SepetimGündem: ISO 27001 nedir?
Çeşitli endüstrilere yönelik standartlar üreten Uluslararası Standartlar Organizasyonu´nun (ISO) olarak adlandırılmaktadır.
ISO 27001, özellikle bilgi güvenliği yönetim sistemlerine (ISMS) yöneliktir ve uluslararası alanda tanınmaktadır ve ISO tarafından yayınlanmaktadır.
ISO 27001:2022 Standardı, kuruluşların bilgi güvenliğini nasıl yönettikleri, verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini nasıl korudukları konusunda sistem kurmalarına ve bu sistemi de sertifikalandırılmasına odaklanmaktadır. Firmaların bilgi güvenliği yönetim sisteminde ;yasal mevzuatlara, sözleşmelere uyduktan sonra standartlara da uyum göstermesi gerekmektedir.
Neden ISO 27001?
Bir güvenlik riski yönetimi programı oluşturur: Günümüzün en değerli hazinesi olan bilginin korunması, İhlallerin (iletilen, depolanan veya başka bir şekilde işlenen korunan bilgilerin istenmeyen şekilde yok edilmesine, kaybolmasına, değiştirilmesine, ifşa edilmesine veya bunlara erişilmesine yol açan bilgi güvenliğinden taviz verilmesi ) ve veri kaybının önlenmesine yardımcı olur.
Durum tespitini dengeler: Sertifikalı kuruluşlar, müşterilerine ve paydaşlarına ISO sertifikası sunabilir, bu da müşteri güvenliği anketlerine harcanan zamanı azaltabilir.
Rekabet avantajı: Veri güvenliğinin giderek artan bir endişe haline gelmesiyle birlikte ISO sertifikası, şirketlerin müşteriler nezdinde ve pazarda avantajlı bir şekilde konumlandırılmasına yardımcı olabilir.
ISO 27001:2022 Standart Süreçleri;
Danışmanlık Şirketleri: Kuruluşların boşlukları değerlendirmesine, risk değerlendirmeleri yapmasına ve BGYS´yi oluşturmasına yardımcı olmaktadır. Standartlara uyum kısmının geliştirilmesinde sizler de firma olarak hazırlanabileceğiniz gibi dışardan biz gibi alanında uzman kuruluşlardan da destek alabilirsiniz.
Sertifikasyon( Denetim) Kuruluşları: Denetimi gerçekleştirip ve ISO 27001 sertifikasını yayınlayan kuruluştur. Denetimler yerinde gerçekleştirilip dokümantasyon ve teknik kontroller şeklinde ilerlemektedir.
Akreditasyon Kuruluşları ise: Denetim firmalarının denetimlerini uygun şekilde yürütülmesini sağlayarak belgelendirme kuruluşlarını denetlemektedir.
ISO 27001’in Dağılımı:
Madde 4-10: Yönetişime, BGYS için bir bağlam oluşturmaya, liderliğin katılımına, risk değerlendirmelerine ve sürekli iyileştirmeye odaklanır.
ISO 27001 Uyumluluğuna İlişkin Adımlar
ISO 27001:2022 Standardı iki bölümden oluşmaktadır bunlar aşağıdaki gibidir;
ISO 27001:2022 Standardı Madde 4-10: Yönetişim ve risk yönetimini içeren BGYS´nin özü.
Ek A: Erişim yönetimi, varlık yönetimi, kriptografi, olay yönetimi ve daha fazlasıyla ilgili 114 güvenlik kontrolünü içerir.
Sertifikasyon kuruluşları, Madde 4-10´a ve Ek A´daki ilgili kontrollere uygunluğu denetler.
Madde 4: Kuruluşun Bağlamı – Bilgi güvenliğinin kapsamını, paydaşlarını ve iş gereksinimlerini tanımlamaktadır.
ISO 27001:2022 standardında kuruluşun bağlamı (Clause 4: Context of the Organization), bir organizasyonun bilgi güvenliği yönetim sistemini (BGYS) etkileyen iç ve dış unsurların tanımlanmasını ve anlaşılmasını ifade eder. Bu madde, organizasyonların kendi bağlamlarını ve çevresel şartlarını göz önünde bulundurarak BGYS’yi etkili bir şekilde kurmalarını sağlar.
Kuruluşun Bağlamı Nedir?
Kuruluşun bağlamı, bir organizasyonun faaliyet gösterdiği çevreyi ve bu çevredeki ilgili tarafların beklentilerini anlama sürecidir. Bu süreç, organizasyonun bilgi güvenliği ile ilgili hedefleri üzerinde etkisi olan hem iç hem de dış faktörleri kapsar. Bu bağlamda, organizasyonlar aşağıdaki adımları izleyerek bağlamlarını belirler:
• Yasal ve Düzenleyici Gereksinimler: İlgili yerel ve uluslararası yasal düzenlemeler, sektör standartları.
• Teknolojik Değişiklikler: Yeni teknolojiler ve bu teknolojilerin bilgi güvenliği risklerine etkisi.
• Ekonomik Durum: Ekonomik şartların iş süreçlerine ve bilgi güvenliğine etkisi.
• Rekabet Ortamı: Rakipler ve sektör dinamiklerinin bilgi güvenliği ihtiyaçları üzerindeki etkisi.
• Sosyal ve Kültürel Faktörler: Çalışanlar ve müşterilerle ilgili kültürel ve sosyal faktörler.
Bir finansal kuruluş, GDPR gibi veri gizliliği düzenlemelerine uymak zorundadır ve bunun dış bağlamını şekillendirir. Ayrıca, küresel ekonomik krizler gibi finansal faktörler de kuruluşun bilgi güvenliği stratejilerini etkileyebilir.
İç Bağlam:
İç bağlam, organizasyonun kendi yapısı, yönetim sistemi, iş süreçleri, çalışanları ve kültürel değerleri gibi içsel faktörleri kapsar. Organizasyonun bilgi güvenliği yönetimi üzerindeki iç etkileri anlamak için bu faktörler değerlendirilir.
Organizasyon Yapısı: Şirketin yönetim hiyerarşisi, iç organizasyon yapısı.
Bilgi ve Varlıklar: Hangi bilgi varlıklarının koruma altında olması gerektiği.
İş Hedefleri: Şirketin stratejik ve operasyonel hedefleri.
Kültür ve İş Gücü: Çalışanların bilgi güvenliğine yönelik farkındalığı ve eğitimi.
Mevcut Güvenlik Önlemleri: Şu an kullanılan teknoloji, yazılımlar ve fiziksel güvenlik önlemleri.
Örnek:
Bir yazılım şirketi, tüm yazılım geliştirme süreçlerinde bilgi güvenliği kontrolleri uygulamak isteyebilir. Aynı zamanda, şirketin iç politikaları, personelin bilgi güvenliği konusunda eğitim almasını ve farkındalık düzeylerinin yüksek tutulmasını gerektirebilir.
MADDE 5 LİDERLİK
5.1 LİDERLİK VE BAĞLILIK
Madde 5: Liderlik – Üst yönetime (C düzeyindeki yöneticiler, CISO´lar) sorumluluk vermektedir.
Üst Yönetimin Taahhüdü (Clause 5.1)
Üst yönetimin, bilgi güvenliği yönetim sisteminin etkin bir şekilde uygulanması ve sürekli iyileştirilmesi için aktif olarak destek vermesi beklenir. Bu taahhüt, yönetimin bilgi güvenliği kültürünü geliştirmesini ve bu kültürün organizasyon genelinde yayılmasını sağlar.
Üst Yönetimin Taahhüdü Şu Şekilde Olmalıdır:
Bilgi Güvenliği Politikalarının Oluşturulması ve Yayılması: Yönetim, organizasyon genelinde uygulanacak bilgi güvenliği politikalarını belirler ve bu politikaların tüm ilgili taraflarca anlaşılmasını sağlar.
Kaynak Sağlama: BGYS’nin başarılı olabilmesi için gerekli kaynakların (personel, bütçe, teknolojik altyapı vb.) sağlanmasını güvence altına alır.
Bilgi Güvenliği Hedeflerinin Belirlenmesi: Üst yönetim, organizasyonun genel hedefleriyle uyumlu bilgi güvenliği hedeflerini belirler ve bu hedeflerin performansının izlenmesini sağlar.
Bu süreçte bilgi güvenliği hedeflerini takip ve performans ölçümünün yapılması istenmektedir.
Sürekli İyileştirme Taahhüdü: Üst yönetim, BGYS´nin sürekli iyileştirilmesi için aktif olarak çaba göstermeli ve denetim sonuçlarına dayalı düzeltici önlemlerin alınmasını teşvik etmelidir.
Bir organizasyonun süreçlerini, ürünlerini veya hizmetlerini sürekli olarak geliştirme yaklaşımıdır. Bu felsefe, hem küçük hem büyük çaplı iyileştirmeleri içerir ve kaliteyi, verimliliği ve müşteri memnuniyetini artırmayı amaçlar.
Risk Yönetimi: Bilgi güvenliği risklerinin etkili bir şekilde değerlendirilmesi ve yönetilmesi için üst yönetim liderlik etmeli ve risk işleme stratejilerini desteklemelidir.
Örnek:
Bir finans kuruluşunda üst yönetim, bilgi güvenliği politikasının oluşturulması için özel bir komite kurarak, risk yönetimi süreçlerinin sürekli gözden geçirilmesini sağlar. Ayrıca, BGYS´yi sürdürebilmek için gereken kaynakların bütçelenmesini ve performansın izlenmesini sağlar.
5.2 POLİTİKA
Bilgi Güvenliği Politikası (Clause 5.2)
Üst yönetimin, organizasyonun bilgi güvenliği politikasını tanımlaması ve bu politikanın organizasyon genelinde yaygınlaştırılması gerekir. Bu politika, bilgi güvenliği hedeflerini desteklemeli ve organizasyonun stratejik amaçlarıyla uyumlu olmalıdır.
Bilgi Güvenliği Politikasında Dikkat Edilmesi Gerekenler:
Uygunluk: Politika, ISO 27001 standardının gereksinimlerine uygun olmalıdır. Sonuçta kurulan sistem ISO 27001 olduğu için standart ve taahhüt paralel olmalıdır.
İş Hedefleriyle Uyum: Bilgi güvenliği politikası, organizasyonun iş hedeflerine uygun olmalı ve bilgi güvenliği hedeflerinin iş stratejisine katkıda bulunmasını sağlamalıdır.
İletişim: Politika, tüm çalışanlar ve ilgili taraflar tarafından anlaşılmalı ve erişilebilir olmalıdır.
Gözden Geçirme: Politika, periyodik olarak gözden geçirilmeli ve gerekirse güncellenmelidir.
Örnek:
Bir teknoloji firması, bilgi güvenliği politikasını, çalışanlarının güvenlik farkındalığını artırmak için eğitim programları ile destekler. Politikanın her yıl gözden geçirilmesi ve yenilikler doğrultusunda güncellenmesi sağlanır.
MADDE 5.3 KURUMSAL ROLLER SORUMLULUKLAR VE YETKİLER
Roller, Sorumluluklar ve Yetkiler (Clause 5.3)
Üst yönetim, BGYS’nin etkin işleyebilmesi için organizasyon içindeki rollerin, sorumlulukların ve yetkilerin net bir şekilde tanımlanmasını sağlar. Bu, bilgi güvenliği görevlerinin kimler tarafından yerine getirileceğinin açıkça belirlenmesini içerir.
Bu Kapsamda Yönetimin Sorumlulukları Şunlardır:
BGYS’nin Sorumlusu: Üst yönetim, BGYS’nin işleyişinden sorumlu olacak bir kişi veya ekip atamalıdır. Bu kişi veya ekip, BGYS’nin performansını izler ve raporlar.
Tüm Çalışanlar İçin Bilgi Güvenliği Sorumlulukları: Bilgi güvenliği sorumlulukları tüm organizasyon genelinde yaygınlaştırılmalı ve tüm çalışanlar bilgi güvenliği süreçlerinde kendi rollerini ve sorumluluklarını anlamalıdır. Firma kapsamında tüm çalışanların bilgi güvenliği farkındalığı sağlanmalıdır.
Denetim ve Gözden Geçirme: BGYS’nin etkinliğini denetleyecek ve gerektiğinde müdahale edecek mekanizmaların kurulması yönetimin sorumluluğundadır.
Örnek:
Bir üretim firmasında, üst yönetim bir Bilgi Güvenliği Yöneticisi atar ve bu yönetici, bilgi güvenliği süreçlerini yönetmekten ve çalışanların sorumluluklarını belirlemekten sorumlu olur. Ayrıca, firmanın en önemli risk hususlarından güvenlik ihlalleri durumunda hızlı müdahale süreçleri geliştirir.
BGYS’nin Gözden Geçirilmesi (Clause 9 ve 10 ile İlgili Bağlantı)
Üst yönetimin, BGYS’yi düzenli olarak gözden geçirmesi ve iyileştirme fırsatlarını değerlendirmesi gerekir. Bu gözden geçirmeler, sistemin etkinliğini ve organizasyonun bilgi güvenliği hedeflerine ulaşıp ulaşmadığını analiz eder. Standart bize bu konuda girdileri ve ulaşmamız gereken çıktıları vermiştir. ISO 27001 standardında ve ilerleyen kısımlarda YGG göreceksiniz. Firmalardan bu konuda YGG prosedürü yazılması istenmektedir. Ve prosedüre bağlı olarak da toplantı tutanaklarını oluşturmalarını ve kayıt olarak muhafazısını sağlaması istenmektedir.
Üst Yönetimin Gözden Geçirme Faaliyetleri:
Yönetim Gözden Geçirme Toplantıları: Üst yönetim, BGYS´nin performansını düzenli olarak gözden geçirir ve risk değerlendirmelerini analiz eder.
Denetim Sonuçlarının Değerlendirilmesi: İç ve dış denetimlerin sonuçları üst yönetim tarafından analiz edilerek, düzeltici faaliyetlerin planlanması sağlanır.
İyileştirme Fırsatlarının Belirlenmesi: Üst yönetim, iyileştirme fırsatlarını değerlendirir ve BGYS’nin sürekli gelişimi için stratejik kararlar alır.
ISO 27001:2022´de liderlik, üst yönetimin BGYS´nin başarısı için stratejik ve operasyonel düzeyde aktif rol almasını gerektirir. Üst yönetim, bilgi güvenliği politikalarını belirler, kaynakları sağlar, riskleri yönetir ve bilgi güvenliği hedeflerine ulaşılmasını güvence altına alır. Aynı zamanda, organizasyon genelinde bilgi güvenliği bilincini artırmak ve sistemin sürekli iyileştirilmesini sağlamak için gerekli sorumlulukları üstlenir.
Madde 6: Planlama – Risk değerlendirmeleri yapın ve iş hedefleriyle uyumlu güvenlik hedefleri belirleyin ve kayıtlarını muhafaza edin.
SO 27001:2022 standardında planlama (Clause 6: Planning), bir organizasyonun Bilgi Güvenliği Yönetim Sistemi´ni (BGYS) oluştururken ve sürdürülebilir kılarken, bilgi güvenliği hedeflerini belirlemek ve bilgi güvenliği risklerini yönetmek için gerekli adımları içerir. Planlama, riske dayalı düşünme ile hedeflerin belirlenmesini ve risklerin yönetilmesini vurgular.
Planlama (Clause 6) Kapsamı
ISO 27001:2022’de planlama bölümü, şu alt başlıklar altında ele alınır:
1. Risk ve Fırsatlar İçin Eylemler (Clause 6.1)
6.1.1 Genel
Bu madde, organizasyonların bilgi güvenliği ile ilgili risk ve fırsatları belirlemesi ve bunlara uygun eylem planları geliştirmesi gerektiğini belirtir. Buradaki amaç, BGYS´nin istenen sonuçları elde etmesini sağlamak, olası olumsuz etkileri önlemek ve sürekli iyileştirme fırsatlarını değerlendirmektir.
Risk ve Fırsatlar İçin Planlama Şu Adımları İçerir:
Riskleri Belirleme: Bilgi güvenliğini etkileyebilecek risklerin belirlenmesi (örneğin veri sızıntıları, saldırılar, insan hataları).
Fırsatları Belirleme: Güvenlik süreçlerinin iyileştirilmesine yönelik fırsatların değerlendirilmesi (örneğin yeni teknolojilerin kullanılması).
Risk Tedbirleri: Riskleri azaltmak veya ortadan kaldırmak için alınacak önlemlerin belirlenmesi.
Fırsatları Değerlendirme: Fırsatların organizasyon için değer katacak şekilde nasıl kullanılabileceği.
