Tel: +90 536 721 61 52

UYGULAMALI ISO 27001: PLANLAMA ve HAZIRLIK

Ana SayfaISO 27001 UYGULAMALI ISO 27001: PLANLAMA ve HAZIRLIK
17 Ekim 2022 by BTUYUM ISO 27001
UYGULAMALI ISO 27001: PLANLAMA ve HAZIRLIK

ISO 27001 standardı ve buna bağlı sertifikasyon uygulanması,  kamu ve özel kurumların talepleri doğrultusunda oldukça yaygınlaşmıştır. Ancak çeşitli vesilelerde yapılan gözlemlerde, pratik olarak standardın anlaşılması ve uygulanması ile ilgili ciddi bir problem olduğu görülmektedir. Bu durumda asıl amaç olan “bilgi güvenliği konusunda iyileştirme” amacına ulaşmaktan uzak kalınmaktadır. 

Bu yazı dizisinde ISO 27001 mantığının anlaşılması ve fayda elde edilecek şekilde kurumlara ve diğer paydaşlara katkı sunmak hedeflenmektedir. Bu yazı özelinde ise, ISO 27001’in PUKÖ döngüsü adımlarına bağlı olarak anlaşılmasını sağlamak ve “ISO 27001 Planlama ve Hazırlık” kısmı için bilgilendirme yapmak hedeflenmektedir.

Serinin başlangıç aşamasından itibaren takip edilerek daha iyi anlaşılması için “ISO 27001’e Başlarken Bilinmesi Gerekenler” yazısının buradan erişilerek okunması faydalı olacaktır.

PUKÖ döngüsü nedir? ISO 27001’e nasıl uygulanır?

PUKÖ, kalite yönetim sistemlerinde Planlama/Uygulama/Kontrol Etme/Önlem Alma işlemlerinin kelimelerinin adım adım adım gerçekleştirilerek sonuca ulaşılmasını hedefleyen sistematik bir yaklaşımdır. Uluslararası literatürde “ Deming Cycle” olarak bilinip W. Edwards Deming’e atfedilir. İngilizce ifadelerle Plan-Do-Check-Act ifadelerle belirtilir.

Deming Cycle

ISO kapsamında ortaya konan yönetim sistemlerinin bu döngü baz alınarak işletilmesi beklenir.

ISO 27001’de bu kapsamda bir standart olduğundan PUKÖ döngüsüne göre işletilmesi beklenir. Ancak standart içeriğine bakıldığında bu adımlarla doğrudan bir eşleşme açıktan görülmemekte ve bu durum kafa karışıklığına neden olmaktadır.

Standart başlıklarına göre PUKÖ döngüsü işletildiğinde aşağıdaki diyagramda görüldüğü şekilde adımların dağıldığı gözlemlenebilir.

PUKÖ Döngüsünün ISO 27001 Üzerine Uyarlanması

Sonuç olarak kurumlar standart başlıklarını PUKÖ döngüsü için bu gruplamaya göre işleyebilir.

Bağlam nasıl tespit edilir, nereye yazılır?

Kuruluşun bağlamı”, tanımlanması görece kolay ve basit ama önemi kritik bir noktadır. 

Bağlam:

  • BGYS’yi başarmak için kuruluşun kabiliyetinin ortaya konması 
  • Kuruluşdan iç/dış paydaşların beklentilerinin netleştirilmesi
  • BGYS’nin uygulanmasının beklendiği kapsamın ortaya konması 

demektir. 

Dolayısıyla ISO 27001 ve BGYS kapsamında yapılacak tüm çalışmanın sınırları bu aşamada çizilmektedir.

Bu nedenle çoğunlukla üst yönetiminde dahil olduğu bir toplantı ile bağlama karar verilmeli ve bu bağlam BGYS El Kitabına eklenmelidir.

ISO 27001 kapsamında liderlik nedir? Nasıl ortaya konur?

Gerçekçi bir gözle bakıldığında kurumlardaki herhangi bir sürecin üst yönetim desteği olmadan ilerlemesi mümkün değildir. Bu nedenle ISO 27001 sürecinin başlangıç aşaması ve uygulamasında üst yönetimin “Liderlik” göstermesi şarttır.

Bunun gösterim şekli; BGYS çalışmalarının üst yönetimce duyurulması, atamaların yapılması, yapılan tüm faaliyetlerin, hazırlanan doküman ve kayıtların üst yönetim tarafından onaylanmasıdır.

Bilgi Güvenliği Politikası nedir? Hangi vasıfları taşır?

Bilgi güvenliği politikası kurumun BGYS’yi uygulama niyeti ve taahhüdünü içeren özet bir dokümandır.

En temelde aşağıdaki özellikleri taşıması beklenir:

  • Kuruluşun amacına uygun 
  • Bilgi güvenliği amaçlarını içeren 
  • Bilgi güvenliği şartlarının karşılanmasına dair bir taahhüt içeren 
  • BGYS’nin sürekli iyileştirilmesi için bir taahhüt içeren

Bir paragraf kadar kısa olabileceği gibi, birkaç sayfa uzunluğunda da olabilir. Yukarıdaki vasıfları taşıdıktan sonra detayı hazırlayan kurumun tercihidir.

Aşağıda her iki durum için bazı örnekler verilmiştir.

Politikayı internette yayınlamak şart mıdır?

Politikanın ilgili tüm paydaşlarla paylaşılması gerekir. Dolayısıyla internetten yayınlamak zorunludur denebilir.

