ISO 27001:2005 standardında çok büyük rol oynayan Varlık Yönetimi kavramı yeni standartla gelen süreç bazlı sistemle biraz daha arka plana itilmiş gibi görünsede yine de dikkatli yönetilmesi gereken bir adım olarak ele alınmalıdır. Bu makalede ISO 27001 standardı içerisinde Ek-A’da bulunan 8. Madde olan Varlık Yönetimi ile ilgili bilgilendirme yapacağım. 2 başlık altında toparlayacağım bu makalede ilk olarak Varlıkların sorumluluğu ikinci yazıda ise Bilgi Sınıflandırması ile ilgili konulara değineceğim. Burak EKŞİ olarak; Varlık envanteri nasıl oluşturulur, varlıkların sahipliği, varlıkların kabul edilebilir kullanımı, varlıkların iadesi, bilgi sınıflandırması, bilgi etiketlemesi ve varlıkların kullanımı hakkında bilgilendirme yapacağım.
Yazı İçeriği
Varlık Envanteri Nasıl oluşturulur?
Varlık envanteri oluşturulurken ilk şart, nelerin varlık olarak belirleneceğidir. Bu bağlamda da bize en büyük ışığı belirlemiş olduğumuz kapsam tutacaktır. Kapsam dahilindeki tüm varlıkların düzgün bir şekilde envanteri çıkarılmalıdır. (İşleme, depolama, iletme, silme ve imhayı içermelidir.)
Oluşturulan varlık envanteri varsa şirketler içerisindeki diğer envanterler ile uyumlu olmalı ve sürekli olarak güncel tutulmalıdır. Düzgün oluşturulmuş bir varlık envanteri ile çok detaylı bir risk değerlendirme işlemi gerçekleştirebilirsiniz. Her ne kadar varlık üzerinden risk değerlendirme yapılmayacak olarak piyasada konuşulsa da, standardın hiçbir yerinde Varlık bazlı risk değerlendirme yapma yazmıyor.
Varlık envanteri ile ilgili örnek tabloyu aşağıda yazının ilerleyen bölümlerinde bulabilirsiniz.
Varlıkların Sahipliği
Varlık envanteri üzerindeki tüm varlıklar için bir sahip belirlenmelidir. Bu sahipler bir kişi veya bir departman olabilir. Önemli olan bu varlık sahibinin sahip olduğu varlıklar için gereken sorumluluklarını biliyor olmasıdır.
Varlık sahipleri; “Varlıkların envantere kayıtlı olduğundan, uygun sınıflandırıldığından, korunduğundan, erişim kontrol politikasını dikkate alarak erişim kısıtlamalarının uygulandığına ve periyodik olarak gözden geçirmekten sorumludurlar.”
Varlık sahibi olarak tanımlanan kişi veya departmanın varlık üzerinde herhangi bir mülkiyeti yoktur. Sahipler belirlendikten sonra varlıklara refakat edecek kişi olarak emanetçileri de belirlenmelidir. Emanetçiler varlıklara günlük olarak bile bakabilirler. Fakat bu durumda da sorumluluk yine varlık sahibindedir.
Varlıkların kabul edilebilir kullanımı
Kuruluşlar içerisindeki varlıkların kullanımını gerçekleştiren iç veya dış taraf kullanıcılar için varlıkların nasıl kullanacağına dair bir politika geliştirmeli ve tüm bu iç ve dış tarafların farkında olmasını sağlamalı ve bu politikaya uymalarından emin olmalıdır. Bu belirlenen politika doğrultusunda da çalışanlar veya dış kullanıcılar yaptıkları tüm kullanımlardan sorumlu olacaklardır.
Peki nelerin kurallarını belirlemeliyiz? Diye sorarsanız. İnternet kullanımı, e-posta kullanımı, yazılım kullanımı, taşınabilir cihazlar ile ilgili kurallar, telekomünikasyon cihazları ile ilgili kullanım, ofis içerisindeki printer, fax vb. ofis cihazlarının kullanımı ile ilgili kuralları belirleyebilirsiniz.
Bu politika kuruluş içerisinde düzgün bir şekilde duyurulmalı ve içerisindeki kuralların gerçekleştirilmemesi durumunda bir disiplin süreci’nin devreye gireceği tüm çalışanlara ve üçüncü taraf kullanıcılara bildirilmelidir.
Varlıkların iadesi
Varlıkların iadesi süreci ağırlık olarak İnsan Kaynakları departmanları tarafından gerçekleştirilen bir süreçtir. Bu madde de istihdamın sonlandırılması veya değiştirilmesi sürecinde kullanıcılar üzerindeki varlıkların iade edilmesi ile ilgili süreci anlatmaktadır. Ülkemizde genel olarak bu süreç zimmet tutanakları ile takip edilmektedir. Burak EKŞİ olarak Eksik gördüğüm durumlar ise işten çıkarılma durumunda zimmet tutanaklarının düzgün tutulduğu fakat görev değişikliği sırasında bu özenin pek gösterilmediğidir. Şirket çalışanlar ile ilgili süreci insan kaynakları departmanı dış kullanıcılar ile ilgili durumlarda ise sözleşme şartlarına göre durum gözden geçirilmelidir.
Bir sonraki yazımız Varlık Yönetimi – Bilgi Sınıflandırması makalesi bu yazının devamı olarak gelecektir.