Bu yazımızda sizlere güncellenen bilgi güvenliği süreçleri konusunda bilgi vereceğiz.
İçindekiler
ISO/IEC 27001:2022 Nedir?
ISO/IEC 27001 BGYS (Bilgi Güvenliği Yönetimi Sistemi) temeline dayalı denetlenebilir bir uluslararası standarttır. Yani ISO 27001 belgesi, çeşitli kurum ve işletmelerin organizasyon yapılarına bilgi güvenliği yönetim sistemi inşa edebildiklerini gösteren uluslararası geçerliliği olan bir sertifikayı ifade eder.
ISO 27001 ile ilgili olarak daha önce bir çalışma veya hazırlık yapılması belgelendirme sürecinin daha verimli geçmesi için önemlidir. Eğer daha önce bir çalışma bulunmuyor ise ISO 27001 uyumlu BGYS (Bilgi Güvenlği Yönetim Sistemi) çalışmaları özenli bir çalışma gerektirir. Çalışma sonucunda kuruluşun elde edeceği BGYS uyumluluğu ISO 27001 belgelendirme çalışmasının temel taşını oluşturur.
ISO/IEC 27001:2022 İçerik Kapsamı
Kuruluş kültürüne ve teknik alt yapısına uygun, yeterli ve orantılı güvenlik denetimlerinin sağlanması amacı ile ve kişisel verilerin gizliliğine dikkat edilerek tasarlanan ISO/IEC 27001 standartları, ISO kuruluşu ve IEC (Uluslararası Elektroteknik Komisyonu) tarafından ortaklaşa hazırlanmıştır. Hazırlanan içerik kapsamına giren ana başlıklar;
- Uygun Bilgi ve İletişim Teknolojileri,
- Uygun Fiziki Alan ve Siber Güvenlik Teknikleri,
- Kişisel Veri Güvenliği Tedbirleri,
- Bilgi Güvenliği Yönetim Sistemi,
Bu 4 ana başlık doğrultusunda elde edilen gereksinimler kurumun bilgi güvenliği karakteristiğini ortaya çıkartır. Bu sebepten dolayı ISO/IEC 27001 denetim ve belgelendirme süreci her kurumun yapısına özel olarak gerçekleştirilmelidir.
Bilgi Güvenliği Yönetim Sistemi’nin Kurum Süreçlerine Uyarlanması
BGYS uyumluğunun sağlanmasından sonra sıra BGYS maddelerinin kurum süreçlerine uyarlanmasına gelir. Bu aşamada hem kuruluş üst yönetiminin, hem de çalışanların bilgilendirilmesi ve yapılması gerkenlerin tam olarak anlatılması gerekir. Aksi halde yapılan tüm çalışmalar kağıt üzerinde kalacağından, yasal ve düzenleyeci gerekliliklere uygulama seviyesinde uyumluluk sağlanamaz. Çalışanlar kuruluş işleyişlerini sürdürmek için efor harcarken, bilgi güvenliği çerçevesini uygulayabilmek için de ayrı efor harcamak zorunda kalır ve organizasyonel verimlilik düşer. Bir süre sonra da ISO 27001 belgelendirmesi sadece evrak işi olarak algılanmaya başlanır ve genel bilgi güvenliği için gerekli olacak operasyonel süreçler hayata geçirilemez.
Bunun sonucunda da karşılaşılabilecek yüksek miktardaki para cezaları ve idari cezalar kuruluş ticari hayatını olumsuz yönde etkileyebilir.
Denetim sonucunda geçerliliği onaylanan bilgi güvenliği yönetim sistemini kendi uygulamalarına adapte ederek süreklilik kazandıran firmalar periyodik denetimlerle işleyişin doğruluğunu da kontrol etmiş olur. Görüldüğü gibi amaç sadece veri güvenliği veya veriyi üçüncü kişilerin eline geçmekten korumak değildir. Amaç bilginin yetkisiz kişiler tarafından erişilerek eline geçirilmesini engellemek ve bilginin bozulmadan kalmasını sağlamaktır. Yani amaç bilgiyi yok olmaktan koruyabilmektir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetim Süreçleri
Uluslararası geçerliliği olan ISO/IEC 27001 Standart içeriği hazırlanırken en temel anlamda;
- ISO 27000 Bilgi Güvenliği Yönetim Sistemi’nden terimler ve tarifler standardı özellikleri,
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nden denetim uygulama standardı özellikleri,
- ISO 27002 Bilgi Güvenliği Kontrol Kavuzu’ndan uygulama standardı özellikleri,
- ISO 31000 Risk Yönetim Sistemi’nden risk analizi standardı özellikleri doğrultusunda denetim süreçleri tanımlanır.
