Tüm yönetim sistemlerinde olduğu gibi, ISO27001 tabanlı bir Bilgi Güvenliği Yönetim Sisteminde de İnsan Kaynakları birimlerine önemli görevler düşüyor. Öyle ya, hangi sistem olursa olsun, ne kadar iyi kurgulanmış olursa olsun, sistemleri çalıştıranlar insanlar değil mi?
ISO27001, bilgi güvenliğine yönelik bir standart/sistem olması nedeniyle, genellikle Bilgi İşlem birimlerinin işi gibi algılanır bir çok yerde. Evet, bu sistemin kurgulanması, teknik düzenlemelerin yapılması ve şirket içindeki koordinasyonun sağlanmasının Bilgi İşlem birimlerince yürütülmesi gayet mantıklı bir durum olmasına rağmen, diğer birimlerin bu sisteme etkin katkısının olmaması durumunda BGYS'nin başarısından söz etmek pek mümkün değildir.
Peki, İnsan Kaynakları birimlerinin bu sistemdeki yeri/rolü nedir? ISO27001 İnsan Kaynakları birimlerinden neler beklemektedir?
ISO 27001:2013 standardının Ek A.7 maddesi, bu konuda güzel bir çerçeve çizmekte:
Görüldüğü üzere ISO27001, İnsan kaynakları konusunu istihdam öncesi, sırasında ve sonrasında olmak üzere 3 başlık altında ele alıyor. Bunların herbiri için potansiyel BGYS tehlikelerine yönelik farkında olunmasını ve bunlara yönelik gerekli kontrollerin sistem içerisinde tanımlanmasını istiyor.
Bu maddeler genel çerçeveyi çiziyor fakat bu başlıkların altında birçok detay ve ele alınması gereken birçok husus var. Bu detaylar için ISO27002 standardına başvuralım. ISO27002, ISO27001'de belirtilen kontrollere yönelik detaylı açıklamalar içeriyor ve bizi yönlendiriyor.
7 İnsan kaynakları güvenliği
7.1 İstihdam öncesi
Amaç: Çalışanlar ve yüklenicilerin kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını temin etmek.
7.1.1 Tarama
Kontrol :
Tüm işe alım adayları için ilgili yasa, düzenleme ve etiğe göre ve iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmelidir.
Uygulama kılavuzu :
Doğrulama yapılırken tüm ilgili mahremiyet, kişi tespit bilgisinin korunması ve/veya istihdama yönelik mevzuat dikkate alınmalıdır. Ayrıca doğrulama, izin verilen durumlarda aşağıdakileri içermelidir:
a) Yeterli kişisel referansların varlığı; örneğin, bir adet işle ilgili, bir adet kişisel referans,
b) Başvuru sahibinin özgeçmişinin doğrulanması (tamlık ve kesinlik açısından),
c) Beyan edilen akademik ve işle ilgili niteliklerin onaylanması,
d) Bağımsız kimlik doğrulama (pasaport ve benzeri belge),
e) Sabıka kaydı incelemesi ya da kredi incelemesi gibi daha ayrıntılı doğrulama.
Bir birey, belirli bilgi güvenliği rolü için istihdam edileceği zaman kuruluşlar adayla ilgili olarak aşağıdaki hususlardan emin olmalıdır:
a) Güvenlik rolünü gerçekleştirmek için gerekli yeterliliğe sahip olması,
b) Özellikle kuruluş için rol kritik ise, rolü üstlenmesi için güvenilir olması.
İlk görüşme veya pozisyon yükselmesinde bir iş kişinin bilgi işleme tesislerine erişim sağlamasını gerektiriyorsa ve özellikle bu tesisler, finansal bilgiler veya yüksek seviyede gizli bilgiler işliyorsa kuruluş bu durumda daha detaylı doğrulamaları dikkate almalıdır.
Prosedürler, doğrulama gözden geçirmeleri için kıstasları ve sınırları belirlemelidir. Örneğin; kimler nasıl tarama yapar, doğrulama değerlendirmelerini nasıl, ne zaman ve neden yapar.
Bir tarama sürecinin de yükleniciler için yapılması sağlanmalıdır. Bu durumlarda, kuruluş ve yüklenici arasındaki anlaşmada tarama yürütmek ve tarama tamamlanamadığında ya da sonuçları şüphe veya endişe verdiğinde izlenmesi gereken bildirim prosedürleri için sorumluluklar belirlenmelidir.
Kuruluş ile ilgili iş pozisyonu için tüm adaylar hakkında bilgi toplanması ilgili yargı çevresi uyarınca mevcut tüm yasalara uygun olmalı ve bu bilgiler işlenmelidir. Uygulanabilir yasalara bağlı olarak, adaylar tarama faaliyetleri hakkında önceden bilgilendirilmelidir.