BGSY için hangi roller zorunludur? Yönetim temsilcisi şart mıdır?

ISO 27001 standardının dayattığı “Yönetim Temsilcisi” ya da “BGYS Yöneticisi” gibi özel bir rol yoktur.

Öte yandan BGYS süreçlerini yönetecek belirli rollerin belirlenmesi ve atanması da şarttır. Bu roller kurumun büyüklüğüne göre 1, 2 veya daha fazla kişi olabilir. 

Örneğin orta ölçekli bir kurum için aşağıdaki roller uygun olabilir.

  • BGYS Yöneticisi : Genel olarak BGYS süreçlerini yönetir.
  • BGYS Yönetici Yardımcısı : BGYS Yöneticisine süreçlerin yönetilmesi, dokümanların ve kayıtların hazırlanmasında yardımcı olur.
  • BGYS Komitesi : BGYS ile ilgili kritik kararların alınmasında katkı veren birim yöneticilerinden oluşabilir. 
Risk analizi için hangi metodoloji takip edilmelidir?

Risk Yönetimi ISO 27001 kapsamında yapılacak en önemli faaliyet olarak gösterilebilir. Hatta ISO 27001 tek başına “kurumların bilgi güvenliği risklerini yönetmesi” olarak tanımlanabilir. Bununla beraber standardın risk yönetimi için dayattığı özel bir metodoloji yoktur. ISO 27005 standardı bir guide olarak kullanılabilir.

Bu durum güzel bir esneklik sağlamakla beraber, sürecin uygulanamsında birok kafa karışıklığını da beraberinde getirmektedir (ISO 27001 kapsamında Risk yönetimi konusunu başlı başına bir başlık olarak ele alan ayrı bir yazı hazırlanması planlanmaktadır) .

Risk analizi için hangi formül kullanılmalıdır?

ISO 27001 kapsamında yapılacak risk analizi için standardın dayattığı bir metodoloji olmadığı gibi bir hesaplama formülü de yoktur. Burada kurumlara önerilen, özellikle ilk sertifikasyon sürecinde mükemmele ulaşmak için karmaşıklığa saplanmamalarıdır. Etki ve olasılık temelli basit bir formül ile yetinmeleridir.

Varlık envanteri şart mıdır? Tek tek tüm bilgisayarlar listeye yazılmalı mıdır?

ISO 27001 kurumlar için bilgi güvenliği kapsamında varlıklarının çıkarılması ve bu envanterin güncelliğinin sağlanmasını şart koşmaktadır. Burada temel amaç kurumun riskerinin gözden kaçmasını engellemektir. 

Eğer kurum varlıklarının adedi çok fazla ise benzer değerde (gizlilik, bütünlük, erişilebilirlik açısından) olan varlıkların grup halinde takip edilmesi kabul edilebilir.

BGYS için hedef tespiti nedir? Hedef tespitinde neye dikkat etmelidir?

BGYS kapsamında kurumun ulaşmayı öngördüğü hedefler ortaya konmalı ve takip edilmelidir?

Hedefler, aşağıdaki özellikleri taşımalıdır.

  • Bilgi güvenliği politikası ile tutarlı olmalı,
  • Ölçülebilir olmalı 
  • Bilgi güvenliği ve risk değerlendirme sonuçlarını dikkate almalı
  • Duyurulmalı
  • Gerekli durumda güncellenmeli
ISO 27001 için zorunlu doküman listesi nereden bulunur?

ISO 27001 standardı genel anlamda uygulanacak süreçlerin dokümanlar ve kayıtlar ile yazılı hale getirmesini istemektedir. Ancak bu dokümanların hangi statüde ve isimde olması ile ilgili bir zorlama yoktur. Bu durum BGYS’yi uygulamak isteyen kurumlar nezdinde, zorunluluğun kapsamının anlaşılmasında kafa karışıklığı yapmaktadır.

Bunun atlatılması için kurumlar, hazırladıkları dokümanların adlarına değil içeriklerine odaklanmalıdır. Bunlara göre standardın ana maddelerinin e EK-A kontrol maddelerinin karşılanma durumları kontrol edilmelidir.

Doküman yönetimi için araç kullanmak zorunlu mudur? Hangi araçlar kullanılabilir?

Teorik olarak doküman yönetiminde bir araç kullanılması zorunlu değildir. Ancak sağlıklı ve pratik bir işleyiş için; ConflunceSVNAlfresco gibi doküman yönetim araçları veya genel olarak BGYS süreçlerini yönetecek yazılım araçları kullanmak faydalı olacaktır.

 

Related Posts

UYGULAMALI ISO 27001: GÖZDEN GEÇİRME VE İYİLEŞTİRME
17 Ekim 2022 ISO 27001

UYGULAMALI ISO 27001: GÖZDEN GEÇİRME VE İYİLEŞTİRME

UYGULAMALI ISO 27001: ISO 27001’E BAŞLARKEN BİLİNMESİ GEREKENLER
17 Ekim 2022 ISO 27001

UYGULAMALI ISO 27001: ISO 27001’E BAŞLARKEN BİLİNMESİ GEREKENLER

İçerikler 

 

BTUYUM

Bilgi Güvenliği ve buna bağlı “uyum süreçleri” konusunda danışmanlık, eğitim ve test hizmetleri sunmak amacıyla kurulmuş bir bilişim firmasıdır.

Linkedin-in

© 2022 — btuyum.com – Tüm Hakları Saklıdır