Belli bir yaşa gelene kadar güzel memleketimde bu terimlerden bir kısmını duyarak okuyarak büyüyoruz zaten,özellikle askerlikte ; tv , musluk vb kullanma talimatları, personel yönetmelikleri,atama yönergeleri vs vs. Benzer terimler iş hayatında da bolca karşınıza çıkar,hani ağzı olan konuşuyor denir ya, yalan yanlış her dökümanın sonuna " ... politikası, ... talimatı" gibi ekler eklemeye de meraklıyız. Benim diyen kurumlarda bile içeriği talimat içeriği olan döküman politika olarak adlandırılıyor.Her ne kadar pratik hayatta bu terimler birbirine girmiş ve birbiri yerine çokça kullanılır olsa da bu terimleri birbirinden ayıran ince farklar var.
Yaptığınız iş,çalıştığınız pozisyon ne kadar teknik olursa olsun,kağıt işlerinden ne kadar çok nefret ederseniz edin, eğer işlerin düzen içinde yerine getirilmesini, hata payını azaltmayı, iş kalitesini, personel verimliğini artırmak, iş yerinde abi-kardeş ilişkilerini de azaltmak istiyorsanız, profesyonellik ve zaman kaybı sizin için önemliyse -bir yönetim sistemi olmasa bile - bu tip dökümanları ihtiyacınız var.
Peki politika,prosedür,klavuz ve talimat nedir?
Piramitin sivri ucu aynı zamanda yönetim kademesini, tabanı ise deyim yerindeyse işçi kesimi ifade ediyor :)
Politika (Policy) : Üst yönetim kademesi (Genel Müdür, Yönetim Kurulu) tarafından onaylanması,imzalanması ve uygulanması gereken ve yönetimin dökümanın içeriğini oluşturan konuya ilgili desteğini açıkça belirttiği dökümanlardır. Uygulanması gereken ( klavuzlarda olduğu gibi seçme şansı, bir öneri yok, mutlak uyum söz konusu) kontroller,kapsam,sorumlular belirtilir. Politikanın kısa ve öz olması önemlidir, sayfalarca uzunlukta politika olmaz. Yönetim niyetini nedenleriyle belli eder, "buna herkes uyacak kardeşim! işte o kadar, nasıl yapılacağı,kimin yapacağı beni ilgilendirmez, beni politikaya uyulup uyulmadığı ilgilendirir, ben bu konudan handi bölümün/birimin sorumlu olduğunu söyledim, Ahmet mi yapar Mehmet mi yapar ben bilmem, nasıl yapılacağına daha alt kademelerde kendi aranızda karar verin, gerekli standartları, talimatları hazırlayın" der özetle.Politikanın uygulanmasından üst yönetim sorumludur çünkü bu tip bir politikanın daha doğrusu politikayla belirtilen kontrolün eksikliğinden kaynaklanan bir sorun,zarar çıkması durumunda bunun hesabının ilk sorulacağı kademe de üst yönetim olacak. Bu nedenle işini,koltuğunu seven yönetici "hazırladınız, ben de imzaladım onayladım gerisi beni ilgilendirmez" diyemez,dememelidir.
Günümüzde herkes Bilgi Güvenliği Uzmanı olduğu için örnek de bununla ilgili olsun. Güvenliğin ciddiye alındığı, bilgi güvenliğinin firewall yönetmekten-URL filtreleme ürünü kurmaktan öte olduğunun anlaşıldığı kurumlarda etkin bir BGYS işletimi için olmazsa olmaz politikaların başında "Bilgi Güvenliği Politikası" gelir ki diğer alt politikalar için de şemşiye politika görevi görür. Popüler politikalardan bazıları "Kabul edilebilir kullanım politikası", "Antivirüs Politikası","E-posta politikası","Taşınabilir cihaz politikası" dır. Siz de ihtiyacınıza göre kendi politikalarınızı belirleyebilirsiniz, her konuda olabilir yeter ki kurum stratejinize,iş hedeflerinize faydası olsun.
