Güvenlik / Security Makaleleri - Bilgi Güvenliği Yönetim Sistemi (BGYS)

Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
Bunun yanı sıra ISO 17799:2002 numaralı standart ISO 17799:2005 bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi olarak revize edilip yayınlanmıştır ve ISO 27001’e göre kurulacak bir BGYS’nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.

bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.

Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı olacaktır.

ISO 27001’den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.

bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve yaşayan bir süreç olarak bilgi güvenliğinin nasıl yönetileceğini tanımlar.

ISO 27001 bilgi güvenliği Yönetim Sistemi kurmanın yararları

* bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
* Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
* İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
* İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
* bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
* Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
* Çalışanların motivasyonunu arttırır.
* Yasal takipleri önler
* Yüksek prestij sağlar

ISO 27001 bilgi güvenliği Sistemi Kurma Aşamaları :

* Varlıkların sınıflandırılması
* Gizlilik , bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi
* Risk analizi
* Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme
* Dokümantasyon oluşturma
* Kontrolleri uygulama
* İç tetkik
* Kayıtları tutma
* Yönetimin gözden geçirmesi
* Belgelendirme bilgi güvenliği Yönetim Sistemi (BGYS)BGYS Kavramı

BGYS standardı olan ISO 27001’in arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim sistem proseslerinin tesis edilmesi, gerçekleştirilmesi ve sürdürülmesidir.
BGYS; kuruluşun iş riski yaklaşımına dayanan, kuruluşun işleyiş ve iş kültürünün ayrılmaz bir parçası olarak görülmeli ve etkili bilgi güvenliğine ulaşmak için kuruluşu, teşkilatı, politikaları, planlama faaliyetlerini sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları kapsar.

Etkili bilgi güvenliğine Giden Yol

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş başarılı bir biçimde işletilemez. BGYS, yeterli ve uygun bir bilgi güvenliği yönetiminin kuruluşun bilgi varlıklarının korunması ve ilgili taraflara güven vermesi amacıyla tesis edilmesini temin etmek üzere tasarlanmalıdır.
bilgi güvenliği kuruluşa faydalı olacaksa, olumlu katkıda bulunacaksa, BGYS başarılı bir bilgi güvenliğini sağlayabilmelidir. bilgi güvenliği teknik ve BT konudan daha çok öncelikle, bir yönetim konusudur. Bununla birlikte hiç kimse, özellikle BT kullanımı konusundaki geniş çaptaki bağımlılığı ve teknik sorunları göz ardı etmemelidir.

Devam Eden Prosesler

bilgi güvenliği yönetimi, bir kere yapılıp kenara bırakılacak bir uygulama değildir; devam eden bir sürekli gelişim faaliyeti olarak (ISO 9001 gereksinimleri gibi diğer yönetim sistem standartları kadar TS ISO/IEC 27001 tarafından uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadır.
İyi yönetilen bilgi güvenliği, işi yapılabilir kılar. BGYS faaliyetleri için yönetim desteği, başarılı ve etkili BGYS gerçekleştirmelerinin hayata geçirilmesindeki en önemli faktörlerden biridir.
BGYS standardı olan TS ISO/IEC 27001, uyulması istenirse, kuruluşun uymak için ihtiyaç duyduğu gereksinimler kümesi şeklini alır. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasında belirtilmiştir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaşımıyla ilişkili gereksinimleri de kapsar.
TS ISO/IEC 27001’deki gereksinimlerini yansıtan hükümler zorunludur. “-meli” , “-malı” terimi içeren ifadeler ise gereksinimlerin uygulanmasına kılavuzluk etmesine rağmen bünyeye uydurulması beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanılır.
Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alıntı yapılmaması anlamına gelen kılavuz ve tavsiyeler şeklindedir ve uyum isteklerinin yanlış yönlendirilmemesini sağlaması için dikkate alınmasına özen gösterilmelidir.

PUKÖ Modeli

Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli) olarak bilinen model, ISO/IEC 27001 standardında kullanılmıştır. Bu model, bir BGYS’in kurulmasında,
gerçekleştirilmesinde, işletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanılır.

Planla (BGYS’nin Kurulması)

Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.

Uygula (BGYS’nin Gerçekleştirilmesi ve İşletilmesi)

BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin İzlenmesi ve Gözden Geçirilmesi)

BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem Al (BGYS’nin Bakımı ve İyileştirilmesi)

BGYS’in sürekli gelişiminin sağlanması için içsel BGYS denetim ve sonuçlarına, yönetimin gözden geçirmesine ve konuyla ilgili diğer bilgilere göre düzeltici ve koruyucu önlemlerin alınması.BGYS’nin Kurulması

“Planlama aşaması” için ISO/IEC 27001 Madde 4.2.1’de tanımlanan gereksinimler aşağıdaki gibidir:

a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYS’in kapsamının ve sınırlarının tanımlanması.