Örnek:
Bir e-ticaret firması, siber saldırı tehdidi nedeniyle müşteri verilerinin çalınma riskini belirleyebilir. Bu riski azaltmak için veri şifreleme ve güvenlik duvarı sistemlerini geliştirebilir. Aynı zamanda, müşterilerine güvenli ödeme yöntemleri sunma fırsatını değerlendirerek rekabet avantajı sağlayabilir.
Madde 6.1.2
2. Bilgi Güvenliği Risk Değerlendirmesi (Clause 6.1.2)
ISO 27001:2022, bilgi güvenliği risklerinin yönetilmesi için bir risk değerlendirme sürecinin uygulanmasını zorunlu kılmaktadır. Bu süreç, BGYS´nin merkezindedir ve bilgi varlıklarının korunmasına yönelik bir strateji oluşturulmasını sağlamaktadır.
Bilgi Güvenliği Risk Değerlendirme Süreci:
Risk Değerlendirme Kriterlerinin Belirlenmesi: Risklerin nasıl değerlendirileceğini ve hangi ölçütlere göre önceliklendirileceğini belirlemek. Riskler genellikle etki ve olasılığa göre değerlendirilmelidir.
Risklerin Belirlenmesi: Organizasyonun karşılaşabileceği bilgi güvenliği risklerinin belirlenmesi. Örneğin, yetkisiz erişim, veri kaybı, siber saldırılar gibi
Risklerin Analiz Edilmesi: Risklerin olasılık ve potansiyel etkileri açısından değerlendirilmesi.
Risklerin Değerlendirilmesi: Risklerin kabul edilebilir olup olmadığına karar vermek ve hangi risklerin tedbir gerektirdiğini belirlemek.
Örnek:
Bir bankada, müşteri verilerine yetkisiz erişim riski, potansiyel bir güvenlik açığı olarak değerlendirilir. Bu riskin olasılığı ve olası etkisi analiz edildikten sonra, öncelikli olarak tedbir alınması gereken bir risk olduğu tespit edilebilir.
Madde 6.1.3
3. Bilgi Güvenliği Risk İşleme (Clause 6.1.3)
Risk değerlendirmesinden sonra, belirlenen risklerin nasıl yönetileceğine dair bir plan oluşturulmalıdır. Bu plan, risklerin kabul edilmesi, azaltılması, transfer edilmesi veya tamamen ortadan kaldırılması ile ilgili eylemleri içerir.
Risk İşleme Yaklaşımları:
Risklerin Azaltılması: Riskin etkisini veya olasılığını azaltacak kontrol önlemleri uygulamak (örneğin, güvenlik duvarı ve şifreleme gibi teknolojik çözümler).
Risklerin Kabul Edilmesi: Bazı risklerin kabul edilebilir seviyede olduğu değerlendirilmeli ve bunlar yönetim tarafından kabul edilmelidir.
Risklerin Transfer Edilmesi: Bazı riskler sigorta gibi yollarla transfer edilebilir (örneğin, siber sigorta satın almak).
Risklerin Ortadan Kaldırılması: Riskin tamamen ortadan kaldırılması için belirli süreçlerin değiştirilmesi veya durdurulması (örneğin, eski bir yazılımın kullanımının durdurulması).
Risk İşleme Planı:
Kontrollerin Seçilmesi: ISO 27001 Annex A’da yer alan kontrollerden uygun olanlar seçilir ve bu kontroller risklerin yönetilmesinde uygulanır.
Uygulama ve İzleme: Seçilen kontroller uygulanır ve etkinliği izlenir.
Örnek:
Bir sağlık hizmeti sağlayıcısı, hasta bilgilerini korumak için veri şifreleme, güvenli yedekleme ve erişim kontrolü uygulamaları ile riski azaltmayı seçebilir.
Madde 6.2
4. Bilgi Güvenliği Hedefleri ve Planlama (Clause 6.2)
Bu madde, organizasyonların bilgi güvenliği hedeflerini belirlemesini ve bu hedeflere ulaşmak için gerekli planlamayı yapmasını gerektirir.
Bilgi Güvenliği Hedeflerinin Belirlenmesi:
Ölçülebilir Olmalıdır: Hedefler ölçülebilir, ulaşılabilir ve bilgi güvenliği politikasına uygun olmalıdır.
İş Hedefleriyle Uyumlu Olmalıdır: Bilgi güvenliği hedefleri, organizasyonun genel iş stratejisi ile uyumlu olmalıdır.
Sorumluluklar ve Zaman Çizelgesi: Hedeflere ulaşmak için kimlerin sorumlu olduğu ve hangi zaman diliminde gerçekleştirilmesi gerektiği net bir şekilde tanımlanmalıdır.
Planlama:
Kaynaklar: Hedeflere ulaşmak için gerekli olan kaynaklar (personel, teknoloji, bütçe) belirlenmelidir.
İzleme: Hedeflerin ne sıklıkla izleneceği ve değerlendirileceği belirlenmelidir.
Örnek:
Bir telekomünikasyon şirketi, yıl sonuna kadar tüm müşteri verilerinin %100 şifrelenmesini hedef olarak belirleyebilir. Bu hedefe ulaşmak için IT ekibi, veri şifreleme teknolojilerini uygulamakla sorumlu tutulabilir.
Madde 6.3
Değişikliklerin Planlanması (Clause 6.3)
Organizasyonun bilgi güvenliği yönetim sistemi üzerindeki değişiklikleri planlaması gereklidir. Bu, planlanan değişikliklerin bilgi güvenliği hedeflerine etkisini değerlendirir ve risklerin minimize edilmesini sağlar.
Değişikliklerin Planlanmasında Dikkat Edilmesi Gerekenler:
Risk Analizi: Herhangi bir değişikliğin getireceği yeni risklerin değerlendirilmesi.
İlgili Tarafların Bilgilendirilmesi: Değişikliklerin etkileyebileceği tarafların bilgilendirilmesi ve süreçlere dahil edilmesi.
Kontrollerin Yeniden Gözden Geçirilmesi: Mevcut kontrollerin yeterliliğinin kontrol edilmesi ve gerekirse yeni kontrollerin eklenmesi.
Örnek:
Bir üretim şirketi, bulut tabanlı bir ERP sistemine geçiş yapmayı planlıyorsa, bu geçiş sırasında olası güvenlik açıklarını değerlendirmeli ve yeni riskleri yönetmek için planlama yapmalıdır.
Sonuç:
ISO 27001:2022´de planlama, bilgi güvenliği yönetim sisteminin etkin bir şekilde kurulması, sürdürülmesi ve iyileştirilmesi için kritik bir aşamadır. Bu süreçte risklerin belirlenmesi, işlenmesi ve hedeflerin planlanması, organizasyonun bilgi güvenliği yönetimini sürekli geliştirmesine yardımcı olur. Planlama, bir organizasyonun risklerini kontrol altında tutarak bilgi güvenliği hedeflerine ulaşmasını sağlar.
Madde 7: Destek – Gerekli kaynakların (personel, bütçe, zaman) ve belgelerin mevcut olduğundan emin olun.
Kaynak Yönetimi (Clause 7: Support)
ISO 27001:2022’de kaynak yönetimi (Clause 7), BGYS’nin uygulanması, sürdürülmesi ve iyileştirilmesi için gerekli olan kaynakların sağlanmasını ve yönetilmesini kapsar. Bu kaynaklar, insan kaynakları, teknoloji, finansal kaynaklar ve bilgi güvenliği konusunda uzmanlık içerir.
Madde 7.1
a) Kaynakların Sağlanması (Clause 7.1)
BGYS’nin etkinliği için gerekli olan kaynaklar tanımlanmalı ve sağlanmalıdır. Bu kaynaklar şunları kapsar:
Personel: Bilgi güvenliği sorumluluklarını yerine getirecek yeterli sayıda ve yetkinlikte personel.
Teknoloji: Güvenlik araçları, yazılımlar, donanım ve diğer teknolojik altyapılar.
Finansal Kaynaklar: Bilgi güvenliği faaliyetlerini destekleyecek bütçeler.
Uzmanlık ve Danışmanlık: Gerekli durumlarda bilgi güvenliği uzmanları veya dış danışmanlık hizmetleri.
Madde 7.2
b) Yetkinlik (Clause 7.2)
Bilgi güvenliği görevlerini yerine getiren personelin yetkinliği, bilgi güvenliği hedeflerine ulaşmak açısından çok önemlidir. Bu kapsamda:
Yetkinlik gereksinimleri belirlenir.
Personelin bilgi güvenliği farkındalığı artırılır ve eğitimler sağlanır.
Eğitim programları, çalışanların teknik ve yönetimsel becerilerini geliştirmeye odaklanmalıdır.
c) Farkındalık (Clause 7.3)
Çalışanların, organizasyonun bilgi güvenliği politikalarına ve süreçlerine dair farkındalık sahibi olması gerekmektedir. Bu amaçla:
Tüm çalışanlar, bilgi güvenliği gereksinimleri ve sorumlulukları hakkında bilgilendirilmelidir.
Çalışanlara, bilgi güvenliği süreçlerine nasıl katkıda bulunacaklarına dair eğitim verilmelidir.
Madde 7.4
d) İletişim (Clause 7.4)
Bilgi güvenliği ile ilgili iç ve dış iletişim süreçleri etkin olmalıdır. Bu, doğru bilginin doğru kişilere, doğru zamanda ve güvenli bir şekilde iletilmesini içerir:
Kimler ile iletişim kurulacak?
Ne zaman iletişim kurulacak?
Nasıl iletişim sağlanacak (e-posta, raporlar, toplantılar vb.)?
Madde 7.5 Dokümante Edilmiş Yazılı Bilgi
e) Belgelerin Kontrolü (Clause 7.5)
Bilgi güvenliği yönetim sistemi dokümantasyonu doğru bir şekilde oluşturulmalı ve korunmalıdır. Bu, tüm politika, prosedür ve kayıtların güncel ve erişilebilir olmasını gerektirir:
Belgeler uygun şekilde saklanmalı, güncellenmeli ve denetim izleri korunmalıdır, muhafazası sağlanmalıdır.
Bilgi güvenliği ile ilgili belgeler ve kayıtlar doğru kişiler tarafından erişilebilir olmalıdır..
ISO 27001:2022’de planlama, risklerin ve fırsatların değerlendirilmesi, bilgi güvenliği hedeflerinin belirlenmesi ve bu hedeflere ulaşmak için gerekli eylem planlarının oluşturulmasını kapsar. Kaynak yönetimi ise BGYS’nin etkin şekilde çalışabilmesi için gerekli olan personel, finansal kaynaklar, teknolojik altyapılar ve yetkinliklerin sağlanması, yönetilmesi ve korunmasını içerir. Kaynak yönetimi, bilgi güvenliği hedeflerine ulaşmak için gereken yetkinliklerin geliştirilmesini ve iletişim süreçlerinin etkin olmasını da kapsar.
Madde 8 İşletim
Madde 8: Operasyon – Güvenlik önlemlerini operasyonel hale getiren Madde 6´da tanımlanan planları uygulayın.
ISO 27001:2022 standardında operasyon (Clause 8: Operation), bir kuruluşun Bilgi Güvenliği Yönetim Sistemi´ni (BGYS) kurduktan sonra risk değerlendirmesi, risk işleme ve bilgi güvenliği kontrollerinin uygulanması aşamasını kapsar. Bu madde, bilgi güvenliği süreçlerinin günlük işleyişte nasıl yürütüleceğini ve yönetileceğini ele alır.
8.1 Operasyonel Planlama ve Kontrol
Bu madde, organizasyonun BGYS’nin hedeflerine ulaşmasını sağlamak için operasyonel süreçlerini planlaması ve kontrol altında tutması gerektiğini belirtir. Buradaki amaç, organizasyonun tüm bilgi güvenliği süreçlerini sistematik bir şekilde yönetmesini sağlamaktır.
a) Planlama
Risk işleme planının uygulanması: Organizasyon, risk değerlendirmesi sonucunda belirlenen riskleri işleme planına göre yönetir ve uygular.
Kontrollerin uygulanması: ISO 27001 Annex A’da yer alan ve organizasyonun ihtiyaçlarına göre seçilen kontroller operasyonel süreçlerde uygulanır.
Operasyonel süreçlerin tanımlanması: Bilgi güvenliği ile ilgili süreçlerin nasıl yürütüleceği, hangi kaynakların kullanılacağı ve ne tür kontrollerin uygulanacağı açık bir şekilde tanımlanmalıdır.
b) Kontrol
Kontrol süreçlerinin izlenmesi: Uygulanan kontrollerin ve süreçlerin etkinliği düzenli olarak izlenir ve değerlendirilir.
Dokümantasyon ve kayıtlar: Tüm operasyonel süreçler, işlenen riskler ve uygulanan kontroller belgelenir ve denetimlerde kullanılmak üzere saklanır.
Örnek:
Bir e-ticaret şirketi, müşteri verilerini koruma sürecinde risk işleme planına göre şifreleme ve güvenlik duvarları gibi kontrolleri uygular. Bu kontrollerin işleyişi ve etkinliği düzenli olarak izlenir ve raporlanır.
8.2 Bilgi Güvenliği Risk Değerlendirmesi (Clause 6.1.2 ile Bağlantılı)
Operasyonel süreçlerde, bilgi güvenliği risklerinin düzenli olarak değerlendirilmesi ve bu risklerin nasıl yönetileceğine dair kararlar alınması gereklidir. Risk değerlendirmesi, hem mevcut risklerin gözden geçirilmesini hem de yeni ortaya çıkan risklerin tanımlanmasını kapsar.
Düzenli risk değerlendirmesi: Bilgi güvenliği risklerinin düzenli aralıklarla değerlendirilmesi ve risklerin yeniden sınıflandırılması yapılmalıdır.
Risk değerlendirme çıktıları: Risklerin değerlendirilmesi sonucunda alınan kararlar ve yapılan risk işleme faaliyetleri belgelenmelidir.
Örnek:
Bir bankada, her üç ayda bir bilgi güvenliği risk değerlendirmesi yapılır ve yeni ortaya çıkan tehditler (örneğin, yeni siber saldırı yöntemleri) göz önünde bulundurularak riskler yeniden sınıflandırılır.
8.3 Bilgi Güvenliği Risk İşleme
Risk değerlendirmesinden sonra belirlenen risklerin işlenmesi ve bu risklerin azaltılması, transfer edilmesi, kabul edilmesi veya ortadan kaldırılması gerekmektedir. Bu madde, belirlenen risklerin nasıl ele alınacağına dair operasyonel süreçleri tanımlar.
Risk işleme planlarının uygulanması: Risklerin işlenmesi sürecinde, her bir risk için belirlenen işleme yöntemi (örneğin, riskin azaltılması için kontrol uygulamaları) hayata geçirilir.
İzleme ve gözden geçirme: Risk işleme planlarının etkinliği izlenir ve gerektiğinde revize edilir. Risk işleme süreçleri boyunca atılan adımlar ve sonuçlar belgelendirilmelidir.
Örnek:
Bir yazılım geliştirme şirketi, yazılım geliştirme süreçlerinde kod güvenliğini sağlamak için risk işleme planı kapsamında güvenlik testleri yapar. Test sonuçları düzenli olarak izlenir ve risk işleme planı güncellenir.
Bilgi Güvenliği Olaylarına Müdahale
Operasyonel süreçlerin bir parçası olarak, bilgi güvenliği olaylarına (örneğin, veri ihlalleri, yetkisiz erişimler) müdahale edilmesi ve bu olayların yönetilmesi gereklidir. Olaylara müdahale süreci, olayların hızlı bir şekilde tespit edilmesini, müdahale edilmesini ve sonuçların değerlendirilmesini kapsar.
Olay yönetimi planı: Olaylar için bir müdahale planı oluşturulmalı ve tüm çalışanlar bu plan doğrultusunda eğitilmelidir.
Olay kaydı: Bilgi güvenliği olayları belgelendirilmeli ve olayın nasıl yönetildiği, hangi adımların atıldığı kayıt altına alınmalıdır.
İyileştirici faaliyetler: Olayın neden olduğu etkiler değerlendirilmeli ve gelecekte benzer olayların yaşanmasını önlemek için gerekli iyileştirme faaliyetleri planlanmalıdır.
Örnek:
Bir sağlık kuruluşu, hasta bilgilerini içeren bir veri ihlalini tespit ettiğinde, olaya müdahale planını devreye sokarak ihlali hızlı bir şekilde kontrol altına alır. Olayın etkileri değerlendirilir ve sistemler yeniden yapılandırılarak aynı sorunun tekrar yaşanmaması için önlemler alınır.
