D R . A H M E T E F E
358
güvenceye alması gerekir. Sorumluluk ve hesap verebilirlik ge-
nellikle kontrol öz değerlendirmeleri (CSA), saldırı ve ihlal sızma
testleri, fonksiyonel ve teknik testler, sosyal / davranış testleri ve
yönetim değerlendirmeleri gibi çeşitli test faaliyetlerini yürütmek
üzere üst yönetimin dahliyle sağlanabilir. Üst yönetimin bu süreç-
lere önem vermesi gerekir. Bu süreçlerin her biri, tasarımın ya da
kontrolün devam eden uygulamasında kontrol zayıflıklarını veya
eksikliklerini tanımlamak için tasarlanmış iş süreçlerinin bir parça-
sı olarak düşünülmelidir. Çünkü siber güvenlik süreçleri kendileri
için bir değer ifade etmezlerken iş süreçleri ve kurumsal amaçların
gerçekleştirilmesine hizmet etmektedir. Bu nedenle de iş süreçleriy-
le entegre bir şekilde işletilmeli ve iş süreç sahiplerinin öngörü ve
ihtiyaçları dikkate alınmalıdır.
Farklı satıcılar tarafından sağlanan hizmetlerin tercih edilip edilme-
yeceği veya neden tercih edileceği gibi hususlar yönetim açısından
önem arz etmektedir. Bulut hizmetlerinin yaygınlığı ve şirket iş/
pazar çevrelerimin ötesindeki verilerin artmasıyla birlikte, pekçok
kuruluş, bilgi varlıklarının korunmasıyla ilgili bir miktar rahatlık
sağlamak için üçüncü taraf satıcılarına danışmaktadırlar. Satıcılar
için teklif isteme (RFP) süreçleri de ISO/IEC 27001, Tasdik Çatışma-
ları Standartlarına İlişkin Tablolar (SSAE) Hizmet Organizasyonu
Denetimi (SOC) tipi raporlar, [6] ve üçüncü taraf standartlaştırılmış
satıcı güvenliğine uygunluklarını belirten raporlar talep edilebil-
mektedir.
Dostları ilə paylaş: