Risk iþleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapýlmalý ve uygulanmalýdýr. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarýnca risk yönetimi faaliyetlerini yürütmeli ve varlýðýn risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalýþmayý sürdürmelidir.
ISO 27001 Kurumlarýn risk yönetimi ve risk iþleme planlarýný, görev ve sorumluluklarý, iþ devamlýlýðý planlarýný, acil durum olay yönetimi prosedürleri hazýrlamasýný ve uygulamada bunlarýn kayýtlarýný tutmasýný gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldýðý bir bilgi güvenliði politikasý yayýnlamalý ve personelini bilgi güvenliði ve tehditler hakkýnda bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacýna uygunluðunun ve performansýnýn sürekli takip edildiði yaþayan bir süreç olarak bilgi güvenliði yönetimi ancak yönetimin aktif desteði ve personelin katýlýmcýlýðýyla baþarýlabilir.
ISO 27001’den bahsederken karýþtýrýlan ve dikkatle ayrýlmasý gereken þey ISO 27001’in YÖNETÝM SÝSTEMÝ öngörmesidir. ISO 27001 size nasýl virüs bulaþmayacaðýný anlatmaz.
Devam Eden Prosesler
bilgi güvenliði yönetimi, bir kere yapýlýp kenara býrakýlacak bir uygulama deðildir; devam eden bir sürekli geliþim faaliyeti olarak (ISO 9001 gereksinimleri gibi diðer yönetim sistem standartlarý kadar TS ISO/IEC 27001 tarafýndan uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadýr.
Ýyi yönetilen bilgi güvenliði, iþi yapýlabilir kýlar. BGYS faaliyetleri için yönetim desteði, baþarýlý ve etkili BGYS gerçekleþtirmelerinin hayata geçirilmesindeki en önemli faktörlerden biridir.
BGYS standardý olan TS ISO/IEC 27001, uyulmasý istenirse, kuruluþun uymak için ihtiyaç duyduðu gereksinimler kümesi þeklini alýr. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasýnda belirtilmiþtir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaþýmýyla iliþkili gereksinimleri de kapsar.
TS ISO/IEC 27001’deki gereksinimlerini yansýtan hükümler zorunludur. “-meli” , “-malý” terimi içeren ifadeler ise gereksinimlerin uygulanmasýna kýlavuzluk etmesine raðmen bünyeye uydurulmasý beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanýlýr.
Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alýntý yapýlmamasý anlamýna gelen kýlavuz ve tavsiyeler þeklindedir ve uyum isteklerinin yanlýþ yönlendirilmemesini saðlamasý için dikkate alýnmasýna özen gösterilmelidir.
PUKÖ Modeli
Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli) olarak bilinen model, ISO/IEC 27001 standardýnda kullanýlmýþtýr. Bu model, bir BGYS’in kurulmasýnda,
gerçekleþtirilmesinde, iþletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanýlýr.
Planla (BGYS’nin Kurulmasý)
Sonuçlarý kuruluþun genel politikalarý ve amaçlarýna göre daðýtmak için, risklerin yönetimi ve bilgi güvenliðinin geliþtirilmesiyle ilgili BGYS politikasý, amaçlar, hedefler, prosesler ve prosedürlerin kurulmasý.
Uygula (BGYS’nin Gerçekleþtirilmesi ve Ýþletilmesi)
BGYS politikasý, kontroller, süreçler ve prosedürlerin gerçekleþtirilip iþletilmesi.
Kontrol Et (BGYS’nin Ýzlenmesi ve Gözden Geçirilmesi)
BGYS politikasý, amaçlar ve kullaným deneyimlerine göre proses performansýnýn deðerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçlarýn gözden geçirilmek üzere yönetime rapor edilmesi.
Önlem Al (BGYS’nin Bakýmý ve Ýyileþtirilmesi)
BGYS’in sürekli geliþiminin saðlanmasý için içsel BGYS denetim ve sonuçlarýna, yönetimin gözden geçirmesine ve konuyla ilgili diðer bilgilere göre düzeltici ve koruyucu önlemlerin alýnmasý.BGYS’nin Kurulmasý
“Planlama aþamasý” için ISO/IEC 27001 Madde 4.2.1’de tanýmlanan gereksinimler aþaðýdaki gibidir:
a) Ýþin, kuruluþun, kuruluþun yerinin, varlýklarýnýn ve teknolojisinin özellikleriyle BGYS’in kapsamýnýn ve sýnýrlarýnýn tanýmlanmasý.
BGYS’nin kapsamý kuruluþun belli bir kýsmý olabileceði gibi, baðýmsýz bir biçimde de tanýmlanabilir; ya da kapsam tüm kuruluþu ifade edebilir. Uygun olan BGYS kapsamýný belirlemek tamamen kuruluþa kalmýþtýr ancak, her halükârda BGYS kapsamý ve o kapsamýn sýnýrlarýnýn eksiksiz bir biçimde ve iyi tanýmlanmasý gerekir. BGYS’nin, kuruluþun diðer bölümleriyle (BGYS kapsamýnda olmayan), diðer kuruluþlarla, üçüncü þahýs olan tedarikçilerle ya da BGYS dýþýndaki baþka varlýklarla arasýndaki ara yüzlerin ve baðýmlýlýklarýn da kapsamda dikkate alýnmasý gerekir.
BGYS dýþýnda býrakýlanlarýn ayrýntýlarý belgelenmeli ve gerekçeleri iyi ortaya konulmalýdýr. BGYS kapsamýndan iþ bölümleri hariç tutulurken, kuruluþun hariç tutulan bölümleriyle herhangi bir bilgi deðiþiminin yukarýda bahsedilen ara yüzler ve baðýmlýklar kullanýlarak tanýmlanmasý ve adreslenmesi gerektiði hususuna özen gösterilmelidir.
b) Ýþin, kuruluþun, kuruluþun yerinin, varlýklarýnýn ve teknolojisinin özellikleri göz önüne alýnarak bir BGYS politikasýnýn tanýmlanmasý.
BGYS politikasý, ilgili yasal ve düzenleyici gereksinimleri, sözleþmeden doðan veya üçüncü þahýslarýn yükümlülüklerini ya da baðýmlýlýklarýný da dikkate almalýdýr. Yönetim BGYS politikasýný onaylamalý ve tüm çalýþanlar politikayý algýlamalý, politikanýn önemini ve amacýný anlamalýdýr.
Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin deðerlendirmeye alýnacaðýna dair risk yönetim kapsamý ve kriterini belirleyen bir çerçeve içermelidir.
BGYS politikasý, bilgi güvenliði politikasýnýn mutlaka göz önüne alýnmasýnýn gerekmeyebileceði konularý adreslediðinden, BGYS politikasý bilgi güvenliði politikasýnýn bir üst kümesi olarak görülebilir.
Kuruluþ için uygun olmasý halinde bu politikalar tek belgede tanýmlanabilir.Birden fazla sayýda da politika tanýmý özel alt konulara yönelik olarak hazýrlanabilir.
c) Risk deðerlendirmeye sistematik bir yaklaþýmýn tanýmlanmasý
Bu BGYS’ye, tanýmlanan iþe, bilgi güvenliði ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaþým ve metodoloji olmalýdýr.
Kuruluþ,riskleri kabul etmek için kullanacaðý kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluþun kendisine uyarlayacaðý risk deðerlendirme metodu, tamamýyla kuruluþun kendi kararýdýr.
Kullanýlacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A)sýnda ya da ISO/IEC
17799’da geçen tüm kontrol alanlarýný kapsayan yönetim sistemiyle ilgili olmasý gerekliliði önemlidir.
Bu metot, kuruluþ bakýmdan, personel kontrolleri, iþ süreçleri, iþletim ve bakým süreçleri ve iþlemleriyle yasal, düzenleyici, sözleþmeden doðan konular ile bilgi iþlem tesisleriyle ilgili riskleri kapsamalýdýr.
BS 7799-3 standardý olan BGYS risk yönetimi bu maddeyle birlikte aþaðýdaki d) ve e) maddelerine uygun risk deðerlendirmesi konusunda da bilgi verir.
Risk deðerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalý yazýlým araçlarýnýn kullanýlmasýnýn faydasý olduðu pek çok durumda bile risk deðerlendirmesi otomasyona dayalý yazýlým araçlarýnýn kullanýlmasýný gerekli kýlmaz. Bu durum özellikle, risklerin yeniden deðerlendirileceði ve tehditler, hassasiyetler ile varlýklara yönelik riskle ilgili bilginin güncellenmesi gerektiði zamanlarda söz konusudur. Risk deðerlendirme metodu ve yaklaþýmýnýn karmaþýklýðý, gözden geçirilecek olan BGYS’nin karmaþýklýðýna baðlýdýr. Kullanýlacak olan teknikler, karmaþýklýkla ve kuruluþ tarafýndan istenen güvence seviyeleriyle tutarlý olmalýdýr.
d) Varlýklara yönelik risklerin tanýmlanmasý; bu varlýklarla ilgili tehditlerin ve hassasiyetlerin dikkate alýnmasý ve gizlilik, bütünlük ve kullanýlabilirlik kayýplarýnýn varlýklarda görülmesinin etkileri.
