Standardın 4.1 Kuruluşu ve bağlamını anlamak (4.1 Understanding the organization and its context) ve 4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak (4.2 Understanding the needs and expectations of interested parties) maddelerinde iklim değişikliği (Climate Change) ile ilgili bir konu olup olmadığı ve İlgili tarafların iklim değişikliği ile ilgili gerekliliklerinin olup olmadığının belirlenmesi istenmektedir.
İklim değişikliği ile ilgili ilişkinin anlaşılması için öncelikle İklim değişikliğine sebep olan hususlar ile iklim değişikliğinin bilgi güvenliği için yarattığı riskleri belirlemek gerekiyor.
İklim değişikliklerinin en büyük nedeni İnsan Kaynaklı faaliyetlerdir. Fosil yakıtların (kömür, doğalgaz ve petrol), katı atıkların, ağaçların ve diğer biyolojik maddelerin yakılması ve ayrıca belirli kimyasal reaksiyonlar (örneğin çimento imalatı) kullanımı sonucunda ortaya çıkan Karbondioksit (karbon)’in atmosfere yayılır. Atmosfere yayılan Karbondioksit sera etkisine (sera gazları) neden oluyor. Sera gazları Atmosferde ısıyı hapsederek Küresel Isınmaya (İklim değişikliği) sebep oluyor.
Sera etkisini azaltmak için sera gazı emisyonlarını azaltmamız gerekiyor. Bunu da karbon salınımını (Karbondioksit) düşürerek yani Fosil yakıtların (kömür, doğalgaz ve petrol), katı atıkların, ağaçların ve diğer biyolojik maddelerin yakılması ve ayrıca belirli kimyasal reaksiyonların (örneğin çimento imalatı) kullanımı süreçlerini azaltarak sağlayabiliriz.
Şimdi bir de İklim değişikliklerinin bilgi güvenliği üzerindeki yarattığı tehditleri/Riskleri ve bunların yaratacağı etkilerini ele alalım.
Örneğin, İklim değişikliğine bağlı olarak gerçekleşebilecek;
Seller, su taşkınları, Fırtınalar, Kasırgalar, Tayfunlar, Depremler, Isı dalgaları, Yangınlar, Gıdanın azalması ve Gıdaya erişimin zorlaşması, kuraklık, su kıtlığı, doğal kaynakların azalması, Hastalık, Yoksulluk, Göç Etme, Ayaklanma, Elektrik üretiminde azalma, enerji ihtiyacının artması, Elektrik kesintileri vb tehditler bilgi güvenliği açısından aşağıdaki etkilere neden olacaktır;
1) İş Süreçlerinde verimsizlik (Hastalık, Refah eksikliği-Yoksulluk, Kalifiye personel bulamama vb)
2) İşten ayrılma (Göç etme, Hastalık, Refah eksikliği-Yoksulluk vb)
3) İş Sürekliliği kesintileri (Elektrik kesintileri, Hizmet kesintileri vb)
4) Bilgi güvenliği açıklıkları, bilgi güvenliği ihlalleri
5) Finansal ve Müşteri kayıpları
İklim değişikliğine sebep olan hususlar ile iklim değişikliğinin bilgi güvenliği için yarattığı riskleri ele aldıktan sonra artık İklim değişikliğinin bilgi güvenliği yönetim sistemi içinde ilgili bir konu olup olmadığına ve İlgili tarafların iklim değişikliği ile ilgili gerekliliklerinin olup olmadığına karar verebilir ve ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi süreçleri ile ilişkisini kurabiliriz.
Bilgi Güvenliği Yönetim Sistemi süreçleri içerisinde Karbon salınımın düşürülmesi ile ilgili yapılabilecek neler olabilir?
En yüksek karbon salınımı oluşturan tüketimler üzerinden baktığımızda Enerji kullanımını ilk sırada görebiliriz. O zaman enerji kullanımının düşürülmesi yani enerji verimliliği odaklanmamız gereken en önemli başlık olabilir.