Bilgi Güvenliği Olaylarının Gözden Geçirilmesi
Bilgi güvenliği olaylarının ardından olayın gözden geçirilmesi ve gelecekte benzer olayların önlenmesi için gerekli tedbirlerin alınması gereklidir. Bu süreçte, olayın neden olduğu riskler ve etkiler değerlendirilir, düzeltici ve önleyici faaliyetler planlanır.
Kök neden analizi: Olayın temel nedenleri belirlenir ve bu nedenleri ortadan kaldırmak için gerekli adımlar atılır.
Düzeltici faaliyetler: Olayın tekrar etmemesi için sistemler, süreçler veya kontroller üzerinde gerekli düzenlemeler yapılır.
İyileştirme fırsatları: Olay sonrasında organizasyonun bilgi güvenliği süreçlerinde genel bir iyileştirme yapılması sağlanır.
Bilgi Güvenliği Olaylarının İyileştirilmesi
Bilgi güvenliği olayları sonrasında yapılan gözden geçirme ve analiz sonuçlarına dayanarak sistemde sürekli iyileştirme yapılması gereklidir. İyileştirici ve önleyici faaliyetler, sadece olay sonrası değil, proaktif olarak tüm süreçlerde uygulanmalıdır.
Örnek:
Bir telekom şirketi, yaşanan bir veri ihlali sonrasında hem teknik altyapısını hem de çalışan eğitimlerini günceller. Ayrıca, güvenlik açıklarını tespit etmek için düzenli penetrasyon testleri yapar.
Sonuç:
ISO 27001:2022 standardında operasyon (Clause 8), BGYS’nin günlük işleyişini sağlamak için bilgi güvenliği risk değerlendirmesi ve işleme planlarının uygulanması, bilgi güvenliği olaylarına müdahale ve bu olayların gözden geçirilmesi gibi süreçleri kapsar. Bu süreçlerde risklerin yönetimi, kontrollerin uygulanması ve olay yönetimi kritik öneme sahiptir.
Madde 9: Performans Değerlendirme Programın etkinliğini değerlendirmek için iç denetimler ve incelemeler, gözlemler, raporlar…
ISO 27001:2022 standardında performans değerlendirme (Clause 9), bilgi güvenliği yönetim sisteminin (BGYS) etkinliğinin izlenmesi, ölçülmesi, analiz edilmesi ve değerlendirilmesini gerektirir. Bu madde, BGYS´nin sürekli iyileştirilmesi için düzenli değerlendirmelerin ve ölçümlerin yapılmasını şart koşar. Performans değerlendirme, hem iç denetim süreçlerini hem de yönetimin BGYS´yi gözden geçirme sorumluluğunu içerir.
9.1 İzleme, Ölçme, Analiz ve Değerlendirme
a) İzleme ve Ölçme Yöntemleri
Bu madde, organizasyonun bilgi güvenliği yönetim sisteminin performansını düzenli olarak izlemek ve ölçmek için yöntemler belirlemesini gerektirir. İzleme ve ölçme, organizasyonun bilgi güvenliği hedeflerine ulaşıp ulaşmadığını değerlendirmek için kullanılır.
Performans ölçütleri belirlenir: Organizasyon, BGYS´nin etkinliğini ölçmek için hangi ölçütlerin kullanılacağını belirlemelidir. Bu ölçütler, bilgi güvenliği hedefleri ve risk işleme planları ile uyumlu olmalıdır.
İzleme ve ölçme planı: İzleme ve ölçme faaliyetleri için bir plan oluşturulur. Bu plan, neyin ne zaman ölçüleceğini ve kimlerin sorumlu olduğunu açıkça tanımlar.
Veri toplama ve analiz: İzleme ve ölçme sonucunda elde edilen veriler toplanır, analiz edilir ve sonuçlar değerlendirilir.
Örnek:
Bir finans kuruluşu, bilgi güvenliği olaylarının sayısını, çözüm sürelerini ve olayların etkilerini izlemek için metrikler belirler. Bu metrikler, bilgi güvenliği hedeflerine ulaşılıp ulaşılmadığını izlemek için kullanılır.
b) İzleme ve Ölçme Sonuçlarının Değerlendirilmesi
Toplanan veriler analiz edilir ve BGYS´nin etkinliği değerlendirilir. Bu değerlendirmeler, mevcut kontrollerin etkinliğini ve organizasyonun belirlediği hedeflere ne kadar yaklaştığını gösterir.
Örnek:
Bir e-ticaret şirketi, bilgi güvenliği farkındalık eğitimlerine katılım oranlarını ve bu eğitimlerin bilgi güvenliği olayları üzerindeki etkisini ölçer ve analiz eder.
9.2 İç Denetim
9.2.1 Genel
İç denetim, BGYS´nin ISO 27001 standardına uygun olup olmadığını ve etkin bir şekilde çalışıp çalışmadığını belirlemek için yapılır. İç denetim, bağımsız ve tarafsız bir şekilde yürütülmelidir ve planlı aralıklarla gerçekleştirilmelidir.
9.2.2 İç Tetkik Programı
a) İç Denetimin Planlanması
Denetim sıklığı ve kapsamı: İç denetimlerin ne sıklıkla yapılacağı ve hangi bölümlerin denetleneceği planlanmalıdır. Bu, BGYS’nin karmaşıklığına ve organizasyonun risk iştahına göre belirlenir.
Denetçiler: Denetimi gerçekleştirecek kişiler, BGYS´yi uygulayan kişilerden bağımsız olmalı ve objektif bir denetim sağlamalıdır.
b) İç Denetim Süreci
Denetim planı: Denetimin hangi alanları kapsayacağı ve hangi metriklerin kullanılacağı açıkça tanımlanır.
Denetim bulguları: İç denetimde tespit edilen uygunsuzluklar ve iyileştirme fırsatları belgelendirilir.
Düzeltici faaliyetler: Denetim sırasında bulunan uygunsuzluklar için düzeltici faaliyetler belirlenir ve uygulanır.
Örnek:
Bir yazılım geliştirme şirketi, her altı ayda bir, BGYS’nin yazılım geliştirme süreçlerindeki uygulamalarını denetler. Bulunan eksiklikler için düzeltici eylemler belirlenir ve uygulanır.
9.3 Yönetimin Gözden Geçirmesi
Genel
Yönetim gözden geçirmesi, üst yönetimin BGYS´nin performansını düzenli olarak gözden geçirmesini ve sistemin sürekli iyileştirilmesine yönelik stratejik kararlar almasını içerir. Bu gözden geçirme genellikle yılda bir kez yapılır, ancak büyük değişiklikler ya da güvenlik olayları sonrasında da gerçekleştirilebilir.
9.3.2 Gözden Geçirmenin Girdileri
Yönetimin gözden geçirmesi sırasında BGYS´nin genel performansı, bilgi güvenliği hedeflerine ulaşılıp ulaşılmadığı, risk yönetimi süreçleri ve iç denetim sonuçları değerlendirilir. Ayrıca, kaynakların yeterliliği, çalışanların sorumlulukları ve bilgi güvenliği süreçlerindeki iyileştirme fırsatları ele alınır.
b) Gözden Geçirme Süreci
Girdiler: Yönetimin gözden geçirmesi için gerekli girdiler şunlardır:
İç denetim sonuçları.
Risk değerlendirme ve risk işleme sonuçları.
Uygunsuzluklar ve düzeltici faaliyetler.
Olay yönetimi süreçleri.
Dış denetim ve uyumluluk gereksinimlerinden elde edilen bulgular.
9.3.3 Yönetimi Gözden Geçirme Çıktılar
Yönetimin gözden geçirmesinden elde edilen çıktılar şunları içermelidir:
Bilgi güvenliği süreçlerinde iyileştirme fırsatları.
Kaynak ihtiyaçları.
Bilgi güvenliği hedeflerinin güncellenmesi.
Örnek:
Bir telekom şirketinin üst yönetimi, her yıl BGYS’nin performansını gözden geçirmek için bir toplantı düzenler. Bu toplantıda, risk değerlendirme sonuçları, olay yönetimi performansı ve iç denetim bulguları değerlendirilir.
Sonuç:
ISO 27001:2022 standardında performans değerlendirme (Clause 9), BGYS´nin etkinliğini izlemek, ölçmek ve iyileştirmek için yapılan sistematik bir süreçtir. Bu süreç, düzenli iç denetimler ve yönetim gözden geçirmeleri ile BGYS’nin sürekli iyileştirilmesini sağlar. Performans değerlendirme, organizasyonun bilgi güvenliği hedeflerine ne kadar ulaştığını, riskleri nasıl yönettiğini ve hangi alanlarda iyileştirme yapılması gerektiğini anlamak için kritik öneme sahiptir.
Madde 10: İyileştirme
10.1 Sürekli İyileştirme
Denetim bulgularına dayalı sürekli iyileştirmeler.
ISO 27001:2022 standardında iyileştirme (Clause 10), bilgi güvenliği yönetim sisteminin (BGYS) sürekli olarak geliştirilmesini sağlamak amacıyla uygulanır. İyileştirme süreci, organizasyonun mevcut bilgi güvenliği yönetim sisteminde tespit edilen uygunsuzlukların düzeltilmesi, risklerin yönetilmesi ve genel sistemin performansının sürekli iyileştirilmesine odaklanır.
10.2 Uygunsuzluk ve Düzeltici Faaliyetler
Bu madde, uygunsuzlukların belirlenmesi ve bu uygunsuzluklara yönelik düzeltici faaliyetlerin gerçekleştirilmesini kapsar. Bir uygunsuzluk, ISO 27001 standardının gereksinimlerine uymayan veya bilgi güvenliği yönetim sisteminin işleyişini etkileyen herhangi bir olay ya da durumu ifade eder. Organizasyonların, bu uygunsuzlukları tespit etmeleri ve düzeltici faaliyetler ile bu sorunları ele almaları beklenir.
a) Uygunsuzlukların Belirlenmesi
Organizasyon, iç denetimler, yönetim gözden geçirmeleri veya olay yönetim süreçleri gibi kaynaklardan gelen geri bildirimlerle uygunsuzlukları tespit etmelidir.
Uygunsuzluk, bir kontrolün uygulanmaması veya yanlış uygulanması, politikalara uyulmaması ya da belirlenen bilgi güvenliği hedeflerine ulaşılamaması gibi durumları içerebilir.
Örnek:
Bir veri ihlali sonucu müşteri bilgilerine yetkisiz erişim sağlanması, bir uygunsuzluk olarak tespit edilir ve iyileştirme süreçleri başlatılır.
b) Düzeltici Faaliyetlerin Planlanması ve Uygulanması
Uygunsuzluğun kök nedeninin belirlenmesi için kök neden analizi yapılmalıdır. Uygunsuzluğun tekrarlanmaması için bu nedenin ele alınması gerekir.
Düzeltici faaliyetler planlanır ve uygunsuzlukların giderilmesi için gerekli adımlar atılır.
Düzeltici faaliyetlerin sonuçları izlenmeli ve iyileştirme süreçlerinin etkinliği değerlendirilmelidir.
Örnek:
Bir yazılım geliştirme firmasında, güvenlik testlerinde eksiklik tespit edilirse, bu eksikliklerin tekrar yaşanmaması için geliştirme süreçleri yeniden düzenlenir. Bu, güvenlik testlerini iyileştirmek için otomatik test araçlarının kullanılması veya daha kapsamlı test senaryolarının oluşturulması şeklinde olabilir.
c) Düzeltici Faaliyetlerin Kapsamı
Düzeltici faaliyet, tespit edilen uygunsuzlukların ötesinde bir etkiye sahip olabilir. Bu nedenle, diğer benzer süreçlerde de benzer uygunsuzlukların olup olmadığının kontrol edilmesi ve daha geniş kapsamda düzeltici önlemler alınması gerekebilir.
Örnek:
Bir tedarik zinciri yönetim sisteminde tespit edilen bir güvenlik açığı sadece ilgili departmanda değil, diğer departmanlarda da benzer riskler oluşturabileceği için bu iyileştirme tüm iş birimlerinde gözden geçirilir.
2. Sürekli İyileştirme (Clause 10.2)
ISO 27001´de sürekli iyileştirme, BGYS´nin etkinliğinin sürekli olarak artırılmasını amaçlar. Organizasyonun BGYS´yi sürekli iyileştirmek için sistematik bir yaklaşım geliştirmesi gereklidir. Bu süreç, düzenli iç denetimler, yönetim gözden geçirmeleri, performans ölçümleri ve uygunsuzluklardan elde edilen öğrenimler yoluyla yürütülür.
a) Performans Göstergelerinin İzlenmesi
Bilgi güvenliği hedeflerine ulaşmada kullanılan performans ölçütleri düzenli olarak izlenir ve sonuçlara göre iyileştirme fırsatları değerlendirilir.
Bu süreç, hem işleyişteki hataların hem de risklerin belirlenmesine yardımcı olur ve uygun iyileştirme faaliyetlerinin belirlenmesini sağlar.
b) Sürekli İyileştirme Fırsatları
Yönetim gözden geçirmeleri, iç denetimler ve bilgi güvenliği olaylarının ardından elde edilen bulgular, sistemin iyileştirilmesi için fırsatlar sunar.
Teknolojik gelişmeler, değişen iş ihtiyaçları veya yeni ortaya çıkan tehditler gibi faktörler dikkate alınarak sistem sürekli olarak geliştirilmelidir.
Örnek:
Bir bankada, düzenli olarak yapılan BGYS denetimleri sonucunda, yeni bir siber saldırı türüne karşı önlemlerin eksik olduğu fark edilebilir. Banka, bu durumu iyileştirmek için yeni bir güvenlik çözümü uygulayarak bu açığı kapatabilir.
c) Düzeltici ve Önleyici Faaliyetlerin Etkinliği
Yapılan düzeltici ve önleyici faaliyetlerin etkinliği izlenir ve sistemin performansı üzerinde istenen etkiyi yaratıp yaratmadığı değerlendirilir. Eğer iyileştirme sonuç vermediyse, alternatif çözümler düşünülmeli ve yeni düzeltici faaliyetler planlanmalıdır.
3. İyileştirme Süreci Nasıl Yürütülmelidir?
ISO 27001:2022’ye göre iyileştirme sürecinin başarılı olabilmesi için aşağıdaki adımlar izlenmelidir:
Denetim ve incelemelerden gelen geri bildirimlerin alınması: İç ve dış denetimler, yönetim gözden geçirmeleri ve olay yönetimi süreçleri gibi kaynaklardan gelen geri bildirimler değerlendirilmelidir.
Risk değerlendirme sonuçlarının gözden geçirilmesi: Risk değerlendirmesi sırasında elde edilen bulgular iyileştirme fırsatları sunabilir. Risklerin değişen iş süreçlerine göre yeniden değerlendirilmesi gerekir.
Kök neden analizleri yapılması: Uygunsuzlukların tekrarlanmaması için temel nedenlerin ele alınması önemlidir. Uygunsuzlukların sadece semptomlarını değil, kök nedenlerini ortadan kaldırmak, uzun vadeli iyileştirme sağlar.
İzleme ve ölçme sonuçlarının değerlendirilmesi: Performans göstergeleri ve metrikler, BGYS´nin etkinliğini ve iyileştirme fırsatlarını değerlendirmek için kullanılır.
Teknolojik yeniliklerin ve güvenlik tehditlerinin dikkate alınması: Teknolojik gelişmeler ve yeni ortaya çıkan tehditler, BGYS´nin sürekli olarak güncellenmesini gerektirir. İyileştirme süreci, bu değişikliklere uygun olarak sistemin dinamik tutulmasını sağlar.
Sonuç:
ISO 27001:2022 kapsamında iyileştirme (Clause 10), bir organizasyonun bilgi güvenliği yönetim sistemini sürekli olarak geliştirmeyi hedefler. Uygunsuzlukların tespit edilmesi, kök neden analizi yapılması ve düzeltici faaliyetlerin uygulanması ile sistemin performansı artırılır. Ayrıca, sürekli iyileştirme süreci, denetimlerden ve geri bildirimlerden elde edilen bulgularla sistemin etkinliğinin artırılmasını sağlar. Bu iyileştirme döngüsü, organizasyonun bilgi güvenliği risklerini daha etkin bir şekilde yönetmesine ve sürekli gelişen tehdit ortamına uyum sağlamasına yardımcı olur.
Ek A: Bilgi güvenliğine yönelik özel kontroller içerir. Örnekler:
Erişim Kontrolü: Hem fiziksel hem de mantıksal erişim.