Tanýmlanmýþ olan risklerin, tehditlerin ve hassasiyetlerin, yukarýdaki c) maddesinde belirtildiði þekilde farklý denetim alanlarýyla iliþkili olmasý gerekir.
BGYS içerisindeki tüm varlýklarýn tanýmlanmasý risk deðerlendirmesinin esasýný oluþturduðundan BGYS içerisindeki tüm varlýklarýn tanýmlanmasýný, her bir varlýðýn sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlýklarýn gizliliðinin, bütünlüðünün ve kullanýþlýlýðýnýn zarar görmesinin tesirlerinin tanýmýnda, bu tür zararlarla tehlikeye düþen tanýmý yapýlmýþ yasal, düzenleyici ve sözleþmeye dayanan ve iþ gereksinimleri dikkate alýnmalýdýr.
e) Yukarýdaki d) maddesinde iþleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve deðerlendirilmesi; kuruluþ, personel, iþ süreçleri, iþletme ve süreklilik konularýyla birlikte yasal, düzenleyici ve sözleþmeden doðan hususlarýn ve kontrol alanlarýnýn tümünü içerecek þekilde dikkate alýnmasý
Bu kavram, varlýklarýn gizliliðinin, bütünlüðünün ve kullanýþlýlýðýnýn zarar görmesinin sonuçlarý göz önüne alýnarak, güvenliðin kaybedilmesinden ortaya çýkan iþ etkilerini deðerlendiren kuruluþu da kapsar.
Bu kavram ayný zamanda tanýmlanmýþ tehditleri ve duyarlýlýklarý dikkate alarak bir güvenlik kaybýnýn yaþanmasý benzeri bir deðerlendirmeyi ve bunlarýn bir arada meydana gelmesini ve bir ihlal olayýnýn oluþmasýný da içerir. Ýhlal olaylarýnýn oluþumu benzeri bir durum deðerlendirilirken, geçmiþte meydana gelmiþ ihlal olaylarýnýn raporlarýna, internet üzerindeki raporlara, istatistiklere, haberlere ve eðilimlere bir göz atmakta yarar vardýr. Kuruluþ elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarýdaki c) maddesinde belirtilen iþ kapsamýný dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediðini ya da ortadan kaldýrýlmasýna gerek bulunup bulunmadýðýný belirlemeye ihtiyaç duyar.
f) Risklerin ortadan kaldýrýlmasý için seçeneklerin tanýmlanmasý ve deðerlendirilmesi
Kuruluþ kendi iþ sahasýnda risklerin etkisini bir kez tanýmladýðýnda, deðerlendirdiðinde ve durumu anladýðýnda; söz konusu bu riskleri ortadan kaldýrmak için uygun önlemler uygular. Kuruluþun kullanacaðý önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaþmayarak riskten sakýnýlmasý, riskin sigorta kuruluþu gibi bir üçüncü tarafa (tamamen ya da kýsmen) aktarýlmasý ya da riski bilerek ve objektif bir þekilde kabul edilmesini içerir.
Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanýlacaðý tamamen kuruluþa kalmýþ bir konudur. Farklý kuruluþlar, iþteki hedeflere ve mevcut þartlara baðlý olarak ayný risk için farklý sonuçlar ortaya koyabilir. Her halükârda, bu sonuçlarýn düzgün bir biçimde yazýya dökülmesi ve kuruluþun risklerin her yönüyle farkýnda olarak, en küçük bir ihmalde dahi bulunmadan aldýðý kararlarýn arkasýndaki gerekçeleri ortaya koyabilmesi önemlidir.
g) Riski ortadan kaldýrma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi
Kuruluþ, riski yönetmek ve ortadan kaldýrmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasýnýn riski ne kadar azalttýðý ve tanýmlanmýþ olan yasal, düzenleyici ve sözleþmeye dayalý gereksinimler dikkate alýnmalýdýr.
Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluþun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacý olabilir. Ek A bir baþlangýç noktasý olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasýndan seçim yapýlmamasý da olasýdýr. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalý ve yazýya dökülmelidir.
Kontrol tedbirlerinin seçimi, maliyet etkin olmalýdýr; örneðin, kontrol tedbirlerinin gerçekleþtirilme maliyeti, azaltýlmasý düþünülen risklerin finansal etkisini aþmamalýdýr. Ancak, bazý etkiler parayla da ölçülemez.
Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalýdýr. Buna ek olarak kontrol tedbirlerinin gerçekleþtirilmesinden sonra da hâlâ bazý risklerin deðerlendirilmesine ihtiyaç vardýr. Bu riskleri deðerlendirmek genellikle güçtür, ancak en azýndan daha fazla kontrol tedbirinin gerekli olup olmadýðýný anlamak için ne kadar çok kontrol tedbirinin tanýmlanmýþ olan güvenlik gereksinimlerine yönelik olduðuna dair bir tahminde bulunulmalýdýr.
h) Teklif edilen artýk risklerin idare onayýnýn alýnmasý.
Yönetim, seçilen kontrol tedbirleri gerçekleþtirildikten sonra teklif edilen artýk risklerin bulunduðunu onaylamalýdýr. Teklif edilen artýk riskler bu noktada yalnýzca bir tahmin olabilir, ancak “Kontrol et aþamasý” bu tahminin doðru olup olmadýðýný onaylayacaktýr. Her þeye raðmen, seçilen kontrol tedbirlerinin gerçekleþtirilmesine ihtiyaç bulunduðuna ve bunun da para, zaman ve diðer kaynaklara gereksinim duyduðuna dair bu noktada yönetim onayý önemlidir.
i) BGYS’yi gerçekleþtirmek ve iþletmek için yönetimin yetki vermesi.
“Planlama aþamasý” nýn sonunda yönetim, BGYS’yi gerçekleþtirmek ve iþletmek için yetki vermelidir. Böylece onay verdiðinin ve planlanan eylemleri desteklediðinin iþaretini vermelidir.
j) Uygulanabilirlik belgesinin hazýrlanmasý.
Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikasý isteyen kuruluþlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazýlý bir belgedir.
Yapýlan seçimler, risk deðerlendirme sonuçlarý ve risk giderme süreçleriyle iliþkilendirilmelidir.
Bu iliþkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.
Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek baþýna geçerli bir UB’yi meydana getirmez. UB gerçekleþtirilmiþ olan kontrol hedeflerini ve tedbirlerini de tanýmlamalý ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanýlmamasýnýn gerekçesini de ortaya koymalýdýr.
Risk deðerlendirmesinin ve riskin ortadan kaldýrýlmasýnýn belgelenmesinin riske, sonuç olarak da varlýklara, tanýmlanmýþ gereksinimlere ve güvenlik politikasýna dönük seçilmiþ ya da seçilmemiþ kontrol tedbirleriyle olan iliþkisini desteklemesi önemlidir.
BGYS’nin Gerçekleþtirilmesi ve Ýþletimi
Uygula aþamasý için ISO/IEC 27001 Madde 4.2.2’de tanýmlanan “-ecek” , ”-acak” ifadeleri; kuruluþun planla aþamasý’nda kurulan BGYS’in gerçekleþtirilmesi ve iþletilmesi için uygun proses kümesine sahip olunmasýný temin etmesi amacýyla tasarlanmýþtýr.
Uygula aþamasýndaki farklý adýmlar aþaðýdaki gibidir:
a) Bir risk giderme planýnýn formül edilmesi.
Bu plan, tanýmlanmýþ riskleri yönetmek için hangi yönetim eylemlerine baþvurulmasý gerektiði, bu eylemlerin öncelikleri, sýnýrlayýcý faktörler, son bildirim tarihleri ve gerekli kaynaklarýn neler olduðunun ana hatlarýný ortaya koymalýdýr. bilgi güvenliði risklerini yönetme sürecinde baþvurulan eylemlerin sorumluluðunun, BGYS’deki yöneticilerin ve kullanýcýlarýn konuyla ilgili güvenlik sorumluluklarýnda olduðu kadar açýkça ortaya konulmasýna ihtiyaç vardýr. Baþka iþ prosesleri ve planlarýnýn da risk giderme planýyla koordine edilmesine ihtiyaç duyulabilir.
b) Risk giderme planýnýn gerçekleþtirilmesi.