7.1.2 İstihdam hüküm ve koşulları
Kontrol :
Çalışanlar ve yükleniciler ile yapılan sözleşmeler de kendilerinin ve kuruluşun bilgi güvenliği sorumlulukları belirtmelidir.
Uygulama kılavuzu :
Çalışanlar veya yüklenicilerin sözleşmeden doğan yükümlülükleri, aşağıdaki hususların açıklanması ve belirtilmesine ek olarak bilgi güvenliği için kuruluşun politikalarını yansıtmalıdır;
a) Gizli bilgilere erişim hakkı olan tüm çalışanlarına ve yüklenicilerine bilgi işleme tesislerine erişim yetkisi verilmeden önce bir gizlilik ya da ifşa etmeme anlaşması imzalattırılması (bk. Madde 13.2.4),
b) Çalışanların ya da yüklenicilerin yasal sorumlulukları ve hakları; örneğin, telif hakkı yasaları veya veri koruma yasaları (bk. Madde 18.1.2 ve Madde 18.1.4),
c) Çalışan ya da yüklenici tarafından yürütülen hizmetler ve bilgi işleme tesisleri ve bilgi ile ilişkili kuruluş varlıklarının yönetimi ve bilgi sınıflandırması için sorumluluklar (bk. Madde 8),
d) Diğer kuruluşlar ve dış taraflardan alınan bilgilerin işlenmesi için çalışanların ya da yüklenicilerin sorumlulukları,
e) Çalışanlar ya da yükleniciler kuruluşun güvenlik gereksinimlerini dikkate almadığında yürütülecek işlemler (bk. Madde 7.2.3).
Bilgi güvenliği rolleri ve sorumlulukları istihdam öncesi proseste iş adaylarına duyurulmalıdır.
Kuruluş, çalışanların ve yüklenicilerin bilgi sistemleri ve hizmetleri ile ilişkili kuruluşun varlıklarına erişim niteliğine ve kapsamına uygun bilgi güvenliği koşullarını kabul ettiğini garanti etmelidir.
Uygun olan durumlarda, istihdam koşulları ile sorumlulukları istihdam bitiminden sonra tanımlanmış belirli bir zamana kadar devam etmelidir (bk. Madde 7.3).
Diğer bilgiler :
Çalışanların ya da yüklenicilerin gizlilik, veri koruma, iş ahlakı, kuruluşun teçhizat veya tesislerinin uygun kullanımı ve kuruluş tarafından beklenen bilindik uygulamalarla ilgili bilgi güvenliği sorumluluklarının ifade edilmesi için bir uygulama esasları kullanılabilir. Yüklenici ile ilişkili bir dış tarafın, sözleşmeli birey adına
sözleşme yapması gerekebilir.
ISO27001, İnsan kaynakları konusunu istihdam öncesi, sırasında ve sonrasında olmak üzere 3 başlık altında ele alıyor. Bunların herbiri için potansiyel BGYS tehlikelerine yönelik farkında olunmasını ve bunlara yönelik gerekli kontrollerin sistem içerisinde tanımlanmasını istiyor.
7.2 Çalışma esnasında
Amaç: Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini temin etmek.
7.2.1 Yönetim sorumlulukları
Kontrol :
Yönetim, çalışanlar ve yüklenicilerin, kuruluşun yerleşik politika ve prosedürlerine göre bilgi güvenliğini uygulamalarını istemelidir.
Uygulama kılavuzu :
Yönetim sorumlulukları çalışanlar ve yükleniciler için aşağıdakilerin temin edilmesini içermelidir:
a) Bilgi sistemlerine veya gizli bilgilere erişim hakkı verilmeden önce, kendi güvenlik rolleri ve sorumlulukları hakkında doğru bilgilendirilmesi,
b) Kuruluş bünyesindeki rolleri ifade eden bilgi güvenliği beklentilerinin kılavuzlar ile sağlanması,
c) Kuruluşun bilgi güvenliği politikalarını yerine getirmek için motivasyon sağlanması,
d) Kuruluş içindeki görev ve sorumluluklara uygun olarak bilgi güvenliği üzerinde bir farkındalık seviyesine ulaşılması (bk. Madde 7.2.2),
e) Kuruluşun bilgi güvenliği politikası ve uygun çalışma yöntemlerini içeren istihdam koşullarına uyulması,
f) Uygun beceri ve niteliklerin sağlanmasında sürekliliğin temin edilmesi ve düzenli olarak eğitim verilmesi,
g) Bilgi güvenliği politika ve prosedürleri ihlallerinin raporlanmasının anonim bir raporlama kanalı ile sağlanması (“usulsüzlüklerin duyurulması”).
Yönetim, örnek teşkil edecek şekilde bilgi güvenliği politikalarını, prosedürlerini ve kontrollerini desteklediğini göstermelidir.
Diğer bilgiler
Çalışanların ve yüklenicilerin bilgi güvenliği sorumlulukları hakkında bilgilendirilmemesi kuruluş için büyük hasara neden olabilir. Motivasyonu yüksek olan personelin daha güvenilir olması ve daha az bilgi güvenliği ihlal olaylarına neden olması muhtemeldir.
Kötü yönetim personelin kendisini değersiz hissetmesine ve bunun sonucunda kuruluş için olumsuz bir bilgi güvenliği etkisine neden olabilir. Örneğin; kötü yönetim bilgi güvenliğinin ihmal edilmesine veya kuruluşun varlıklarının potansiyel suiistimale maruz kalmasına neden olabilir.
7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
Kontrol :
Kuruluştaki tüm çalışanlar ve ilgili olan yerlerde, yükleniciler, kendi iş fonksiyonları ile ilgili olduğunda, kurumsal politika ve prosedürlerle ilgili uygun farkındalık eğitim ve öğretimini ve düzenli güncellemeleri almalıdırlar.
Uygulama kılavuzu :
Bilgi güvenliği farkındalık programı, çalışanların ve ilgili olduklarında yüklenicilerin bilgi güvenliği sorumlulukları ve bu sorumlulukları yerine getirme yöntemlerinin farkında olmalarını hedefler.
Bir bilgi güvenliği farkındalık programı, kuruluşun korunacak bilgilerini korumak için uygulanmakta olan kontrolleri dikkate alarak, kuruluşun bilgi güvenliği politikaları ve ilgili prosedürleri doğrultusunda oluşturulmalıdır. Farkındalık programı, kampanyalar (örneğin; bir “bilgi güvenliği günü”) ve mektuplar veya el kitapları gibi farkındalığı arttırıcı birkaç faaliyeti kapsamalıdır.
Bilgi güvenliği programı, kuruluşta çalışanların rollerini ve uygun olduğu durumda kuruluşun yüklenicilerden beklediği farkındalığı dikkate alarak planlanmalıdır. Farkındalık programı faaliyetleri zaman içerisinde tercihen düzenli şekilde planlanmalıdır, böylece faaliyetler tekrarlanır ve yeni çalışanlar ve yükleniciler kapsanır.
Farkındalık programı düzenli olarak güncellenmelidir. Böylece, kurumsal politika ve prosedürler uygun bir çizgide devam eder. Farkındalık programı bilgi güvenliği ihlal olaylarından öğrenim üzerine inşa edilmelidir.
Farkındalık eğitimi, kuruluşun bilgi güvenliği farkındalık programının gereklerine göre yapılmalıdır. Farkındalık eğitimi, sınıf tabanlı, uzaktan eğitimi, web tabanlı, kendi kendine ve diğer yöntemler de dâhil olmak üzere farklı dağıtım ortamlarını kullanabilir.
Bilgi güvenliği eğitim ve öğretimi aynı zamanda aşağıdaki gibi genel hususları kapsar:
a) Kuruluş genelinde yönetimin bilgi güvenliğine bağlılığının belirtilmesi,
b) Politikalar, standardlar, yasalar, düzenlemeler, sözleşme ve anlaşmalarda tanımlanan uygulanabilir bilgi güvenliği kuralları ve yükümlükleri ile uyumlu olması ve uyum ile ilgili bilgi sahibi olma,
c) Kişinin kendi eylemlerinden ve eylemsizliklerinden hesap verebilirliği ve kuruluş ve dış taraflara ait bilgi güvenliğini ya da korumasına yönelik genel sorumlulukları,
d) Temel bilgi güvenliği prosedürleri (bilgi güvenliği ihlal olaylarının raporlanması gibi) ve asgari seviye kontroller (parola güvenliği, kötücül yazılım kontrolü ve temiz masalar gibi),
e) Daha fazla bilgi güvenliği içeren eğitim ve öğretim materyalleri de dâhil olmak üzere bilgi güvenliği konularında daha fazla bilgi ve tavsiye için iletişim noktalarına ve kaynaklara başvurma.
Bilgi güvenliği eğitim ve öğretimi periyodik olarak gerçekleştirilmelidir. İlk eğitim ve öğretim, sadece yeni başlayanlara değil, yeni pozisyonlarda ya da önemli ölçüde farklı bilgi güvenliği gereksinimleri olan rollerde görev alanlara rolü etkin olmadan önce verilmelidir.
Kuruluş, eğitim ve öğretimi etkin şekilde yürütmek için eğitim ve öğretim programı geliştirmelidir. Program, kuruluşun korunan bilgisi ve bilginin korunması için uygulanan kontroller göz önünde bulundurularak kuruluşun bilgi güvenliği politikası ve ilgili prosedürleri ile aynı doğrultuda olmalıdır. Program, eğitim ve öğretimin farklı şekillerini göz önünde bulundurulmalıdır. Örneğin; dersler ve bireysel çalışmalar.