Kriptografi: Şifreleme anahtarlarını ve diğer kriptografik varlıkları yönetme.
Olay Yönetimi: Bir ihlal meydana geldiğinde ne yapılmalı?
Satıcı Yönetimi: Üçüncü taraf sağlayıcıların uygun güvenlik önlemlerini takip etmesinin sağlanması.
Uygulama Süreci:
Planlama: Kapsamı ve paydaşları tanımlayın.
Mevcut Durum Değerlendirmesi: Standarda göre nerede durduğunuzu görmek için bir boşluk analizi yapın.
İyileştirme: Belirlenen boşlukları kapatmak için bir yol haritası geliştirin.
Sertifikasyon Denetimi: İki aşamada gerçekleştirilir:
Aşama 1: BGYS tasarımının ön incelemesi.
Aşama 2: Hem BGYS hem de Ek A kontrollerinin derinlemesine incelenmesi.
ISO 27001 için Zaman Çizelgesi:
Planlama: Kapsamın tanımlanması 2-4 hafta.
Boşluk Analizi: Mevcut durum değerlendirmesi için 1-2 ay.
İyileştirme: Zamanın büyük kısmı belirlenen boşlukların kapatılmasına harcanır.
Denetim: Genellikle belgelendirme denetiminin 1. Aşaması ile 2. Aşaması arasında 30-60 gün sürer. Sertifikasyona kadar geçen toplam süre genellikle başlangıçtan bitişe kadar bir yıldır.
Liderlik: Dış denetim sırasında 2-4 saat.
Güvenlik/Uyumluluk Ekibi: Kanıtların sunulmasından ve denetimlerin koordine edilmesinden sorumludur.
BT Ekibi: Teknik kanıtların toplanması.
Mühendislik ve Geliştirme Ekipleri: Değişiklik biletlerinin ve diğer teknik belgelerin sağlanması.
1. Denetimden Önce:
Kapsamı Onaylayın: Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamının iş ihtiyaçları ve paydaş beklentileriyle uyumlu olduğundan emin olun.
Uygulanabilirlik Bildiriminin Gözden Geçirilmesi: Risk değerlendirmesine dayalı olarak kontrollerin dahil edilmesini ve hariç tutulmasını gerekçelendiren gerekli bir belge.
Ekibi Hazırlayın: İlgili kontrol sahiplerini hazırlayın ve sorumluluklarını anlamalarını sağlayın.
Nokta Kontrolleri ve Denetimler: Dış denetim öncesinde uyumluluğu sağlamak için dahili incelemeler gerçekleştirin.
Denetçiler ile İlişkiler Kurun: Denetçiyle etkili iletişim ve işbirliği süreci kolaylaştırabilir.
2. Denetim Sırasında:
Katılım ve Zamanlılık: Tüm ekip üyelerinin hazırlanmasını ve kanıtların denetçiye derhal sunulmasını sağlayın.
Kontrollerinizi Bilin: BGYS içindeki kontrollere aşina olun ve bunların denetim gereksinimlerini nasıl karşıladıklarını anlayın.
Denetçiyle Ortaklık: Daha sorunsuz bir denetim süreci ve daha iyi iletişim sağlamak için denetçiyle profesyonel bir ortaklık kurun.
3. Denetimden Sonra:
Uygunsuzluklar ve Düzeltici Faaliyetler: Tüm uygunsuzlukları ele alın ve ISO 27001 Madde 10.1´e uygun olarak düzeltici faaliyetlerin uygulanmasını sağlayın.
Programı Sürdürün: Paydaşları yıl boyunca sürece dahil edin ve gelecekteki gözetim denetimleri sırasında herhangi bir sorun yaşanmaması için gerekli tüm denetimlerin ve incelemelerin zamanında tamamlandığından emin olun.
Özel Hususlar:
Yönetim İncelemeleri ve Risk Değerlendirmeleri: BGYS hakkında değerli geri bildirim sağlamak için bunların yıllık olarak yapılmasını sağlayın.
Sürekli İyileştirme: BGYS´nin hem etkili hem de verimli olmasını sağlayarak uyumluluk konusunda yıldan yıla iyileştirmeler gösterin.
İç Denetimler: Dış denetimden önce sorunları çözmek için yeterli zaman tanıyarak önceden plan yapın.
Sonuç olarak, bu bölümde denetimin başarılı olmasını ve BGYS´nin gerçek iş değeri sağlamasını sağlamak için ilişkilerin, hazırlığın ve sürekli iyileştirmenin önemini vurgulanmaktadır
Giriş:
Amaç: Bu bölüm, özellikle ilk belgelendirme denetimi ile ilk gözetim denetimi arasında, belgelendirme sonrasında ISO 27001 programının sürdürülmesine odaklanmaktadır. Gelecekteki denetimlerde uygunsuzlukları önlemek için uyumluluk ve sürekli iyileştirmeyi sağlamaya yönelik pratik ipuçları sağlar.
Gündeme Genel Bakış:
Başarı İçin Temel Gereksinimler:
Liderlik desteği: Liderliğin sürekli katılımı kritik öneme sahiptir. Sertifikasyondan sonra programı bırakmamalı, ISO 27001´in temel bir özelliği olan güvenliğin iyileştirilmesine bağlı kalmalıdırlar.
Özel bir program sahibi: Programın genel işleyişinden en az bir kişi sorumlu olmalıdır. Bu kişi çeşitli departmanlarla koordineli çalışmalıdır.
Role Göre Bakım Faaliyetleri:
Üst Yönetim: Program kapsamını sürekli olarak gözden geçirin, gerekli ayarlamaları yapın, güvenlik hedeflerini güncelleyin ve temel performans göstergelerinin (KPI´ler) doğru olduğundan ve programın durumunu yansıttığından emin olun.
Risk Komitesi: Düzenli risk değerlendirmeleri yapın, risk iyileştirme planlarını yönetin ve gerektiğinde stratejileri ayarlayın.
Kontrol Sahipleri: Güncellenmiş kontrol prosedürlerini sürdürün, denetimlere katılın ve yeni riskleri belirleyin.
Departmana göre bakım:
BT Departmanı: Doğru varlık yönetimini (hem donanım hem de yazılım) sağlayın, erişim kontrollerini yönetin, ağ güvenliğini denetleyin ve özellikle müşteri etkileşimleri için güvenli veri alışverişini sağlayın.
Güvenlik Ekibi: Güvenlik açığı değerlendirmelerinden, olay yönetiminden ve özel güvenlik eğitiminden sorumludur. Ayrıca tehdit değerlendirmelerine de öncülük ederler.
Uyumluluk Ekibi: Politika incelemelerini, risk değerlendirmelerini ve denetim hazırlıklarını denetleyin. Kuruluşun güvenlik çerçevelerine bağlı kalmasını sağlarlar.
Ürün ve Mühendislik Ekipleri: Ürün yaşam döngüsü boyunca güvenli yazılım geliştirme uygulamalarına ve güvenlik politikalarına uyuma odaklanın.
Altyapı Ekibi: Üretim ortamlarını yönetin, güvenli altyapı sağlayın ve değişiklik yönetimi süreçlerini sürdürün.
Müşteri Desteği: Müşterilerle güvenli veri alışverişini sağlayın ve müşteriler tarafından belirlenen güvenlik açıklarını bildirin.
Bir Bakışta Tekrarlanan Görevler:
Üç Aylık Görevler:
Kullanıcı ve ayrıcalıklı erişim incelemeleri.
IRC (Bilgi Riski Komitesi) toplantıları.
Güvenlik açığı taramaları ve iyileştirme.
Risk tedavi planı güncellemeleri.
Yıllık Görevler:
Program kapsamını ve uygulanabilirlik beyanını inceleyin.
Politika incelemeleri ve onayları.
İç ve dış denetimler.
İş sürekliliği planlaması ve testi (masa üstü alıştırmalar).
Sızma testleri ve risk değerlendirmeleri.
ISO 27001 nedir? Bilgi güvenliği yönetim sistemleri (ISMS) için dünya çapında tanınan bir standarttır. İki ana bölümden oluşur: Madde 4-10 (yönetişim) ve Ek A (güvenlik kontrolleri).
2013 Versiyonu ve 2022 Versiyonu Karşılaştırması: Madde 4-10´un özü, yalnızca küçük ifade açıklamaları dışında büyük ölçüde aynı kalsa da, en önemli değişiklikler, 11 yeni kontrol getiren ve toplam kontrol sayısını yoğunlaştıran güncellenmiş Ek A´dan gelmektedir. 114´ten 93´e.
ISO 27001 Madde 4-10:
Madde 4: Kuruluşun Bağlamı – BGYS´nin hangi hassas verileri ve varlıkları korumayı amaçladığının yanı sıra kilit paydaşların kim olduğunu tanımlayın.
Madde 5: Liderlik – Açık roller, sorumluluklar ve iletişim yapılarıyla üst yönetimin BGYS´ye dahil olmasını ve sorumlu olmasını sağlayın.
Madde 6: Risk Yönetimi – Risk değerlendirmeleri yapın, risk tedavi planları oluşturun ve bilgi güvenliği hedeflerini belirleyin.
Madde 7: Destek – BGYS´yi çalıştırmak için yeterlilik, iletişim ve dokümantasyon süreçleri dahil olmak üzere gerekli kaynakları tanımlayın.
Madde 8: Operasyon – Risk iyileştirme planını uygulamaya koyun.
Madde 9: Performans Değerlendirmesi – BGYS´yi iç denetimler ve yönetim incelemeleri yoluyla izleyin ve değerlendirin.
Madde 10: İyileştirme – Uygunsuzlukları giderin ve BGYS´yi sürekli iyileştirin.
Ek A Kontrolleri:
2013 Sürümü: Erişim kontrolü, varlık yönetimi, kriptografi, olay yönetimi ve daha fazlasını içeren 14 alanda 114 kontrolden oluşuyordu.
2022 Sürümü: Yeni sürüm, kontrolleri dört ana gruba ayırıyor: organizasyonel kontroller, kişi kontrolleri, fiziksel kontroller ve teknolojik kontroller. Bulut güvenliği, tehdit istihbaratı ve veri sızıntısının önlenmesi gibi alanlarla ilgili 11 yeni kontrol sunuyor.
2022 Sürümündeki Temel Değişiklikler:
Yoğunlaştırılmış Kontroller: Artıklığı azaltmak için bazı kontroller birleştirildi.
Yeni Kontroller: 2022 sürümü, tehdit istihbaratı, bilgi sızıntısını önleme ve güvenli sistem edinimi gibi mevcut güvenlik ihtiyaçlarını yansıtan modernleştirilmiş kontroller ekler.
Ek Belgeler:
ISO 27002: Ek A kontrolleri için ayrıntılı uygulama kılavuzu sağlar.
ISO 27003: Madde 4-10 (BGYS´nin yönetişim yapısı) için uygulama kılavuzu sunar.
ISO 27001 Uygulamasındaki Yaygın Eksiklikler:
Çok sayıda değerlendirmeye dayanarak boşlukları analiz etti. En yaygın sorunlar şunları içerir:
Resmi Yönetişim Yapılarının Eksikliği: Birçok kuruluş, iyi tanımlanmış belgeler veya resmileştirilmiş süreçler olmaksızın gevşek bir şekilde çalışır.
Eksik Politikalar: Birçok kuruluş en iyi uygulamaları uygular ancak bunları resmi olarak belgelemede başarısız olur.
Dizüstü Bilgisayar Güvenlik Açıkları: Özellikle yerel yönetici ayrıcalıklarına sahip çalışanlar için uç nokta güvenliğindeki zayıflıklar.
Yetersiz SDLC (Yazılım Geliştirme Yaşam Döngüsü) Disiplini: Politikalar ve süreçler mevcuttur ancak tutarlı bir şekilde takip edilmemektedir.
Yönetici Erişim Kontrolü Sorunları: İhtiyaç duymayan kullanıcılar için aşırı erişim ayrıcalıkları.
Sızma Testi: Genellikle güvenlik açığı taramasıyla karıştırılan penetrasyon testi, güvenlik açıklarını belirlemek ve bunlardan yararlanmak için daha uygulamalı, insani bir yaklaşımı içerir.
ISO 27001 Uyumluluğuna yönelik Araçlar:
kuruluşların ISO 27001 programlarını yönetmelerine yardımcı olmak için tasarlanmış bir Yönetişim, Risk ve Uyumluluk (GRC) aracıdır. Ele alınacak boşluklara ilişkin öneriler içeren bir karne sağlayan bir öz değerlendirme özelliği sunar.
ISO 27001:2022’ye Geçiş İçin Öneriler:
Zaman Çizelgeleri: Halihazırda ISO 27001:2013 kapsamında sertifikalandırılmış kuruluşların yeni standarda geçiş yapmak için Ekim 2025´e kadar süreleri vardır.
Sonraki Adımlar: Yeni ISO 27001:2022 belgesini indirerek, özellikle yeni Ek A kontrollerine ve Madde 4-10´daki küçük güncellemelere odaklanarak güncellenen standartları tanımaya başlayın.
Çözüm:
Bu oturum, standardın tamamını özetleyerek ve 2022 revizyonundan önemli güncellemeleri tanıtarak ISO 27001 serisini sonlandırmaktadır. Ekol Belgelendirme , kuruluşların ISO 27001 uygulamalarında uyumlu ve etkili kalmalarına yardımcı olmak amacıyla öz değerlendirmelere ve rehberliğe yardımcı olacak bir GRC platformu sunar.
Amaç: bu bölüm, ISO 27001´deki son değişiklikleri ele alan üç bölümlük bir serinin ilkidir. Bu bölüm, güncellemelere genel bir bakış, işletmelere yönelik çıkarımlar ve yeni standarda geçiş konusunda rehberlik sağlar.
Arka plan: ISO 27001 neredeyse on yıldır güncelleme görmemişti ve bu da bu değişiklikleri önemli kılıyordu. Sunumda bu güncellemelerin kuruluşları nasıl etkilediği, standartta nelerin değiştiği ve işletmelerin geçişlerini nasıl planlaması gerektiği tartışılıyor.
ISO 27001 Sertifikasyonu: Bilgi güvenliği yönetim sistemleri (ISMS) için uluslararası bir standart olup, kuruluşlara süreçler, BT sistemleri ve insanlar da dahil olmak üzere hassas bilgileri nasıl yönettikleri konusunda sertifika verir.
Kapsam ve Amaç: Sertifikasyon, B2B endüstrilerinde kritik öneme sahiptir; küresel tanınırlık sunar ve müşterilere ve paydaşlara, kuruluşun tanımlanmış bir dizi güvenlik kontrolünü karşıladığına dair güvence sağlar.
Diğer ISO Standartları: Bahsedilenler arasında ISO 9001 (kalite yönetimi), ISO 27018 (buluttaki kişisel veriler) ve ISO 27701 (Gizlilik Bilgi Yönetimi) yer alır.
Değişikliklerin Zaman Çizelgesi:
ISO 27001 (Madde 4-10): Ekim 2022´de güncellendi.
Ek A (ISO 27002): Mart 2022´de güncellendi.
Gecikmenin Nedeni: Güncelleme süreci uzun olduğundan dünya çapında uzmanların katkısını gerektiriyor ve bazı gecikmeler pandemi veya diğer zorluklardan kaynaklanmış olabilir. Güncellemelerin ileriye doğru her beş yılda bir yapılması bekleniyor.
ISO 27001´deki Önemli Güncellemeler:
Madde 4-10: Büyük ölçüde değişmedi, Madde 6´da (planlama) küçük değişiklikler yapıldı. 2022 versiyonunda Ek A artık "kapsamlı bir liste" yerine "olası bilgi güvenliği kontrollerinin listesi" olarak tanımlanıyor ve kuruluşlara daha fazla esneklik sağlıyor.
Ek A (ISO 27002): En önemli değişiklikler, kontrollerin 14 kategoriden dört ana tema halinde yeniden düzenlendiği Ek A´da bulunmaktadır:
Organizasyonel Kontroller
Kişi Kontrolleri
Fiziksel Kontroller
Teknolojik Kontroller
Net Yeni Kontroller: 11 yeni kontrol eklendi, 24´ü mevcut kontrollerden birleştirildi ve 58´i güncellendi (temel olarak ifadeler veya kılavuzlar).
Kontrol sayısı 114´ten 93´e düşürüldü.
Organizasyonel Kontroller: Tehditleri anlama ve hafifletmeye yönelik daha derinlemesine bir yaklaşımı vurgulayan Tehdit İstihbaratına ilişkin yeni bir kontrol de dahil olmak üzere toplam 37 adet.
