ISO 27001:2022 Kontrolü A.5.11 – Varlıkların İadesi

ISO 27001 kontrolü A.5.11, çalışanlar veya diğer ilgili taraflar ile şirket arasındaki ilişki sona erdiğinde, tüm bilgi varlıklarının iade edilmesini sağlar. Bu, organizasyonların sahip olduğu bilgilerin ve varlıkların yalnızca aktif çalışanlar tarafından erişilebilir olmasını temin eder. İade edilmeyen varlıklar, bilgi güvenliği risklerini artırabilir ve organizasyonun verilerini tehlikeye atabilir. Bu nedenle, çalışanlar ve diğer ilgili taraflar işten ayrıldığında ya da sözleşmeleri sona erdiğinde, varlıkların geri alınması önemli bir güvenlik önlemidir.

Belgeleme

ISO 27001 kontrolü A.5.11 için uygun belgeler, varlıkların nasıl iade edileceğini tanımlar.

• Tedarikçi Güvenlik Politikası: Tedarikçilerin ve iş ortaklarının elinde bulunan bilgi varlıklarının nasıl iade edileceğine dair bir açıklama sağlar.

• BT Güvenlik Politikası veya Kabul Edilebilir Kullanım Politikası: Küçük ve orta ölçekli şirketler için çalışanların elindeki varlıkların iadesini tanımlayan belgeler olabilir.

• Varlıkların İadesi Prosedürü: Daha büyük kuruluşlar için, varlıkların iade sürecini ayrıntılı şekilde tanımlayan bir prosedür belgesidir.
  Bu belgeler zorunlu olmasa da, organizasyonların varlık yönetimini doğru bir şekilde yapabilmesi için önerilmektedir.

Uygulama

A.5.11 Varlıkların iadesi kontrolüne uymak için aşağıdaki adımlar uygulanabilir:

• Teknoloji:

  • Küçük kuruluşlar, çalışanların elindeki varlıkların durumunu kaydetmek için basit elektronik tablolardan yararlanabilir.

  • Daha büyük organizasyonlar, varlıkların konumunu gerçek zamanlı olarak izlemek için çevrimiçi sistemler kullanabilir. Bu sistemler, varlıkların kimin elinde olduğunu, ne zaman iade edilmesi gerektiğini ve varlıkların geri alınma durumlarını takip etmeyi kolaylaştırır.

• Organizasyon/İşlemler:

  • Çalışanların, tedarikçilerin veya iş ortaklarının elinde bulunan bilgi varlıklarının nasıl iade edileceğini tanımlayan bir süreç oluşturulmalıdır.

  • Bu süreçler, BT Güvenlik Politikası, Kabul Edilebilir Kullanım Politikası, Tedarikçi Güvenlik Politikası veya Varlıkların İadesi Prosedürü aracılığıyla belgelendirilebilir.

  • İade süreci, varlıkların fiziksel tesliminden dijital verilere kadar her türlü bilgi varlığını kapsamalıdır.

• İnsanlar:

  • Çalışanlara varlıkların iade edilmesinin neden gerekli olduğu konusunda eğitim verilmelidir. Bu eğitim, organizasyonun bilgi güvenliğini sağlamak ve potansiyel güvenlik açıklarını önlemek için kritik bir adımdır.

  • Ayrıca, çalışanlara varlıkların nasıl talep edileceği ve iade edileceği konusunda net yönergeler sunulmalıdır.

  • Çalışanların, varlıkları zamanında ve düzgün bir şekilde iade etmeleri sağlanmalıdır.

Denetim Kanıtı

Denetim sırasında, denetçiler A.5.11 kontrolü ile ilgili aşağıdaki kanıtları arayabilirler:

• Varlıkların İade Edilmesi:

  • Çalışanların, tedarikçilerin veya üçüncü kişilerin elindeki bilgi varlıklarının, bu kişiler ile kuruluş arasındaki ilişki sona erdiğinde kuruluşa geri iade edilip edilmediği.

  • İade işlemlerinin uygun şekilde belgelendirildiği ve takip edildiği.

Eğer bu kanıtlar bulunamazsa, bu durum bir uygunsuzluk olarak değerlendirilir.

ISO 27001 A.5.11 kontrolü, bilgi güvenliği için önemli bir önlem olan varlıkların doğru şekilde iade edilmesini sağlayarak, organizasyonların güvenliğini artırır. Çalışanlar veya diğer ilgili taraflar, şirketten ayrıldığında ya da ilişkileri sonlandığında, sahip oldukları bilgi varlıklarını geri iade etmelidir. Bu sürecin düzgün bir şekilde yönetilmesi, bilgi güvenliğini sağlamak ve şirketin varlıklarının kötüye kullanılmasını önlemek için kritik öneme sahiptir.

ISO 27001 BGYS Nedir?