“Güvenlik sezgilerle değil, planla yönetilir.”

Bu Yazıda Neyi Konuşacağız?

ISO 27001’de liderlikten sonraki adım planlamadır. Yani sistemin nasıl kurulacağı, hangi risklerin nasıl ele alınacağı ve bilgi güvenliği hedeflerinin nasıl tanımlanacağı gibi. Plan olmadan sistem çalışmaz; kontrolsüz güvenlik, düzensiz yangın söndürmeye benzer.

Planlama Maddesi Neleri Kapsar?

- Risk ve fırsatların belirlenmesi

- Bilgi güvenliği hedeflerinin oluşturulması

- Hedeflere ulaşmak için plan geliştirme

- Değişikliklerin planlı yönetimi

En Kritik Başlık: Risk Değerlendirmesi

Bu sistemin kalbidir. Hangi bilgilerin korunacağı, neye karşı korunacağı ve öncelikli aksiyonların ne olacağı risk değerlendirmesiyle belirlenir. Metodoloji açık, tutarlı ve belgelendirilmiş olmalıdır.

Örneğin;

Bir kurumda, risk değerlendirmesi yapılmadan güvenlik duvarı yatırımı yapılmış olsa ve asıl tehdit iç kullanıcı kaynaklı veri sızıntısıysa bu ne anlama gelir?

Yanlış alana yatırım, açık kalan riskler.

Bilgi Güvenliği Hedefleri:

Bu hedefler SMART (Özgül, Ölçülebilir, Ulaşılabilir, Gerçekçi, Zamanlı) olmalı. Örneğin: “Tüm personelin yılda en az 1 farkındalık eğitimi alması.” gibi somut hedefler koyulmalı.

Tavsiye:

Riskleri tek başına BT değil, tüm departmanlarla birlikte değerlendirin. Siber güvenlik sadece teknik değil, operasyonel bir meseledir. Hedefleri yıllık iş planlarına entegre edin.

Son Söz:

İyi bir plan, sistemi sürdürülebilir kılar. ISO 27001’in bu maddesi bize şunu söyler: Önce riski tanı, sonra aksiyonu planla. Güvenlik rastgele değil, bilinçli bir stratejiyle yürür.