Kişi Kontrolleri: Toplam 8 adet; geçmiş taraması, eğitim ve uzaktan çalışma politikaları gibi alanları kapsar.
Fiziksel Kontroller: Toplam 14 adet, erişim kontrolü ve bölgelere ayırmaya odaklanıyor; net masa ve net ekran politikaları hâlâ dahil.
Teknolojik Kontroller: Toplam 34 adet; Veri Kaybını Önleme (DLP) ve Web Filtreleme en dikkate değer eklemelerdir. Bu bölümdeki kontroller kriptografi, güvenli yazılım geliştirme ve teknoloji tabanlı güvenlikle ilgilidir.
Özellik Tabloları:
Ek A´daki Nitelikler: Artık her kontrol, kontrolleri çeşitli faktörlere (örneğin önleyici veya tespit edici tedbirler) dayalı olarak sınıflandıran bir nitelik tablosu içermektedir. Bu, kuruluşların kontrol çerçevelerini haritalandırmasına ve güvenlik ihtiyaçlarını birden fazla perspektife göre değerlendirmesine yardımcı olur.
Önemli Tarihler ve Geçiş Planı:
Geçiş Zaman Çizelgesi: Kuruluşların Ekim 2025´e kadar geçiş yapması gerekiyor. Nisan 2023´ten itibaren yeni standarda göre denetimler başlayacak. Ekim 2023 itibarıyla tüm yeni sertifikaların yeni standarda uyması gerekiyor.
Geçiş Denetimi: 2013 sürümünden 2022 sürümüne geçiş yapan kuruluşlar için geçiş denetimi yapılması gerekmektedir. Düzenli bir gözetim denetimiyle birleştirilebilir veya bağımsız bir denetim olarak yürütülebilir.
ISO 27001:2022 GEÇİŞ SÜRECİNDE FİRMALARIN YAPMASI GEREKENLER
Kuruluşlara Yönelik Öneriler:
Yeni Standardı İndirin: Kuruluşların, yeni kontrol gerekliliklerini anlamak için güncellenmiş 27001 ve 27002 standartlarını incelemesi gerekir.
Geçişi Planlayın: Mevcut kontrolleri yeni standartla karşılaştırmak için bir boşluk değerlendirmesi yapın. Geçiş, yaklaşan bir gözetim veya yeniden belgelendirme denetimiyle birleştirilebilir.
Dahili Süreçler: Yeni standardı yansıtacak şekilde politikaları, risk kayıtlarını ve kanıt listelerini güncelleyin. Düzenli iç denetimler boşlukların tespit edilmesine yardımcı olacaktır.
Eğitim ve Kaynaklar: Personelin, özellikle DLP ve tehdit istihbaratı gibi teknik alanlarda yeni gereksinimler konusunda eğitildiğinden emin olun.
Araçlar ve Kaynaklar:
ISO 27001 kontrollerinin, risk kayıtlarının ve kanıt haritalamanın yönetilmesine yardımcı olabilir.
IAC Geçiş Belgesi: Sertifikasyon kuruluşları, kuruluşların geçişlerini planlarken inceleyebilmeleri için mevcut olan Uluslararası Akreditasyon Forumu geçiş kılavuzunu takip etmelidir.
Anahtar Bölümler:
İç Denetim Süreci:
İç Denetimlerin Önemi: İç denetim, uyumluluk durumunu değerlendirmek amacıyla yıllık olarak gerçekleştirilen ISO 27001 için kritik bir gereklilik olmaya devam etmektedir. Dış denetimden önce ele alınması gereken boşlukların belirlenmesinin temelini oluşturur.
Denetimin Bağımsızlığı: ISO, iç denetimin bağımsız olarak yapılmasını gerektirir. Küçük kuruluşlar, uygun bağımsızlığı sağlamak için iç denetimin dış kaynaklardan sağlanmasından yararlanabilir.
İç Denetimlere Zaman Tahsisi:
(Kuruluşun büyüklüğüne ve karmaşıklığına göre değişir)
Liderlik: 10 saat
Güvenlik/Uyum ekibi: 15-20 saat
BT ve Mühendislik ekipleri: Her biri 8-10 saat
İK: İstihdamla ilgili süreçler için 4 saat
ISO 27001´in Maliyet Etkileri:
İç Denetim Maliyetleri: Kurumun büyüklüğüne ve karmaşıklığına bağlı olarak değişir:
Tek bir ürüne sahip küçük firmalar 35.000$ harcayabilir.
Birden fazla ürüne sahip büyük kuruluşlar 100.000 ila 150.000 ABD Doları arasında harcama yapabilir.
Risk Değerlendirme Maliyetleri: ISO 27001 uyumluluğu için risk değerlendirmeleri gereklidir ve bunlar şirket içinde veya dışarıdan temin edilebilir. Dış kaynak kullanımının maliyeti 100.000 dolara kadar çıkabilir.
İyileştirme Maliyetleri: İç denetim ve risk değerlendirmesinin çıktıları boşlukları vurgulayacaktır. Bu boşluklar, araçlara yatırım yapmak (ör. güvenlik farkındalığı eğitim platformları, GRC araçları) veya ek personel işe almak dahil iyileştirme maliyetlerini içerebilir.
İnsanlar ve Kaynak Etkileri:
İşe Alma İhtiyaçları: ISO´ya yeni başlayan veya sınırlı kaynaklara sahip kuruluşların, uyumluluk programına adanmış 1-3 arası ek personeli işe alması gerekebilir. Bu, iç denetimin verimli bir şekilde yönetilmesini ve kontrollerin iyileştirilmesini sağlar.
GRC Araçları: Yönetişim, Risk ve Uyumluluk (GRC) platformuna yatırım yapmak uyumluluk faaliyetlerini merkezileştirebilir ve kolay raporlama sağlayabilir.
Maliyet Etkileri Olan Yeni ISO 27001 Kontrolleri:
Tehdit İstihbaratı: Kuruluşların tehdit istihbaratını stratejik, taktik ve operasyonel düzeylerde yönetmek için nitelikli personele ihtiyacı olacaktır. Ücretsiz hizmetlerden ücretli hizmetlere kadar çeşitlilik gösteren tehdit istihbaratı platformlarına ve kuruluşların bu verileri işlemesine yardımcı olacak ek araçlara ihtiyaç duyulabilir.
Konfigürasyon Yönetimi: Güvenli konfigürasyonlar için otomatik dağıtım araçlarına yatırım yapmak, süreçleri kolaylaştırabilir ve hataya açık manuel konfigürasyonları önleyebilir.
Veri Maskeleme: Hassas verileri (ör. PII) işleyen kuruluşlar için, veri maskeleme araçları verilerin anonimleştirilmesine veya takma ad verilmesine yardımcı olacaktır. GDPR uyumlu kuruluşlar bunu zaten uyguluyor olabilir ancak diğerlerinin yeni ISO 27001 kontrollerine uyum sağlamak için araçlara yatırım yapması gerekebilir.
Veri Kaybını Önleme (DLP): DLP araçları, uzaktan çalışma ve kimlik avı saldırılarının artmasıyla giderek önem kazanan yetkisiz veri kaybını önler. Kuruluşların DLP çözümlerine yatırım yapması gerekebilir ancak üretkenlikteki kesintileri önlemek için doğru kurulum kritik öneme sahiptir.
Geçiş Zaman Çizelgesi ve Güncellemeler:
Geçiş Son Tarihi: ISO 27001:2013 kapsamında belgelendirilen kuruluşların yeni 2022 standardına geçiş için 31 Ekim 2025 tarihine kadar süreleri vardır.
Yeni Sertifikalar: 30 Nisan 2024 itibarıyla tüm yeni sertifikaların standardın 2022 versiyonuna uyması gerekmektedir.
Geçiş Denetimleri: Bunlar, kuruluşun zaman çizelgesine bağlı olarak düzenli gözetim denetimleriyle birleştirilebilir veya ayrı ayrı gerçekleştirilebilir.
Temel Çıkarımlar:
Maliyet ve Kaynak Hususları: ISO 27001:2022´ye geçişin maliyeti, kuruluşun büyüklüğüne, BGYS´nin karmaşıklığına ve kuruluşun yeni kontroller uygulayıp uygulamadığına bağlı olacaktır. Mevcut sertifikalar için geçiş daha az maliyetli olabilir ancak yeni kontrolün uygulanmasıyla ilgili maliyetler yine de mevcut olacaktır.
Erken Başlayın: Kuruluşlar, hemen geçiş yapmayı planlamasalar bile yeni standardı incelemeye şimdi başlamalıdır. Yeni gereksinimleri öğrenmeye zaman ayırabilecek şirket içi şampiyonları atayın.
Araçlar ve İnsanlar: GRC platformları, tehdit istihbaratı çözümleri veya otomatik dağıtım sistemleri gibi araçlara yatırım yapmak geçişi kolaylaştırabilir ve uyumluluğu sağlayabilir. Başarılı bir uygulama için ek personel veya danışmanlık hizmetlerinin işe alınması gerekli olabilir.
Yeni Standart: 2022 güncellemesi öncelikle Ek A´yı değiştirerek 11 yeni kontrol ekliyor ve diğerlerini yoğunlaştırıyor. Artık 114 yerine 93 kontrol var, ancak Madde 4-10 büyük ölçüde değişmeden kalıyor.
Ek A Değişiklikleri: Güncellenen kontroller, tehdit istihbaratı, veri maskeleme ve yapılandırma yönetimi gibi modern güvenlik risklerine odaklanıyor. Bu kontroller kuruluşlara güvenlik önlemlerini yorumlama ve uygulama konusunda esneklik sunar.
İç Denetim Süreci:
İç Denetimin Önemi: ISO 27001 Madde 9.2´ye göre iç denetim yapılması zorunludur. Kuruluşlara, dış denetim öncesinde boşlukları tespit etme ve bunları düzeltme fırsatı sağlar.
Denetimin Gerçekleştirilmesi: Görüşmelerden ziyade kanıtlara dayalı kapsamlı bir iç denetim, başarı için çok önemlidir. Denetimden elde edilen bulgular, özellikle yeni kontrollerin uygulamaya konması göz önüne alındığında, giderilmesi gereken boşlukların bir "önemli listesi" olarak hizmet etmelidir.
Maliyet Etkileri:
İç Denetim Maliyetleri: Küçük kuruluşlar için iç denetimin maliyeti 35.000 ABD Doları civarında olabilirken, daha büyük, daha karmaşık kuruluşlarda maliyetlerin 100.000 ABD Doları veya daha fazlasına çıkabileceği görülebilir.
Risk Değerlendirmeleri: Risk değerlendirmesi için dış kaynak kullanımı, kuruluşun karmaşıklığına bağlı olarak 40.000 ila 100.000 ABD Doları arasında değişebilir.
İyileştirme Maliyetleri: İyileştirme maliyetleri, kuruluşun yeni araçlara, ek kişilere veya danışmanlık hizmetlerine yatırım yapması gerekip gerekmediğine bağlıdır. Bu maliyetler büyük ölçüde değişiklik gösterebilir ancak iç denetim sırasında tespit edilen boşlukların kapatılması için gereklidir.
Dikkate Alınması Gereken Yeni Kontroller:
Tehdit İstihbaratı: Tehdit istihbaratı verilerini yorumlamak ve bunlara göre hareket etmek için vasıflı personel gerektirir. Ücretsiz kaynaklardan yararlanılabilir ancak verileri analiz edecek nitelikli birine sahip olmak kritik öneme sahiptir.
Konfigürasyon Yönetimi: Yanlış konfigürasyonlar siber güvenlik olaylarının önemli bir nedenidir. Temel yapılandırmaları uygulayan ve izleyen otomatik araçlar gönül rahatlığı sağlayabilir.
Veri Maskeleme: PII ile ilgilenen kuruluşların, anonimleştirme araçlarına yatırım yapılmasını gerektirebilecek veri maskeleme kontrollerine uygunluğu sağlaması gerekecektir.
Veri Kaybını Önleme (DLP): İş süreçlerinin kesintiye uğramaması için DLP araçlarının dikkatli bir şekilde uygulanması gerekir. Pek çok firmanın yeni standarda uyum sağlayabilmesi için DLP sistemlerine yatırım yapması gerekecek.
Kaynak Etkileri:
Özel Uyum Personeli: 100´den fazla çalışanı olan kuruluşlar için, ISO 27001 uyumluluğunu yöneten en az bir özel kişinin bulunması tavsiye edilir. Daha küçük kuruluşlar sorumlulukları farklı ekiplere dağıtabilir.
Departman Desteği: BGYS yalnızca güvenlik ekibinin ötesine geçtiği için çeşitli departmanların (örneğin İK, hukuk, satın alma) ISO sürecine dahil edilmesi çok önemlidir. Bu işlevler arası katılım, başarılı uygulama için çok önemlidir.
Araçlar ve İnsanlar: Kuruluşların yeni kontrolleri karşılamak için doğru araçlara ve insanlara sahip olup olmadıklarını değerlendirmeleri gerekir. Boşluklar mevcutsa, ek kaynaklara yatırım yapmak veya dışarıdan danışmanlık hizmetleri almak gerekli olabilir.
Kaçınılması Gereken Tuzaklar:
Zamanlama Sorunları: Birçok kuruluş, planlamaya çok uzun süre odaklanarak yürütmeyi geciktirir. Planlama önemli olmakla birlikte, kuruluşların geçiş zaman çizelgesinin gerisinde kalmamak için uygulamada ilerlemeleri gerekmektedir.
Ayrık Programlar: Tüm politikaların, prosedürlerin ve sistemlerin 2022 standardına uygun olacak şekilde güncellendiğinden emin olun. Eski Ek A kontrollerine yapılan güncel olmayan referanslar gibi herhangi bir tutarsızlık, denetimler sırasında programın kopuk olmasına neden olabilir.
Geçiş Zaman Çizelgesi:
Önemli Tarihler:
ISO 27001:2013 kapsamında sertifikalandırılan kuruluşlar, sertifikalarını Ekim 2025 tarihine kadar sürdürebilirler. Bu tarihe kadar tüm sertifikaların 2022 standardına uygun hale getirilmesi gerekmektedir.
Nisan 2024´ten itibaren tüm yeni sertifikaların 2022 sürümüne uygun olması gerekmektedir.
Ekim 2023´ten sonraki yeniden sertifikalandırma incelemelerinde 2022 standardının kullanılması gerekecektir.
Geçiş Denetimleri: Bu denetimler, son tarih olan Ekim 2025´ten önce herhangi bir zamanda planlanabilir ve kuruluşların 2013 sürümünden 2022 sürümüne geçmesine olanak tanır.
Anahtar Bölümler:
ISO 27001:2022´ye Genel Bakış:
Standarttaki Değişiklikler: ISO 27001´in 2022 versiyonundaki en dikkate değer güncelleme, Ek A´nın modifikasyonudur. Yeni kontrollerin eklenmesi ve bazı kontrollerin modern güvenlik uygulamalarını yansıtacak şekilde birleştirilmesi veya güncellenmesiyle kontrol sayısı 114´ten 93´e düşürülmüştür. .
Önemli İlaveler:
Yeni kontroller arasında tehdit istihbaratı, DLP (Veri Kaybını Önleme), bulut güvenliği, yapılandırma yönetimi ve veri maskeleme yer alıyor.
Güncellemeler, bulut ortamlarında güvenliğin yönetilmesine, veri kaybının önlenmesine ve tehdit istihbaratının etkili bir şekilde analiz edilmesine vurgu yapıyor.
ISO 27001´i Uygulama Adımları:
Adım 1: Uygulamanın Planlanması:
Hangi varlıkların korunması gerektiğini, hangi verilerin kritik olduğunu ve hangi dış gereksinimlerin karşılanması gerektiğini belirleyerek BGYS´nin (Bilgi Güvenliği Yönetim Sistemi) kapsamını tanımlayın.
Zaman çizelgesini, önemli aşamaları ve kaynak tahsisini içeren bir uygulama yol haritası geliştirin.
Adım 2: Boşluk Değerlendirmesi Yapın:
Mevcut güvenlik programınızın ISO 27001 standardının gerekliliklerini karşılamadığı alanları belirlemek için boşluk analizi yapın. Bu, hem Madde 4-10´u hem de Ek A kontrollerini kapsamalıdır.