Standart (Standard) : Daha üst seviyedeki politikaları destekleyen, üst yönetimin onayını taşıyan, politikalar gibi zorunlu -ama daha belirgin- kontrolleri içeren , genel standartlara ve mevzuata uyumun doğrulanmasında da kullanılan ve denetimlerde elinizi güçlendirecek dökümanlardır. Örnek olarak Bilgi Güvenliği Politikasını destekler nitelikteki "Parola Standardı","İşletim Sistemi Standardı","Uygulama Standardı" gibi standartlar kullanılabilir. Parola standardınız parolanın en az 8 alfanumerik karakterden oluşması gerektiğini belirtebilir, bu kontrolün nasıl sağlanacağı ise yine daha alt seviye yönetim sistemi dökümanlarından talimat ve klavuzlarda açıklanmalıdır.
Genellikle standartlara rastlayamazsınız, BGYS'lerde daha ziyada politikalar ve talimatlar oluşturulur.
Klavuz (Guideline): Özellikle konuyla ilgili bir standartın yokluğunda ve/veya eksikliğinde boşluğu dolduracak, mevcut standart ve politikaları destekleyici, zorunlu olmayan yani isteğe bağlı tavsiye niteliğinde kontroller içerir. Örnek olması açısından,"Güvenli İnternet Kullanım Klavuzu" gibi bir klavuzla kullanıcıları daha güvenli internet kullanımı konusunda bilgilendirebilirsiniz.
Talimat (Procedure): Diğer yönetim sistemi dokümanları gibi, üstündeki dokümanlarda yazılı kontrollerin yerine getirilmesi için yapılması gerekenlerin adım adım anlatıldığı, daha ziyade operasyonel personeli ilgilendiren dokümanlardır.Bu dokümanlarda bolca ekran görüntüsü kullanabilirsiniz,kullanılan ürünlerin markalarından ve versiyonlarından bahsedebilirsiniz çünkü bunlar en alt seviye ve en detaylı olması beklenen dokümanlar. Parola örneğinden devam edecek olursak, son kullanıcı için parolanın nasıl değiştirilebileceğini anlatan "Parola Değiştirme Talimatı" hazırlanabilir. Parolasını değiştirmek isteyen kullanıcı dokümanı okuyarak sorununu kolaylıkla giderebilir, bu da hem kullanıcıya hem yardım masanıza zaman kazandırır.Talimatlar en fazla BT Operasyon ekiplerinin işine yarar,özellikle rutin olmayan ve kolayca unutulabilecek işlemler talimat haline getirilirse (sunucu işletim sistemi kurulumu, yeni şube açılışı gibi) bu hem zaman kazancı, hem de yerine getirilmek istenen işin daha öncekilerle aynı olmasını sağlar.
Bu dokümanlar hazırlandıktan sonra yönetim kademelerince onaylanmalı ve ilgili kişilerin kolaylıkla erişebileceği yerlerde paylaşıma sunulmalıdır.Politika ve standartlar genellikle tüm çalışanları kapsadığı için kurum portalleri paylaşım için ideal alanlar. Böylece işe yeni başlayan birisi dahi 1-2 gününü ayırarak işlerin nasıl yürüdüğü, uyması gereken standartlar ve politikalar, yapmaması gerekenler hakkında fikir sahibi olabilir, klavuz ve talimatlar gibi daha alt seviye dokümanlarla işe adaptasyon sürecini hızlandırır. Her yiğidin farklı yoğurt yemesinin önüne geçilir.
İlgili Yazılarım
BGYS - Nass oluyor da oluyor ? ISO/IEC 27001:2005
PCI DSS - Nass oluyor da oluyor? A'dan Z'ye PCI-DSS
güzel bir yazı olmuş.
YanıtlaSilTeşekkürler
SilTesekkurler... ornekler aciklayiciligi saglamis...
YanıtlaSil