ISO 27001 BGYS Belgelendirme Aşamaları
Belgelendirme çalışmaları yapılırken, dış kaynaklı danışmanlık veya iç kaynaklı yönetim çalışmaları kullanılabilir. Yapılan BGYS uygulamaları için;
- BGYS’nin kurulacağı kurumdaki yönetimin desteği alınır,
- Kurum proje takvimine BGYS projesi kaydettirilerek kaynak kullanımı tanımlanır,
- Kapsam tanımlanarak BGYS’nin kurum için özelleşmesi sağlanır,
- Bilgi güvenliği politikası hazırlanır ve dokümante edilir.,
- Risk değerlendirme metodolojisi tanımlanır,
- Risk değerlendirmesi yapılarak risk süreçleri çalıştırılır,
- Risk süreçleri için uygulanabilirlik beyanı hazırlanır ve dökümante edilir,
- Uygulanabilirlik beyanı doğrultusunda risk davranış planı dökümante edilir,
- Kontrollerin etkinliğinin nasıl ölçüleceği tanımlanır ve dökümante edilir,
- Bilgi güvenliği kontrolleri uygulanır,
- Bilgi güvenliği politikası ve kontrol süreçleri için eğitim ve farkındalık uygulamaları yapılır,
- Oluşturulan Bilgi Güvenliği Yönetim Sistemi hayata geçirilir,
- Belirli aralıklarla iç kontrol ve denetim süreçleri uygulanır ve sonuçları dökümante edilir,
- İç kontrol ve denetim raporları doğrultusunda iyileştirmeler yapılır.
Bilgi Güvenliği Yönetim Sistemi Proje Ekibi ve Proje Talimatı
Tüm bu süreçlerin sorunsuz ilerleyebilmesi için kuruluş içerisinde BGYS’nin uygulanmasını sağlamak ve yapılan işleri denetlemek için bir proje ekibi atamak gerekir. Oluşturulacak proje ekibi çok yönlü bir bilgi güvenliği bilgisine sahip olmalı ve proje lideri bu ekibe liderlik etme ve yöneticilerle doğrudan görüşebilme yetkisine sahip olmalıdır. Üst yönetim ekibi kendisi oluşturabileceği gibi proje liderinin kendi personelini seçmesine izin verebilir.
BGYS Proje Talimatı Nedir ?
Proje ekibi oluşturulduğunda oluşturulacak Proje Talimatı doğrultusunda süreç işlemeye başlar. Proje talimatı temel sorular ve cevaplar olarak ifade edilebilir;
- BGYS sürecine üst yönetimin desteği var mı?
- BGYS ile ne elde edilecek?
- BGYS süreci ne kadar sürecek?
- BGYS süreci ne kadara mal olacak?
BGYS Uygulama Planı
Proje Talimatı oluşturulduktan sonra Uygulama Planı geliştirilir. Uygulama Planı ile BGYS süreçleri tanımlanmaya başlanır. Bu aşamada proje ekibi bilgi güvenliği hedeflerini belirler, hdefler için planları oluşturur, kuruluş için risk tanımı yapılır. Risk kuruluş süreçleri ile doğrudan ilişkili olduğu için sürekli değişiklik gösterebilir. Burada önemli olanın riskin ne zaman ve hangi koşullarda değiştiğini gözlemleyebilmektir. Bu sebeple uygulama ekibi oluşturulurken kuruluş çalışanlarının dahil edilmesi önem teşkil eder.
Uygulama ekibinin oluşturulması ile birlikte BGYS hedefleri ayrıntılı bir şekilde oluşturulur, uygulanacak plan ayrıntılı hale getirilir ve risk tanımı ayrıntılı olarak yapılır. Bu süreçte proje ekibinin gerekli çalışmaları yapabilmesi için yetkilendirilmiş olması ve üst yönetimin desteği gereklidir.
BGYS hedefleri, uygulanacak plan ve risk tanımı yapıldıktan sonra kuruluş iş akışını oluşturulan görev ve sorumluluklar gözden geçirilerek BGYS uyumluluğu değerlendirilir. Görev ve sorumlulukların güncel tutulması ve sürekliliği için kurallar belirlenir. Hem çalışanların, hem tedarikçilerin hem de müşterilerin bilgi güvenliğine uyumlu davranabilmeleri için bilgilendirmeler ve iç eğitimler belirli aralıklarla yapılacak şekilde planlamaya alınır.
Proje ekibinin iç denetimleri ile tüm bu süreçler belirli aralıklarla değerlendirilerek kayıt altına alınır ve gerek duyulması halinde BGYS süreçleri güncellenir ve eğitimlerle güncellemeler ilgili kişilere aktarılır.
Görüldüğü gibi bilgi güvenliği süreçlerini uygulayacak proje ekibi önemlidir.
Bu sayede kuruluş içindeki “Bilgi Yönetimi”, “Risk Yönetimi”, “Kişisel Veri Yönetimi” ve “Bilgi Güvenliği Uygulamaları” kuruluşa uygun olarak gerçekleştirilebilir. Bu koşullar altında elde edilen ISO 27001 sertifikasıyla, kamuda ve özel sektörde faaliyet gösteren kurumların güvenli ve verimli bir bilgi yönetim sistemi kurduğu belgelenmiş olur.
Bu sebeple kuruluş yapısına özel olarak hazırlanması gereken bilgi güvenliği çerçevesinin;
- Tüm çalışanlara en kısa sürede anlatılması,
- Her bir çalışanın sürece katkı sağlayabilmesi için yapması gerekenler hakkında doğru bilgilendirilmesi,
- Çalışanların edindikleri bilgileri tecrübe edebilmeleri ve uygulayabilmeleri için gerekli tatbikatların yapılması,
- Tüm işleyişin kuruluş içerisinden konuya hakim kişi veya ekip tarafından sürürdülmesi önemlidir.
Bu sayede bilgi güvenliği süreçleri kuruluş işleyiş yapısıyla uyumlu bir hale gelmiş olur.