Adım 3: Risk Değerlendirmesi:
ISO 27001´in gerektirdiği şekilde kapsamlı bir risk değerlendirmesi gerçekleştirin. Risk değerlendirmesi, potansiyel güvenlik tehditlerini ve güvenlik açıklarını tanımlar ve bunları azaltmak için Ek A´dan uygun kontrolleri atar.
Adım 4: Kontrollerin Geliştirilmesi ve Uygulanması:
Risk değerlendirmesinin sonuçlarına göre güvenlik kontrollerini uygulayın. İlgili tüm alanların (fiziksel, teknik ve organizasyonel) kontrollerin kapsamında olduğundan emin olun.
Özellikle karmaşık altyapılara sahip kuruluşlar için, yapılandırma yönetimi ve DLP gibi kontrolleri uygulamak için mümkün olduğunda otomatikleştirilmiş araçları kullanın.
Adım 5: İç Denetim:
Sertifikasyona başvurmadan önce ISO 27001 standardına uygunluğu incelemek için bir iç denetim gerçekleştirin. Denetim kanıta dayalı olmalı ve dış denetimden önce ele alınması gereken boşluklar veya uygunsuzlukların bir listesiyle sonuçlanmalıdır.
Ek A Kontrol Grupları:
Organizasyonel Kontroller: Bilgi güvenliğini yönetmek için politikaları, prosedürleri ve yönetişim yapılarını içerir. Bazı önemli organizasyonel kontroller arasında roller ve sorumluluklar, güvenlik farkındalığı eğitimi ve olay yönetimi yer alır.
Kişi Kontrolleri: İnsan kaynaklarını yönetmeye ve kuruluş genelinde uygun güvenlik uygulamalarını sağlamaya odaklanın. Bunlara arka plan taraması, erişim kontrol politikaları ve çalışanların eğitimi dahildir.
Fiziksel Kontroller: Güvenli alanlar, varlık yönetimi ve fiziksel erişim kontrolleri gibi fiziksel alanların ve varlıkların güvenliğini ele alın.
Teknik Kontroller: Bilgi sistemlerinin güvenliğini sağlamak amacıyla uygulanan teknik önlemlerdir. Güncellenen standart, bulut ortamlarının güvenliğini sağlamaya ve veri sızıntılarını önlemeye odaklanan daha fazla kontrol içerir.
Kaynak Etkileri ve Maliyetleri:
ISO 27001´i Uygulama Maliyetleri: Uygulama maliyetleri, kuruluşun büyüklüğüne, BGYS´nin karmaşıklığına ve harici danışmanlara ihtiyaç olup olmadığına bağlıdır.
Uygulama Araçları: GRC (Yönetişim, Risk ve Uyumluluk) platformu gibi araçlar, özellikle kontrollerin izlenmesi ve risklerin yönetilmesine yönelik uyumluluk çabalarını kolaylaştırabilir.
Gerekli Kişiler: Daha küçük kuruluşların, artan iş yükünün üstesinden gelmek için ek uyumluluk veya BT güvenlik personelini işe alması gerekebilir. Daha büyük kuruluşlar için mevcut ekipler, ISO 27001 uyumluluğunun belirli yönlerine odaklanacak şekilde yeniden tasarlanabilir.
Sorunsuz Bir Geçiş İçin İpuçları:
Erken Başlayın: Sertifikasyon son tarihlerinden çok önce ISO 27001:2022´ye geçiş için hazırlanmaya başlayın. Erken başlamak, tüm boşlukların zamanında tespit edilmesini ve giderilmesini sağlar.
İç Kaynaklardan Yararlanın: Kontrollerin uygulanması ve yönetilmesi konusunda işbirliği yapmak için dahili ekiplerin (BT, İK, hukuk vb.) katılımını sağlayın.
Dokümantasyon ve Kayıt Tutma: Tüm süreçlerin ve kontrollerin iyi bir şekilde belgelendiğinden emin olun. ISO 27001, kontrollere uygunluğun kanıtları ve risk değerlendirmelerinin sonuçları da dahil olmak üzere kapsamlı belgelendirme gerektirir.
Sertifikasyon Zaman Çizelgesi:
Geçiş Dönemi: ISO 27001:2013 sertifikasına sahip kuruluşların Ekim 2025´e kadar yeni standarda geçmesi gerekmektedir. Nisan 2024´ten itibaren tüm yeni sertifikaların 2022 standardına uygun olması gerekmektedir.
Yeniden Sertifikasyon Denetimleri: Bunlar, kuruluşun zaman çizelgesine bağlı olarak düzenli gözetim denetimleriyle birlikte veya bağımsız geçiş denetimleri olarak gerçekleştirilebilir.
ISO 27001 Sertifikasyonuna Genel Bakış:
Sertifikasyon Kapsamı: EKOL ULUSLARARASI BELGELENDİRME ekibi, danışmanlık hizmetlerinin yanı sıra ISO uygulamalarını destekleyen GRC platformu Phalanx´ı da sertifikalandırmaya karar verdi. Bu kapsam, ilgili sistemlerin, kişilerin ve süreçlerin tanımlanmasını ve bunun bir başvuru mektubunda resmileştirilmesini içeriyordu.
İki Temel Süreç:
Uygulama Süreci: Dahili olarak ISO uyumlu olma adımları.
Adım 1: Kapsam Belirleme ve Planlama:
Ekip, danışmanlık hizmetlerine ve Phalanx platformuna odaklanarak BGYS´nin (Bilgi Güvenliği Yönetim Sistemi) kapsamını tanımladı. Denetime hazırlık aşamasında sistemleri ve süreçleri belirlediler ve bunları kapsamlı bir şekilde belgelediler.
Adım 2: Mevcut Durum Değerlendirmesi:
EKOL ULUSLARARASI BELGELENDİRME´ın kontrollerini ISO 27001 standardına göre ölçmek için iç denetim gerçekleştirildi. Kontrollerin eksik olduğu boşlukları belirlediler ve boşluk değerlendirmesine dayalı olarak görevlere öncelik vererek bir iyileştirme yol haritası geliştirdiler.
Bu süreç, her boşluğa sahiplerin atanmasını ve iyileştirme için son tarihlerin belirlenmesini içeriyordu.
3. Adım: İyileştirme ve Yol Haritası:
EKOL ULUSLARARASI BELGELENDİRME, boşlukların kapatılmasına ilişkin ilerlemeyi izleyen bir proje yönetimi çerçevesi oluşturdu. Ekip politikaların yazılması, kontrollerin uygulanması ve ekibinin eğitimi üzerinde çalıştı. Phalanx platformu, iyileştirme çabalarının organize edilmesine ve önceliklendirilmesine yardımcı olarak ilerlemenin izlenmesini kolaylaştırdı.
Adım 4: Programın Uygulanması:
Yol haritasını tamamladıktan sonra ekip gerekli değişiklikleri uyguladı, politikaları ve kontrolleri yazıp geliştirdi. Christian, Sawyer ve EKOL ULUSLARARASI BELGELENDİRME ekibinin her biri ağ yönetimi, uç nokta yönetimi ve genel güvenlik yönetişimi gibi alanlara katkıda bulundu.
Uygulama Sürecindeki Zorluklar:
Belgeleme ve Yönetişim: Güvenlik yönetişimi, risk yönetimi ve daha fazlasıyla ilgili yaklaşık 30 farklı politika yazmak büyük bir çabaydı. Bu politikaları yönetmek ve güncellemek için çeşitli ekiplerin katkıları gerekiyordu.
Risk Değerlendirmesi: Kapsamlı bir risk değerlendirmesinin gerçekleştirilmesi ciddi çaba gerektirdi ve uç nokta cihaz yönetimi, iş sürekliliği ve araçları gibi önceliklere ilişkin karar alma sürecini etkiledi. Değerlendirme, kuruluşun kaynakları nereye tahsis edeceği ve riskleri azaltacağı konusunda bilgi verdi.
Üçüncü Taraf Katılımı: EKOL ULUSLARARASI BELGELENDİRME, iç denetimler ve sızma testleri için üçüncü taraf uzmanları görevlendirdi. Bu bağımsız değerlendirmeler ISO tarafından zorunlu tutulmaktadır ve gerekli şirket içi uzmanlığa sahip olmayan birçok kuruluş için sürpriz olabilir.
Sertifikasyon Süreci:
Adım 1: Planlama ve Kapsam Belirleme: Dış denetçi, bir başvuru formu ve kuruluşun kontrollerinin ana hatlarını çizen bir "uygulanabilirlik beyanı"nın doldurulması yoluyla kapsamın tanımlanmasına yardımcı oldu.
Aşama 1 Denetimi: Bu, yönetişim ve liderlik yapılarını kapsayan ISO 27001´in 4-10. Maddelerini gözden geçiren bir ilk denetimdir. Amaç, tam denetime geçmeden önce BGYS´nin uygun şekilde kurulduğundan emin olmaktır.
Aşama 1 denetiminin amacı olası sorunları tespit etmek ve kuruluşun Aşama 2´ye hazır olmasını sağlamaktır. Aşama 1 denetimleri genellikle 1-2 gün sürer ve belirlenen sorunlar Aşama 2´den önce ele alınabilir.
Aşama 2 Denetimi: Bu, Ek A kontrollerine odaklanan tam bir denetimdir. Politikaların, prosedürlerin ve kontrollerin uygulanmasının ayrıntılı bir incelemesini içerir. Denetçiler genellikle erişim kontrol günlükleri, yapılandırma ekran görüntüleri ve politikalar dahil olmak üzere önemli miktarda kanıta (denetim eserleri) ihtiyaç duyar.
Aşama 2 genellikle yaklaşık bir hafta sürer ve birden fazla ekip üyesinin görüşmelere, kanıt toplamaya ve denetçilerle yapılan tartışmalara katılmasını içerir.
Zaman Çizelgesi: Sertifikasyon sürecinin başlangıcından itibaren hem Aşama 1 hem de Aşama 2 denetimlerinin tamamlanıp sertifikanın alınması yaklaşık 2,5 ay sürdü.
Sertifikasyon Zorlukları:
Kanıtların Koordinasyonu: Yüzlerce denetim eserinin bir araya getirilmesi, İK, BT ve mühendislik dahil olmak üzere ekipler arasında koordinasyon gerektiriyordu. platformu bu eserlerin takip edilmesine ve kanıtların denetçiler için hazır olmasını sağlamaya yardımcı oldu.
Denetçilerin Titizliği: Ekibin denetçilerle birlikte her kontrolü derinlemesine kapsayan ayrıntılı incelemelerden geçmesi gerekiyordu. Bu süreç emek yoğundu, birkaç gün süren toplantılar ve ekibin çok fazla zaman harcamasını gerektiriyordu.
ISO Spesifikasyonu: ISO denetçileri, özellikle yönetişim yapıları konusunda çok spesifiktir. Ekibin roller, sorumluluklar gibi küçük ayrıntılar ve her süreç için tam belgeler dahil olmak üzere her gereksinimi karşıladığından emin olması gerekiyordu.
Üst Yönetimin Katılımı: Özellikle denetçiler genellikle BGYS´nin yönetilmesinde yönetişim ve liderlik rollerine odaklandıkları için üst yönetimin katılımının önemi vurgulanmıştır.
Son Çıkarımlar:
İç Denetim Hazırlığı: Belgelendirme denetiminden önce kapsamlı bir iç denetimin gerçekleştirilmesi kritik öneme sahipti. Bu, ekibin ne beklemesi gerektiğini anlamasına yardımcı oldu ve dış denetimi daha sorunsuz hale getirdi.
İşbirliği ve Kaynak Tahsisi: Sertifikasyon süreci, BT, güvenlik, İK ve yönetim dahil olmak üzere departmanlar ve kaynaklar arasında önemli bir işbirliği gerektirir.
Zaman Çizelgesi ve Planlama: Genel sertifikasyon zaman çizelgesi yaklaşık bir yıl sürdü; fiili denetim süreci ise yaklaşık 2,5 ay sürdü.
Önemli İpuçları ve Tartışılan Konular:
ISO 27001 Sertifikasyonunun Kapsamı:
Yanlış Kanı: Birçok kuruluş, sertifikasyonun kuruluşun tamamını kapsaması gerektiğine inanmaktadır.
Gerçeklik: Kapsam, daha odaklı ve yönetilebilir sertifikasyon çabalarına olanak sağlayacak şekilde temel ürünler, hizmetler veya iş birimleriyle sınırlandırılabilir. Bu aynı zamanda denetim yükünü ve maliyetlerini de azaltabilir. Kapsam, denetimin karmaşıklığını etkiler ve bu da ANAB gibi sertifikasyon kuruluşlarının ihtiyaç duyduğu denetim günlerinin sayısını etkiler.
Bilgi Güvenliği Yönetim Sistemi (BGYS):
BGYS nedir? Güvenlik programını destekleyen yönetişim çerçevesidir. Sürekli iyileştirmeyi sağlayan liderliğin desteğini, politikalarını ve süreçlerini içerir.
Bilgi Riski Konseyinin (IRC) Rolü: IRC, riskleri yönetmek ve programın iş hedefleriyle uyumunu sağlamak için işlevler arası liderliği içeren bir karar alma organıdır.
Politika Odaklı Denetimler ve Gerçek Uygulama:
Yaygın Hata: Bu politikaların etkili bir şekilde uygulandığından emin olmadan, yalnızca ISO sertifikasyonu politikalarına güvenmek.
Gerçek: Denetçiler, politikaların aktif olarak takip edildiğine dair kanıtlara ihtiyaç duyarlar. Bu, geliştirme belgeleri veya değişiklik yönetimi günlükleri gibi gerçek kontrolleri çalışırken görmeyi içerir.
Risk değerlendirmesi:
Risk Değerlendirmelerinin Önemi: İyi yürütülen bir risk değerlendirmesi çok önemlidir. Riskleri tanımlar ve bu riskleri azaltacak tedavi planlarına yol açar. Risk değerlendirmeleri denetimlerde yoğun bir şekilde incelenir ve güvenliğin iş hedefleriyle uyumlu hale getirilmesi açısından kritik öneme sahiptir.
Yaygın Tuzak: Boşluk değerlendirmesini risk değerlendirmesiyle karıştırmak. Uygun bir risk değerlendirmesi sadece bir kontrol listesi değil, stratejik bir uygulamadır.
İç Denetimler (Madde 9.2):
Gereklilik: ISO 27001, iç denetimin BGYS´nin günlük işleyişine dahil olmayan bağımsız bir tarafça yapılmasını gerektirir. Bu denetim genellikle gereklilikleri karşılamayan iç personel tarafından yanlışlıkla yapılır.
Sürpriz Faktörü: Birçok kuruluş, iç denetim için dışarıdan bir firma tutması gerektiğinin farkında değildir ve bu da beklenmedik maliyetlere yol açmaktadır.
Teknik Zorluklar:
Günlük Tutma ve İzleme: Kuruluşlar genellikle kapsamlı günlük kaydı sistemlerine sahiptir ancak eylemi yönlendiren anlamlı uyarıları yapılandırma konusunda başarısız olurlar. İlgili eylemlerin veya insan gözetiminin olmadığı günlükler etkisizdir.
Uç Nokta Cihaz Yönetimi: Birçok kuruluş, özellikle kendi cihazını getir (BYOD) politikalarıyla uç nokta cihazlarını yönetmekte zorluk çekiyor. Bu cihazlar antivirüs, konfigürasyon yönetimi ve yönetici hakları kısıtlamaları gibi sıkı kontroller gerektiren büyük bir güvenlik riskidir.
Güvenlik Açığı Yönetimi: Birçok kuruluş güvenlik açığı taramaları yürütürken, genellikle güvenlik açıklarını tespitten tam düzeltmeye kadar takip etmekte zorlanır ve bu da kalıcı güvenlik risklerine yol açar.
Programdaki Boşlukların Yönetimi:
Efsane: Sertifikasyon mükemmel bir güvenlik programı gerektirir.
Gerçek: ISO 27001, belgelendiği, risk derecesine göre sıralandığı ve devam eden bir iyileştirme planının parçası olduğu sürece bilinen boşluklara izin verir. Denetçinin odak noktası, yönetimin sürekli iyileştirme konusundaki kararlılığıdır.
Onaylayıcı Kuruluşun Seçilmesi:
Önemli Hususlar: Kuruluşlar, güvenlik değerlendirmeleri, nitelikleri ve itibarları konusundaki deneyimlerine dayanarak sertifika veren kuruluşları araştırmalı ve incelemelidir. ABD´de ANAB tarafından ISO 27001 için akredite edilmiş 14 sertifikalandırma kuruluşu bulunmaktadır, ancak yalnızca birkaçı bilgi güvenliği konusunda uzmanlaşmıştır.
