Sonuç olarak kurumlar standart başlıklarını PUKÖ döngüsü için bu gruplamaya göre işleyebilir.
Bağlam nasıl tespit edilir, nereye yazılır?
“Kuruluşun bağlamı”, tanımlanması görece kolay ve basit ama önemi kritik bir noktadır.
Bağlam:
- BGYS’yi başarmak için kuruluşun kabiliyetinin ortaya konması
- Kuruluşdan iç/dış paydaşların beklentilerinin netleştirilmesi
- BGYS’nin uygulanmasının beklendiği kapsamın ortaya konması
demektir.
Dolayısıyla ISO 27001 ve BGYS kapsamında yapılacak tüm çalışmanın sınırları bu aşamada çizilmektedir.
Bu nedenle çoğunlukla üst yönetiminde dahil olduğu bir toplantı ile bağlama karar verilmeli ve bu bağlam BGYS El Kitabına eklenmelidir.
ISO 27001 kapsamında liderlik nedir? Nasıl ortaya konur?
Gerçekçi bir gözle bakıldığında kurumlardaki herhangi bir sürecin üst yönetim desteği olmadan ilerlemesi mümkün değildir. Bu nedenle ISO 27001 sürecinin başlangıç aşaması ve uygulamasında üst yönetimin “Liderlik” göstermesi şarttır.
Bunun gösterim şekli; BGYS çalışmalarının üst yönetimce duyurulması, atamaların yapılması, yapılan tüm faaliyetlerin, hazırlanan doküman ve kayıtların üst yönetim tarafından onaylanmasıdır.
Bilgi Güvenliği Politikası nedir? Hangi vasıfları taşır?
Bilgi güvenliği politikası kurumun BGYS’yi uygulama niyeti ve taahhüdünü içeren özet bir dokümandır.
En temelde aşağıdaki özellikleri taşıması beklenir:
- Kuruluşun amacına uygun
- Bilgi güvenliği amaçlarını içeren
- Bilgi güvenliği şartlarının karşılanmasına dair bir taahhüt içeren
- BGYS’nin sürekli iyileştirilmesi için bir taahhüt içeren
Bir paragraf kadar kısa olabileceği gibi, birkaç sayfa uzunluğunda da olabilir. Yukarıdaki vasıfları taşıdıktan sonra detayı hazırlayan kurumun tercihidir.
Aşağıda her iki durum için bazı örnekler verilmiştir.
Politikayı internette yayınlamak şart mıdır?
Politikanın ilgili tüm paydaşlarla paylaşılması gerekir. Dolayısıyla internetten yayınlamak zorunludur denebilir.
BGSY için hangi roller zorunludur? Yönetim temsilcisi şart mıdır?
ISO 27001 standardının dayattığı “Yönetim Temsilcisi” ya da “BGYS Yöneticisi” gibi özel bir rol yoktur.
Öte yandan BGYS süreçlerini yönetecek belirli rollerin belirlenmesi ve atanması da şarttır. Bu roller kurumun büyüklüğüne göre 1, 2 veya daha fazla kişi olabilir.
Örneğin orta ölçekli bir kurum için aşağıdaki roller uygun olabilir.
- BGYS Yöneticisi : Genel olarak BGYS süreçlerini yönetir.
- BGYS Yönetici Yardımcısı : BGYS Yöneticisine süreçlerin yönetilmesi, dokümanların ve kayıtların hazırlanmasında yardımcı olur.
- BGYS Komitesi : BGYS ile ilgili kritik kararların alınmasında katkı veren birim yöneticilerinden oluşabilir.
Risk analizi için hangi metodoloji takip edilmelidir?
Risk Yönetimi ISO 27001 kapsamında yapılacak en önemli faaliyet olarak gösterilebilir. Hatta ISO 27001 tek başına “kurumların bilgi güvenliği risklerini yönetmesi” olarak tanımlanabilir. Bununla beraber standardın risk yönetimi için dayattığı özel bir metodoloji yoktur. ISO 27005 standardı bir guide olarak kullanılabilir.
Bu durum güzel bir esneklik sağlamakla beraber, sürecin uygulanamsında birok kafa karışıklığını da beraberinde getirmektedir (ISO 27001 kapsamında Risk yönetimi konusunu başlı başına bir başlık olarak ele alan ayrı bir yazı hazırlanması planlanmaktadır) .
Risk analizi için hangi formül kullanılmalıdır?
ISO 27001 kapsamında yapılacak risk analizi için standardın dayattığı bir metodoloji olmadığı gibi bir hesaplama formülü de yoktur. Burada kurumlara önerilen, özellikle ilk sertifikasyon sürecinde mükemmele ulaşmak için karmaşıklığa saplanmamalarıdır. Etki ve olasılık temelli basit bir formül ile yetinmeleridir.
Varlık envanteri şart mıdır? Tek tek tüm bilgisayarlar listeye yazılmalı mıdır?
ISO 27001 kurumlar için bilgi güvenliği kapsamında varlıklarının çıkarılması ve bu envanterin güncelliğinin sağlanmasını şart koşmaktadır. Burada temel amaç kurumun riskerinin gözden kaçmasını engellemektir.
Eğer kurum varlıklarının adedi çok fazla ise benzer değerde (gizlilik, bütünlük, erişilebilirlik açısından) olan varlıkların grup halinde takip edilmesi kabul edilebilir.
BGYS için hedef tespiti nedir? Hedef tespitinde neye dikkat etmelidir?
BGYS kapsamında kurumun ulaşmayı öngördüğü hedefler ortaya konmalı ve takip edilmelidir?
Hedefler, aşağıdaki özellikleri taşımalıdır.
- Bilgi güvenliği politikası ile tutarlı olmalı,
- Ölçülebilir olmalı
- Bilgi güvenliği ve risk değerlendirme sonuçlarını dikkate almalı
- Duyurulmalı
- Gerekli durumda güncellenmeli
ISO 27001 için zorunlu doküman listesi nereden bulunur?
ISO 27001 standardı genel anlamda uygulanacak süreçlerin dokümanlar ve kayıtlar ile yazılı hale getirmesini istemektedir. Ancak bu dokümanların hangi statüde ve isimde olması ile ilgili bir zorlama yoktur. Bu durum BGYS’yi uygulamak isteyen kurumlar nezdinde, zorunluluğun kapsamının anlaşılmasında kafa karışıklığı yapmaktadır.
Bunun atlatılması için kurumlar, hazırladıkları dokümanların adlarına değil içeriklerine odaklanmalıdır. Bunlara göre standardın ana maddelerinin e EK-A kontrol maddelerinin karşılanma durumları kontrol edilmelidir.
Doküman yönetimi için araç kullanmak zorunlu mudur? Hangi araçlar kullanılabilir?
Teorik olarak doküman yönetiminde bir araç kullanılması zorunlu değildir. Ancak sağlıklı ve pratik bir işleyiş için; Conflunce, SVN, Alfresco gibi doküman yönetim araçları veya genel olarak BGYS süreçlerini yönetecek yazılım araçları kullanmak faydalı olacaktır.