Kuruluþ, BGYS için gerekli olan fon kaynaðýný, rollerin ve sorumluluklarýn paylaþýmýný göz önüne alan bir risk giderme planý ile seçilen kontrol hedefleri ve önlemleri sisteminin gerçekleþtirilmesi amacýyla bir dizi süreç belirlemelidir. Bu proseste tanýmlanan eylemler, roller ve sorumluluklar yazýya dökülmelidir.
c) Kontrol hedeflerini karþýlamasý için seçilen kontrollerin gerçekleþtirilmesi.
Kuruluþ, risk giderme planýnda yer alan eylemler, öncelikler, kaynaklar, roller ve sorumluluklarla birlikte seçilen kontrollerin gerçekleþtirilmesi için prosedürleri ortaya koymalýdýr. Kaynak israfýný önlemek için gerçekleþtirme derecesi (örneðin; ne kadar eðitim, kayýt veya raporlama),çok dikkatlice karar vermeyi gerektirir. Lüzumsuz gerçekleþtirme; tüm kontrol etkinliðinde bir azalmayla sonuçlanan, kontrolden etkilenen personelin rahatsýzlýk duymasýna neden olabilir.
Güvenlik ve kontrol, daima insanlarýn yaþamlarý ve çalýþma pratikleri üzerinde etkilidir; ancak hiçbir zaman sýkýntýya sebep olmamalýdýr.
d) Kontrol etkinliðinin ölçülmesi ve deðerlendirilmesi.
Seçilen kontrollerin gerçekleþtirilmesiyle birlikte kontrol etkinliðinin ölçülmesini ve deðerlendirilmesini mümkün kýlan anlamlarýn da ortaya konulmasý gereklidir. Kontroller, seçildiði bilgi güvenliði risk(ler)inin yönetiminde iþe yaramalýdýr. Bu nedenle kuruluþ, kontrollerin öngörülen hedefleri elde etmesini temin için kontrollerin etkinliðini nasýl ölçmek istediðini belirlemelidir. Tüm kontrollerin grup hâlinde etkinliðinin ölçülmesi usulü uygun ve anlamlý olduðu sürece kontrolleri gruplar halinde ayýrmak mümkün olduðu gibi, bu kontrol gruplarýna uygulanacak olan ölçütleri tanýmlamak da mümkündür.
Kontrol etkinliðinin belirlenmesinde kullanýlan ölçütler, karþýlaþtýrýlabilir ve yeniden elde edilebilir sonuçlar vermelidir. Bu ölçütler, kontrollerin maliyet etkinliðini de ortaya koymalýdýr. Genellikle bir kontrol için gerçekleþtirmenin birden fazla derecesi vardýr ve elde edilen faydalar, ilave edilen güvenliðin elde ettiði gerçek kullaným ile karþýlaþtýrýlmalýdýr. Kontrollerin etkinliðinin ölçülmesi için tanýmlanan anlamlar,kuruluþun kontrol etkinliðinin belirlenmesinde nasýl kullanýldýðýný göstermek için belgelendirme amacýyla yazýya dökülmelidir.
e) Eðitim ve farkýndalýk programýnýn gerçekleþtirilmesi.
Kuruluþ, BGYS sorumluluklarý olan personelin verilen görevleri yerine getirme konusunda yeterli olmalarýný saðlamak için uygun bir farkýndalýk ve eðitim programý uygulamalýdýr. Program gerekli yeterlikleri belirlemeli, bu gereksinimleri karþýlamak için gerekli olan eðitimi sunmalý, eðitimin etkinliðini deðerlendirmeli ve kazanýlan yetilerin ve niteliklerin kaydýný tutmalýdýr.
güvenliðin, insanlarýn yaptýklarý iþi engellemek için var olmadýðý unutulmamalýdýr. Güvenlik, insanlarýn yaptýklarý iþi daha kontrollü yapmalarýný saðlamalýdýr. Güvenlik, insanlarýn verilen sorumluluklarý yerine getirdiðini göstermeli ve kýymetlerini hiçbir þüpheye meydan vermeksizin ortaya koymalý ve niteliklerini geliþtirmelidir. Çalýþanlar, iyi seviyede gerçekleþtirilmiþ güvenliðin rahatsýzlýk kaynaðýndan daha çok faydasý olduðunu kýsa sürede anlayacaklardýr.
f) BGYS’nin iþletilmesinin idaresi.
Kuruluþ, BGYS’yi tanýmlanan kontroller, politikalar ve prosedürlere uygun olarak iþletmelidir. BGYS’nin gün gün iþletilmesi, kurulan güvenlik düzenlemelerinin tasarlandýðý gibi iþlevini yerine getirip getirmediðinin deðerlendirilmesi amacýyla “Kontrol et aþamasý” için gerek duyulan bilgiyi saðlamalýdýr. Bu deðerlendirmenin yapýlabilmesi için BGYS’nin iþletimi sýrasýnda gerekli olan tüm belgelerin ve kayýtlarýn toplanmasý önemlidir.
g) BGYS için kaynaklarýn idaresi.
Kuruluþ, BGYS’yi iþletmek, izlemek, gözden geçirmek, sürekli kýlmak ve geliþtirmek için gerekli olan kaynaklarý tanýmlamalý ve saðlamalýdýr. Yeterli kaynaklarýn saðlanmasý,ayrýntýlarý Madde 3.9’da tanýmlanan genel yönetim sorumluluðunun bir parçasýdýr.
h) Ýhlal olaylarýný idare etmek için prosedürlerin ve kontrollerin gerçekleþtirilmesi.
Kuruluþ, bilgi güvenliði olaylarýný tanýmlamak ve rapor etmek, bu olaylarý deðerlendirmek, olaylara etkili bir biçimde karþýlýk vermek, bilgi güvenliði ihlal olaylarýnýn vereceði zararý sýnýrlamak için gerekli olan prosedürleri ve kontrolleri belirlemelidir. bilgi güvenliði ihlal olaylarýnýn tümünün kaydý çoðaltýlabilir olmalý ve kuruluþ, ihlal olaylarýný deðerlendirmek ve bu olaylardan dersler almak için usuller belirlemelidir. Ýhlal olayý yönetimi tarafýndan yapýlan kayýtlar, uygulama sýrasýnda riski belirlerken ya da riski ortadan kaldýrma kararlarý alýnýrken anlam ifade edip etmediði ve gerçekleþtirilen kontrollerin tasarlandýðý þekilde iþleyip iþlemediði konusunda deðerlendirme yapabilmek için çok deðerli bir kaynaktýr.
ISO 27001 BGYS Belgelendirme Süreci
Bir kuruluþun bilgi güvenlik yönetim sisteminin (BGYS) akredite üçüncü taraflarca belgelendirilmesi kuruluþun; ISO/IEC 27001 standardýnda belirtilen gereksinimleri karþýlayan bilgi güvenliði yönetim sistemini gerçekleþtirdiðini gösteren bir denetimi ve belirlemeyi kanýtlamak için kabul görmüþ bir yöntemdir.
BGYS’ye uygulanan belgelendirme prosesi ISO 9001 QMS (Kalite Yönetim Sistemi) ve ISO14001 EMS (Çevre Yönetim Sistemi) belgelendirmeleri gibi diðer yönetim sistemlerinde kullanýlan proses ile aynýdýr.
Akreditasyon ve belgelendirme terimlerinin tanýmlarý
Akreditasyon ve belgelendirme terimlerinin tanýmlarý ISO Guide 2 (BS EN 45020:1998)’de verilmiþtir.
Akreditasyon: Yetkili bir kuruluþ tarafýndan, bir kuruluþ ya da þahýsýn belli görevleri yürütmesi için yeterli olduðunun resmi olarak tanýndýðýný gösteren prosedür.
Belgelendirme: Üçüncü tarafýn bir ürünün, sürecin ya da hizmetin belirtilen gereksinimlere uyduðuna yazýlý olarak güvence verdiði prosedür.
Belgelendirmede yer alan taraflar
Belgelendirme prosesi aþaðýdaki taraflarý ilgilendirir.
* Akreditasyon taraflarý (belgelendirme iþlemini yapmak için belirleme ve akreditasyon kuruluþlarýndan sorumlu olan taraflar),
* Belgelendirme/tescil kuruluþlarý (müþterileri için belgelendirme faaliyetlerini idare etmekten ve müþterilerin yönetim sistemlerinin denetlenmesinden sorumlu olan taraflar),
* Yönetim sistemi, belgelendirmenin konusu olan kuruluþlar ile belgelendirme kuruluþlarýnýn müþterisi olan kuruluþlar.
