“BGYS bir şablon değil, bir terzi işi. Kuruluşun bağlamı, kesimi belirler.”

Bu Yazıda Neyi Konuşacağız?

Bir standardı uygulamaya koyarken ilk sorumuz şu olmalı: “Ben kimim?” ISO 27001’in 4. maddesi işte tam olarak bu soruyu sordurur: İçinde bulunduğunuz ortamı, paydaşlarınızı, iş süreçlerinizi ve bilgi güvenliği beklentilerinizi netleştirmenizi ister.

Kuruluşun Bağlamı Ne Demektir?

Bağlam; şirketin iş yaptığı sektör, çalıştığı tedarikçiler, müşteriler, yasal yükümlülükleri ve organizasyonel yapısıyla ilgilidir. Yani hem iç hem dış dünyanızı analiz etmeniz gerekir. “Bizi etkileyen unsurlar nelerdir?” sorusunun cevabıdır aslında.

Alt Başlıklar:

- İç ve dış konuların belirlenmesi

- İlgili tarafların ihtiyaç ve beklentilerinin belirlenmesi

- BGYS kapsamının tanımlanması

- Süreçlerin birbirine etkisi ve ilişkilendirilmesi

Tavsiye:

Bağlam analizi yaparken sadece teknik değil, iş süreçleri bazında düşünün. Finans, insan kaynakları, satış gibi departmanlarla görüşmeler yaparak bilgi toplayın.

“Bizi kim etkiler, biz kimi etkileriz?” diyerek başlayın. En iyi bağlam analizi, çapraz görüşmelerden çıkar.

Son Söz:

Her kuruluşun yapısı, riski ve işleyişi farklıdır. Bu yüzden bağlamı anlamadan bir BGYS kurmak, başkasının reçetesiyle kendi hastalığını tedavi etmeye çalışmak gibidir. Kendi gerçekliğini tanımadan hiçbir sistem sürdürülemez.