ISO 27001 Bilgi Güvenliği Politikaları hemen her uygulayıcı firmada zorunlu bulunması gereken politikalardır. Doküman bilgi güvenliği yönetim sistemi gereğince ele alınırsa gerçekten aslında diğer yönetim sistemlerinde olduğu gibi aslında politikaların birer talimattan ibaret olduğu görülecektir.
Bununla birlikte bir yönüyle firmalar için bu yapı devlet kurumlarında veya filmlerde sıkça adını duyduğumuz “Protokol” kavramıyla özdeş sayılır.
ISO 27001 Politikası Ne Demektir?
Politika kurumsal ve bilgi güvenliği yönetim sistemini uygulayan firmalar tarafından benimsenmiş yazılı talimatlardır. Uygulanması hayati derecede önem taşıyan bu protokolleri bilgi güvenliği belgelendirme denetimlerinin geçilebilmesi açısından çok değerlidir. Bu politikalar olmadığında firma belgelendirme denetiminden geçemez ve iso 27001 sertifikası sahibi maalesef olamaz.
27001 Politikaları Neden ve Neye Göre Hazırlanır?
Bu politikalar ISO 27001 prosedürünün en sonunda yer alan EK-A kontrol listesi gereği hazırlanmaktadır. Burada yer alan her bir madde için prosedür yerine politika dokümanı hazırlanır. Veri tabanı güvenliğini nasıl sağladığınızı ve yazılı kurallarını, diğer bir ifadeyle bu işin yasasını siz bu politikalar ile belirlersiniz.
Elbette bağlı formlarında olması gereken bu yapısal oluşum dokümante edilmiş bilgi kavramı gereği aslında adına ister politika, talimat ya da prosedür deyin fark etmeyecektir. Önemli olan iso 27001 tetkiklerinde baş denetçilere bu protokolleri gösterebilmeniz firmanızın belge sahibi olması hasebiyle önem arz etmektedir.
Bütün Olarak ISO 27001
Bütün olarak ele almanız gerekirse bilgi güvenliği yönetim sistemi kayıtlarının arşivlenmesi sırasında eğer bir akreditasyon söz konusuysa muhakkak bilgi güvenliği prosedürleri en üst seviye dokümanlar olarak firmanız için kendisine yer bulacaktır. Sonrasında sırasıyla talimatlar, akış şemaları, politika ve formlar hazırlanmış olmalıdır.
Sistemin tümünü ele aldığınızda EK-A listesine kadar diğer yönetim sistemlerinin üst seviye yapısına uyum gösteren bilgi güvenliği yapısal olarak tam örtüşmektedir. Günümüzde pandemi nedeniyle bilgi güvenliği yönetim sistemleri daha üst düzeyde önem kazanmışlardır. Özellikle ofise dönüş sonrasında yani 27001 literatüründeki adıyla erişim politikası öncülüğünde bir yeniden yapılanma söz konusudur.
Bugün dünyamızın çok hızlı değişen şartlarında farklı açılardan ele alındığında en önemli yönetim sistemlerinden birisi bilgi güvenliği yönetim sisteminin uygulanıyor olmasıdır. Bu sistemi uygulamayan firmaların yakın gelecekte olası kayıplarının tahmin edilenlerin ötesine geçmesi durumuyla karşı karşıya kalmaları kaçınılmazdır.
Sadece pandemi açısından değil olası her yönüyle tüm risklerin analiz edilmesi, SWOT analizlerinde bilgi güvenliği risk ve fırsatlarının tespit edilmesi ve gerekli aksiyonlar için planlamaların yapılması yeni ekonomik sistemlerin ve kuruluşların geleceklerinin yönetilmesidir.
Bu bir değişim yönetimi sıfatına sahip ciddi beklentilerin hesaplanamaz olduğu tamamen güncel bir geleceğin ayak sesleridir. Hele ki online e-ticaret siteleri ile kişisel verilerin giderek ön plana çıkıyor olması tümüyle ayrı bir gündem maddesidir.