ISO 27001 BGYS’de Varlık Yönetimi ve Sorumluluğu

ISO 27001 BGYS’de Varlık Yönetimi ve Sorumluluğu

ISO 27001:2013 standardında Varlık Yönetimi kavramı süreç bazlı sistemle dikkatli yönetilmesi gereken bir adım olarak ele alınmaktadır. ISO 27001 standardındaki Ek-A’da bulunan 8. Maddede Varlık Yönetimi ile ilgili konuyu bu yazımızda ele alacağız. Varlık Envanteri nasıl oluşturulur, Varlıkların Sahipliği, Varlıkların Kabul Edilebilir Kullanımı ve Varlıkların İadesi, konularında bir değerlendirme yapacağız.

Varlık Envanteri Nasıl oluşturulur?

Varlık Envanteri oluşturulurken varlık olarak neleri belirleyeceğimiz önem arzetmektedir. Bu noktada bize en büyük yardımı kapsamımız yapacaktır. Kapsam dâhilindeki tüm varlıkların düzgün bir şekilde envanteri çıkarılmalıdır.

Oluşturulan envanter varsa şirketler içerisindeki diğer envanterler ile uyumlu olmalı ve sürekli olarak güncel tutulmalıdır. Düzgün oluşturulmuş bir varlık envanteri ile çok detaylı bir risk değerlendirme işlemi gerçekleştirebilirsiniz. Her ne kadar piyasada risk değerlendirmenin varlık üzerinden yapılmayacağı konuşulsa da, standardın hiçbir yerinde Varlık bazlı risk değerlendirme yapılamaz yazmıyor.

Varlıkların Sahipliği

Varlık envanterindeki tüm varlıklar için bir sahip belirlenmelidir. Bu sahipler bir kişi veya bir birim olabilir. Önemli olan bu varlık sahibinin  sahip olduğu varlıklar için gereken sorumluluklarını biliyor olmasıdır.

Varlık sahipleri; “Varlıkların envantere kayıtlı olduğundan, uygun sınıflandırıldığından, korunduğundan, erişim kontrol politikasını dikkate alarak erişim kısıtlamalarının uygulandığına ve periyodik olarak gözden geçirmekten sorumludurlar.”

Varlık sahibi olarak tanımlanan kişi veya birimin varlık üzerinde herhangi bir mülkiyeti yoktur. Sahipler belirlendikten sonra varlıklara refakat edecek kişi olarak emanetçileri de belirlenmelidir. Emanetçiler varlıklara günlük olarak bile bakabilirler. Fakat bu durumda da sorumluluk yine varlık sahibindedir.

Varlıkların kabul edilebilir kullanımı

Kuruluşlar içerisindeki varlıkların kullanımını gerçekleştiren iç veya dış taraf kullanıcılar için varlıkların nasıl kullanacağına dair bir politika geliştirmeli ve tüm bu iç ve dış tarafların farkında olmasını sağlamalı ve bu politikaya uymalarından emin olmalıdırlar. Bu belirlenen politika doğrultusunda da çalışanlar veya dış kullanıcılar yaptıkları tüm kullanımlardan sorumlu olacaklardır.

Peki nelerin kurallarını belirlemeliyiz? İnternet kullanımı, e-posta kullanımı, yazılım kullanımı, taşınabilir cihazlar ile ilgili kurallar, telekomünikasyon cihazları ile ilgili kullanım, ofis içerisindeki printer, fax vb. ofis cihazlarının kullanımı ile ilgili kuralları belirleyebilirsiniz.

Bu politika kuruluş içerisinde düzgün bir şekilde duyurulmalı ve içerisindeki kuralların gerçekleştirilmemesi durumunda bir Disiplin Sürecinin devreye gireceği tüm çalışanlara ve üçüncü taraf kullanıcılara bildirilmelidir.

Varlıkların iadesi

Varlıkların İadesi süreci ağırlık olarak İnsan Kaynakları Birimleri tarafından gerçekleştirilen bir süreçtir. Bu madde de istihdamın sonlandırılması veya değiştirilmesi sürecinde kullanıcılar üzerindeki varlıkların iade edilmesi ile ilgili süreci anlatmaktadır. Ülkemizde genel olarak bu süreç zimmet tutanakları ile takip edilmektedir. Proxy Danışmanlık olarak eksik gördüğümüz durumlar ise işten çıkarılma durumunda zimmet tutanaklarının düzgün tutulduğu fakat görev değişikliği sırasında bu özenin pek gösterilmediğidir. Şirket çalışanlar ile ilgili süreci insan kaynakları birimi dış kullanıcılar ile ilgili durumlarda ise sözleşme şartlarına göre durum gözden geçirilmelidir.

 

Comments are closed.