ISO 27001- Varlık Envanterinde - Varlık Sahipleri Nasıl Atanmalı?

ISO 27001- Varlık Envanterinde - Varlık Sahipleri Nasıl Atanmalı?

UEKAE- BGYS-0003 Dokümanı (20.03.2008/F.KOÇ) Dokümanına dayanarak tanımları ele alalım:

Varlık Sahibi: Varlık sahibi, tanımlanan rol ve sorumluluklara paralel olarak belirlenir. Varlığın sahibi varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir. (Ör: Muhasebe Bölümü Müdürü)

Varlık Sahibi, Varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir. Sahip kelimesi Türkçe de mülkiyet anlamını içinde barındırmaktadır. BGYS Varlık yönetimindeki sahip kavramı daha çok sorumluluk anlamında kullanılmaktadır. Varlık değerinin belirlenmesi, varlığa yönelik risk tanımlamalarının yapılması varlık sahibinin görevleri arasındadır. (Ör: Kurum finansal bilgilerinin sahibi kurumun finans bölüm müdürüdür)

Emanetçi: Varlığın –varsa– emanetçisini belirtir. (Ör: Ağ Yöneticisi). Varlık Emanetçisi, Varlığın sahibi olmamasına rağmen, varlığın sağlıklı bir şekilde sürekliliğinin idamesini sağlayan rolündeki kişi veya kişilerdir. Birçok durumda varlık sahibi ile farklı kişi olabilir. (Ör: Kurum finansal bilgilerinin sahibi finans bölümü müdürü iken emanetçisi ilgili veritabanı yöneticisidir).

Sonuç olarak varlık sahipleri ve emanetçilerine karar verilirken, öncelikte kurumdaki demirbaşların (donanımlar) zimmet yoluyla sahipleri belirleniyorsa onlar Varlık Sahibi olarak belirtilebilir. Ancak genel olarak kişi temelli varlık sahipliğinden kaçınmak gerekiyor. Nedeni ise kişiler değiştiğinde listeleri güncellemek gerekiyor. Bu anlamda kişi adı yerine ünvanları kullanmak daha iyi olur.

Örnek:

Varlık: XYZ Server – Sahibi: BT Müdürü – Emanetçisi: BT Teknik Sorumlusu

Yine de kurum bir toplantı kararıyla ya da tutanakla varlık sahiplerini ve emanetçilerini belirleme konusundaki yaklaşımını netleştirebilir ve onu uygulayabilir.