İnsanların organizasyonu yönetmek için yaptıklarının çoğu artık kafalarında değil, yazılı hale geliyor. Prosedürlerin, çalışma talimatlarının ve kayıtların bağlayıcıları oluşturulmuştur. Bu, ISO 9001 ile uyumlu olmak için yeterli olabilir, ancak sizi güvenli olmayan bilgilerin oluşturduğu sürekli artan tehditlerden korumayacaktır.
Müşterilerin yeni ürünleri için son derece hassas spesifikasyonları, kuruluşunuzun yenilikçi yeni ürün geliştirme dosyaları, tescilli süreç kontrol parametreleri, tedarikçi gereksinimleriniz, insanların eğitim ihtiyaçları vb., bir Kalite Yönetim Sisteminin uygulanmasının bir parçası olarak kağıt veya elektronik dosyalara taahhüt edilmiştir.
Ayrıca, gerçek performansın kayıtları – ürün, süreç ve müşterilerin geri bildirimleri – gereksinimlerin veya hedeflerin karşılandığını (veya karşılanmadığını) göstermek için muhafaza edilmelidir, bu da gelişmiş performans ve müşteri memnuniyetine yol açar. Potansiyel olarak, burada başkalarının kuruluşunuz veya müşterileriniz için ne yaptığınız hakkında keşfetmesi için çok fazla ilgi var…
ISO 9001’in mevcut “Nihai Taslağı”, muhafaza edilmesi veya muhafaza edilmesi gereken “belgelenmiş bilgi” terimlerini kullanır. ve bu terimler, yukarıda açıklanan belge türleri ile birbirinin yerine kullanılabilir. Elbette ISO 9001 de – her zaman olduğu gibi – bu belgelerin “kontrol edilmesini” gerektirir. Bu genellikle “incelendi, onaylandı, kullanım noktalarında kullanıma sunuldu” ve kayıtlar söz konusu olduğunda dikkatlice toplanıp dosyalandı anlamına gelir.
ISO 9001 gerekliliklerine uygunluk, bu durumlarla ilgilenmez. Paylaşılmaması gereken bir şeyi istemeden paylaşma konusunda benzer bir risk taşıyor musunuz?
Neyse ki, yardımcı olabilecek bir ISO yönetim sistemleri standardı var! ISO 27001, “BGYS” olarak da bilinen “Bilgi Güvenliği” için özel olarak bir yönetim sistemi için bir dizi gereksinimi açıklar.
‘..bilgi ihlalleri genellikle çalışanların hassas bilgileri doğru bir şekilde nasıl kullanacaklarını bilmemeleri ve başka bir tarafın buna erişmesi nedeniyle olur. ISO 27001’in yardımcı olduğu şey budur.’
ISO 27001 gereklilikleri, kuruluşların başlarına gelebilecek olası olayları (yani riskleri) belirlemeleri için yönetim sistemini ve tipik kontrolleri tanımlar ve ardından ihlallerin oluşmasını önlemek için çalışan davranışlarını değiştirebilecek yöntemleri tanımlar. Hassas bilgileri işleyen herhangi bir kuruluş, kâr amacı güden veya gütmeyen, küçük işletme veya büyük şirket, devlet veya özel kuruluş olsun, ISO 27001 ile uyumlu bir Bilgi Güvenliği Yönetim Sistemi uygulamasından yararlanabilir.
Birçok açıdan, ISO 27001 uyumlu bir yönetim sisteminin gereksinimleri aynı zamanda ISO 9001 uyumlu bir kalite yönetim sisteminin gereksinimleridir, bu nedenle ISO 27001’i benimsemek için adımlar atmak sanıldığı kadar göz korkutucu değildir. Aşağıda listelenenler gibi “yönetim” gereksinimlerinin çoğu, ISO 9001’den neredeyse “kesilip yapıştırılmıştır”:
• Yönetim İncelemesi
• İç denetimler
• Düzeltici eylemler
• Doküman Kontrolü
• Kayıt kontrolü
Bilgi güvenliği kontrollerinin entegrasyonu, tanımlanan risklere dayalı olarak seçilebilir ve daha sonra çok fazla ek yük olmadan doğrudan mevcut ISO 9001 KYS çerçevesine dahil edilebilir.
Arkanıza yaslanıp yalnızca kuruluşunuzun ISO 27001’i uygulaması gerektiğini hayal etmek kolay olurdu. Haberlerde gördüğümüz, veri güvenliği ihlallerine karşı özellikle savunmasız görünen tüm endüstri sektörleri bile var:
• Bankalar
• Telekom şirketleri
• Eğlence Şirketleri
• Perakende mağazaları
Gerçekte, çoğu kuruluş bir bilgi güvenliği ihlalinin kurbanı olabilir. Temel güvenlik kontrollerinin bile olmaması, rakipler tarafından elde edilen ürün belgeleri ve veriler yoluyla kilit müşterilerin pazar payının kaybolmasına neden olabilir.
Çalışanlarınızın kendi yeni ürün geliştirme dosyalarınızı ele aldığı zamanlar için bir “temiz masa” politikanız var mı? Bir yabancının ikinci vardiyada alım/sevkiyat rıhtım kapılarında dolaşmasını ve bu müşteri prototipinin monte edildiğini görmesini ne engelleyebilir? Personelinizin hassas bilgilerin kullanıma sunulmasını nasıl önleyeceğini bildiğinden ne kadar eminsiniz?
Açıkça, kuruluşunuzun adı bir veri ihlaliyle ilgili manşet haber olamaz. Ancak, kuruluşunuz üzerindeki etkileri yıkıcı olabilir. Bilgi güvenliğinden ve en önemlisi ISO 27001’in ISO 9001 KYS’nizde nasıl uygulandığından anlayan bir profesyonel tarafından bir tür risk değerlendirmesi yapılması faydalı olabilir.
# # # # # # # # # # # #
