ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi
ISO 20000-1 ya da güncellenmiş haliyle ISO 20000-1:2018 Bilgi Teknolojileri Hizmet Yönetim Sistemi firmaların bilgi teknolojilerinin verimli kullanılması amacıyla hizmet yönetim sistemi oluşturması, uygulaması, sürdürmesi ve sürekli olarak iyileştirmesi için gereksinimleri belirten standarttır. Süreç tabanlı bir standart olan ISO 2000-1 9001 Kalite Yönetim sistemi ve 27001 Bilgi Güvenliği Yönetim Sistemi gibi standartlarla da entegre edilebilir.
ISO 20000 Sertifikası
ISO 20000 Sertifikası denildiğinde internet hizmetlerinden arşivlemeye, teknik servis hizmetlerinden yazılım hizmetlerine kadar bir bilgi işlem biriminin sunabileceği tüm faaliyetler kastedilir. Bu kadar geniş bir alanda kullanılan ve gittikçe yaygınlaşarak gelişen bir teknoloji mutlaka sürdürülebilir, yönetilebilir ve kontrol edilebilir olmalıdır. İşte ISO 20000-1 sertifikası bize bu imkânı sunmaktadır.
ISO 20000 Standardı
ISO 20000-1 standardında amaç süreçleri iyileştirmek, müşteri beklentilerini karşılama ve yeteneklerine uygun süreç modeli kurmaktır. Böyle bir modeli işletmemizde neden uyguluyoruz? Amaç sadece belge almak olmamalı, firmaya fayda sağlaması hedeflenmelidir. Bu işe sadece belge almak diye bakarsak süreç verimliliğini uygulamazsak firmamıza değer katmaz. Yaptığınız bilgi teknolojileri faaliyetlerinin işinize değer katan bir faaliyet olması gerekir. Bunun için tüm süreçlerin iyileştirilmesi, müşteri beklentilerinin karşılanması, sözleşme gereklerinin ya da karşılıklı mutabık kalınan gereklerin optimum şekilde yerine getirilmesi, kaynak verimliğinin sağlanması kapasitenin planlanması gibi süreçleri başarıyla uygulamak gerekiyor. Dünyaca ünlü kuruluşlar ISO 20001-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi’nin süreçleri mükemmel uygulayarak başarıya ulaştıklarını belirtiyorlar.
Bugün artık yazılım, donanım, arşiv yedekleme v.s. süreçlerin olduğu tüm sektör, üretici ya da kuruluşlar bu çerçeveyi uygulayabilmektedirler. Bu hizmetin sürdürülebilirliği yazılı prosedür politikalarının varlığı ile mümkündür. Bu yüzden sistemi sürdürülebilir hale getirmeniz ve döngü halinde sistemi devam ettirmeniz gerekiyor. Bu da sürekli iyileştirme döngüsünü devam ettirerek sürekli izlenebilirliğin sağlanması ile mümkün oluyor. Burada PUKÖ döngüsü (planla, uygula, kontrol et, önlem al) uygulanıyor. Böylece müşteri gereksinimlerini karşılamak suretiyle müşteri memnuniyetini sağlamış olacaksınız.
ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi’nin “Hariç Tutulamaz” Maddeleri
Hani Anayasamızın ilk dört maddesi vardır ya; 4. maddede “Anayasanın 1. maddesindeki Devletin şeklinin Cumhuriyet olduğu hakkındaki hüküm ile, 2. maddesindeki Cumhuriyetin nitelikleri ve 3. maddesi hükümleri değiştirilemez ve değiştirilmesi teklif edilemez.” ifadesi yer almaktadır. Aynı bunun gibi ISO 20000-1’in standarta uyumluluk için 4. ve 10. maddeler arasında belirtilen şartların herhangi birisi hariç tutulamaz. Herhangi birinin hariç tutulması düşünülemez. Hariç tutulursa ne olur? derseniz; Yapılan denetimlerde majör uyumsuzluk denilen ve belgeyi alamamanızla sonuçlanan başarısızlıkla karşılaşırsınız. Bunlar ana idari maddelerdir. Bu maddeler nelerdir?
ISO 20000-1’in Hariç Tutulamayacak Maddeleri
4.1. Kuruluşun içeriği
4.2. Kuruluşunun ve kuruluş içeriğinin anlaşılması
4.3. BGSY’nin kapsamının belirlenmesi
4.4. BGSY
- Liderlik
5.1. Liderlik ve taahhüt
5.2. Politika
5.3. Organizasyon rol, sorumluluk ve yetkiler
- Planlama
6.1. Risk ve fırsatları ele alan faaliyetler
6.2. Bilgi güvenliğine erişmek için planlama ve hedefleme
- Destek
7.1. Kaynaklar
7.2. Yetkinlik
7.3. Farkındalık
7.4. İletişim
7.5. Yazılı bilgi
- İşletim (Operasyon)
8.1. İşletimsel Planlama ve Kontrol
8.2. Bilgi Güvenliği risk değerlendirmesi
8.3. Bilgi Güvenliği risk işleme
- Performans Değerlendirme
9.1. İzleme, ölçme, analiz ve değerlendirme
9.2. İç tetkik
9.3. Yönetimin gözden geçirmesi
- İyileştirme
10.1. Uygunsuzluk ve düzeltici faaliyet
10.2. Sürekli İyileştirme
Bilgi güvenliğini iş amaçlarıyla 4. ile 10. maddeler arasını bütünsel hale getirmek ile sağlayabiliriz. Üst yönetimin katılımı, eğitim ve farkındalık, periyodik tetkikleri yapmak üst yönetimle bir gözden geçirme çalışması yapmak, uygunsuzlukları periyodik olarak gözden geçirmek, bunu düzenli aralıklarla yapmak, bütünsel bir risk analizi yapmak uygulamanın başarısı için gerekiyor.