Tavsiye: Paydaşlara rahatça sunum yapabileceğiniz bir sertifikalandırma kuruluşu seçin, çünkü onların adı sertifikanızda yer alacaktır.
ISO Sertifikasyon Belgeleri:
Ne Alırsınız: Sertifikasyon, sertifikasyonun kapsamını ve sertifikasyon kuruluşunun bilgilerini içeren tek sayfalık bir belgedir. Çok ayrıntılı olmadığından kuruluşlar genellikle müşterilere veya paydaşlara daha fazla güvence sağlamak amacıyla ek belgeler (örneğin uygulanabilirlik beyanı, şeffaflık paketleri) hazırlar.
Son Paket:
Sürekli İyileştirme: Başarılı bir ISO 27001 programının anahtarı, yönetimin sürekli iyileştirme konusundaki kararlılığıdır. Denetçiler mükemmelliği değil, iyi yönetilen ve gelişen bir program arıyorlar.
Birleşik Uyumluluk Çerçevesine Genel Bakış:
Amaç: Kuruluşlar sıklıkla birden fazla güvenlik ve uyumluluk çerçevesiyle (örneğin, ISO 27001, PCI DSS, SOC 2) karşı karşıya kalır ve bu da gereksiz denetimlere ve kaynak sıkıntısına yol açar. Birleşik bir uyumluluk çerçevesi, uyumluluk yükünü azaltmak için bu çerçevelerin uyumlu hale getirilmesine yardımcı olur.
Çakışan Gereksinimler: Çoğu güvenlik çerçevesinde %50 ila %90 oranında örtüşme vardır. Süreçleri ve kontrolleri birleştirerek kuruluşlar, çalışmaları çerçeveler arasında uyumlu hale getirebilir, silolanmış denetimlerden ve gereksiz görevlerden kaçınabilir.
Çerçeveler Arasında Uyumlulukla İlgili Zorluklar:
Silolanmış Ekipler: Kuruluşlar büyüdükçe, her biri ayrı çerçevelere odaklanan farklı ekipler ve ürünler silo haline gelebilir. Bu, ekiplerin gereksiz yere çabalarını tekrarlamasıyla verimsizliğe yol açar.
Birleşme ve Satın Alma (Birleşme ve Satın Alma) Faaliyeti: Satın alan şirketler genellikle ayrı uyum süreçlerini sürdürür ve bu da karmaşıklığı daha da artırır. Birleşik bir çerçeve, bu varlıklar arasında uyumluluğun kolaylaştırılmasına yardımcı olur.
Birleşik Uyumluluğun Faydaları:
Maliyet Azaltma: Denetimlerin birleştirilmesi, birden fazla denetçiye olan ihtiyacı azaltır ve genel maliyet verimliliğini artırır.
Kaynak Verimliliği: Zamanın ve kaynakların serbest bırakılması, ekiplerin sürekli denetimleri yönetmek yerine ürün geliştirme gibi temel görevlere odaklanmasına olanak tanır.
Risk Yönetimi: Birleşik bir yaklaşım, yalnızca uyumluluk odaklı olmak yerine güvenlik risklerine daha iyi odaklanmayı sağlar. Kuruluşlar odak noktalarını güvenliğe gerçekten değer katan faaliyetlere kaydırabilirler.
Denetim Yorgunluğunun Azaltılması: Ekipler, denetimleri ve kanıt toplamayı uyumlu hale getirerek aynı veriler için tekrarlanan taleplerden kaçınarak tükenmişliği azaltır.
Birleşik Uyumluluk Çerçevesini Uygulama Adımları:
Yönetişim ve İşlevler Arası Komiteler: Herkesin uyumluluk hedeflerine uyum sağlamasını sağlamak için farklı iş birimlerinden ve işlevlerden temsilcileri bir araya getiren bir Bilgi Riski Konseyi (IRC) veya benzer bir yönetim organı oluşturun.
Açık Politika Sahipliği: Her politikanın uygulanmasından ve bakımından sorumlu açık bir sahibi olmalıdır. IRC, politikaların kuruluş genelinde tutarlı olmasını ve herkesin sorumlu olmasını sağlar.
Çerçeve Seçimi: ISO 27001 gibi geniş çerçevelerle başlayın, çünkü bunlar çok çeşitli güvenlik gereksinimlerini kapsar ve daha spesifik çerçevelerle kolayca eşleşebilir. Kuruluşun yalnızca küçük bir kısmı için geçerli olan niş veya mevzuata özgü çerçevelerle başlamaktan kaçının.
Merkezi Bilgi Paylaşımı: Politikaların, prosedürlerin ve denetim yapılarının merkezi, erişilebilir bir konumda saklandığından emin olun. Farklı platformlara yayılan silolanmış bilgi probleminden kaçının.
Politika Eğitimi: Çalışanlarınızı yalnızca güvenlik temelleri konusunda eğitmeyin; onları rolleriyle ilgili belirli politikalar ve prosedürler konusunda da eğitin. Politika bilgisini güçlendirmek için güvenlik farkındalığı programlarını, çalışan el kitaplarını ve ekip toplantılarını kullanın.
Katılım Stratejileri: Düzenli eğitim ilgi çekici olmalıdır. Bazı kuruluşlar, politikaların ekipler arasında anlaşılmasını ve benimsenmesini sağlamak için belediye toplantıları veya öğle yemeği ve öğrenme gibi yaratıcı yöntemler kullanır.
Sürekli İyileştirme:
Sürekli İnceleme: İşletmeler, periyodik değerlendirmeler, iç denetimler ve dış denetimlerden alınan geri bildirimler yoluyla güvenlik duruşlarını sürekli olarak geliştirmelidir. Risk kayıtları belirlenen riskleri takip etmeli ve tamamen düzeltilinceye kadar bunları yönetmelidir.
GRC Platformları: Denetim yönetiminin, risk takibinin ve kanıt toplamanın merkezileştirilmesine yardımcı olabilir. Excel gibi manuel izleme yöntemlerine olan bağımlılığı azaltır ve denetim hazırlığını artırır.
Süreç Otomasyonu: Erişim incelemeleri, değişiklik yönetimi ve izleme gibi uyumluluk görevlerinin otomatikleştirilmesi, manuel çalışmaları önemli ölçüde azaltır. API entegrasyonları ve özel iş akışları, ekiplerin yinelenen uyumluluk kontrollerini otomatikleştirmesine olanak tanır.
Denetim Firması Seçimi:
Nitelikler ve Referanslar: Denetim firmasının önemsediğiniz çerçeveler genelinde sertifikalandırıldığından emin olun ve birleşik uyum konusundaki uzmanlığını doğrulamak için referanslar talep edin.
Tek Takım Yaklaşımı: Denetim firmasının, tüm denetim sürecini birden fazla çerçevede yöneten tek ve birleşik bir ekip sağlayabildiğinden emin olun. Bu, koordinasyon sorunlarını önler ve akıcı bir yaklaşım sağlar.
Teknoloji Kullanımı: Denetim taleplerini verimli bir şekilde yönetmek ve farklı çerçeveler üzerinden birden fazla bilgi talebi göndermekten kaçınmak için GRC araçlarını kullanan bir denetim firması seçin.
Birleşik uyumluluk yaklaşımının zamandan tasarruf sağladığını, denetim yorgunluğunu azalttığını ve genel güvenlik duruşunu iyileştirdiğini vurguluyor. Başarının anahtarı iyi yönetimde, merkezi bilgide, eğitimde ve doğru teknolojide yatmaktadır. Kuruluşlar sürekli iyileştirmeye odaklanmalı ve denetimler için doğru ortakları seçmelidir.
ekipmanın fiziksel güvenliğiyle ilgili Kontrol Hedefi 11.2´ye odaklanan ISO 27001 Açıklama serisinin devamı niteliğindedir. Bu bölümde izleyicilere bu hedef kapsamındaki dokuz kontrolün tamamını anlatarak şirketlerin bulut ortamlarında bile fiziksel ekipmanların güvenliğini nasıl sağlayacaklarını ve ekipmanların kullanımı ve imhasıyla ilgili risklerin nasıl yönetileceğini anlamalarına yardımcı oluyor.
Kontrol Hedefi 11.2: Ekipmanın Fiziksel Güvenliği
Bu hedef, özellikle bulut tabanlı ortamlarda veya şirket içi ekipmanı olmayanlarda fiziksel ekipmanın güvenliğini sağlamak için hayati önem taşıyan dokuz kontrolden oluşur.
1. Ekipman Yerleştirme ve Koruma (11.2.1)
Özellikle AWS veya Azure gibi dış kaynaklı ortamlarda ekipmanın depolandığı yerin fiziksel güvenliğine odaklanın.
Ekipmanın tesis dışında olması durumunda, hizmet sağlayıcılarla yapılan sözleşmeye dayalı anlaşmalar yoluyla güvenliğin yönetilmesini gerektirir.
2. Destekleyici Yardımcı Programlar (11.2.2)
Elektrik kesintilerine karşı korumanın sağlanması.
Şirketler, cihazları korumak ve güç sorunları durumunda kesintileri önlemek için UPS sistemlerine veya yedek güç jeneratörlerine sahip olmalıdır.
3. Kablolama Güvenliği (11.2.3)
Yetkisiz erişimi veya bağlantı kopmalarını önlemek için kablolamayı güvenli hale getirin.
Özellikle ortadaki adam saldırılarına veya cihazların yanlışlıkla çıkarılmasına karşı fiziksel güvenliği sağlar.
4. Ekipman Bakımı (11.2.4)
Toz birikmesi veya yetkisiz erişim gibi riskleri önlemek için ekipmanın düzenli bakımı.
Rutin anlık kontroller ve ekipman yönetimi için kontrol listeleri uygulayın.
5. Varlıkların Çıkarılması (11.2.5)
Ofisin taşınması veya işyeri dışında yedek depolama sırasında fiziksel ekipmanın taşınmasına ilişkin politikalar.
Yedekleme bantları gibi varlıkların güvenli bir şekilde taşınmasını içerir.
Tesis Dışı Ekipman Güvenliği (11.2.6)
Tesis dışında kullanılan mobil cihazların veya dizüstü bilgisayarların korunması.
Politikalar kabul edilebilir kullanımı, cihazların güvenliğini sağlamayı ve kayıp veya hırsızlığın önlenmesini kapsamalıdır.
7. Ekipmanın Güvenli İmhası (11.2.7)
Eski veya kullanılmayan ekipmanların güvenli bir şekilde hizmet dışı bırakılması ve imha edilmesine yönelik prosedürler.
Nette de bulacağınız gibi güvenli imha şirketlerini kullanın veya verilerin silindiğinden ve cihazların fiziksel olarak imha edildiğinden emin olun.
8. Gözetimsiz Kullanıcı Ekipmanı (11.2.8)
Cihazların, özellikle de dizüstü bilgisayarların gözetimsiz veya savunmasız bırakılmamasını sağlamak.
Politikalar, sunucu odaları veya dolaplar gibi fiziksel alanların güvenliğini sağlamayı teşvik etmelidir.
9. Temiz Masa ve Temiz Ekran Politikası (11.2.9)
Masaları hassas bilgilerden uzak tutmak ve gözetimsiz kaldığında ekranların kilitlenmesini sağlamak için yönergeler oluşturur.
Güvenliği korumak için çalışanların davranışlarına odaklanır.
Uygulama ve Dikkat Edilmesi Gerekenler
Bu kontrollerin uygunluğu, bir şirketin şirket içi ekipmana sahip olmasına, bulut tabanlı çözümler kullanmasına veya mobil cihazlarla çalışıp çalışmamasına bağlı olarak değişecektir. Şirketlerin bu kontrolleri kendi ortamlarına ve altyapı kurulumlarına göre uyarlamaları gerekiyor.
şirketlerin her bir kontrolün kurulumlarına nasıl uygulandığını değerlendirmesi ve politikalar, prosedürler ve bulut veya dış kaynak ortaklarıyla yapılan anlaşmalar aracılığıyla riskleri yönetmesi gerektiğini vurguluyor.
Çözüm
Bu bölüm, ISO 27001´in Kontrol Hedefi 11.2´sinin anlaşılması ve uygulanması için pratik bir kılavuz görevi görmektedir. İzleyicilerin, ekipmanlarının güçlü fiziksel güvenliğini korumak için kendi özel organizasyonel ihtiyaçlarını dikkate almaları ve bu kontrolleri benimsemeleri teşvik edilmektedir. Sunucu, daha fazla ISO uygulaması için ek kaynaklar ve yardım sunar.
Genel Bakış
Bu video, fiziksel ve çevresel güvenlikteki güvenli alanlarla ilgili Kontrol Hedefi 11.1´e odaklanan ISO 27001 Açıklama serisinin bir parçasıdır. Bu hedef kapsamındaki altı kontrolü inceliyor ve bunların hem şirket içi hem de hibrit çalışma ortamlarıyla olan ilgisini vurguluyor.
Kontrol Hedefi 11.1: Güvenli Alanlar
Bu amaç, bir kuruluşta fiziksel güvenliğin sürdürülmesinde anahtar olan altı özel kontrolü içerir. Fiziksel güvenlik, mühendislik gibi önemli faaliyetleri gerçekleştiren fiziksel ofisleri olan veya hassas belgeler ve altyapıyla ilgilenen kuruluşlar için en kritik öneme sahiptir.
1. Fiziksel Güvenlik Çevresi (11.1.1)
Bu, ofisinizin ortak alanlar (lobiler gibi), özel alanlar (satış odaları) ve gizli alanlar (veri depolama) gibi fiziksel bölgelerini ifade eder.
Tesisin bölgelere ayrılması ve genellikle yaka kartı sistemleri veya anahtar kart okuyucuları aracılığıyla erişim kontrolünün uygulanması gerekir.
2. Fiziksel Giriş Kontrolleri (11.1.2)
Kuruluşların, giriş ve çıkış noktalarını güvence altına almak için yaka kartı okuyucuları, fiziksel kilitler veya diğer mekanizmalar gibi giriş kontrollerini uygulaması gerekir.
Çalışanların erişimini (rozetler gibi) sağlamaya ve yetkilendirmeyi kaldırmaya yönelik sistemler, özellikle çalışanlar kuruluştan ayrıldığında çok önemlidir.
3. Ofislerin, Odaların ve Tesislerin Güvenliğinin Sağlanması (11.1.3)
Genel imar stratejisine dayanır. Bu kontrol, tesisin çeşitli bölümlerine erişimin nasıl verildiğine ve hangi mantıksal veya fiziksel güvenlik önlemlerinin uygulandığına odaklanır.
4. Dış ve Çevresel Tehditlere Karşı Koruma (11.1.4)
Binaların doğal afetlere (kasırga, elektrik kesintisi vb.) dayanacak şekilde tasarlanmasını sağlar.
Kritik altyapının veya verilerin sahada depolanıp depolanmadığına bağlı olarak risk bazlı bir yaklaşıma ihtiyaç vardır.
Güvenli Alanlarda Çalışma (11.1.5)
Sağlık verileriyle ilgilenenler gibi hassas alanlarda çalışan çalışanlar, hassas bilgilere gereksiz yere maruz kalmamak için tenha bölgelerde bulunmalıdır.
Sıradan ofis çalışanlarının aynı düzeyde izolasyona ihtiyacı olmayabilir.
6. Teslimat ve Yükleme Alanları (11.1.6)
Paketler veya hassas veriler ve altyapı olsun, teslimatların nasıl ele alındığını kontrol edin.
Tesisten alınan veya sevk edilen eşyaların oluşturduğu risk düzeyine göre yükleme alanları güvenlik altına alınmalıdır.
Temel Çıkarımlar ve Pratik Uygulama
İmar: Hassas alanların güvenliğini sağlamak için farklı erişim düzeylerine sahip fiziksel bölgeler uygulayın.
Giriş Kontrolleri: Anahtar kartları veya kilitler gibi güvenli alanlara kimin girip çıktığını kontrol etmek için sağlam mekanizmaların bulunduğundan emin olun.
Çevre Koruma: Özellikle kritik verileri veya altyapıyı barındırıyorsa, dış tehditlerden kaynaklanan riskleri azaltacak tesisler tasarlayın.
Denetçinin Kapsamı: Eğer temel faaliyetler (mühendislik veya veri yönetimi gibi) sahada gerçekleşirse, fiziksel konumlar muhtemelen denetim sırasında kapsam dahilinde olacaktır.
Uzaktan ve Hibrit Konular
Kuruluşunuz tamamen uzaktaysa, fiziksel güvenlik o kadar önemli olmayabilir ve bir denetçinin sahaya gelmesi gerekmeyebilir.