Akreditasyon ve Belgelendirme standartlarý
Akreditasyon kuruluþlarýnýn, birbirleri ile anlaþmalarý vardýr ve uluslararasý ve bölgesel akreditasyon aðlarý yoluyla iþbirliði yaparlar. Belgelendirme kuruluþlarý (BK’larý) ve BK’larýn müþterileriyle ilgili akreditasyon kuruluþlarýnýn belirleme faaliyetleri akreditasyon için kullanýlan bir dizi standart ve kýlavuzlarýna dayanýr.
BGYS belgelendirmesi (BS 7799-2:2002 standardýndaki BGYS gereksinimleri ile bu standarttan sonra yayýmlanan ISO/IEC 27001 standardýndaki BGYS gereksinimleri) aþaðýdakileri içerir:
* EA 7/03,bilgi güvenliði Yönetim Sistemi (BGYS)’nin tescil eden/belgelendirmesini yapan Kuruluþlarýn Akreditasyonu Ýçin EA Kýlavuzlarý;
* 61 numaralý ISO/IEC Kýlavuzu (1996) Belgelendirme/Tescil kuruluþlarýnýn belirlenmesi ve akreditasyonu için genel gereksinimler;
* 62 numaralý ISO/IEC Kýlavuzu (1996) Kalite sistemlerinin Belgelendirme/Tescili ile belirlemesini yapan kuruluþlar için genel gereksinimler;
* EN 45010 (1998) Belgelendirme/Tescil kuruluþlarýnýn belirlenmesi ve akreditasyonu için genel gereksinimler;
* EN 45012 (1998) Kalite sistemlerinin Belgelendirme/Tescili ile belirlemesini yapan kuruluþlar için genel gereksinimler;
* ISO/IEC 17011(2004) Uygunluk Tespiti ;Uygunluk tespit kuruluþlarýnýn akretide eden Akreditasyon kuruluþlarý için genel gereksinimler;
* Kalite ve/veya çevre yönetim sistemleri denetim rehberi.
BGYS denetçileri
BGYS belirlemelerini yürüten denetçilerin niteliklerinin tescil edilmiþ olmasýna ve yukarýda geçen Madde 4.1.3’te listelenen dokümanlarýn birkaçýnda belirtildiði þekilde uygun yeterlik alanlarýnda yeterli deneyime sahip olmalarýna gerek vardýr.
UBDS (Uluslararasý Belgeli Denetçiler Sicili), BGYS denetçileri standartlarda tanýmlanan gereksinimleri karþýlarlarsa, söz konusu denetçilerin nitelikli BGYS denetçileri olarak tescil edilmesine olanak saðlayan BGYS Denetçi Projesini yönetir. UBDS belgelendirme prosesinin bir parçasý olarak, baþvuruda bulunanlarýn BGYS denetçisinin denetim sýrasýnda sahip olmasý ve göstermesi gereken ana becerilere, bilgi ve deneyime sahip olup olmadýðýný yansýtan gereksinimleri karþýlayýp karþýlamadýðýný deðerlendirir. Deðerlendirme ölçütü baþvuruda bulunanlarýn tescil edilmeleri için ortaya konulmasý gereken eðitimi, iþ deneyimini, denetçi eðitimini ve denetim deneyimini belirtir.
Belgelendirme
Akredite BGYS belgelendirmesi bir kuruluþun BGYS’nin ISO/IEC 27001’de belirtilen gereksinimlerle uyumunu kontrol etmek için BGYS’nin durumunun belirlenmesi ve denetimini içerir.
Söz konusu bu BGYS belirlemesi ve denetimi belgelendirme iþini yapan kuruluþta çalýþan bir ya da daha fazla sayýdaki denetçi tarafýndan yapýlýr. BGYS belirlemesi ve denetimi baþarýlý olursa, bu durumda denetçiler belgelendirme kuruluþuna, denetlenen kuruluþun BGYS gerçekleþtirmesi için belge verilmesi tavsiyesinde bulunur.
Bu tavsiye belgelendirme kuruluþu içerisindeki bir yönetim ekibi (bu ekip, denetimi yapan kiþilerden baþka kiþiler tarafýndan oluþturulur) tarafýndan gözden geçirilir. Gözden geçirme olumlu sonuçlanýrsa, kuruluþun BGYS tescili yapýlýr ve kuruluþa, belgelendirme iþlemini yapan kuruluþ ile akreditasyon kuruluþunun belgelendirme damgasýyla damgalanmýþ bir belge verilir.
Bir BGYS’nin belgelenmesi tamamýyla gönüllülük esasýna göredir. ISO/IEC 27001 belgelendirme sürecini baþarýyla tamamlayan kuruluþlar, bilgi güvenliðini yönetme konusunda kendilerinde daha fazla güven hissederler ve bu durum da, kuruluþun iþ iliþkisinde bulunduðu ticari ortaklarýna, müþterilerine ve hissedarlarýna güven telkininde bulunmasýna yardým eder.
Akredite olmuþ ISO/IEC 27001 BGYS belgesi, kuruluþun bilgi güvenlik kontrollerinin gizliliðinin ve özelliðinin belli ayrýntýlarýný muhafaza etmesi için kuruluþa izin veren BGYS yeteneðinin açýk ifadesidir.
Belgeler
Verilen belge üç yýl geçerlidir. Bu sürenin sonunda kuruluþ, baþka bir üç yýllýk dönem için belge almak üzere BGYS’nin durumunun yeniden belirlenmesi için baþvuruda bulunabilir. Belgenin geçerli olduðu üç yýllýk süresince kuruluþun BGYS’si bir dizi izleme ziyaretine maruz kalýr. Bu husus, BGYS’nin güncelliðini koruduðunu ve BGYS’de yapýlan deðiþikliklerin etkili bilgi güvenliðinin sürdürülmesi ile orantýlý uygun iyileþtirmeleri yansýttýðýnýn belirlenmesi için kontrolleri yapan belgelendirme kuruluþunun denetimcilerini kapsar.
Belgelendirme hazýrlýðý
Uyumun gösterilmesi ve belirlenmesi
Akredite ISO/IEC 27001 belgesi, kuruluþun BGYS’sinin belirlenmesini içerir. Bu tür bir belirleme için yapýlan hazýrlýkta kuruluþun, ana hatlarý Madde 3.3’te belirtildiði þekilde,
Planlama aþamasýnda geçen çeþitli faaliyetleri tamamlamýþ olmasýna ve bu faaliyetlerin sonuçlarýnýn yazýya dökülmesine ihtiyaç vardýr.
Örneðin; kuruluþun bir risk belirlemesi yapmasý ve belirlediði riskleri ve bu riskleri belirlerken yaptýðý analizi ortaya koyan bir risk belirleme raporunu hazýrlamasý önemlidir.
Kanýtýn denetlenmesi
Kuruluþun, BGYS’yi kurduðunun ve gerçekleþtirdiðinin ve bu BGYS’nin iþletimde olduðunun kanýtýný denetçilere gösterme ihtiyacý vardýr. Söz konusu kanýt, kuruluþun BGYS’nin tanýmýndan baþlayarak iþin bilgi güvenliði ihtiyaçlarýna uygun yönetim prosedürleri ile kontrolleri sisteminin gerçekleþtirilmesine uzanan bir sistem yaklaþýmý içerisinde bu iþlemi yaptýðýný ortaya koymalýdýr.
Kullanýlan yaklaþým ayný zamanda, iyi tesis edilmiþ bir risk yönetim prosesine dayanarak karþýlaþýlan risklerle nasýl baþ edileceði konusunda uygun yönetim kararlarýnýn alýndýðýný göstermeli ve bunun kanýtlarýný da ortaya koymalýdýr. Bunlara ek olarak, BGYS’yi izlemek, gözden geçirmek ve geliþtirmek için konulan prosedürleri ve bu prosedürlerin kullanýcýlar tarafýndan bilindiðini, prosedürlerin uygulamada da kullanýldýðýný kanýtlamalýdýr.
Denetim prosesi, ortaya konulan kanýtlarýn yönetimin, yürürlükteki yasal mevzuata ve ISO/IEC 27001’te belirtilenlere uygun olarak kuruluþun risk belirlemeleriyle tespit edilen güvenlik gereksinimlerini karþýlayan bilgi güvenliðini sunmasý için yeterli adýmlarý attýðýný ve gerekli iþlemleri yürüttüðünü teyit etmesi amacýyla gözden geçirme için iyi bir fýrsattýr.
Hariç tutulan hususlar ve riskin kabul edilmesi
Risk kabul ölçütünü karþýlamasý için gerekli olacaðý düþünülerek tesis edilmiþ yönetim kontrollerinden herhangi birisinin hariç tutulmasýnýn gerekçesi ortaya konulmalý ve yönetimin bu hariç býrakma kararýnýn, kuruluþun bilgi güvenliði risklerini ve hariç býrakma kararýný almada idari sorumluluðu bulunan ve kendilerine bu tür kararlarýn alýnmasýnda güvenilen idareciler tarafýndan, konuyla ilgili olduðu bilinen ve objektif bir biçimde kabul edilen baþka riskleri yönetme yeteneðini ve/veya sorumluluðunu etkilemediði de kanýtla desteklenmelidir.