- Maddeden sonraki ek A dediğimiz maddelerde biraz daha iyi uygulama ve bilgi güvenliği için size çerçeve çizen maddeleri içeriyor. ISO 20000-1 ana standart. Çerçeve ve yönetim standardıdır. Sistemin atıf yaptığı ISO 20000 serisinden ISO 20000-2 rehber standardımızdır. Hizmet yönetim standardının uygulanmasına ilişkin maddeleri içerir. ISO 20000-1’in Ek A maddeleri ve ana maddeleri ISO 20000-2’de ayrıntılı olarak anlatılır. Örneğin ISO 20000-1’de “Erişim yönetimiyle uygun politikalar gerçekleştirilir” der. Bunun ayrıntısı için 20002’ye bakılır. Yine çerçeve standardımız “Politika yazılmalı ve kullanıcı hesap yönetimiyle ilgili uygun güvenlik önlemleri alınmalıdır” der. Bunun ayrıntısına bakmak için ISO 20002’ye bakmak gerekir. 20000-3 ise uygulama rehber standardıdır. Hangi yolu izlemeliyim diyorsanız ISO 20000-3’ü öneriyoruz. ISO 20000-5 risk analizi yaparken izlemeniz gereken adımları içerir. Bir yönetim sistemi standardında idari maddeler var, bir de teknik maddeler var. Bütün halinde düşünebilmemiz ve bütün halinde uygulamamız için yönetim sisteminin unsurlarına ihtiyaç vardır. Nedir bu unsurlar?
Yönetim Sistemi Unsurları
- Politika (Kararlılık ve uygulama ilkelerinin ortaya konması)
- Planlama (Gereksinimlerin, kaynakların, yapının ve sorumlulukların saptanması)
- Uyarlama ve çalıştırma (Bilinç oluşturma ve eğitim)
- Performans değerlendirmesi (izleme ve ölçme, denetimler, uygunsuzların ele alınması) ölçeceksiniz düzelteceksinz.
- Sürekli iyileştirme (Düzeltici faaliyet, sürekli geliştirme)
- Yönetimin gözden geçirmesi
- Yönetim sistemini başarıyla uygulamanız durumunda siber vakalarla karşılaşma olasılığınız daha aşağı çekilmiş olur.
ISO 20000-1’in Maddeleri Nelerdir?
- Kapsam
- Atıf yapılan standartlar ve veya dokümanlar
- Terimler ve tarifler
- Kuruluşun içeriği
- Liderlik
- Planlama
- Destek
- İşletim
- Performans Değerlendirme
- İyileştirme
Ek A Referans Kontrol Hedefleri ve Kontroller
Öncelikle uygulamamız gereken bu adımları planlamak olacak. Risk analizi ve risk işleme planlaması dahil. Tabi bu çalışmayı yaparken risk analizi dedik. Risk analizini nasıl yapacağız? Bunun için kurumdaki bilgi varlıklarını çıkarmamız gerekiyor. Kurumumuz nasıl bir kurum? Kamu kurumu mu, üretim fabrikası mı ya da bir hizmet sağlayan danışmanlık ofisi mi? Hepsi olabilir. Sizin korumanız gereken ya da sürekliliğini devam ettirmeniz gereken bilgi ya da varlık nedir? Bunları tespit etmeniz gerekiyor. Bunu da varlık envanteri denilen çalışmalarla yapacağız. Varlık envanteri çalışmasında bizim korumamız gereken bilgi varlıklarının envanterini çıkaracağız.
Bilgi dediğimiz şey nedir? Benim kritik varlıklarımın içinde yer aldığı fiziki ya da elektronik palyatif bütün varlıklar. Bunları bir süreç analizi ile birlikte yapmanızı öneriyoruz. Varlık envanterine bilgi varlıklarını da dahil etmeniz suretiyle tam bir bilgi varlığı envanteriniz olacak. Böylece risklerinizi açıkta bırakmamış olacaksınız. Bilginin sistematik kullanımını gerektiren risk analizi ile kaynaklarınızı belirleyerek kapsamı belirleyebilirsiniz. Elimizde hangi varlıklar var, neyin riskini hesaplayacaksınız. Bunun için doğru bir envanterin hazırlanması gerekiyor.
Teknolojik Gelişmeler
Yazımızı bitirirken bilgi ve teknolojideki baş döndürücü gelişmelere bir göz atalım isterseniz: Beethoween’in yarım kalan eseri yapay zeka ile tamamlandı. Rusya’da TV programı için sanal insan oluşturuluyor. Ray-Ban akıllı gözlüklere Facebook Messenger desteği geliyor. Bu başlıkları ve daha fazlasını aşağıdaki bu bağlantıdan okuyabilirsiniz.
ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi Fiyatı
Bu konuyla ilgili bilgiler için buraya tıklayınız.
ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Belgesi Nasıl Alınır?
Bu konuyla ilgili bilgiler için buraya tıklayınız.
Bilginer Belgelendirme Eğitim Danışmanlık Ticaret Ltd. Şti.
0 Yorum