“Güvenlik kültürü yukarıdan başlar. ISO 27001 bunu çok net söyler.”

Bu Yazıda Neyi Konuşacağız?

Bilgi güvenliği sadece teknik bir mesele değil, aynı zamanda yönetsel bir duruştur. ISO 27001’in 5. maddesi, üst yönetimin BGYS’ye nasıl sahip çıkması gerektiğini tanımlar. Politikalar, roller, sorumluluklar ve kurumsal taahhüt burada devreye girer.

Liderlik Ne Yapar?

- BGYS'nin uygulanmasını destekler.

- Politika oluşturur ve onaylar.

- Rolleri ve görevleri tanımlar.

- Sorumlulukları atar ve izler.

- Hedefler koyar, kaynak tahsis eder.

- Gelişmeleri gözden geçirir ve sürdürülebilirliği sağlar.

Kısa bir örnek;

Bir projede, teknik ekip harika bir BGYS hazırlamıştı ama üst yönetim ilgisizdi. Eğitimler ertelendi, bütçeler onaylanmadı, politika kağıt üzerinde kaldı. Sonuç: sistem uygulanamadı. ISO 27001 diyor ki: Bu işin sponsoru üst yönetimdir.

En Kritik Belge: Bilgi Güvenliği Politikası

Bu politika, kurumun güvenliğe bakış açısını özetler. Net, anlaşılır, uygulanabilir ve kurumun gerçeklerine uygun olmalı. Tüm çalışanlar tarafından erişilebilir olmalı.

Tavsiye:

Liderliğin desteğini almak için teknik değil, stratejik konuşun. Veri kaybının itibar ve finansal etkilerinden bahsedin. Üst yönetime güvenliğin sadece bir IT işi olmadığını gösterin.

Son Söz:

ISO 27001 sadece BT'nin sorumluluğunda değildir. Üst yönetim, liderliği sadece unvanla değil, taahhütle gösterdiğinde gerçek bir güvenlik kültürü oluşur. Kısaca: yukarı sahip çıkmazsa, aşağı hiçbir şey yürümez.