BGYS’nin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS’nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki ara yüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.
BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen ara yüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.

BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.
Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.
BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.
Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.

c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması

Bu BGYS’ye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.
Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.
Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A)sında ya da ISO/IEC
17799’da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.
Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.
Risk değerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYS’nin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.

d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.

Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.
BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.

e) Yukarıdaki d) maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması

Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.
Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.

f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi

Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.
Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.

g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi

Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.
Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluşun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.
Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.

Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.

h) Teklif edilen artık risklerin idare onayının alınması.

Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak “Kontrol et aşaması” bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.

i) BGYS’yi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.

“Planlama aşaması” nın sonunda yönetim, BGYS’yi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.

j) Uygulanabilirlik belgesinin hazırlanması.

Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.
Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UB’yi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.
Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.

BGYS’nin Gerçekleştirilmesi ve İşletimi

Uygula aşaması için ISO/IEC 27001 Madde 4.2.2’de tanımlanan “-ecek” , ”-acak” ifadeleri; kuruluşun planla aşaması’nda kurulan BGYS’in gerçekleştirilmesi ve işletilmesi için uygun proses kümesine sahip olunmasını temin etmesi amacıyla tasarlanmıştır.

Uygula aşamasındaki farklı adımlar aşağıdaki gibidir:

a) Bir risk giderme planının formül edilmesi.

Bu plan, tanımlanmış riskleri yönetmek için hangi yönetim eylemlerine başvurulması gerektiği, bu eylemlerin öncelikleri, sınırlayıcı faktörler, son bildirim tarihleri ve gerekli kaynakların neler olduğunun ana hatlarını ortaya koymalıdır. bilgi güvenliği risklerini yönetme sürecinde başvurulan eylemlerin sorumluluğunun, BGYS’deki yöneticilerin ve kullanıcıların konuyla ilgili güvenlik sorumluluklarında olduğu kadar açıkça ortaya konulmasına ihtiyaç vardır. Başka iş prosesleri ve planlarının da risk giderme planıyla koordine edilmesine ihtiyaç duyulabilir.

b) Risk giderme planının gerçekleştirilmesi.

Kuruluş, BGYS için gerekli olan fon kaynağını, rollerin ve sorumlulukların paylaşımını göz önüne alan bir risk giderme planı ile seçilen kontrol hedefleri ve önlemleri sisteminin gerçekleştirilmesi amacıyla bir dizi süreç belirlemelidir. Bu proseste tanımlanan eylemler, roller ve sorumluluklar yazıya dökülmelidir.

c) Kontrol hedeflerini karşılaması için seçilen kontrollerin gerçekleştirilmesi.

Kuruluş, risk giderme planında yer alan eylemler, öncelikler, kaynaklar, roller ve sorumluluklarla birlikte seçilen kontrollerin gerçekleştirilmesi için prosedürleri ortaya koymalıdır. Kaynak israfını önlemek için gerçekleştirme derecesi (örneğin; ne kadar eğitim, kayıt veya raporlama),çok dikkatlice karar vermeyi gerektirir. Lüzumsuz gerçekleştirme; tüm kontrol etkinliğinde bir azalmayla sonuçlanan, kontrolden etkilenen personelin rahatsızlık duymasına neden olabilir.

Güvenlik ve kontrol, daima insanların yaşamları ve çalışma pratikleri üzerinde etkilidir; ancak hiçbir zaman sıkıntıya sebep olmamalıdır.

d) Kontrol etkinliğinin ölçülmesi ve değerlendirilmesi.

Seçilen kontrollerin gerçekleştirilmesiyle birlikte kontrol etkinliğinin ölçülmesini ve değerlendirilmesini mümkün kılan anlamların da ortaya konulması gereklidir. Kontroller, seçildiği bilgi güvenliği risk(ler)inin yönetiminde işe yaramalıdır. Bu nedenle kuruluş, kontrollerin öngörülen hedefleri elde etmesini temin için kontrollerin etkinliğini nasıl ölçmek istediğini belirlemelidir. Tüm kontrollerin grup hâlinde etkinliğinin ölçülmesi usulü uygun ve anlamlı olduğu sürece kontrolleri gruplar halinde ayırmak mümkün olduğu gibi, bu kontrol gruplarına uygulanacak olan ölçütleri tanımlamak da mümkündür.

Kontrol etkinliğinin belirlenmesinde kullanılan ölçütler, karşılaştırılabilir ve yeniden elde edilebilir sonuçlar vermelidir. Bu ölçütler, kontrollerin maliyet etkinliğini de ortaya koymalıdır. Genellikle bir kontrol için gerçekleştirmenin birden fazla derecesi vardır ve elde edilen faydalar, ilave edilen güvenliğin elde ettiği gerçek kullanım ile karşılaştırılmalıdır. Kontrollerin etkinliğinin ölçülmesi için tanımlanan anlamlar,kuruluşun kontrol etkinliğinin belirlenmesinde nasıl kullanıldığını göstermek için belgelendirme amacıyla yazıya dökülmelidir.

e) Eğitim ve farkındalık programının gerçekleştirilmesi.