Yazýya dökülmüþ bir yönetim sisteminin sunumu
Kurulan BGYS’nin çalýþmasý ve etkin bir biçimde iþlemesi; ISO/IEC 27001’e uyumlu olduðunu açýkça gösteren ve teyit eden bir dokümantasyon sistemi, ilgili kayýtlar ve baþka kanýtlar ile desteklenmesi önemlidir.
Bu belgelendirme prosesi bir yönetim sistemi ile doðrudan ilgilidir ve kuruluþun kendi BT sistemleri, ürünleri ve hizmetleriyle ilgili bilgi güvenliðinin belli seviyelerine ulaþmýþ olduðunu göstermez. Kuruluþ, bu tür sistemlerin, ürünlerin ve hizmetlerin ayrý BT güvenliði ürün deðerlendirmesi tarafýndan belirlendiði þekilde BT güvenliðinin belli seviyelerini saðladýðýnýn kanýtýný belgelendirme denetçilerine sunmayý düþünebilir; ancak bu tür deðerlendirme sonuçlarý belgelendirme prosesinin ana amacý ya da hedefi deðildir.
Denetim süreci
Denetim metodolojisi
EA 7/03’teki kýlavuz, belgelendirme kuruluþunun alternatif bir yaklaþýmý doðrulamadýðý sürece kuruluþun yerleþim (lerinde) en azýndan iki aþamada, kuruluþun BGYS’nin denetimini yapmasý gerektiðini belirtir (Belgelendirme kuruluþunun diðer müþterileriyle de görüþmesi ve anlaþmaya varmasý gerekecektir.).
EA 7/03, denetimin iki aþamasýný tanýmlar: 1’inci Aþama Denetim ve 2’nci Aþama Denetim.
1’inci aþama denetim
1’inci aþama denetimin bir hedefi, belgelendirme kuruluþunun, kuruluþun güvenlik politika ve hedefleri kapsamýndaki BGYS’nin anlaþýlmasýný ve risk yönetim yaklaþýmýný ortaya konulmasýný saðlamaktýr. Bu denetim aþamasý, ayný zamanda 2’nci aþama denetimin planlanmasýna odaklanýlmayý da saðlar ve kuruluþun denetim için ne kadar hazýr olduðunun da kontrol edilmesi için de bir fýrsat sunar.
1,inci aþama denetimi, 2’nci aþama denetimin baþlamasýndan önce tamamlanmasý gereken bir belge gözden geçirme sürecini içerir.
Belgelendirme organýnýn, kuruluþun en azýndan risk belirleme raporu, riski ortadan kaldýrma planý ve Uygulanabilirlik Belgesi ile BGYS’nin diðer önemli belgelerini kapsayan BGYS’nin tasarýmý ve gerçekleþtirmesiyle ilgili belgeleri gözden geçirmesi gerekir.
1’inci aþama denetimin sonuçlarýný içeren bir yazýlý rapor hazýrlanmalýdýr. Bu raporda verilen bulgular, 2’nci aþama denetime geçilmesi için doðru zamanýn gelip gelmediðine karar verilmesi için kullanýlýr.
Rapordaki bulgular, BGYS’nin özel tabiatýna uygun gerekli niteliklere sahip 2’nci aþama denetim personelinin seçimi için de kullanýlýr. Bir sonraki denetim aþamasýna geçerken, belgelendirme kuruluþu, hangi ilave belgelerin, ilave bilgilerin ve kayýtlarýn 2’nci aþama denetim sýrasýnda ayrýntýlý inceleme için gerekli olabileceði hususunda kuruluþu bilgilendirmelidir.
2’nci aþama denetim
2’nci aþama denetim, 1’inci aþama denetim raporundaki bulgulara dayanýr. Belgelendirme kuruluþu, bu bulgulara göre 2’nci aþama denetimi icra etmek için bir denetim planý yapar. 2’nci aþama denetimi, kuruluþta BGYS’nin bulunduðu yerde yapýlýr.
2’nci aþama denetim þu hususlarý içermelidir:
a) Kuruluþun kendi politikalarýna, hedeflerine ve prosedürlerine göre hareket ettiðinin teyidi,
b) BGYS’nin ISO/IEC 27001 standardýnda geçen gereksinimlerin tümüne uyduðunun ve BGYS’nin kuruluþun bilgi güvenliði hedeflerini elde ettiðinin teyidi (Bu bölüme kuruluþun, ISO/IEC 27001 standardýnýn Madde 4 ila Madde 8’de belirtilen gereksinimleri karþýlamasý için konulan proses sistemine sahip olduðunun kontrolü de dahil edilmelidir.). 2’nci aþama denetimi özellikle kuruluþun aþaðýdakileri nasýl yerine getirdiðiyle ilgilidir:
c) Risklerle ilgili bilgi güvenliðinin belirlenmesi ve kendi BGYS’nin nihai tasarýmý,
* Kuruluþun risk belirleme yaklaþýmýnýn tanýmlanmasý (ISO/IEC 27001; Madde 4.2.1 c)),
* Risklerin tanýmlanmasý (ISO/IEC 27001; Madde 4.2.1 d)),
* Risklerin analiz edilmesi ve deðerlendirilmesi (ISO/IEC 27001; Madde 4.2.1 e)),
* Risklerin ortadan kaldýrýlmasý seçeneklerinin tanýmlanmasý(ISO/IEC 27001; Madde 4.2.1 f)),
* Risklerin ortadan kaldýrýlmasý için kontrol hedeflerinin ve kontrol tedbirlerinin seçimi (ISO/IEC
27001,,Madde 4.2.1 g)),
* Bir Uygulanabilirlik Belgesi’nin hazýrlanmasý (ISO/IEC 27001; Madde 4.2.1 j)).
d) Bu süreçten elde edilen hedeflerin kontrol edilmesi,
e) Hedefler göz önünde bulundurularak performansýn izlenmesi, ölçülmesi, rapor edilmesi ve gözden geçirilmesi. Bu husus, proseslerin uygulandýðýnýn ve en azýndan ISO/IEC 27001’de geçen hususlarýn aþaðýdakilerde kullanýldýðýnýn kontrolünü de içermelidir:
* Madde 4.2.2 BGYS’nin izlenmesi ve gözden geçirilmesi,
* Madde 6 BGYS’nin yönetiminin gözden geçirilmesi,
* Madde 7 BGYS’nin geliþtirilmesi,
* Madde 8 BGYS’nin geliþtirilmesi,
f) Güvenlik ve yönetim gözden geçirmeleri. Bu husus, süreçlerin yerinde olduðu ve en azýndan ISO/IEC 27001’de geçen hususlarýn aþaðýdakilerde kullanýldýðýnýn kontrolünü de içermelidir:
* Madde 4.2.2 BGYS’nin izlenmesi ve gözden geçirilmesi,
* Madde 6 BGYS iç denetimleri,
* Madde 7 BGYS’nin yönetiminin gözden geçirilmesi,
g) bilgi güvenliði politikasý için yönetim sorumluluðu. Bu husus, süreçlerin yerinde olduðu ve en azýndan ISO/IEC 27001’de geçen hususlarýn aþaðýdakilerde kullanýldýðýnýn kontrolünü de içermelidir:
* Madde 4.2.2 BGYS’nin izlenmesi ve gözden geçirilmesi,
* Madde 5 Yönetim sorumluluðu,
* Madde 6 BGYS’nin yönetiminin gözden geçirilmesi,
h) Aþaðýda belirtilenlerle arasýndaki denetim baðlantýsý (ISO/IEC 27001 standardýnýn 4 ila 7’nci
maddelerinde belirtilen çeþitli faaliyetler, prosesler ve sonuçlar arasýndaki baðlantýlarýn gösterilmesini de içermelidir.)
* BGYS’nin kapsamý ve politikasý,
* BGYS’nin bilgi güvenliði risk belirlemelerinin sonuçlarý,
* BGYS ve iþ hedefleri,
* Sorumluluklar,
* Programlar,
* BGYS prosedürleri,
* BGYS performans verisi, hedefleri, ölçümleri,
* BGYS’nin güvenlik gözden geçirmeleri.
