Bilgi Güvenliği Yönetimi Masalı



Değerli okuyucularımız, bu ayki sayımızda bilgi güvenliği yönetimi konusunu ele aldık… BS7799 olarak başlayıp, sırasıyla ISO 17799 ve daha sonra ISO 27001 ismini alan bilgi güvenliği yönetim sistemi ile ilgili düşüncelerimi kısaca anlatmak isterim… Bilgi güvenliği yönetimine ilişkin standartları düzenleyen ISO 27000 ailesi gerçekten de bilgi güvenliği alanına çok önemli bir başvuru kaynağı olmuştur. Türkiye’de ISO 27001 belgesini ilk alan kamu kurumunda, bu sürecin proje yöneticisi olarak bu başarıya imza atarken ekip olarak büyük bir heyecan ve gurur duymuştuk… Fakat şimdi görüyorum ki ne zorluklarla kurduğumuz ve yönetmeye çalıştığımız sistem birçok yerde standarttan çok uzak, sadece belge almak üzere kurulmuş ve yönetilmektedir…

Bir diğer üzücü husus bu belgeye ilişkin denetimleri yapan belgelendirme kuruluşları... Sayıları çok hızla artan bu kuruluşlar sadece bu alanda önemli bir gelir kapısı ve bu alanı pazar gördükleri için bu işe girdiler. Bünyelerinde bilgi güvenliğinden, bilgi güvenliği yönetiminden anlayan kişi çok az. Elbette gerçek anlamda bu işi sahiplenenleri var. Ama son zamanlarda görüyorum ki gerçek bir denetimden çok, sadece belge vermek üzere denetim üzerine çalışma yöntemleri sergileyenlerin sayısı da az değil.

İşte değerli okuyucularımız… Eğer gerçek anlamda bilgi güvenliği yönetilmez ise daha büyük bilgi güvenliği açıklıkları ile karşı karşıya kalabilirsiniz. Sadece belge almak üzere bu sistemleri kurmak daha büyük bir zafiyet. Bu bakımdan belgelendirme firmasını seçerken çok özen gösterilmeli. Bu belgelendirme kuruluşlarının akreditasyonunun da çok sıkı yapılması gerekmektedir. Aksi takdirde bir bilgi güvenliği yönetimi masalı dinlemekten ileri gidemeyiz.

Güvenli günler dilerim…


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları