BGYS için Kapsam Seçimi
Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmanın ilk aşaması, kapsamın belirlenmesidir. Bilgi varlıklarının belirlenmesi, sahiplerin atanması, güvenlik seviyelerinin sorgulanması, risklerin ve mevcut durumun ortaya konması kapsam tarafından yönlendirilir. Özellikle ISO 27001 sertifikasını amaçlayan bir yönetim sistemi kuruluyorsa, hangi süreçlerin, departmanların, şehirlerin kapsam içine alınıp, hangilerinin dışarıda bırakılacağı daha da büyük önem kazanır.
Ancak burada bazı sorularla karşı karşıya kalırız: Bilgi güvenliği kapsamını dilediğimiz gibi seçebilir miyiz? Hangi seçim yolu izlendiğinde daha kolay ve başarılı sistemler kurulabilir? Kapsamın seçimi sadece yönetimin isteğine mi bağlıdır? Kurumu herhangi bir yerinden dilimleyip, istediğimiz gibi bir kapsam belirleyebilir miyiz?
Bu soruların cevabını önce TS/ISO 27001 standardını inceleyerek bulmaya çalışalım. Standartta yer alan, “Bu standartta, ‘iş’ terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamına gelmektedir.”(*) açıklaması, kapsamın mutlaka kuruluşun varlık amaçlarının temeli olan etkinlikleri içermesi gerektiğini söylemektedir. Ayrıca, aynı standardın 4.2.1.a maddesi de “… kapsamdan herhangi bir dışarıda bırakmanın ayrıntıları ve açıklamasını da ekleyerek, BGYS kapsamını ve sınırlarını tanımlama” zorunluluğunu ortaya koymaktadır.
Standart maddelerinden de anlaşıldığı gibi, BGYS kapsamının, tüm şirket olma zorunluluğu yoktur, ama şirket varlık amaçlarını içermesi gerekmektedir. Örneğin, bir finans kuruluşu, kendi finansal işlerinden ya da süreçlerinden sadece bir kısmını kapsam olarak tanımlayabilir, ancak kapsamı sadece “çalışanların izin bilgileri” olarak vermesi çok işe yarar olmayacaktır. Burada çalışan izinleri, kurumun varlık amaçları içinde yer almamaktadır. Oysa bir holdingin insan kaynakları firması için izin bilgileri en kritik bilgiler arasında yer alabilir ve kapsam olarak seçilebilir.
Kapsam seçerken, kurum için kritik bir bilgi/bilgi grubu seçilebileceği gibi, bir ya da birden fazla iş süreci ya da bir departmandaki tüm süreçler kullanılabilir. BGYS kurulması genellikle süreçler üzerinden devam ettiğinden, kapsamın süreçlere bağlı olarak seçilmesi çok daha yararlıdır. Kurumun BGYS kapsamının, bilgi güvenliği açısından en gelişmiş süreçlerinden/departmanlarından başlaması da bir başka avantajdır. Böylece BGYS kurma çalışmaları sırasında güvenlik seviyesinden çok, sistem kurmaya ağırlık vermek mümkün olacaktır.
Kapsam yazılı hale getirilirken içinde yer alan süreç, önemli varlıklar, ofisler, bağlantılar, ilişkiler ve anlaşmalar tanımlanmalıdır. Kapsam içine almanın ve dışında bırakmanın nedenlerinin de yazılı hale getirilmesi, bu kapsamla çalışacak tüm proje ekibinin istekleri daha iyi anlamasına ve daha doğru kararlar vermesine yardımcı olacaktır. Ayrıca, kapsam tanımı ne kadar ayrıntılı yapılırsa, kapsam içi ile kapsam dışı arasındaki gri alanlar ne kadar ince bir çizgi haline getirilip yazılı hale sokulursa, proje başlangıcı o kadar kolaylaşır ve başarı olasılığı o kadar artar.
Kapsam seçimi sırasında kullanılabilecek bir yöntem de, şekilde görüldüğü gibi, bir şema (görsel kapsam) hazırlanmasıdır. Görsel kapsama, kapsam içindeki departman ve süreçler, bunların ilişkili olduğu diğer şirket içi (ama kapsam dışı bırakılan) departman/süreçler ve son olarak şirket dışı kapsamla ilişkili kurumlar yerleştirilir. Daha sonra, kapsam ile dışındakiler arasındaki veri akışları oklarla belirtilir. Bu okların (şekilde kalın çizgiyle gösterilmiştir) kapsam sınırlarını kestiği yerler ise, bize, anlaşmanın ya da mutabakatın zorunlu olduğu noktaları işaret eder. Tüm bu işaretli yerleri tanımlayan en az bir yazılı dokümanın bulunması ilişkilerin anlaşılmasını da kolaylaştıracaktır.
Kapsam belirlemek kadar önemli olan bir diğer konu, bilgi güvenliği yönetim sistemini kurmaya başladıktan sonra ilk döngü tamamlanana kadar kapsamı değiştirmemektir. Kapsam, beraberinde hemen tüm BGYS süreçlerini, varlıklarını, ilişkilerini ve anlaşmalarını tanımlar. Bu yüzden kapsamın değişmesi, tüm bu ilişkilerin yeniden değerlendirilmesini gerektirir.