Diğer bilgiler
Bir farkındalık programı oluşturulurken, sadece ‘ne’ ve ‘nasıl’a değil aynı zamanda ‘neden’e odaklanmak önemlidir. Çalışanların, bilgi güvenliği amacını ve kendi davranışlarının kuruluşa olumlu ve olumsuz potansiyel etkilerini anlaması önemlidir.
Farkındalık, eğitim ve öğretim diğer eğitim faaliyetlerinin bir parçası olabilir ya da bunlarla birlikte yürütülebilir. Örneğin; genel BT ya da genel güvenlik eğitimi. Farkındalık, eğitim ve öğretim faaliyetleri bireylerin rolleri, sorumlulukları ve becerileri ile ilgili ve uygun olmalıdır.
Çalışanların kavraması bir farkındalık, eğitim ve öğretim kursu sonunda bilgi birikiminin aktarımının test edilmesi ile değerlendirilebilir.
7.2.3 Disiplin prosesi
Kontrol
Bir bilgi güvenliği ihlal olayını gerçekleştiren çalışanlara yönelik önlem almak için resmi ve bildirilmiş bir disiplin prosesi olmalıdır.
Uygulama kılavuzu
Disiplin prosesi, bir bilgi güvenliği ihlalinin gerçekleştiğinin doğrulanmasından önce devreye girmemelidir (bk. Madde 16.1.7).
Resmi disiplin prosesi, bilgi güvenliği ihlalleri işlediği şüphesi olan çalışanlar için doğru ve adil davranışı sağlamalıdır. Resmi disiplin prosesinin; ihlalin niteliği ve büyüklüğü ile bunların işe etkisini, bu ihlalin ilk veya tekrarlanan bir suç olup olmadığını, ihlali yapan çalışanın düzgün eğitilmiş olup olmadığını, ilgili yasaları, iş sözleşmelerini ve gerektiğinde diğer faktörleri dikkate alan dereceli bir tepkiyi sağlaması gerekir.
Disiplin prosesi, kuruluşun bilgi güvenliği politikaları ve prosedürlerinin ihlal edilmesi ve diğer bilgi güvenliği ihlallerini önlemek için caydırıcı olarak kullanılmalıdır. Kasıtlı ihlallerde acil eylemler gerekebilir.
Diğer bilgiler
Disiplin prosesinde, bilgi güvenliği açısından dikkat çekici davranışlar için olumlu yaptırımlar tanımlanırsa bir motivasyon ya da teşvik haline gelebilir.
7.3 İstihdamın sonlandırılması veya değiştirilmesi
Amaç: İstihdamın sonlandırılması veya değiştirilmesi prosesinin bir parçası olarak kuruluşun çıkarlarını korumak.
7.3.1 İstihdam sorumluluklarının sonlandırılması veya değiştirilmesi
Kontrol
İstihdamın sonlandırılması veya değiştirilmesinden sonra geçerli olan bilgi güvenliği sorumlulukları ve görevleri tanımlanmalı, çalışan veya yükleniciye bildirilmeli ve yürürlüğe konulmalıdır.
Uygulama kılavuzu
Sorumlulukların sonlandırılmasının duyurulması; devam eden bilgi güvenliği gereksinimleri ve yasal sorumluluklar ve uygun olduğu durumlarda, tüm gizlilik anlaşmalarında (bk. Madde 13.2.4) belirtilen sorumlulukları ve çalışanların ya da yüklenicilerin istihdam bitiminden sonra belirli bir süre devam eden istihdam şartlarını (bk. Madde 7.1.2) içermelidir.
Çalışan ve yüklenici sözleşmelerinde istihdamın sona ermesinden sonra da geçerli olan çalışan veya yüklenicinin istihdam hüküm ve koşulları yer almalıdır (bk. Madde 7.1.2).
Sorumluluk veya istihdam değişiklikleri, mevcut sorumluluğun sona erdirilmesi veya yeni sorumluluk ve istihdam başlaması ile birlikte işe dâhil edilmesi yönetilmelidir.
Diğer bilgiler
Genel sonlandırma prosesinden genellikle insan kaynakları fonksiyonu sorumludur ve kişi ayrılırken ilgili prosedürlerin bilgi güvenliği yönlerinin yönetilmesinde ayrılan kişinin yöneticisi ile birlikte çalışır. Dış taraf aracılığıyla sağlanan bir yüklenici olması durumunda, fesih işlemi kuruluş ile dış taraf arasındaki sözleşmeye uygun olarak dış tarafça yapılır.
Personel ve işletim düzenlemelerindeki değişikliklerin; çalışanlara, müşterilere ya da yüklenicilere bildirilmesi gerekli olabilir.