UYGULAMALI ISO 27001: GÖZDEN GEÇİRME VE İYİLEŞTİRME

ISO 27001 standardı ve buna bağlı sertifikasyon uygulanması, kamu ve özel kurumların talepleri doğrultusunda oldukça yaygınlaşmıştır. Ancak çeşitli vesilelerle yapılan gözlemlerde, pratik olarak standardın anlaşılması ve uygulanması ile ilgili ciddi bir problem olduğu görülmektedir. Bu durumda asıl amaç olan “bilgi güvenliği konusunda iyileştirme” amacına ulaşmaktan uzak kalınmaktadır.

Bu yazı dizisinde ISO 27001 mantığının anlaşılması ve fayda elde edilecek şekilde kurumlara ve diğer paydaşlara katkı sunmak hedeflenmektedir. Bu yazı özelinde ise, ISO 27001’in PUKÖ döngüsü adımlarına bağlı olarak anlaşılmasını sağlamak ve “ISO 27001 Planlama ve Hazırlık” kısmı için bilgilendirme yapmak hedeflenmektedir.

Serinin başlangıç aşamasından itibaren takip edilerek daha iyi anlaşılması için aşağıdaki yazıların okunması faydalı olacaktır.

yazılarının okunması faydalı olacaktır.

Standardın tam olarak hangi bölümleri gözden geçirme ve iyileştirme kısmına referans verir?

Bunun için bir önceki yazıda bahsettiğimiz PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsünü hatırlamak faydalı olacaktır. Gözden geçirme ve iyileştirme bu döngüde “Kontrol Et” ve “Önlem Al” kısımlarına denk gelmektedir.

Standart başlılarında ise aşağıdaki gibi eşleştirme yapmak uygun olacaktır.

Bölüm 9. Performans Değerlendirme – Gözden Geçirme Faaliyetleri
Bölüm 10. İyileştirme – İyileştirme Faaliyetleri

ISO 27001 kapsamında gözden geçirme için neler yapılabilir?

Gözden geçirme kapsamında yapılacak çalışmalar en temelde 3 başlık altında toplanabilir.

Performans ve etkinlik takibi
İç denetim
Yönetim gözden geçirme

Performans ve etkinlik takibinde ölçülen nedir?

Performans ve etkinlik takibi yapılırken tam olarak neyin ölçüleceği konusu kafa karışıklığına neden olabilir. Burada çoğu zaman sadece standardın 6. bölümünde ortaya koyan “bilgi güvenliği hedefleri” ölçülecek noktalar olarak dikkate alınabilir. Bu hedeflerin ölçülmesi çalışmanın bir kısmı olarak doğrudur.

Ancak ek olarak kurumun genel işleyişi ve iş hedefleri ile ilgili konulara BGYS’nin etkisi üzerinden maddeler belirleyerek onlar üzerinden de ölçüm yapmak sağlıklı olacaktır. Aşağıda bunun için bazı örnekler verilmiştir.

Kurumun iş hedeflerinden kaç tanesi BGYS uygulamasından pozitif yada negatif etkilenmiştir.
Kurum sorumlu olduğu regülasyonlardan aldığı uygunsuzluk sayısı BGYS öncesine göre nasıl değişmiştir.
Kurum müşterilerinin memnuniyet seviyesi BGYS öncesine göre nasıl değişmiştir.

Performans ve etkinlik arasındaki fark nedir?

Performans ölçümünde hedeflenen yada kıyaslanan noktanın üstüne çıkmak başarı sayılacaktır. Etkinlikte ise, bu performansa ulaşırken maliyet dahil diğer parametreler dikkate alındığında karlı bir noktada olunup olunmadığı kontrol edilir.

BGYS açısından bakılırsa bilgi güvenliği hedeflerine ulaşılması yüksek performans anlamına gelir. Ancak bunu yaparken kuruma yüksek bir maliyet çıkıyor veya kurum personelinin memnuniyetsizliği artıyorsa etkinlikte problem var demektir. Bu durumda süreçlerin tekrardan gözden geçirilmesi gerekmektedir.

İç denetim nedir?

Genel olarak iç denetim, kurumların uyguladıkları regülasyonlar için başarı durumlarını kendi iç kaynaklarınca denetlemeleridir.

ISO 27001 BGYS kapsamında da aynı şekilde iç denetçiler tarafından BGYS’nin kurum bünyesinde uygulanma durumu denetlenerek raporlanır.

İç denetim ne zaman yapılır?

İç denetimin yapılma zamanı BGYS kapsamında kurumun tanımladığı süreç esaslarına bağlıdır. Ancak yaygın olan uygulama yılda 2 kez yapılmasıdır?

İç denetim yapmanın bir standardı var mıdır?

iç denetim çalışmasının bağımsız kurumlar tarafından yapılan belgelendirme denetimlerinin bir simülasyonu olarak düşünmek gerekir. Standart kapsamında zorunlu bir atıf olmamakla beraber, bunun için “ISO 19011:2018 – Yönetim Sistemleri Tetkik Kılavuzu“ referans alınmalıdır.

Kimler iç denetim yapabilir?

ISO 27001 standardı kapsamında bunun için doğrudan bir referans olmamakla beraber denetçinin aşağıdaki vasıfları taşıması beklenir?

