ISO 27001 Madde 7.2 – Yeterlilik

Temeller: ISO 27001’in 7.2 maddesi, “Yeterlilik” olarak adlandırılır ve şirketlerin, Bilgi Güvenliği Yönetim Sistemi (BGYS) tarafından tanımlanan faaliyetleri yerine getirecek personel için gerekli olan bilgi ve becerileri belirlemelerini gerektirir. Ayrıca, mevcut yeterlilikler yeterli değilse, uygun eğitimler sağlanmalı ve gerekli yeterlilik seviyesinin elde edilip edilmediği ölçülmelidir. Bu, BGYS’nin etkin bir şekilde işleyebilmesi için kritik öneme sahiptir.

Madde 7.2’nin amacı: Güvenlik faaliyetlerinin başarılı bir şekilde yürütülmesi için gerekli becerilere sahip personel bulundurulması ve gerektiğinde eğitimle bu becerilerin kazandırılmasıdır. Bu sayede güvenlik önlemleri etkili bir şekilde uygulanabilir.

Belgeleme: ISO 27001 madde 7.2 için gereklilikler şunları içerir:

• Zorunlu Kayıtlar:

  • BGYS içindeki kişilerin güvenlik yeterliliklerinin kanıtı. Bu, her personelin sahip olması gereken yeterliliklerin belgelendiği kayıtları içerir.

• Zorunlu Olmayan Kayıtlar:

  • Eğitim planı: Eğitimin nasıl verileceği ve hangi konularda olacağına dair bir plan hazırlamak, şirketlerin tercihlerine bağlıdır, ancak bu belge zorunlu değildir.

Uygulama: ISO 27001 madde 7.2’yi uygulamak için izlenmesi gereken adımlar:

1. Gerekli Yeterlilikleri Belirleyin:

   • BGYS’nin her rolü için gerekli bilgi, beceri ve deneyim gereksinimlerini belirleyin. Örneğin, bilgi güvenliği uzmanları, sistem yöneticileri, denetçiler ve diğer ilgili personel için hangi teknik bilgi ve becerilerin gerekli olduğunu belirlemek.

2. Mevcut Yeterlilikleri Değerlendirin:

   • Personelin mevcut yeterliliklerini değerlendirin. Bu değerlendirme, hem teorik bilgiyi hem de pratik deneyimi kapsamalıdır. Gerekirse, bu boşlukların belirlenmesi için anketler veya beceri değerlendirmeleri yapılabilir.

3. Eğitim ve Gelişimi Planlayın:

   • Yeterlilik boşluklarını gidermek ve personelin becerilerini geliştirmek için bir eğitim planı geliştirin. Bu plan, formal eğitim, atölye çalışmaları, seminerler ve iş başında eğitim gibi farklı yöntemler içerebilir.

4. Eğitim Gerçekleştirin:

   • Belirlenen eğitim planını uygulayın. Personelin gerekli eğitimi almasını sağlamak ve verilen eğitimleri takip etmek önemlidir. Eğitim, sadece teorik bilgi değil, aynı zamanda pratik uygulamalar da içermelidir.

5. Eğitim Etkinliğini Değerlendirin:

   • Eğitimin etkinliğini değerlendirerek gerekli yeterliliklerin elde edilip edilmediğini kontrol edin. Personelin yeterlilik seviyelerinin arttığından emin olmak için performans değerlendirmeleri yapılabilir.

6. Kayıtları Tutun:

   • Eğitim faaliyetlerinin ve yeterlilik değerlendirmelerinin belgelenmesi gerekmektedir. Bu, ISO 27001’in gerekliliklerine uyum sağlandığını gösteren kanıtlar olarak kullanılabilir.

Denetim Kanıtı: Denetçi, ISO 27001 madde 7.2 ile ilgili olarak aşağıdaki kanıtları arayacaktır:

• Belirli iş rolleri için gerekli yeterliliklerin tanımlanması: İlgili iş rolleri için gereken beceri ve bilgi gereksinimlerinin belgelenmiş olması.

• Eğitim faaliyetlerinin uygulanması: İlgili kişilerin, güvenlik ile ilgili işlerini etkili bir şekilde yapabilmek için gerekli bilgi ve becerileri kazandıklarına dair kanıtlar (eğitim kayıtları, katılım belgeleri vb.).

ISO 27001 madde 7.2, bilgi güvenliği alanındaki tüm personelin yeterliliğini sağlamak için etkili bir eğitim sistemi oluşturulmasını gerektirir. Bu, BGYS’nin etkinliğini artırır ve güvenlik hedeflerinin başarılı bir şekilde gerçekleştirilmesine yardımcı olur.

ISO 27001 BGYS Nedir?