ISO 27001 standardı, tam bir çerçeve halinde Bilgi Güvenliğine ele alan uluslararası geçerli temel standarttır. Bu standart ile sertifikalanması durumu çok sayıda kamu ve özel otorite tarafından zorunlu olarak da istenmektedir. Bu kapsamda çok sayıda kurum ISO 27001 sertifikası almaktadır. Ancak değişik nedenlerle sahada yapılan inceleme ve gözlemlerde, standardın ve sertifikanın mantığının anlaşılmasında ve buna bağlı uygulamanın gerçekleşmesinde büyük eksiklikler olduğu göze çarpmaktadır. Bu yazı dizisinde, ISO 27001 standardı ve sürecine dair uygulamada kullanıcıların önünü açacak şekilde soru/cevap mantığı ile bilgilendirme yapılması amaçlanmaktadır. Serinin bu ilk yazısında “ISO 27001’e Başlarken Bilinmesi Gereken” konular hakkında bilgilendirme yapılacaktır.
ISO 27000 ailesinde çok sayıda standart var? Biz hangisinden sorumluyuz?
Bu konuda genelde aşağıda verilen 2 farklı yanılsama görülmektedir.
1- “Bizim işimiz 27001, diğerleri bizi hiç ilgilendirmez.”
2- “Aile’nin tamamına en azından guide olarak bakmak gerekir.”
Doğru durumu anlamak için aşağıdaki özet tabloya bakmak gerekir. Bu tabloda denetime girecek firmaların sorumlu olduğu nasıl standart 27001 standardıdır?
Ancak kurumların 27001 standardını daha iyi anlamaları ve uygulamaları açısından diğer kılavuzları da incelemeleri faydalıdır.
Sektörel standartlar ise sadece, o sektöre özel bir uygunluk iddiası olduğunda devreye girmektedir. Başlangıç aşaması için gerekli değildir.
ISO 27002 tarafını 27001’i oturttuktan sonra devreye alsak olur mu?
27002 standardı da bir uygulama kılavuzu olmakla beraber 27001’in tamamı için uygulama pratikleri içermektedir. Bu anlamda ayrı bir öneme sahiptir. 27002, 27001’in uygulanması sürecinde kullanılır. Yoksa 27001 bittikten sonra uygulanacak ek bir doküman değildir Dolayısıyla sonradan devreye alınması gibi bir yaklaşım doğru olmaz.
ISO 27001 kurumun hangi süreçlerini bağlar?
Burada özellikle 2 konu dikkate alınmalıdır.
1- Kapsam: 27001 başvuru sürecinde, kurum organizasyonunun hangi birimleri için uyum talep ettiğini belirtir. Denetimde de buradan sorumlu olur. Örneğin bir kurum sadece belli yerleşkesini veya belli departmanlarını kapsama alabilir.
2- Bilgi Güvenliği İle İlgili Olma: 27001 kurumlardaki faaliyetlere “Bilgi Güvenliği” açısından bakar. Örneğin kurumun yıllık karlılık oranı yada çalışanların performansı ile ilgilenmez.
Örneğin İnsan Kaynakları birimi kapsam dışı yapılsa oraya dair tüm işler kapsamdan çıkar mı?
Bu durumda insan kaynakları birimine ait varlıklar devre dışı kalır? Ancak kapsamda olan birimlerin personel tedariki gibi insan kaynaklarının alanına giren işler yine kapsamda olur. Sonuç olarak IK birimi kapsamdan çıktı diye kurum, standardın bununla ilgili olan “A.7” bölümünden muafiyet olmaz.
Denetimi ve sertifikasyonu kimler yapabiliyor?
Denetim ulusal veya uluslararası akredite olmuş belgelendirme kuruluşlarınca yapılır. Türkiye özelinde akreditasyon kurumu TURKAK’dır. Ancak yurtdışından akredite olmuş kurumlarda belgelendirme yapabilir.
Denetçi firmaların akreditasyon durumlarını nereden nasıl öğrenirim?
Görülen denetçi firmaların akreditasyon durumlarını, akredite eden kurumların web sitesinden sorgulayıp kontrol edebilirsiniz. Örneğin bir belgelendirme firması TURKAK akredite olduğunu iddia ediyorsa aşağıdaki linkten kontrol edebilirsiniz.
https://secure.turkak.org.tr/kapsam/search
TURKAK akreditasyonlu firmadan belge almakta avantaj var mı?
