Yönetim sistemi denetimlerinde sıkça karşılaşılan bir durum olan hedef yönetimi ile performans yönetimi süreçlerinin birbiriyle karıştırılması neredeyse insana doğrusunu unutturacak cinsten. Yıllardır gerek bilgi güvenliği gerek iş sürekliliği gibi standartlarda denetimler icra ederim fakat bugüne kadar bu iki hususu hakkıyla yöneten işletmeleri say deseniz bir elin parmaklarını geçeceğini sanmam.
ISO/IEC 27001:2013 Bilgi güvenliği yönetim sistemi standardından örnek vermek gerekirse, standardın 6.2 maddesi kapsamında kuruluşun bilgi güvenliği hedeflerini görmek istediğimi söylediğimde hedefler tablosu açılıyor. Yine aynı standardın 9.1 maddesi kapsamında performans değerlendirme sürecine ilişkin kayıtları görmek istediğimde yine hedefler tablosu açılıyor. Birçok denetimde “kedi buradaysa, ciğer nerede? Ciğer buradaysa kedi nerede?” dediğimi hatırlarım.
6.2 maddesinde ele alınan bilgi güvenliği hedefleri hususuna bakacak olursak, burada belirlenecek hedefler kuruluşun Bilgi Güvenliği yönetim sistemi amaçlarını destekler nitelikte olması sağlanmalıdır. Örneğin; kuruluşun BGYS kurulum amaçlarından birinin kurumun bilgi varlıklarını korumak için gerekli bilgi güvenliğinin saklanması olduğunu düşünelim. Bu amacı ne ile destekleyebilirsiniz? Çalışanların/kullanıcıların farkındalığıyla. Çalışanlarının bilgi güvenliği farkındalığının yüksek olması kuruluşun hedefine ulaşmasını destekleyici bir unsurdur. Çalışan farkındalığını artırmaya yönelik bir hedef belirleyip, buna yönelik faaliyetler planlayabilirsiniz.
Fakat konu performans yönetimine gelince, orada yönetim sisteminin işletim süreçlerinin performansını ölçümleyebilecek bir sistematiğe ihtiyaç vardır. Şöyle açıklayalım; bilgi güvenliği yönetim sisteminin kendi içerisinde süreçleri vardır. Nedir bunlar? Dokümantasyon yönetimi, Risk yönetimi, Farkındalık eğitim yönetimi, İç Tetkik yönetimi gibi süreçlerle uzar gider bu liste. Yukarıda hedeflerle ilgili olarak farkındalığın artırılmasına yönelik faaliyetlere örnek vermiştik. Burada ise farkındalığın artırılmasına yönelik gerçekleştirilen faaliyetler kapsamındaki “Farkındalık Eğitimi” sürecinin performansını değerlendirebilirsiniz. Ya da “Hedeflerin yönetimi” için performans kriteri belirleyebilirsiniz. Özetle, hedefler bir performans kriteri değildir ancak hedeflerin yönetimi bir performans kriteridir diyebiliriz.
İlk Yorumu Siz Yapın