BGYS’nin kapsamý
ISO/IEC 27001’in Madde 4.2.1’de yer alan bir gereksinim de fýkrasýnda da ifade edildiði üzere), kuruluþlarýn kendi BGYS kapsamýný tanýmlamasýdýr. Kuruluþlarýn etkin bilgi güvenliðini saðlamasý için kendi iþletimi veya iþi için önemi olan BGYS kapsamýndan herhangi bir þeyin hariç tutulmamasýný temin etmek amacýyla BGYS kapsamýný teyit etmek belgelendirme kuruluþunun görevidir.
Belgelendirme kuruluþu, kuruluþlarýn bilgi güvenlik risk belirlemesinin ISO/IEC 27001 standardýnda tanýmlandýðý üzere kuruluþlarýn iþ faaliyetlerini doðru bir biçimde yansýtmasý ve sýnýrlarýný geniþletmesi ve faaliyetlerine arayüzlük yapmasý hususunu kendisinin temin etmesine ihtiyaç duyar. Belgelendirme kuruluþlarý; söz konusu bu ihtiyacýn BGYS standardýna göre kuruluþun riski ortadan kaldýrma planýnda ve Uygulanabilirlik Belgesi’nde yansýtýldýðýný teyit etmelidir.
Tamamýyla BGYS’nin kapsamýnda olmayan hizmetler ve faaliyetler arasýndaki arayüzler, belgelendirmeye göre BGYS içerisinde adreslenmeli ve kuruluþun bilgi güvenliði risk belirlemesine dahil edilmelidir.
Bu tür durumlara bir örnek olarak tesislerin (bilgisayarlarýn, iletiþim sistemlerinin, vb.) baþkalarýyla paylaþýlmasý verilebilir.
ISO/IEC 27001 standardýnýn Madde 1.2’sinde belirtildiði üzere:
Bir kuruluþ uluslararasý standarda uyduðunu iddia ettiðinde, 4’üncü, 5’inci, 6’ncý ve 7’nci maddelerde belirtilen gereksinimlerden herhangi birinin kapsam dýþý býrakýlmasý kabul edilmez.
Risk kabul kriterini karþýlamak için gerekli olduðu görülen kontrol tedbirlerinin kapsam dýþý býrakýlmasýnýn gerekçeleri ortaya konulmalý ve ortaya konulan gerekçenin, konuyla iliþkili risklerin güvenilir insanlar tarafýndan kabul edildiðinin belirtilmesine ihtiyaç duyulur. Herhangi bir kontrol önlemi kapsam dýþý býrakýldýðýnda bu standarda uyumlu olunduðu iddia edilirse; risk belirlemesiyle ve yürürlükteki yasal mevzuat gereksinimleriyle belirlenen güvenlik gereksinimlerini karþýlayan bilgi güvenliðini saðlamak kuruluþun yeteneðini ve / veya sorumluluklarýný etkilemediði sürece kapsam dýþý býrakýlan önlemler kabul edilemez.
Çoklu yerleþimleri kapsayan BGYS kapsamý
Çoklu yerleþimlerin tek bir BGYS ile kapsama alanýna alýndýðý yerde, bir sertifika, benzer tüm yerleþimler aþaðýdaki hususlarý yerine getirdikçe kapsama alanýna alýnmasý için belgelendirme kuruluþu vasýtasýyla yayýmlanabilir:
* Tüm yerleþimler; merkezi olarak idare edilen, yönetilen, denetlenen ve merkezi yönetimin gözden geçirmesine maruz olan ayný BGYS kontrolü altýnda iþletilir.
* Tüm yerleþimler, kuruluþun iç güvenlik gözden geçirme prosedürlerine göre denetlenir.
Bir siteden daha fazla siteyi (çoklu site) kapsayan BGYS’yi tanýmlarken arayüzleri temin etmek için özel önem gösterilmeli ve baðýmlýlýklar uygun bir biçimde belirtilmeli ve risk belirlemesinde dikkate alýnmalý; bu belirleme sonuçlarý, gerçekleþtirilen kontrol sistemlerinde doðru bir biçimde yansýtýlýr.
Eðer belgelendirme kuruluþu, çoklu yerleþim denetimlerine örnekleme tabanlý yaklaþýmý adapte ederse, bu durumda örneklemenin birkaç site farklýlýklarýnda kýsmen seçici olmasý, kýsmen de seçici olmamasý ve yerleþim seçiminin rasgele elemanýný çýkarmaksýzýn seçilen farklý yerleþimlerde sonuçlandýrmasý beklenir. Tek bir BGYS tarafýndan kapsanan yerleþimler arasýnda uygulanabilecek farklýlýklar aþaðýdakileri içerir:
* Yerleþimlerin büyüklüðündeki deðiþiklikler;
* Bu yerleþimlerde yapýlan iþlerde deðiþiklikler.
* Farklý yerleþimlerdeki bilgi sistemlerindeki karmaþýklýk.
* Farklý yerleþimlerde üstlenilen çalýþma uygulamalarý ve iþletim faaliyetlerinde deðiþiklikler.
* Farklý yerleþimlerde iþleme tabi tutulan bilgi türlerindeki (kritik olan/kritik olmayan, hassas olan/hassas olmayan) deðiþiklikler.
* Farklý yerleþimlere uygulanabilen yasal ve düzenleyici gereksinimlerdeki deðiþkenler
Varlýklar, kýrýlganlýklar veya tesirler üzerinde belli tehditlere maruz olan BGYS’de bulunan her yerleþkenin belgelendirme kuruluþunca denetlenmesi gerekir.
Takip denetim programlarýnýn belli bir süre içerisinde, kuruluþun tüm yerleþimlerini kapsamasý ya da Uygulanabirlik Belgesi’nde belirtildiði üzere BGYS belgelendirme kapsamýnda uygulanmasý gerekir.
Ana büroda ya da BGYS’deki ayrý bir sitede bir uyumsuzluk ortaya çýktýðýnda, düzeltme hareketi prosedürü ana büroya ve belge kapsamýndaki tüm yerleþimlere tatbik edilmelidir.
Denetim yolu
Denetçiler, kanýt toplanýrken ve toplanan kanýtlar incelenirken, kuruluþun BGYS’yi kurmak amacýyla ISO/IEC 27001’deki prosesleri takip ettiðinin doðrulanmasýna ihtiyaç duyar.
Kuruluþun takip ettiði adýmlarýn (örneðin, BGYS kapsamýndan Uygulanabilirlik Belgesi’ne kadar giden) geriye doðru izlenmesinde kullanýlmak üzere bir denetim yolu olmalýdýr.
Bundan dolayý denetçi, riskleri ve gerçekleþtirilecek kontrol seçimleri için nedenleri nasýl ortadan kaldýracaðýna iliþkin yönetim kararý verme prosesiyle, tanýmlanmýþ riskler ve belirleme prosesiyle ve son olarak da BGYS kapsamý ve politikasýyla Uygulanabilirlik Belgesi’nde belirtilen kontrolleri ve iliþkili riskleri geriye doðru izleyebilmelidir.
Planlama Aþamasý Ýçin Denetim Akýþ Þemasý
Benzer þekilde, BGYS’nin gerçekleþtirilmesinden ve iþletime alýnmasýndan, yönetim kontrollerinden ve ISO/IEC 27001’deki Uygula aþamasý’ndan Planlama aþamasý sýrasýnda BGYS’nin geliþtirmesine kadar geriye doðru izlemek için kullanýlabilen bir denetim yolu olmalýdýr.
Denetim raporu
Sertifikasyon kuruluþunun denetim sonuçlarýnýn kuruluþa aktarýlmasý için çeþitli raporlama metotlarýna ve iþlemlerine uymasý beklenir. Bu uyum, denetimin sonunda verilen resmî raporlar þeklinde olabileceði gibi,kuruluþun bulunduðu yerde denetim toplantýlarý sýrasýnda verilen yazýlý ve sözlü raporlarý da içerir.
Söz konusu bu raporlar, kuruluþun BGYS’nin ISO/IEC 27001’teki gereksinimlerine uyum seviyesini de gösterir.
Denetim sýrasýnda verilen raporlar, denetimcinin bulgularý ve bu bulgularýn esasý hakkýnda sorular sormasý için kuruluþa bir fýrsat sunar. Belgelendirme kuruluþunun, belgelendirme gereksinimlerinin tamamýyla uyumlu olmasý için uðraþýlacak ya da göz ardý edilebilecek uyumsuzluklarý ortaya çýktýkça belli zamanlarda kuruluþa denetim raporu sunmasý beklenir.
Kuruluþ, denetim raporlarý hakkýnda yorum yapmasý ve yaptýðý ya da denetim sýrasýnda belirlenen uyumsuzluðu gidermek için yapmayý planlandýðý belli düzeltme eylemlerini açýklamasý için davet edilir.
