“Ne ölçülmezse geliştirilemez.”

Bu Yazıda Neyi Konuşacağız?

BGYS’niz çalışıyor mu? Alınan önlemler işe yarıyor mu? İşte ISO 27001’in 9. maddesi bu soruların cevabını arar. Performans değerlendirmesi, sadece sistemin değil, yaklaşımın da olgunlaştığını gösterir.

Neleri Kapsar?

- Ne, nasıl ve ne sıklıkla ölçülecek?

- İç denetimlerin planlanması ve gerçekleştirilmesi

- Yönetimin gözden geçirmesi (YGG)

- Elde edilen sonuçlara göre aksiyon alınması

Performansın Ölçülmesi:

Farkındalık eğitimine kaç kişi katıldı? Güvenlik olayları ne sıklıkla yaşandı? Risk seviyeleri azaldı mı? Bu gibi veriler düzenli izlenmeli, kayıt altına alınmalı ve yorumlanmalıdır.

İç Denetim:

Sistem kendi içinde sağlıklı mı? Her yıl düzenli olarak, bağımsız bir gözle yapılan iç denetimler uygulamanın doğruluğunu teyit eder. Hazırlık değil, alışkanlık hâline getirilmelidir.

Yönetimin Gözden Geçirmesi (YGG):

Bu, üst yönetimin sistemle bağ kurduğu andır. Elde edilen veriler ışığında hedefler gözden geçirilir, kaynaklar yeniden değerlendirilir ve stratejik yön verilir.

Tavsiye:

BGYS’nin nabzını sürekli tutun. Dashboard’lar, KPI’lar ve düzenli raporlamalar bu süreçte dostunuz olur. İç denetimi 'denetçi korkusu' değil, 'sistem güvencesi' olarak görün.

Son Söz:

Sistemi kurmak yetmez, çalıştığını da kanıtlamalısınız. ISO 27001’in bu maddesi bize şunu öğretir: Gelişim, veriyle başlar. Ölç, değerlendir, geliştir. Bu üçlüden saparsan, sistem zamanla yok olur.