“Her yolculuk bir adımla başlar. ISO 27001 yolculuğu ise kapsamla…

Bu Yazıda Neyi Konuşacağız?

Standartların dili çoğu zaman biraz katıdır. Ama o cümlelerin ardında gerçek dünyaya dair çok şey gizlidir. ISO 27001’in ilk maddesi “Kapsam” da böyle. Yani bu sistem tam olarak nerede, ne kadar, nasıl devreye girer sorusunun cevabıdır.

Neden Kapsamla Başlanır?

Çünkü neyi koruyacağını bilmeden neyi yöneteceğini belirleyemezsin. ISO 27001'in felsefesi çok nettir.

“Her kuruluş kendi bilgi güvenliğini kendi gerçeklerine göre yönetir, ama temel çerçeve değişmez.”

Bu da demek oluyor ki:

- Evet, bir danışmanlık ofisi de uygulayabilir.

- Evet, bir üretim fabrikası da.

- Evet, bir start-up da.

-Büyük ölçekli bir kuruluş ya da banka da...

Ama her biri, “bana ne kadar lazım, hangi süreçlerim kritik, verim nerede risk altında?” sorularını kendi yanıtlamalı.

Pratikte Ne Demek Bu?

Örneğin;

- Ofisin yok, uzaktan çalışıyorsan,

- Tüm dosyaların bir bulut platformundaysa,

- Ekip mesajlaşma uygulamaları üzerinden konuşuyorsa,

O zaman “kapsam” artık senin fiziksel ofisin değil, dijital sınırların demektir.

ISO 27001 bunu şöyle anlatıyor;

“Bilgi güvenliği yönetim sistemi, türü ve büyüklüğü ne olursa olsun tüm kuruluşlar için geçerlidir.”

Hariç Tutamazsın, ISO çok nettir..

“Madde 4 ila 10 arasındaki hiçbir şey hariç tutulamaz.”

Yani “ben liderlik kısmını yapmayayım” ya da “performans ölçmeye gerek yok” diyemezsin. Ama bu maddeleri nasıl uygulayacağın, sana özeldir. Buradaki esneklik, standartın en sevdiğim yanlarından biri.

Kapsam belirlerken unutulmaması gerekenler;

- Sadece ofisi değil, e-posta, bulut saklama alanları, mesajlaşma uygulamaları gibi dijital varlıkları da düşünmeliyiz.

- Önce envanter çıkar, sonra risk analizi yap, en son kapsamı tanımla.

- Dokümantasyon önemli ama yaşayan bir sistem kurmak daha da önemli.

*Kapsam Haritası”

🖼 Ofis • 🌐 Bulut Sistemleri • 💬 İletişim Araçları • 👥 İnsan Kaynağı → Hepsi, bilgi güvenliğinin bir parçası.

Son Söz:

Kapsam belirlemek, neyi koruyacağını anlamaktır. Ve bu sadece bir belge işi değil; kurumunun dijital hayatına dürüstçe bakmakla başlar. Çünkü bilgi güvenliği, en başta farkındalıkla başlar.