç sorumlularının aktif rol alması beklenmektedir. Hedefler sadece bir iki kişinin nezdinde olmamalıdır. Üniversiteler IT veya BT (Bilişim ve bilgi teknolojileri) ile kalite ekiplerini bir araya getirirken hedef belirleyenler arasında satın alma, hizmet birimi, arşiv birimi ve benzeri bölümlerinde süreçlere dahil edilmesi verimlilik açısında önemli olmaktadır. Yani tüm bu süreç sorumluları aktif hedefler belirlerken Kurumu veri koruma yönünde güçlendirip siber saldırıların önlenmesini de sağlayacaktır.
Üniversiteler bilgi güvenliği kapsamında iş sürecinin nasıl yönetilmesi gerektiğini detaylarıyla belirlemelidir. ISO 27001 sürecinin detaylı bir şekilde adım adım anlatıldığı ve nasıl uygulanacağına dair talimatları içeren prosedürler üniversitelerin süreçlerini kolaylaştırmaktadır. Prosedürler aynı zamanda rehber rolündedir. Üniversiteler bilgi güvenliği kapsamında standartlara ve mevzuatlara uyum gösterdiğini yazarak anlatmaktadır. Bu yazılanlarında uygulamada görülmesi beklenmektedir. Prosedürler verimliliği arttırıp doğru bir yönlendirme de sağlamaktadır. Üniversiteler prosedürlerle hedeflerine ulaşıp, yasal yükümlülükleri yerine getirirken operasyonel anlamda da ilerlemektedir. Bilgi güvenliği yönetimi açısından prosedürler sürdürebilir olmaktadır. Gerek iç denetim gerekse de dış denetimlerde prosedürler işinizi kolaylaştırmaktadır.
Üniversitelerin mutlaka ve mutlaka ISO 27001 Kapsamında risk analizlerini belirlemesi gerekmektedir. Yine tüm ekip çalışanları ile birlikte (IT Birimi, Satın alma, Hizmet, Kalite birimi gibi) bölüm sorumlularıyla risk ve fırsat tablosu oluşturulmalıdır. Peki neden bunu yapmalıdır? Bilindiği üzere son zamanlarda en çok karşılaştığımız saldırılar siber saldırılardır. Tüm sistemi hacklenen kuruluşlar her gün haberlerde karşımıza çıkmaktadır. ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır ve üniversitenin bilgi varlıklarını koruma amacıyla risk yönetim yaklaşımını esas almaktadır. Üniversiteler risk analizi ile bilgi güvenliğine yönelik tehditleri ve zayıflıkları belirlemelidir. Belirledikten sonra gereken aksiyonları almalıdır. Ve belirli periyotlarda mutlaka risk analizi kontrol edip güncellemelidir. Üniversiteler doğru bir risk analizi ile bilgi varlıklarını ve kritik süreçlerini belirleyecek, risklerin olası etkilerini değerlendirecek, azaltıcı önlemleri geliştirip hedeflerle uyumlu hale getirecektir.
Üniversiteler, ISO 27001 gibi standartlara uyum sağlamak için tüm sahip oldukları varlıkların envanterini çıkarmalı ve güncel olarak tablolaştırmalıdır. Varlık envanteri, üniversitenin sahip olduğu tüm bilgi varlıklarının (fiziksel, dijital ve soyut varlıklar) sistematik bir şekilde tanımlandığı, listelendiği ve yönetildiği bir belgedir, listedir. Bu envanter, bilgi güvenliği risklerinin değerlendirilmesi ve yönetilmesi için temel bir adımdır. Varlık envanteri kapsamın bilgi güvenliği yönetim sistemi ile uyumlu olması önemlidir. Denetim kolaylığı için varlık envanterinin hazırlanması önemlidir.
Türkçesi uygulanabilirlik beyanı olarak hayatımıza geçen SOA ile üniversiteler standardın uygulanıp uygulanmadığını tablo ile göstermektedir. ISO 27001 standardının EK A sında belirtilen 114 kontrolün uygulanabilirliğini, durumunu gerekçesini detaylandırmaktadır. Üniversiteler SOA yı standarda ve mevzuata uyum sağladığını göstermek için hazırlamak zorundadır. Hangi kontrollerin neden seçildiğini açıklayan SOA risk analiz sonuçlarına dayalı olarak uygun şekilde hazırlanmalıdır. SOA ile üniversiteler iç ve dış denetimde standarda uyduğunu kanıtlarken kararlarını da net göstermektedir. SOA üniversitelere şeffaflık ile birlikte Bilgi güvenliği çerçevesinde alınan kararların net bir şekilde belgelenmesini sağlar.
Örnek SOA tablosu aşağıdaki gibidir:
| A.5.2 | Bilgi güvenliği rolleri ve sorumlulukları, kuruluşun ihtiyaçlarına göre tanımlanmalı ve dağıtılmalıdır. | OEK -Organizasyon El Kitabı | Evet | İç Denetimler | Yılda bir kez |
| A.5.3 | Çakışan görevler ve çatışan sorumluluk alanları birbirinden ayrılmalıdır | BGYS.POL-09 Görevler Ayrılığı Politikası | Evet | İç Denetimler | Yılda bir kez |
| A.5.4 | Yönetim, tüm personelin bilgi güvenliğini kuruluşun bilgi güvenliği politikasına, konuya özgü politikalara ve prosedürlerine uygun olarak uygulamasını şart koymalıdır | BGYS.P-04 Yönetimin Sorumluluğu Prosedürü | Evet | İç Denetimler | Yılda bir kez |
Üniversiteler ISO 27001, Bilgi Güvenliği Yönetim Sistemini kontrol etmek hedeflere ulaşıp ulaşmadığını sorgulamak ve performansını ölçmek için iç denetim yapmak zorundadır. Üniversiteler bu denetimle Standarda ne kadar uyum gösterdiğini, standarttan ne kadardan saptığını belirlemelidir. İç denetim eğitim alan ve yetkinliği olan kişilerce şeffaf ve tarafsız şekilde yapılmalıdır. Belirli bir takvimde duyuruya çıkarak tüm süreç sorumlularını dahil ederek yapılan uygulamalıdır. Denetim sonucunda çıkan uygunsuzluklar üniversitelere olumlu katkı sağlayacaktır.
ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında üniversiteler yönetimi gözden geçirme toplantıları yapmak zorundadır. Üst yönetim ile birlikte diğer süreç sorumlularının bir araya gelerek ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) gözden geçirdiği performansını etkinliğini ve uygunluğunu değerlendirdiği periyodik genelde yıllık olan toplantılardır. ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) için zorunludur ve de sadece bu standardın gerektirdiği girdiler konuşularak çıktılara ulaşılarak kararlar alınmaktadır.
ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında üniversiteler standarda uyum gösterdiğini, uygulamalarını standarda dayandırdığı ve performanslarının üçüncü bağımsız taraflarca değerlendirilmesini isteyebilmektedir. Bu konuda uzman baş denetçilerimiz ile sizlere denetim sağlamaktayız. Denetim sonunda onaylı belgelerinizin alınmasında süreci doğru şekilde yönetmekteyiz. Detaylı bilgi için Ekol Uluslararası Belgelendirme ye web sitemizden ve sosyal medya hesaplarından ulaşabilirsiniz. Tüm dünyaya bu konuda destek sağlamaktayız.
paylaş
twittle
paylaş
paylaş