Bilgi Güvenliğinin bazen göz ardı edilse de aslında en önemli konularından birisine değinmek istiyorum. Değişiklik Yönetimi gerekli adımlar takip edilerek yapılmalı, çünkü bu hem ISO 27001 standardı hem de iş sürekliliği açısından kurumun tüm birimlerini yakından ilgilendirmekte. Bu yüzden yapılacak değişikliğin planlanmasından raporlanmasına kadar tüm adımların titizlikle takip edilmesi elzemdir. Yapılacak değişikliğin de minör ve majör olarak etki seviyeleri değişebilmektedir. Örneğin; sistem ve altyapı değişiklikleri majör seviyededir ve bilgi güvenliği üzerindeki etkilerini değerlendirerek riskleri en aza indirmek kritik bir süreçtir. ISO 27001:2022, özellikle A.8.32 maddesi kapsamında, değişikliklerin etkilerinin analiz edilmesi, risklerin azaltılması ve her adımın belgelenerek takip edilmesi gerektiğini vurgular.
Yazılım ve donanım güncellemelerinin belgelendirilmemesi uyumsuzluklara yol açabileceği gibi, bilgi güvenliği politikalarına da zarar verebilir. Ayrıca, değişikliklerin çalışanlara doğru şekilde aktarılması, kurumsal farkındalığı artırır ve bilgi güvenliği süreçlerinin sürekli iyileştirilmesine katkı sağlar.
Adım Adım Değişiklik Yönetimi:
Değişiklik Talebi:
Değişiklik yönetimi sürecinin ilk adımı olan değişiklik talebi ilgili formlar ile alınır. Değişikliğin etki seviyesi, neden gerekli olduğu, değişiklik gerçekleştiğinde öngörülen faydalar detaylı bir biçimde doldurulur. Onay mekanizması değişikliğin büyüklük seviyesine göre ilgili birim yöneticisi veya üst yönetime çıkacak şekilde belirlenebilir. Bu aşamada değişiklik talebi net olarak tanımlanır ve kayıt altına alınır.
Etki Analizi:
Değişiklik talebi ardından yapılacak değişikliğin bilgi güvenliği üzerindeki etkisini ölçtüğümüz adım yer alır. Değişikliğin zaman, maliyet, teknik ve ilgili taraflara olan potansiyel etkileri değerlendirilir. Etki analizi sayesinde değişikliğin olası tehditleri ve bu tehditlerin yaşanmasını önlemek adına neler yapabiliriz stratejik bir plan ortaya çıkmasını sağlar.
Planlama:
Uygulama için değişikliğin ne zaman, nasıl ve hangi sıralamada gerçekleşeceğine dair yol haritamız bu basamakta gerçekleşir. Zaman çizelgesini oluşturulup, dokümante edilir. Ayrıca bu aşamada değişikliğe dair riskler ve önlemlere dair detaylar da planlanır.
Uygulama:
Değişikliklerin planlandığı şekilde hayata geçirilmesi, özenli bir süreç yönetimi gerektirir. Yazılım güncellemeleri veya donanım yenilemeleri gibi durumlarda, sürecin güvenli ve sorunsuz bir şekilde tamamlanması büyük önem taşır. Bu kapsamda, değişiklikler belirlenen plana sadık kalınarak adım adım uygulanır ve gerekli testlerden geçirilir. Uygulama sırasında ilgili taraflarla etkin iletişim ve iş birliği sağlanmalıdır. Bu süreç, sadece teknik değil, aynı zamanda operasyonel ve organizasyonel açıdan da değişikliklerin başarılı bir şekilde entegrasyonunu içerir. Süreç boyunca değişikliklerin etkileri yakından takip edilir ve ihtiyaç duyulması halinde anında müdahalede bulunulur.
Test ve Doğrulama:
Değişikliklerin planlanan sonuçlara ulaşıp ulaşmadığını kontrol etmek için testler gerçekleştirilir. Test planına uygun olarak yapılan analizler, olası hataların erken tespitini sağlar. Belgelenen sonuçlar, süreç güvenilirliğini artırır ve gelecekte benzer projeler için rehber oluşturur.
Gözden Geçirme ve Raporlama:
Değişikliğin performansı, anahtar göstergelerle analiz edilir ve sonuçları raporlanır. Bu rapor, sürecin başarısını değerlendirmek ve gelecekteki iyileştirmelere rehberlik etmek için üst yönetime sunulur.
Arşivleme:
Son olarak sürecin tüm adımları belgelenir ve arşivlenir. Bu dokümanlar, gelecekte benzer değişikliklere rehberlik eder ve yasal incelemeler için şeffaflık sağlar. Belgelerin düzenli ve erişilebilir olması süreç başarısını destekler.
Değişiklik Yönetimi Sürecini Özetleyen İnfografik İçin Tıklayınız
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