ISO 27001 standardına hakim olmak
İç denetim süreçlerine hakim olmak
İyi bir iletişim yeteneğine sahip olmak
Objektif ve kanıta dayalı sorgulama yetisine sahip olmak
Raporlama ve dokümantasyon konusundan yetkin olmak

İç denetçinin kurum personeli olması şart mıdır?

Doğal olarak iç denetçinin kurum personeli olması beklenir. Ancak denetçi vasfını taşıyacak personel bulunmazsa, kurum dışından da bir denetçi görevlendirilebilir.

İç denetçi birden fazla olabilir mi?

Aynı iç denetim süreci için birden fazla denetçi olabilir. Hatta bir kişi (Denetçi-1) iç denetçi olarak kurum için de bir birimi denetlerken, yine kurum içinden başka bir denetçi (Denetçi-2) ilk denetçinin sorumlu olduğu birimi denetleyebilir.

Yani bir iç denetim sürecinde aynı kişi hem denetçi hem de denetlenen durumunda olabilir.

İç denetim soruları nelerdir?

ISO 27001 için formal bir iç denetim soru listesinden bahsetmek mümkün değildir. Denetçiler standart içindeki başlıkları ve kontrol maddelerini dikkate alarak kendilerine özgü bir liste oluşturabilirler.

İç denetim sonunda da rapor hazırlanır mı?

Evet. İç denetim sonunda da formal bir rapor hazırlanması gerekir. Raporda olumlu ve olumsuz olarak sonuçlanan tüm kontrol maddeleri için kanıtların yer alması kritiktir.

İç denetim sonunda nasıl bir yaptırım uygulanabilir?

İç denetim sonrasında ortaya çıkan uygunsuzluklar için kurumun süreç dokümanlarında belirlenmiş sorumlular tarafından “düzeltici faaliyet kaydı” açılır ve takip edilir.

YGG toplantılarında iç denetim süreci ve bulunan uygunsuzluklar ayrıca değerlendirilir.

YGG nedir?

YGG (Yönetim Gözden Geçirmesi) ISO 27001’den bağımsız olarak kurumlarda üst yetkililerin uygulanan yönetim sistemini gözden geçirme sürecidir.

ISO 27001 kapsamında bu işlem genelde, kurum üst yönetim ve BGYS yöneticilerinin katıldığı bir toplantı ile gerçekleştirilir.

YGG yapılması şart mıdır? Ne kadar zamanda bir yapılmalıdır?

YGG yapılması standardın ana maddelerinden biri olarak şarttır. Zamanı için net bir referans yoktur. Ancak yaygın ve kabul edilebilir uygulama yılda 1 kez yapılmasıdır.

YGG gündem maddeleri nelerdir?

ISO 27001 kapsamında yapılacak YGG’nin minimum aşağıdaki gündem maddelerini içermesi beklenir.

Önceki yönetimin gözden geçirmelerinden gelen görevlerin durumu
Bilgi güvenliği yönetim sistemini ilgilendiren dış ve iç konulardaki değişiklikler
Aşağıdakiler deki gelişmeler dâhil bilgi güvenliği performansına dair geri bildirim
- Uygunsuzluklar ve düzeltici faaliyetler
- İzleme ve ölçme sonuçları
- Tetkik sonuçları
- Bilgi güvenliği amaçlarının yerine getirilmesi
İlgili taraflardan geri bildirimler
Risk değerlendirme sonuçları ve risk işleme planının durumu
Sürekli iyileştirme için fırsatlar

ISO 27001 kapsamında “iyileştirme” ne demektir?

İyileştirme faaliyetlerini kolayca anlayabilmek için 2 başlıkta düşünmek faydalı olacaktır.

Uygunsuzlukları giderme
Süreçleri iyileştirme

İlk madde kapsamında iç denetim, performans ölçümü gibi süreçlerde tespit edilen aksaklıkların düzeltilmesi için çalışma yapılır.

İkinci maddede ise bir uygunsuzluktan bağımsız olarak BGYS’sin daha iyiye gitmesi için ek faaliyetler gerçekleştir

Uygunsuzlukları giderirken nelere dikkat etmek gerekir?

Uygunsuzlukların informal ve kontrol dışı bir şekilde giderilmesi ISO 27001 açısından kabul edilen bir yöntem değildir.

Bu kapsamda;

Uygunsuzlukların çözümü için bir süreç tanımlı olması
Uygunsuzluğun ve çözüm adımlarının kayıt altına alınması
Sürecin tanımlanmış yönteme uygun işletilmesi

gerekir.

Uygunsuzluğun giderilme süreci ile ilgili daha detay bilgi için standarın 10.1 maddesinin incelenmesi faydalı olacaktır.

Sürekli iyileştirme faaliyetleri somut olarak neler olabilir?

Sürekli iyileştirme çalışmalarını belli maddeler ile kısıtlamak doğru değildir. Ancak aşağıdaki maddeler örnek olarak değerlendirilebilir.

BYGS dokümanlarının belli aralıklarla gözden geçirilmesi
Sızma testi ile kurum güvenlik seviyesinin gözlemlenmesi
Bilgi güvenliği risklerinin gözden geçirilmesi
Kurum personeline bilgi güvenliği alanında eğitimler aldırılmas