Sadece Küçük Bir Talep” Diye Başlayan Hikâyeler: ISO 27001 Gözünden BT Talepleri
- Ayşe Kızılay
- 26 May
- 2 dakikada okunur
Kurum içindeki BT yöneticilerine gelen talepler genelde “basit” görünür. Ancak bu basitlik, BT yöneticisinin zihninde sistem, erişim, güvenlik, yasal uyum ve operasyonel sürdürülebilirlik gibi birçok kontrolü aynı anda çalıştırır. Hele ki ISO 27001 kapsamında çalışan bir yapınız varsa, her talep bir kontrol noktasıdır.
ISO 27001 Gözünden Yaygın BT Talepleri
Aşağıdaki tabloda kurumsal hayatta sıkça karşılaşılan BT isteklerinin arka planında hangi ISO 27001 kontrol alanlarının devreye girdiğini ve BT yöneticilerinin neleri değerlendirdiğini göstermeye çalıştım.
Talep Türü | ISO 27001 Kontrol Alanı | BT Yöneticisinin Düşündüğü |
1. Dosya paylaşımı“Satış klasörüne Ahmet de erişsin” | A.9.1.2 / A.9.4.1 (Erişim yetkileri ve kısıtlamalar) | Paylaşılan dosya gizli veri içeriyor mu? Ahmet’in erişimi gerçekten gerekli mi? Yetkisi geçici mi kalıcı mı? Loglanacak mı? |
2. Erişim hakkı verilmesi“Yeni başlayan arkadaş SAP’ye erişebilsin” | A.9.2.2 / A.9.2.3 (Yetkilendirme ve kaldırma) | Hangi role atanmalı? Kapsamı ne olmalı? Görev değiştiğinde erişimi silinecek mi? |
3. Yazılım kurulumu“Yeni bir zaman yönetim uygulaması yükleyelim” | A.12.1.2 / A.12.6.2 (Yazılım kullanım politikaları) | Yazılım lisanslı mı? Güvenlik açığı var mı? Kullanıcı verisi buluta gidiyor mu? Antivirüsle çakışır mı? |
4. E-posta grubu oluşturma“Tüm çalışanlara duyuru otomatik gitsin” | A.13.2.1 / A.9.1.1 (İletişim güvenliği ve erişim politikası) | Kim, ne zaman, hangi içerikle gönderim yapabilecek? Spam riski var mı? İletişim sınırlandırılmalı mı? |
5. Harici disk kullanımı“USB ile yedek alabilir miyim?” | A.8.3.3 / A.10.1.1 (Varlıkların taşınabilirliği ve şifreleme) | Veri sızma riski var mı? USB cihazları kontrol altında mı? Veriler şifrelenmiş mi? |
6. Bulut paylaşımı“Google Drive’a koyup ekiple paylaşsam olur mu?” | A.13.2.3 / A.14.2.1 (Harici sistem kullanımı) | Kurum politikası izin veriyor mu? Hangi veriler paylaşılıyor? Şifreleme mevcut mu? |
7. Geçici hesap açılması“Danışman sisteme girip veri kontrol etsin” | A.9.2.6 / A.15.1.1 (Misafir erişimi ve tedarikçi ilişkileri) | Danışman neye erişecek? Süresi ne olacak? Sözleşmesi var mı? Veri aktarımı kayıt altına alınacak mı? |
8. Rapor otomasyonu“Raporu her sabah e-posta ile alalım” | A.14.2.5 / A.18.1.3 (Uygulama çıktılarının kontrolü) | İçerik kişisel veri içeriyor mu? Kime, ne sıklıkta gidiyor? Mail güvenliği nasıl sağlanıyor? |
9. Kamera görüntüsü izleme“Depo giriş-çıkışlarını görmek istiyoruz” | A.11.1.4 / KVKK Envanteri (Fiziksel izleme) | KVKK kapsamında bilgilendirme yapıldı mı? Kayıtlar ne kadar süre tutuluyor? Kimler erişebiliyor? |
10. Slack/Teams grubu açılması“Proje için ayrı kanal oluşturalım” | A.13.1.1 / A.7.2.2 (İletişim yönetimi ve yetkinlik) | Yetkisiz katılım olabilir mi? Paylaşılan dosyalar güvenli mi? Grup erişimi sınırlandırıldı mı? |
Neden Önemli?
Her talep:
Verilerin gizliliğini etkileyebilir,
Yetkisiz erişim riski taşıyabilir,
Loglama veya izlenebilirlik sorunlarına yol açabilir,
KVKK gibi düzenlemelerle çelişebilir.
Dolayısıyla BT yöneticileri yalnızca çözüm değil, koruma ve sürdürülebilirlik sorumluluğu da taşır.
Kurumlar İçin Öneriler
Standart talepler için dijital formlar kullanın.
Erişim ve yetkilendirme süreçlerini belgeleyin.
Kullanıcı farkındalığı için eğitimler oluşturun.
BT’yi yalnızca teknik çözümcü değil, stratejik karar ortağı olarak görün.
Son Söz
BT taleplerini daha güvenli, izlenebilir ve sürdürülebilir hale getirmek için ISO 27001 yalnızca bir standart değil, aynı zamanda bir düşünme biçimidir. Her ne kadar karmaşık ve zor olsa da..
Yorumlar