ISO27001 denetimleri, kurumların bilgi güvenliği süreçlerini sistematik ve ölçülebilir bir şekilde yürütülmesini zorunlu kılar. Bu süreçler içinde en kritik alanlardan biri değişiklik yönetimi ( Change Management) dir. Ne yazık ki, birçok işletme değişiklik yönetimi uygulamalarını eksik veya tutarsız şekilde yürütüyor. Bu durum, operasyonel riskleri artırmakla kalmaz, aynı zamanda 27001 denetimlerinde ciddi uyumsuzluklara ve minor/major alınmasına yol açabiliyor.
Kurumsal BT alt yapısında yapılacak her değişiklik, yalnızca teknik bir müdahale değil; risk, uyumluluk ve süreklilik açısından titizlikle planlanması gereken bir süreçtir. Bu nedenle değişikliklerin sistematik olarak yönetilmesi ve izlenebilir olması zorunludur.
Değişiklik Yönetimi Süreci Kapsamı :
Kurumsal BT de değişiklik yönetimi, kritik altyapı ve uygulama bileşenlerini kapsamalıdır:
1️⃣ Donanım ve Ağ Altyapısı:
- Sunucular (Database, Application, Mail, Backup)
- Firewall ve diğer güvenlik cihazları
- Backbone ve Distribution Switch’ler
- Load Balancer, Proxy ve VPN cihazları
- Depolama sistemleri (SAN, NAS)
2️⃣ İşletim Sistemleri ve Sanallaştırma:
- VMware ve diğer sanallaştırma platformları
- Server işletim sistemleri (Windows Server, Linux/Unix dağıtımları)
- Kritik Microsoft servisleri (Active Directory, DNS, DHCP, Exchange)
- Hyperconverged altyapı bileşenleri
3️⃣ Kurumsal Uygulamalar ve Yazılım:
- ERP, CRM ve finans uygulamaları
- Kritik iş süreçlerini destekleyen özel yazılımlar
- Üçüncü parti yazılım güncellemeleri ve patch yönetimi
- Web ve uygulama sunucularındaki değişiklikler
4️⃣ Güvenlik ve Erişim Yönetimi:
- Kullanıcı yetki değişiklikleri ve RBAC güncellemeleri
- Sertifika yenileme ve şifreleme politikaları
- Endpoint ve network güvenlik ayarları
5️⃣ Backup ve Disaster Recovery (DR) ile İlgili Değişiklikler:
- Yedekleme planlarında değişiklik
- DR ortamı güncellemeleri ve testleri
6️⃣ Diğer Kritik BT Süreçleri:
- Monitoring ve log yönetim sistemleri
- ITSM süreç ve modül konfigürasyonları
- OT/IoT altyapı değişiklikleri (varsa üretim veya kritik operasyon cihazları)
Bu sürecin etkin bir şekilde yürütülmesi için ITSM sistemlerinde özel bir Değişiklik Yönetimi Modülü kullanılmalıdır. Modülün kritik işlevleri şunları kapsar:
1️⃣ Değişiklik Talep ve Ön Onay
- Değişiklik isteği (RFC – Request for Change) kaydı
- Ön değerlendirme: aciliyet, etki ve öncelik analizi
- Gerekli onayların alınması (yönetici, güvenlik ekibi, ilgili iş birimleri)
2️⃣ Planlama ve Risk Analizi
- Değişikliğin uygulanacağı tarih ve zaman çizelgesi
- Olası etkilerin ve risklerin belirlenmesi
- Geri dönüş (rollback) planlarının tanımlanması
- Kaynak ve bağımlılık analizleri
3️⃣ Uygulama ve Kontrol
- Değişiklik sırasında yapılan tüm işlemlerin kaydı
- Onaylı prosedürlere uygun uygulama
- Kritik adımların izlenmesi ve denetlenmesi
4️⃣ Değişiklik Sonrası İnceleme ve Kapanış
- Başarı değerlendirmesi ve sapmaların raporlanması
- Sorunlar veya hataların kaydedilmesi
- Süreç iyileştirme ve lessons learned
5️⃣ Raporlama ve Denetim
- Üst yönetim için özet ve detay raporlar
- ISO27001 ve diğer denetimler için hazır kayıtlar
- Zaman bazlı, kategori bazlı veya risk bazlı performans takibi
- Otomatik uyarı ve hatırlatma mekanizmaları
Örnek ITSM Değişiklik Yönetimi Modül Akışı :
- RFC Talebi Oluştur
- Ön Değerlendirme & Risk Analizi
- Yönetici ve Güvenlik Onayı
- Red / Geri Bildirim
- Planlama & Zaman Çizelgesi
- Uygulama ve Kontrol
- Değişiklik Sonrası İnceleme
- Kapanış ve Lessons Learned
- Raporlama ve Denetim
Örnek Tablo – Modül İçeriği
Özetle: Değişiklik yönetimi, kurumsal bilgi güvenliği ve operasyonel istikrar için kritik bir süreçtir. ITSM üzerinde doğru bir modül ve süreç kurgusu ile değişiklikler, planlı, belgelenmiş, denetlenebilir ve sürekli iyileştirilebilir hale gelir. Böylece hem operasyonel süreklilik sağlanır hem de ISO27001 ve diğer denetim standartları için eksiksiz bir kayıt tutulur.