Belgelendirme kuruluþu, tamamen ya da kýsmen yeniden belirleme ihtiyacýnýn bulunup bulunmadýðý veya gözlem sýrasýnda teyit edilmesi gereken yazýlý bir bildirimin, düzeltici eylemin yapýlýp yapýlmadýðýný kontrol etmek için yeterli görülüp görülmeyeceði hususunda kuruluþu bilgilendirmelidir.
Belgelendirme kararý
Bir kuruluþa belge verilip verilmeyeceðinin kararý belgelendirme kuruluþu tarafýndan verilir. Bu karar, denetim sýrasýnda toplanan bulgu ve bilgiler ýþýðýnda verilir. Belgelendirme kararýný verecek olan kiþiler, denetimde yer almayan kiþilerdir.
Belge verilen kuruluþa, belgelendirme kuruluþundan bir BGYS belgesi verilir. Bu BGYS belgesi, belgelendirmenin kapsamý, belgelendirmenin yürürlüðe gireceði tarih, uygulanabilirlik belgesinin belli bir sürümüne atýfta bulunulmasý, uygulanabilir belgelendirme kuruluþu ve akreditasyon kuruluþunun logosu ya da iþaretleri gibi özellik arz eden bilgileri içerir.
Gözlem ve yeniden deðerlendirme iþlemleri
Belgelendirme kuruluþunun, kuruluþun BGYS’si üzerinde belli zaman aralýklarýyla gözlem denetimleri yapmasý gerekir. Söz konusu bu izleme denetimlerinin sýklýðý, belgelendirme kuruluþunun sorumluluðundadýr ve genellikle bir kuruluþ altý ayda bir böyle bir denetim için ziyaret edilir.
Bu gözlem denetimlerinin amacý, belgelenen BGYS’nin belgelendirme gereksinimlerine ve ISO/IEC 27001 standardýna uyumunun sürüp sürmediði hususunu doðrulamaktýr.
Kuruluþun BGYS’sinin yeniden belirlenmesi normal olarak her üç yýlda bir yapýlýr. Bir BGYS belgesinin en fazla ömrü, BGYS ihtiyaçlarýnýn yeniden belgelendirme ihtiyacýnýn görüleceði üç yýldan sonradýr.
Söz konusu bu yeniden denetimin amacý;
* Kuruluþun BGYS’sinin, ISO/IEC 27001 gereksinimlerine uyumluluðunu tam olarak sürdürdüðünü doðrulamak,
* Geçmiþ gerçekleþtirmeleri ve tüm belgelendirme prosesinde sistemin devam eden bakýmýný aþaðýdaki hususlarý da içerecek þekilde gözden geçirmektir.
BGYS’nin, ISO/IEC 27001’teki gereksinimlere uygun olarak düzgün bir biçimde gerçekleþtirildiði,sürekliliðinin saðlandýðý ve geliþtirildiðinin kontrolü,
BGYS dokümantasyonunun ve düzenli BGYS denetimlerinin (iç denetimler ve gözlem denetimleri de dahil olmak üzere) gözden geçirilmesi,
BGYS’nin tüm elemanlarý arasýndaki etkin iletiþimin kontrolü,
Kuruluþun iþ ve faaliyetlerindeki deðiþiklikleri de göz önüne alarak kuruluþun bütününde BGYS’nin etkinliðinin kontrolü,
BGYS’nin etkinliðinin sürdürülmesi için ortaya konulan sorumluluðun doðrulanmasý.ISO 27001 BGYS Dokümantasyon Sistemi
BGYS’nin ISO/IEC 27001’in Madde 4.3’ünde belirtilen gereksinimlerle uyumlu belgelenmiþ bir yönetim sistemi olmasý önemlidir.
BGYS dokümantasyonu aþaðýda belirtilen TS ISO/IEC 27001 gereksinimleri içermelidir:
* Madde 4.2.1 b)’de belirtilen zorunlu gereksinimle uyumlu BGYS politikasý ve hedefleri,
* Madde 4.2.1 a)’da belirtilen zorunlu gereksinimle uyumlu BGYS kapsamý ve sýnýrlarý,
* BGYS’i destekleyen prosedürler ve kontroller,
* Madde 4.2.1 c)’de belirtilen zorunlu gereksinimlerle uyumlu olan kuruluþ tarafýndan uyarlanmýþ risk
belirleme metodolojisinin tanýmý,
* Madde 4.2.1 g)’de belirtilen zorunlu gereksinimlerle uyumlu bir risk belirleme raporu,
* Madde 4.2.2 b)’de belirtilen zorunlu gereksinimle uyumlu risk iþleme planý,
* Madde 4.2.2 c) ve 4.2.3 c)’de belirtilen zorunlu gereksinimle uyumlu bilgi güvenlik süreçlerinin etkili þekilde planlanmasý, yürütülmesi ve kontrolünü saðlamak için gerekli olan yazýlý iþlemler ile kontrollerin etkinliðinin nasýl ölçüldüðünün tanýmý,
* BGYS’nin etkili bir biçimde iþletildiðinin ve gereksinimleri karþýladýðýnýn kanýtýný ortaya koyan kayýtlar,
* Madde 4.2.1 j)’de belirtilen zorunlu sertifikasyon gereksinimiyle uyumlu Uygulanabilirlik Belgesi.
Dokümantasyonun içeriðinin ve uzanýmýnýn, kuruluþun faaliyetlerinin çokluðuna ve türüne, kuruluþun
dokümantasyon gereksinimlerine, BGYS’nin kapsamýna, uygulanabilir güvenlik gereksinimlerine ve gözden geçirilmekte olan bilgi sisteminin karmaþýklýðýna baðlý olarak deðiþiklik gösterebileceði unutulmamalýdýr. Ayrýca, dokümantasyonun kuruluþa göre uydurulabileceði hususu da akýldan çýkarýlmamalýdýr.
Dokümantasyonun Kanýtlanmasý
BGYS’nin doðru, düzgün ve etkin bir biçimde iþlediðini kanýtlamak için dokümantasyonun yeterli bilgi içermesi önemlidir. Bundan dolayý dokümantasyon, yukarýda sayýlanlara ek olarak yönetim kurulu toplantýlarý ve kararlarýnýn kayýtlarýný da içermeli ve kuruluþun attýðý adýmlarda alýnan kararlarý ve/veya politikalarý ve standartlarý uyguladýðýnýn izleri görülebilmelidir. Bir þekilde tutulan kayýtlarýn tekrar elde edilebilir olmasý da saðlanmalýdýr.
Yukarýda bahsedilen Uygulanabilirlik Belgesi’nde de belirtildiði üzere sunulan dokümantasyonun seçilen kontrollerden risk belirleme ve risk giderme proseslerinin sonuçlarýna ve buradan da BGYS politikasý ve hedeflerine kadar uzanmasý arasýndaki iliþkinin gösterilmesini desteklemesi önemlidir. Kuruluþ, denetim sürecinde sýk sýk göz önüne alýnan bir konu olmasý nedeniyle belgelendirmeyi amaçlýyorsa, bu durumda bu konu ayrý bir önem arz eder.
Dokümantasyonun ve Kayýtlarýn Kontrolü
ISO/IEC 27001’deki Madde 4.3.2 ve Madde 4.3.3, BGYS dokümanlarýnýn yeterince korunmasý ve kontrol edilmesini saðlamak amacýyla dokümantasyonun ve kayýtlarýn kontrol edilmesi için bir dizi zorunlu gereksinimi tanýmlar.
Söz konusu bu gereksinimler; dokümanlarýn ve kayýtlarýn korunmasý ve kontrol edilmesini saðlayan uygun bir dizi iþlemler ve süreçlerle karþýlanýr. Bu husus, bilgi güvenliði için diðer kontrol tedbirlerinin yaný sýra risk yönetimi sürecinin önemli bir parçasýdýr.
BGYS’yi iþletmek ve BGYS’nin doðru, düzgün ve etkin bir biçimde çalýþtýðýný göstermek için gerekli olan tüm dokümanlar ve kayýtlar sürekli olarak elde bulundurulmalý, kullanýlabilir, güncel ve iliþkili olmalýdýr.
Kayýtlar, bilgi güvenlik yönetimi dünyasýnda özellikle önemli bir rol oynar. Bir bilgi güvenliði ihlal olayý meydana geldiðinde, ihlal olayýnýn ciddiyetine uygun öncelik ve zamanlama derecesi verilmesi önem arz eder.
Çoðu kez, en uygun durumda ihlal olayýyla iliþkilendirilebilecek kanýt gerekli olur: Nerede, ne zaman meydana geldi? Koþullar nelerdi? Kim/Ne yaptý? Elde edilenler ne idi? vb. Doðru ve kesin kaydýn tutulmasý bu kanýtlarý bize verebilir. Tabii ki, adli bir ihlal olayýnýn meydana gelmesi halinde kanýtlarýn toplanmasý ve sunulmasý yasal gereksinimleri de beraberinde getirir. Bu kayýtlar, kuruluþun BGYS gereksinimlerine uyduðunun ve söz konusu BGYS’nin etkin bir biçimde iþlediðinin kanýtýný ortaya koyabilir ve de gösterebilir.