Hibrit ortamlar, uzaktaki ve ofis tabanlı çalışanlar için özel fiziksel güvenlik önlemlerine sahip olmalıdır.
Genel Bakış
Bu video ISO 27001 Açıklaması serisinin bir parçasıdır ve ISO 27001 standardının Bilgi Güvenliği Politikalarına ilişkin Madde 5.1´ine odaklanmaktadır. Bilgi güvenliği politikalarının nasıl oluşturulacağını ve sürdürüleceğinin yanı sıra bu kontrole uyumun gerekliliklerini de açıklıyor.
Madde 5.1: Bilgi Güvenliği Politikaları
ISO 27001´deki Madde 5.1 iki temel gereksinime ayrılmıştır:
Bilgi Güvenliği Politikasına sahip olmak: Bu politika, kuruluşun bilgi güvenliğini nasıl yönettiğini özetlemeli ve ISO 27001 veya diğer ilgili çerçevelerin (örneğin, NIST veya CIS) gerektirdiği tüm hususları kapsamalıdır.
Politikanın Periyodik Olarak Gözden Geçirilmesi: Politikanın güncel ve alakalı kalmasını sağlamak için en az yılda bir kez gözden geçirilmesi gerekir.
Tartışmanın Temel Noktaları
1. Bilgi Güvenliği Politikasının Oluşturulması
Politika, ISO 27001´deki ilgili tüm unsurları ele almalıdır. Kuruluşun ihtiyaçlarına daha iyi uyuyorsa NIST veya CIS gibi diğer çerçevelere dayanabilir, ancak ISO 27001 kapsamlı rehberlik sağlar.
Politika ayrıntılı olmalı ve kuruluşun özel gereksinimlerine uyacak şekilde özelleştirilmelidir.
EKOL ULUSLARARASI BELGELENDİRME ile çalışıyorsanız kuruluşunuzun benzersiz güvenlik ihtiyaçlarına uygun politikalar oluşturmanıza yardımcı olacak özelleştirilebilir şablonlar sağlar.
2. Politikanın İncelenmesi ve Güncellenmesi
Politika en az yılda bir kez veya kuruluşun operasyonlarında veya risk ortamında önemli değişiklikler olduğunda yenilenmelidir.
Değişiklik Günlüğü: Politika belgesinin başına bir değişiklik günlüğü eklemek en iyi uygulamadır. Güncellemelerin ne zaman yapıldığını ve değişikliklerden kimin sorumlu olduğunu takip etmelidir.
Alternatif olarak, değişiklikleri takip etmek için Google Drive veya OneDrive gibi araçları kullanmak da kabul edilebilir. Bu platformlar genellikle denetçilerin kabul edebileceği yerleşik değişiklik izleme özelliklerine sahiptir.
Denetçiler için Kanıtlar
Denetim sırasında denetçi, politikanın mevcut olup olmadığını ve periyodik olarak gözden geçirilip geçirilmediğini kontrol edecektir.
Bir değişiklik günlüğünün varlığı, uyumluluğu göstermek ve güncellemelerin zamanında yapıldığını göstermek açısından çok önemlidir.
Pratik Uygulama ve Öneriler
Bir güvenlik politikasının oluşturulması ve sürdürülmesi zahmetli bir çaba olabilir, ancak ISO 27001 (veya başka bir standart) tarafından ortaya konulan çerçeveyi takip etmek kuruluşunuzun uyumlu olmasını sağlayacaktır.
EKOL ULUSLARARASI BELGELENDİRME müşterisiyseniz, güvenlik politikalarınızın hem uyumlu hem de etkili olmasını sağlamak için şablonlar ve uygulamalı destek sağlarlar.
Çözüm
Madde 5.1, ISO 27001´in önemli bir parçasıdır ve kuruluşların kapsamlı ve periyodik olarak gözden geçirilen bir bilgi güvenliği politikasına sahip olmasını gerektirir. Kuruluşlar, bu maddedeki yönlendirmeyi takip ederek ve bir değişiklik günlüğü tutarak uyumluluğu sağlayabilir ve denetimlere iyi bir şekilde hazırlanabilir.
Genel Bakış
Bu video, bilgi güvenliğinin iç organizasyonunu ele alan ISO 27001´in Kontrol Hedefi 6.1´ine odaklanmaktadır. Christian Heinemann, rolleri, sorumlulukları ve yönetimi kapsayan bir bilgi güvenliği programının nasıl yapılandırılacağını anlatıyor.
Kontrol Hedefi 6.1: Bilgi Güvenliğinin İç Organizasyonu
Bu kontrol, bir kuruluşun bilgi güvenliğinin uygun yönetimini ve yapısını sağlamayı amaçlamaktadır. Amaç, bilgi güvenliği çerçevesindeki rolleri, sorumlulukları ve prosedürleri açıkça tanımlamaktır.
6.1´deki Temel Kontroller:
Bilgi Güvenliği Rolleri ve Sorumlulukları (6.1.1)
Bilgi güvenliği rollerinin ve sorumluluklarının tanımlanmasını ve belgelenmesini gerektirir. Bu genellikle şu yollarla elde edilir:
Bilgi güvenliği ekibinin hiyerarşisini gösteren organizasyon şemaları.
Bilgi güvenliğiyle ilgili her rol için iş tanımları.
Bu belgeler denetim gereksinimlerini karşılamak için gereklidir.
Görevler Ayrılığı (6.1.2)
Çıkar çatışmalarını veya bağımsızlık eksikliğini önlemek için görevlerin uygun şekilde ayrılmasını sağlar.
Örnek: Zafiyet taraması yapan kişi ile kendi çalışmasını doğrulayan veya onaylayan kişi aynı olmamalıdır.
Bilgi güvenliği politikanız dahilinde bu sınırları açıkça tanımlamanız önemlidir.
Yetkililerle İletişim (6.1.3)
Kuruluş içindeki hangi kişilerin kolluk kuvvetleri veya düzenleyici kurumlar (ör. FBI) gibi dış yetkililerle iletişim kurma yetkisine sahip olduğunu belirtir.
Sorunları dış yetkililere kimin iletebileceği konusunda netlik sağlamak için bu durum politikada belgelenmelidir
Özel İlgi Gruplarıyla İletişim (6.1.4)
Yetkililerle temasa benzer şekilde, bu kontrol kuruluş içinde ilgili sektör grupları, forumlar veya özel ilgi kuruluşlarıyla bağlantı kurmaktan kimin sorumlu olduğunu belirtir.
Proje Yönetiminde Bilgi Güvenliği (6.1.5)
Bilgi güvenliğinin proje yönetimi süreçlerine entegre edilmesini gerektirir.
Yaygın bir uygulama, gibi proje yönetimi araçları içinde güvenlik kapıları oluşturmayı ve güvenlik incelemelerinin proje yaşam döngüsünün bir parçası olmasını sağlamayı içerir.
Uygulama Kılavuzu
, kuruluşların politikalarını yapılandırmak için EKOL ULUSLARARASI BELGELENDİRMEtarafından sağlananlar gibi şablonları kullanarak bu kontrolleri nasıl karşılayabileceklerini gösteriyor.
Bilgi Riski Konseyi: Kuruluşlar, bilgi güvenliğini denetlemek için Siber Risk Komitesi veya Güvenlik Baş Sorumlusu (CSO) gibi bir yönetim organı kurabilir.
Bilgi güvenliği politikası şunları kapsamalıdır:
Kilit pozisyonların rolleri ve sorumlulukları.
Çıkar çatışmalarını önlemek için görevler ayrılığı.
Yetkililer ve özel ilgi grupları için iletişim protokolleri.
Proje yönetimi uygulamalarına güvenlik entegrasyonu.
Denetçi Beklentileri
Denetim standartlarını karşılamak için kuruluşların genellikle aşağıdakilere ihtiyacı vardır:
Bilgi güvenliği için açıkça yapılandırılmış bir organizasyon şeması.
Rollerin ve sorumlulukların doğru şekilde tanımlandığını gösteren iş tanımları.
Yukarıdaki kontrolleri kapsayan iyi belgelenmiş bir bilgi güvenliği politikası.
Çözüm
Kontrol Hedefi 6.1, bir kuruluşun bilgi güvenliği programının iyi yapılandırılmasını ve uygun şekilde yönetilmesini sağlar. Kuruluşlar, rolleri açıkça tanımlayarak, görevleri ayırarak ve güvenliği proje yönetimine entegre ederek hem iç yönetişim ihtiyaçlarını hem de dış denetim gereksinimlerini karşılayabilir.
Genel Bakış
Mobil cihazların ve uzaktan çalışmanın güvenliğine odaklanan ISO 27001 standardının Kontrol Hedefi 6.2´sini ele alıyor. Bu hedef, uzak çalışma ortamlarındaki ve mobil cihaz kullanımındaki güvenlik risklerinin yönetilmesiyle ilgili iki kontrolü içerir.
Kontrol Hedefi 6.2: Mobil Cihazlar ve Uzaktan Çalışma
Bu hedefin yalnızca iki spesifik kontrolü vardır:
Mobil Cihaz Politikası (6.2.1)
Uzaktan Çalışma Politikası (6.2.2)
Yalnızca iki kontrol olmasına rağmen, uzaktan çalışan ve çeşitli mobil cihazlar kullanan çalışanların sayısının artması nedeniyle bu hedef karmaşık olabilir.
1. Mobil Cihaz Politikası (6.2.1)
Temel Karar Noktaları:
Çalışanların kendi cihazlarını kullanmalarına izin verilip verilmeyeceği (Kendi Cihazınızı Getirin, BYOD) veya şirket tarafından verilen cihazları sağlayıp sağlamayacağınız.
Bu cihazların güvenliği nasıl sağlanır:
Mobil Cihaz Yönetimi (MDM) araçları
Antivirüs yazılımı
Yerel yönetim haklarının kaldırılması
Dizüstü bilgisayarlar, tabletler ve telefonlar gibi uç noktalarda şifreleme ve sağlamlaştırma prosedürlerini zorunlu kılma.
Mobil cihaz politikası, bu cihazların güvenliğinin nasıl sağlanacağını açıkça belirtmelidir. Ayrıca şifreleme, cihaz yönetimi ve kullanıcı erişimine ilişkin kısıtlamalar gibi uygulanacak teknolojileri ve süreçleri de belirtmelidir.
Uzaktan Çalışma Politikası (6.2.2)
Bu kontrol, uzak çalışma ortamlarının güvenliğini sağlamaya odaklanır. Kuruluş, uzaktan çalışmaya ilişkin tutumunu ve uzaktan çalışan çalışanların güvenli bilgi uygulamalarına bağlı kalmasını sağlayacak önlemleri tanımlamalıdır.
Politika, güvenli bağlantıları, cihaz güvenliğini ve uzaktan çalışma sırasında hassas bilgilerin işlenmesini ele almalıdır.
Uygulama ve Denetim Konuları
Politika Dokümantasyonu: Kuruluşun, mobil cihazları yönetme ve uzaktan çalışmaya ilişkin prosedürleri tanımlayan yazılı bir politikaya ihtiyacı vardır.
Pratik Uygulama: Denetçiler yalnızca politikayı incelemekle kalmayacak, aynı zamanda cihazlardan örnek alarak ve MDM araçlarının kullanımını ve diğer güvenlik önlemlerini değerlendirerek politikanın etkili bir şekilde uygulanıp uygulanmadığını da kontrol edeceklerdir.
Zorluklar: Bu politikanın uygulanması, sürekli yönetim ve yaptırım gerektiren mobil cihazların ve uzaktan çalışanların sayısının artması nedeniyle zorlayıcı olabilir.
Örnek Politika, EKOL ULUSLARARASI BELGELENDİRME tarafından kullanılan ve kuruluşların mobil cihazlarını ve uzaktan çalışma stratejilerini tanımlamalarına yardımcı olan bir bilgi güvenliği politikası şablonunu sergiliyor. Bu politika şunları içerir:
Mobil cihaz yönetimi ve uzaktan çalışmaya ilişkin bölümler.
BYOD, şirket tarafından verilen cihazlar ve güvenlik protokollerine ilişkin karar noktaları.
Bu politikaların uygulamaya konulması ve uygulanmasının izlenmesine yönelik prosedürler.
Çözüm
Bu hedefte yalnızca iki kontrol olsa da, mobil cihazların ve uzaktan çalışmanın etkili bir şekilde yönetilmesi, uzaktan çalışma ortamında bilgi güvenliğinin sağlanması açısından çok önemlidir. Kuruluşların iyi belgelenmiş bir politikaya sahip olması ve tüm cihazlarda ve çalışanlarda düzgün bir şekilde uygulanmasını sağlaması gerekir.
Video Başlığı: ISO 27001 Açıklaması: Kontrol Hedefi 7 - İnsan Kaynakları Güvenliği
Sunucu: Christian Heinemann, EKOL ULUSLARARASI BELGELENDİRMEGenel Müdürü
Bağlantı: Videoyu izleyin
Genel Bakış
İnsan Kaynakları Güvenliği ile ilgilenen ISO 27001´in Kontrol Hedefi 7´sine odaklanmaktadır., çalışanların güvenli bir şekilde işe alınması, yönetilmesi ve işten çıkarılmasına yönelik politika ve uygulamaları kapsayarak, çalışanların güvenliğinin istihdam öncesinde, sırasında ve sonrasında nasıl yönetileceğini açıklıyor.
Kontrol Hedefi 7: İnsan Kaynakları Güvenliği
ISO 27001 İnsan Kaynakları Güvenliğini üç temel aşamaya ayırır:
1. Varlık Envanteri (8.1.1)
Kuruluşların neyi varlık olarak değerlendireceklerine ve bunun envanterini nasıl çıkaracaklarına karar vermeleri gerekir. Varlıklar şunları içerebilir:
Uç nokta cihazları (ör. dizüstü bilgisayarlar, mobil cihazlar)
Veri
BT altyapısı (sunucular, ağlar)
Uygulamalar ve sistemler
Önemli Hususlar:
Envanter yönetimi için otomatik veya manuel süreçlerin kullanılıp kullanılmayacağı.
Bu varlıkların sahipliği nasıl atanır?
Uç noktalar için mobil cihaz yönetimi (MDM) veya bulut altyapısı için AWS araçları gibi araçları kullanarak bulut ortamlarındaki varlıkların envanterini çıkarmaya yönelik stratejiler.
2. Varlıkların Mülkiyeti (8.1.2)
Her varlık türü için sahiplik atama (ör. uç nokta cihazları, altyapı, sistemler ve uygulamalar).
Varlık sahibi, envanterin yönetilmesinden ve varlığın güvenli bir şekilde kullanılmasını sağlamaktan sorumludur.
3. Varlıkların Kabul Edilebilir Kullanımı (8.1.3)
Bu kontrol, varlıklar için kabul edilebilir bir kullanım politikasının oluşturulmasıyla ilgilidir.
Çalışanların kuruluşun varlıklarını nasıl kullanabileceğini tanımlar. Örneğin:
Dizüstü bilgisayarlar yalnızca iş amaçlı kullanılabilir.
Şirket cihazlarının kişisel kullanımı kısıtlanabilir.
Kuruluşların bu kuralları çalışanlara açıkça iletmesi gerekir ve bu genellikle kabul edilebilir kullanım politikası aracılığıyla yapılır.
Varlıkların İadesi (8.1.4)
Bir çalışanın şirketten ayrılması gibi, artık kullanılmadığında varlıkların (dizüstü bilgisayarlar veya veriler gibi) kuruluşa nasıl iade edilmesi gerektiğini tanımlar.
Bu aynı zamanda USB sürücüler veya basılı belgeler gibi fiziksel ortamlarda saklanan ve güvenli bir şekilde iade edilmesi gereken verileri de içerir.
Uygulama Örnekleri
Christian, kuruluşların varlık yönetimi stratejilerini tanımlamalarına yardımcı olan Risk 360´ın bilgi güvenliği politikası şablonunun bir örneğini paylaşıyor. Anahtar noktalar şunları içerir:
Varlıklar nasıl sınıflandırılır: Uç nokta cihazları, altyapı, yazılım, SaaS platformları vb.
Envanter yöntemleri: Cihazlar için MDM gibi otomatik araçların kullanılması veya belirli varlıklar için manuel envanter süreçlerinin kullanılması.
Sahip ataması: Her varlık sınıfından (ör. altyapı veya uygulamalar) kimin sorumlu olduğunu belirlemek.
Varlık Yönetiminin Önemi
paylaş
twittle
paylaş
paylaş