SharePoint ile GRC Dijital Dönüşümü: ISO 27001:2022 ISMS Uygulama Rehberi
Birçok kuruluş maliyetli bir paradoksun içinde sıkışmış durumda: Bir yandan silolara bölünmüş GRC (Yönetişim, Risk ve Uyum) yazılımlarına büyük yatırımlar yaparken, diğer yandan halihazırda sahip oldukları Microsoft 365 aboneliklerini basit bir dosya dolabı olarak kullanmaya devam ediyorlar. Bir bilişim hukukçusu ve ISO 27001 iç tetkikçisi olarak şunu net bir şekilde söyleyebilirim: ISO 27001 sertifikasyonunun önündeki asıl engel teknoloji eksikliği değil; yalın olması gereken süreçleri karmaşıklaştıran “zihniyet” meselesidir.
“Obeya” Modeli: Mutlak Hizalanma
Japon yönetim kültüründe “Obeya”, herkesi ortak bir hedefe yönlendirmek için tasarlanmış bir ekip çalışma modelidir. Bu modeli ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ne (ISMS) uyguladığımızda, SharePoint siteniz tüm ISMS bileşenlerinin görünür ve birbiriyle bağlantılı olduğu merkezi bir “harekat merkezi” haline gelir.
Başarılı bir dijital GRC dönüşümü için SharePoint siteniz şu modüllerden oluşmalıdır:
- Politika Yönetimi: Tüm dahili kural ve prosedürler için merkezi kütüphane.
- Risk Yönetimi: Gerçek zamanlı değerlendirmeler için dijital risk sicili.
- Uygulanabilirlik Bildirgesi (SoA): Güvenlik kontrollerinin uygulama durumunun takibi.
- Denetim Yönetimi: İç tetkikler, uygunsuzluklar ve düzeltici faaliyetlerin yönetimi.
- Performans Yönetimi: KPI ve KRI metriklerinin izlenmesi.
Dijital Atıkları Eleminasyon ve Merkezi Kaynak
Belge parçalanması, dijital atıkların ve uyum başarısızlıklarının birincil nedenidir. SharePoint bünyesinde kuracağınız merkezi yapı, versiyon karmaşasını önler. Veri gizliliğini korumak için SharePoint’in “Yalnızca mevcut erişimi olan kişiler” paylaşım ayarını kullanmak, erişim halkasını genişletmeden kanıt paylaşmanıza olanak tanır.
Yaşayan Bir Harita Olarak SoA (Uygulanabilirlik Bildirgesi)
Statik bir SoA dosyası, denetim sırasında bir yükümlülüktür. SoA’yı SharePoint Listeleri üzerinden kurguladığınızda, her bir maddeyi doğrudan ilgili kanıta (loglar, politikalar, ekran görüntüleri) bağlayan “yaşayan bir navigasyon haritası” oluşturursunuz. Denetçi, bir maddeye tıkladığında doğrudan kanıtı gördüğünde, sistemin olgunluğuna dair “ikna edici bir güven” oluşur.
Microsoft 365 Ekosisteminin Sinerjisi
SharePoint temeli oluşturur, ancak gerçek güç entegrasyondadır:
- Power BI: Uyum verilerini grafiksel olarak sunarak yönetimin gözden geçirme süreçlerinde gerçek görü sağlar.
- Power Automate: Politika onay süreçleri, erişim gözden geçirmeleri veya süresi dolan belgelerin bildirimi gibi tekrarlayan görevleri otomatize eder.
“Oyun Değiştirici” Perspektifi: Sertifikasyon Değil, Olgunluk
TS ISO/IEC 27001:2013 sertifikasına sahip bir bilirkişi olarak gözlemim; denetçilerin “kayıp parçaları avlamak” yerine, her şeyin şeffaf bir şekilde sunulduğu sistemlerde çok daha hızlı ve olumlu sonuç verdiği yönündedir. ODTÜ felsefe vizyonuyla baktığımızda, dijital dönüşüm araçların değil, metodolojinin dönüşümüdür. Mevcut M365 araçlarınızı kullanarak GRC süreçlerinizi yönetmek, sadece maliyet tasarrufu değil, kurumsal bir olgunluk göstergesidir.
Soru – Cevap (SSS)
Soru: SharePoint üzerinde ISO 27001 yönetmek güvenli midir?
CEVAP: Evet. Microsoft 365, ISO 27001 ve GDPR dahil olmak üzere en yüksek güvenlik standartlarına uyumludur. Doğru yapılandırılmış erişim izinleri (IAM) ve şifreleme ile fiziksel veya dağınık dijital ortamlardan çok daha güvenlidir.
Soru: Özel GRC yazılımları yerine neden SharePoint tercih edilmeli?
CEVAP: Çalışanlarınız zaten SharePoint ve Teams kullanmaya alışkındır. Yeni bir yazılım öğrenme yükünü ortadan kaldırır, ek lisans maliyeti çıkarmaz ve kurumun mevcut veri akışıyla tam entegre çalışır.
Soru: ISO 27001:2022 versiyonundaki yenilikler SharePoint yapısını nasıl etkiler?
CEVAP: 2022 versiyonunda kontroller 4 ana temada (Organizasyonel, İnsan, Fiziksel, Teknolojik) gruplandırılmıştır. SharePoint Listeleri bu tematik gruplandırmayı ve dinamik etiketlemeyi (tagging) yönetmek için mükemmel bir esneklik sunar.
Soru: Otomatik kanıt toplama SharePoint ile mümkün müdür?
CEVAP: Power Automate sayesinde, örneğin Azure AD üzerindeki kullanıcı hareketlerini veya Teams kayıtlarını otomatik olarak SharePoint listelerine “kanıt” olarak çekmek ve raporlamak mümkündür.
Soru: Dış denetçilere SharePoint erişimi nasıl verilmelidir?
CEVAP: Denetçiye “Konuk Kullanıcı” (Guest Access) tanımlayarak, sadece ISMS sitesindeki “Dış Klasör” ve ilgili listelere “Salt Okunur” yetkisi vererek güvenli ve şeffaf bir denetim süreci yönetebilirsiniz.
Kaynaklar
- ES Gan – GRC Digital Transformation With Microsoft SharePoint Online
- TS ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standartları
- Microsoft 365 Compliance Center – Regulatory Compliance
- Özgür Eralp – Bilgi Güvenliği Yönetim Sistemi ve Bilirkişilik Analizleri
- ISO/IEC 27004 – Monitoring, Measurement, Analysis and Evaluation
Etiketler
Digital Transformation, ISO 27001, GRC, SharePoint Online, Bilgi Güvenliği, ISMS, Microsoft 365, Yönetişim, Risk Yönetimi, Bilişim Hukuku, Özgür Eralp, Denetim Hazırlığı, Lean Compliance
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),