1- Bilgi Teknolojileri Sistem ve alt yapılarının kurulumu ve kullanımı süreçlerinde Enerji verimliliğinin sağlanması
YEŞİL IT (BİLGİ TEKNOLOJİLERİ) POLİTİKASI
a) Bulut Hizmetlerinin Kullanımı
b) Sanallaştırma ve Konsolidasyon
c) Enerji Verimliliği yüksek olan Donanım ürünlerinin tercih edilmesi
d) Power Management (Güç Yönetimi): Güç yönetim sistemleri, enerji tüketimini optimize etmek için kullanılır.
e) Atıl (Kullanılmayan) ve/veya belirli bir amaç için yedekte tutulan Sunucu ve diğer cihazlar için enerji verimliliği planlaması
İklim değişikliklerinin yarattığı etkilere bağlı olarak yeni bir kavram olarak hayatımıza giren YEŞİL IT POLİTİKALARI’ nın belirlenmesi ile izlenecek yol haritası da ortaya çıkmış olacaktır.
Sonrasında belirlediğiniz YEŞİL IT POLİTİKALARI’ nın ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi süreçleri içerisine entegrasyonunu sağlayabilirsiniz.
Örnek-1
5.19 Tedarikçi ilişkilerinde bilgi güvenliği, 5.22 Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi, 5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği kontrollerine YEŞİL IT Politikaları ile ilgili entegrasyonların yapılması.
Tedarikçi Seçme, Değerlendirme ve değişiklik yönetimi sürecinizin için YEŞİL IT Politikanıza uygun yeni kriterler eklemeliyiz.
Örneğin; Bulut hizmeti Tedarikçi kategorisi için Tedarikçi Seçme ve Değerlendirme süreçlerinizde Yeşil Veri Merkezi sertifikası kriterini ekleyebiliriz.
Yeşil Veri Merkezi
a) Yeşil Veri Merkezi Sertifikası (TSE)
b) Karbon Nötr Veri Merkezi Sertifikası (TSE)
c) Sürdürülebilir Veri Merkezi Sertifikası (TSE)
d) LEED (Amerika Birleşik Devletleri Yeşil Binalar Konseyi) Sertifikası
e) Yenilenebilir enerji kullanımı
Örnek-2
5.21 Bilgi ve İletişim Teknolojisi (BİT) Tedarik Zincirinde Bilgi Güvenliğini Yönetme kontrol maddesi için belirlemiş olduğunuz kontrollerin içine YEŞİL IT Politikaları ile ilgili entegrasyonların yapılması.
Bilgi ve İletişim Teknolojisi (BİT) Tedarik Zincirinde Bilgi Güvenliğini yönetme ile ilgili süreçlerin içerisinde ürün tedariği için YEŞİL IT Politikasına uygun yeni kriterler eklemeliyiz.
a) BİT Tedariğinde Enerji Verimliliği yüksek olan Donanım ürünlerinin tercih edilmesi
Örnek-3
5.2 Politika Bilgi Güvenliği Politikasının içine YEŞİL IT Politikaları ile ilgili entegrasyonların yapılması.
Bilgi Güvenliği Politikasının içine ya da varsa ayrıca tanımlanmış Bilgi Güvenliği Amaçlarının içerisine YEŞİL IT Politikaları ile ilgili yeni tanımlamalar, hedefler eklemeliyiz.
Örneğin: BİT Hizmet, Sistem ve alt yapılarının kurulumu ve kullanımı süreçlerinde karbon salınımının düşürülmesi (Yeni bir bilgi güvenliği amacı)
Örnek-4
5.1 Bilgi güvenliği politikaları kontrol maddesi için belirlemiş olduğunuz Politikaların içerisine YEŞİL IT Politikaları ile ilgili entegrasyonların yapılması.
Belirlemiş olduğunuz YEŞİL IT Politikalarını bu kontrol maddesi altında ayrı bir Politika olarak tanımlamalıyız.
Yukarıda verdiğim örnekler üzerinden hareketle belirlemiş olduğunuz YEŞİL IT Politikalarına paralel ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi süreçlerinin içine entegre edebileceğiniz farklı bir çok kontrol olacaktır.
Son aşamada da tüm sistem entegrasyonu tamamlandığında Standardın 4.1 Kuruluşu ve bağlamını anlamak (4.1 Understanding the organization and its context) ve 4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak (4.2 Understanding the needs and expectations of interested parties) maddelerinde istenen iklim değişikliği (Climate Change) ile ilgili bir konu olup olmadığının tespiti ve İlgili tarafların iklim değişikliği ile ilgili gerekliliklerini yapmış olduğunuz süreç entegrasyonları üzerinden kolaylıkla belirliyor ve ilişkilendiriyor olacaksınız.
Faydalı olması dileğiyle,
ISO 27001 & ISO 27701
Baş Denetçi Eğitmeni / Danışman
Whatsapp Hattı