Normal şartlarda belgelendirme yapan firmaların TURKAK akredite olması şart değildir? Ancak ülkemizde hazırlanan kimi ihale (teknik şartname vb.) dokümanlarında, kurumların TURKAK akredite bir belgelendirme firması tarafından belgelendirilmiş olması durumun ön şart olduğu görülebilmektedir.
Danışman desteği alıyoruz? Buna rağmen, standardı temin etmek şart mı? En kolay nasıl temin edebilirim?
ISO 27001 sertifikası almak isteyen kurumun; sürecin mantığını anlaması ve hem kendi ekibi hem de denetçi gözünde konuya verdiği önemin anlaşılması için en azından 27001 standardını alması kritiktir.
Zaten standart 50 TL civarı bir ücret karşılığı TSE’nin web sitesinden aşağıdaki linkten hızlıca alınabilmektedir.
Bu konunun ekonomik olarak üzerinde düşünülmesi gereken bir maliyeti olmamaktadır?
https://intweb.tse.org.tr/Standard/Standard/StandardAra.aspx
Sertifikasyon için bu kadar doküman üretiyoruz? Sonunda hangi noktaya varmak istiyoruz?
ISO 27001 standardı temelde 2 parçadan oluşur. Birincisi Bölüm 4–10 arasını oluşturan ilk kısımdır. İkincisi standardın ana kısmına ek olarak EK-A ismi ile gelen kontrol maddeleri kısmıdır?
Sertifika almak isteyen kurumun yapması gereken; ana kısım ve EK-A kontrol maddelerinin tamamını gözden geçirmek, bunlardaki isterlere göre gerekli doküman altyapısını hazırlamak ve uygulamaktır?
Hazırlanan tüm doküman seti ve yapılan tüm çalışma ile varılmak istenen nokta, standart ana maddeleri ve EK-A kısmı için cevap oluşturmaktır. Dolayısıyla bir kurum, denetçi yada danışman olmadan kendi uyum ve yeterlilik durumunu standart maddeleri ile karşılaştırarak kontrol edebilir.
Standartta yer alan tüm maddelerin uygulanması zorunlu mudur?
Standardın ana bölümünde yer alan maddeler zorunludur? Ancak Ek-A kısmında yer alan maddeler; kurumun kapsamı ve süreçlerine bağlı olarak kapsam dışı bırakılabilir. Bu durumda, kurum kapsam dışı bırakma nedenini SOA (Statement of Applicability) dokümanında belirtmesi gerekir.
Örneğin bir kurum yazılım geliştirme ile ilgili işlem yapmıyorsa, EK-A’da yazılım geliştirme sürecinin güvenliği ile ilgili maddeler devre dışı kalacaktır.
BGYS El Kitabı ve SOA nedir? Neden önemlidir?
ISO 27001 hazırlık sürecinde çoğu zaman standardın ama maddelerinin kurum bünyesinde nasıl uygulandığını toparlamak ve bununla ilgili diğer politika, prosedür gibi ek dokümanlara referans vermek için toplayıcı bir dökümana ihtiyaç duyulur. Bu doküman çoğu zaman “BYGS El Kitabı” gibi bir isim taşımakla beraber bu isim zorunlu değildir?
SOA (Türkçe kullanımda “Uygulanabilirlik Bildirgesi”) ise, EK-A tarafında yer alan kontrol maddelerinin uygulanma durumlarını gösteren ve bunlarla ilgili doküman/kayıtları gösteren toparlayıcı bir dokümandır.
Sonuç olarak gerek kurum, gerek denetçi gerek de danışman açısından BGYS ve SOA, büyük resmin görebilmesini sağlayan iki kritik dokümandır.
Denetim süreçlerinde de en çok üzerinde durulan dokümanlardır.
Denetçi denetimde neye bakıyor? Doküman dışı kontrol yapıyor mu?
Denetim esnasında, hem kurumun sistemin kurulumu için oluşturduğu doküman vb. yönelik altyapısı kontrol edilirken hem de belirtilen şartların uygulanma durumuna yönelik pratik kontroller yapılır. Örneğin; fiziksel güvenlik mekanizmaları, ağ güvenliği uygulamaları, log yönetimi gibi maddeler üzerinden uygulamaya dair kontroller yapılır.
Denetçi standarttaki tüm maddeleri kontrol ediyor mu?
Denetçinin standartta yer alan tüm maddeleri kontrol etmesi denetim için ayrılan zamanda mümkün değildir. Bu nedenle denetçi kendi tecrübesi ve yaklaşımına göre örnekleme yapmaktadır?
Not: ISO 27001 kapsamında sunulan hizmetleri ana sayfa üzerinden ilgili başlığa ait menü altında inceleyebilirsiniz.
