Bir önceki yazımızda ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) faydalarından kısaca bahsettik. Bu yazımızda ISO27001’den en fazla faydayı sağlayan organizasyonların ortak özelliklerini tespit etmeye çalışacağız.
Ekip
Bir Organizasyonun ISO27001 BGYS Kurma Süreci iki şekilde olur;
- Dış Etkenler; Ana sanayinin talebi, yasal mevzuatlara uyum, ihale süreçlerine katılma gereklilikleri, müşteri talebi gibi nedenler,
- İç Etkenler, Organizasyonun kendi dinamikleriyle ISO27001 BGYS kurmaya karar vermesi.
BGYS süreçlerine iç dinamikleriyle karar veren organizasyonların çok daha başarılı ve kalıcı bir sistem kurduklarını sıkça gözlemliyoruz.
Görevler, Sorumluluklar
BGYS kurmaya başlamadan önce, BGYS ekibini kuran, ekibin görevlerini, sorumluluklarını, hedeflerini ve önemlisi ekip üyelerinden her birinin iş yükleri hakkında tam bilgilendirme sağlayan organizasyonlar çok başarılı oluyor. Bir adım daha atıp çalışan görev tanımlarına BGYS süreçlerini entegre edebilen organizasyonların çok başarılı olduğunu görüyoruz.
Üst Yönetim Desteğinin Önemi
Bir işte üst yönetimin desteği çok şeydir, hatta her şeydir. Gerek BGYS kurmaya başlamadan önce, gerekse proje süresince üst yönetimin desteğini göstermesi çok önemli. Üst yönetim desteğinin en belirgin ili özelliği;
- BGYS kurulması ve işletilmesi için kaynak ayırmalı,
- Belki de daha önemlisi “Hesap Sormalıdır.” Hesap sormak, bir işin yönetim tarafından takip edildiğinin en önemli göstergesi olur.
BGYS projelerinde üst yönetim desteğini alan organizasyonlar çok başarılı projelere imza atıyor. Üst yönetim desteği alınmış bir sürecin başarısız olması hemen hemen imkansız diyebiliriz.
Danışmanlık Seçimi
Organizasyonun, BGYS kurulumunda dış desteğe (danışmanlık) ihtiyaç duyabilir.
“İyi bir dış destek (danışman) seçimi, başarının yarısını garanti etmek demektir.”
Başarılı ekip ve uyumlu bir dış destekle bir araya geldiğinde proje süreci ve projeden elde edilen fayda çok büyük olur. Danışman seçimi yaparken;
- Danışman firmanın ISO27001 kabiliyetine,
- Bulunduğunuz sektöre,
- ISO27001 ile ilgili olan ISO27002, ISO27701, ISO22301, ISO9001, KVKK, GDPR, ISO31000 gibi entegre sistemlere olan kabiliyeti,
- Firmanın danışman kadrosuna bakabilirsiniz.
Entegre Süreçler
“Bilgi Güvenliği” kavramını, tüm süreçlerine entegre edebilen organizasyonlar çok başarılı oluyor. İşe Giriş Çıkıştan Ürün Geliştirmeye, Müşteri İlişkilerinden Satın almaya kadar tüm süreçlere, Personel El Kitabı, Disiplin Yönetmeliği gibi dokümantasyona “Bilgi Güvenliği” kavramını entegre edebilmiş ve sürekliliğini sağlayan organizasyonlar BGYS’den en fazla faydayı sağlıyor.
Eğitim, Eğitim, Eğitim
Başarılı organizasyonların bir ortak özelliği de; “Eğitim Değil, Sürekli Eğitim” prensibini benimsiyor olmaları. BGYS’nin dinamik yapısı için bir kez eğitim almak yeterli olmuyor. Planlarında “Bilgi Güvenliği” eğitimlerine sürekli yer veren organizasyonlar için başarı kaçınılmaz oluyor.
Kısacası; organizasyondan daha fazla fayda sağlamak için BGYS ekibi kurulması, Üst Düzey Yönetimin desteği olması, Danışmalık hizmeti alınması, “Bilgi Güvenlği” tüm süreçlere entegre edilmesi ve son olarak başarılı bir proje için Sürekli Eğitimin sağlanması gerekir.