Bundan dolayý, yalnýzca kayýtlarý tutmak önemli deðildir; ayný zamanda bu kayýtlarýn korunmasý;
bütünlüðünün, kullanýlabilirliðinin ve gizliliðinin saðlanmasý da önemlidir.
ISO/IEC 27001’deki dokümantasyon ve kayýtlar için kontrol gereksinimleri, diðer yönetim sistem standartýnda ör: ISO 9001 belirtilen gereksinimlerle uyumlu hale getirilmiþtir. Bu durum, birleþtirilmiþ/bütünleþtirilmiþ denetimlere sahip olma, dokümantasyon ve kayýtlarýn yönetimi ve muhafazasý için gerekli olan kaynaklarda tasarruf edilmesi gibi kuruluþa pek çok yararlar saðlar. Ayrýca, iþ imkânlarýnýn daha iyi kontrol edilmesini, daha pürüzsüz ve daha bütünleþmiþ bir yönetim imkanýný da sunar.BGYS’nin Ýzlenmesi ve Gözden Geçirilmesi
Kontrol et aþamasý için TS ISO/IEC 27001 Madde 4.2.3’de tanýmlanan “-ecek” , “-acak” ifadeleri; kuruluþun Uygula aþamasýnda gerçekleþtireceði BGYS’nin izlenmesi ve gözden geçirilmesi için uygun süreçler dizisine sahip olunmasý amacýyla tasarlanmýþtýr.
Kontrol et aþamasýnýn ayrýntýlarý aþaðýdaki faaliyetleri içerir:
a) Prosedürlerin izlenmesi ve gözden geçirilmesi iþleminin yapýlmasý. Bu prosedürler ve diðer kontroller, BGYS’nin çalýþmasý sýrasýnda ve iþletilirken ortaya çýkan hatalarý tespit etmeli, baþarýsýz ve baþarýlý olan güvenlik açýklarýný tanýmlamalý, bilgi güvenliði olaylarýný ortaya koymalý, bilgi güvenliði ihlal olaylarýný önlemeli ve alýnan önlemlerin güvenlik açýklarýný giderip gidermediðini ya da iþe yarayýp yaramadýðýný tespit etmelidir. Bunlara ek olarak, söz konusu bu izleme ve gözden geçirme prosedürleri, gerçekleþtirilen kontrollerin etkin olarak çalýþýp çalýþmadýðýný ve sorumluluk verilen kiþilerin risk giderme planýnýnda tasarlandýðý þekilde görevlerini yerine getirip getirmediklerini yönetimin tespit etmesine imkân
vermelidir.
Kuruluþ, yürüttüðü izleme faaliyetlerinin, izleme kayýtlarýnýn ve dosyalarýnýn, izleme faaliyetlerinin
sonuçlarýna karþýlýk yapýlan eylemlerin deðerlendirilmesinin yazýlý kayýtlarýný da belgelendirmek
bakýmýndan sahip olmalýdýr.
b) BGYS’nin etkinliðinin düzenli aralýklarla gözden geçirilmesi faaliyetinin yapýlmasý. Kuruluþ, BGYS’nin ne kadar etkin çalýþtýðýný belirlemelidir. Bu iþlem, güvenlik politikalarý ve hedefleri ile güvenlik kontrollerinin gözden geçirilmesi bakýmýndan ele alýnmalýdýr (c) maddesine de bakýlmalýdýr.). Söz konusu bu gözden geçirme faaliyetlerinde, BGYS’nin etkinliðinin tespit edilmesi sýrasýnda tüm faktörlerin göz önüne alýndýðýný temin etmek için güvenlik gözden geçirmeleri ve denetimlerinin sonuçlarýný dikkate alýnmalýdýr (Madde e) ve f)’ye de bakýlmalýdýr.). BGYS’nin etkinliði konusunda tanýmlanmýþ herhangi bir uyumsuzluk
ya da yetersizlik, düzeltici önlemlerin alýnmasýný, BGYS’nin çalýþmasýnýn sürdürülmesini ve
geliþtirilmesini teþvik etmelidir.
c) Kontrollerin etkinliðinin ölçülmesi. Gerçekleþtirilen kontrollerin etkinliðinin belirlenmesi için ortaya konulan tanýmlar, kontrollerin ne kadar etkin çalýþtýðýnýn ve kontrollerin düþünülen hedeflere ulaþýlýp ulaþýlmadýðý ile tanýmlanan gereksinimleri karþýlayýp karþýlamadýðýnýn ölçülmesi için kullanýlmalýdýr. Bu konuda uygulanabilecek oldukça fazla farklý ölçüt bulunmaktadýr ve uygun ölçütler kontrollere ya da düþünülen kontrol gruplarýna göre deðiþiklik gösterebilir. kýlavuzu kontrollerin etkinliðinin tespit edilmesi hususunda kullanýlabilecek ölçüler ve ölçü birimleri konusunda daha fazla bilgi vermektedir.
d) Planlanan sürelerle risk belirlemelerin gözden geçirilmesi. bilgi güvenlik risklerinin yönetiminde etkili olmak için BGYS’yi etkileyebilecek deðiþiklikleri izlemek ve kaydýný tutmak BGYS için önemlidir. Söz konusu bu gözden geçirmeler, aþaðýda belirtilenlerden dolayý tehditlerde, hassasiyetlerde ve etkilerde meydana gelen deðiþiklikleri tanýmlamalýdýr:
* Ýþ ortamý ya da kapsamý – yeni iþ ortaklarý; yeni ve farklý ikmal zincirleri; yeni, farklý veya özellikleri deðiþen müþteri tabaný; farklý pazarlara açýlma; pazar koþullarý; üçüncü þahýs düzenlemeleri; dýþ kaynaklý düzenlemeler; evde çalýþma;
* Ýþ politikasý ve hedefleri – Deðiþtirilen iþ politikasý ya da deðiþen hedefler riski ortadan kaldýrma kararlarýna ya da varlýk deðerlendirmelerine tesir edebilir;
* Kuruluþ yapýsý, iþgücü, çalýþma ortamý;
* Gerçekleþtirilen kontrollerin etkinliði;
Tanýmlanan tehditler ve duyarlýlýklar – teknolojideki en son geliþmelerle güncellenecek, deðiþecek iþ prosesleri ve meydana gelen ihlal olaylarý;
* Teknolojinin kullanýmý ve yayýlmasý – yeni sistemler ve uygulamalar, güncellemeler, geniþleyen iþ aðlarý, sistem platformlarýnda daha büyük farklýlýklar; uzaktan eriþimin daha geniþ oranda kullanýmý, üçüncü þahýslarýn daha büyük pay sahibi olmalarý, daha çok dýþ kaynaklý düzenlemeler;
* Yasal ve düzenleyici ortam, deðiþen ya da ilave sözleþmeler veya kuruluþ ortamýndaki diðer
deðiþiklikler.
Burada sayýlan deðiþiklik örneklerinin hepsinin risklerin üzerinde etkisi ve kuruluþun iþi konusunda tesiri vardýr. Risklerin yeniden deðerlendirilmesi, artýk risk düzeyi ve kabul edilebilir risk; BGYS’nin kalan etkisini garanti etmesi için gereklidir. Belgelendirmeye niyeti olan bir kuruluþ kendi risk belirlemesinin güncellemesini yaparak bu faaliyetleri yazýya dökebilir ve sonraki zamanlarda ne kadar ilerlediðini tespit etmek için risk deðerlendirme sonuçlarýný karþýlaþtýrabilir.
e) Kuruluþ içi BGYS denetimlerinin yapýlmasý. Kuruluþ, BGYS’nin kontrol hedeflerinin, kontrollerinin, politikalarýnýn ve prosedürlerinin tanýmlanan gereksinimlere uyumluluðunu saðlamak için bir BGYS iç denetimi yapmalýdýr (Daha fazla ayrýntý için Madde 3.10’a bakýlmalýdýr.). BGYS denetimleri planlanan aralýklarla yapýlmalýdýr.
f) BGYS’nin yönetim gözden geçirmesinin yapýlmasý. Kuruluþ; Kontrol et aþamasý’nda, kendi BGYS’sinin kapsamýnýn ve kontrol sisteminin hâlâ geçerli ve etkili olduðu, prosedürlerin hâlâ geçerli olduðu ve doðru bir biçimde mevcut iþ kapsamýnda kullanýldýðý, yapýlan rol ve sorumluluk paylaþým