Kuruluş, BGYS sorumlulukları olan personelin verilen görevleri yerine getirme konusunda yeterli olmalarını sağlamak için uygun bir farkındalık ve eğitim programı uygulamalıdır. Program gerekli yeterlikleri belirlemeli, bu gereksinimleri karşılamak için gerekli olan eğitimi sunmalı, eğitimin etkinliğini değerlendirmeli ve kazanılan yetilerin ve niteliklerin kaydını tutmalıdır.

güvenliğin, insanların yaptıkları işi engellemek için var olmadığı unutulmamalıdır. Güvenlik, insanların yaptıkları işi daha kontrollü yapmalarını sağlamalıdır. Güvenlik, insanların verilen sorumlulukları yerine getirdiğini göstermeli ve kıymetlerini hiçbir şüpheye meydan vermeksizin ortaya koymalı ve niteliklerini geliştirmelidir. Çalışanlar, iyi seviyede gerçekleştirilmiş güvenliğin rahatsızlık kaynağından daha çok faydası olduğunu kısa sürede anlayacaklardır.

f) BGYS’nin işletilmesinin idaresi.

Kuruluş, BGYS’yi tanımlanan kontroller, politikalar ve prosedürlere uygun olarak işletmelidir. BGYS’nin gün gün işletilmesi, kurulan güvenlik düzenlemelerinin tasarlandığı gibi işlevini yerine getirip getirmediğinin değerlendirilmesi amacıyla “Kontrol et aşaması” için gerek duyulan bilgiyi sağlamalıdır. Bu değerlendirmenin yapılabilmesi için BGYS’nin işletimi sırasında gerekli olan tüm belgelerin ve kayıtların toplanması önemlidir.

g) BGYS için kaynakların idaresi.

Kuruluş, BGYS’yi işletmek, izlemek, gözden geçirmek, sürekli kılmak ve geliştirmek için gerekli olan kaynakları tanımlamalı ve sağlamalıdır. Yeterli kaynakların sağlanması,ayrıntıları Madde 3.9’da tanımlanan genel yönetim sorumluluğunun bir parçasıdır.

h) İhlal olaylarını idare etmek için prosedürlerin ve kontrollerin gerçekleştirilmesi.

Kuruluş, bilgi güvenliği olaylarını tanımlamak ve rapor etmek, bu olayları değerlendirmek, olaylara etkili bir biçimde karşılık vermek, bilgi güvenliği ihlal olaylarının vereceği zararı sınırlamak için gerekli olan prosedürleri ve kontrolleri belirlemelidir. bilgi güvenliği ihlal olaylarının tümünün kaydı çoğaltılabilir olmalı ve kuruluş, ihlal olaylarını değerlendirmek ve bu olaylardan dersler almak için usuller belirlemelidir. İhlal olayı yönetimi tarafından yapılan kayıtlar, uygulama sırasında riski belirlerken ya da riski ortadan kaldırma kararları alınırken anlam ifade edip etmediği ve gerçekleştirilen kontrollerin tasarlandığı şekilde işleyip işlemediği konusunda değerlendirme yapabilmek için çok değerli bir kaynaktır.

ISO 27001 BGYS Belgelendirme Süreci

Bir kuruluşun bilgi güvenlik yönetim sisteminin (BGYS) akredite üçüncü taraflarca belgelendirilmesi kuruluşun; ISO/IEC 27001 standardında belirtilen gereksinimleri karşılayan bilgi güvenliği yönetim sistemini gerçekleştirdiğini gösteren bir denetimi ve belirlemeyi kanıtlamak için kabul görmüş bir yöntemdir.

BGYS’ye uygulanan belgelendirme prosesi ISO 9001 QMS (Kalite Yönetim Sistemi) ve ISO14001 EMS (Çevre Yönetim Sistemi) belgelendirmeleri gibi diğer yönetim sistemlerinde kullanılan proses ile aynıdır.

Akreditasyon ve belgelendirme terimlerinin tanımları

Akreditasyon ve belgelendirme terimlerinin tanımları ISO Guide 2 (BS EN 45020:1998)’de verilmiştir.

Akreditasyon: Yetkili bir kuruluş tarafından, bir kuruluş ya da şahısın belli görevleri yürütmesi için yeterli olduğunun resmi olarak tanındığını gösteren prosedür.

Belgelendirme: Üçüncü tarafın bir ürünün, sürecin ya da hizmetin belirtilen gereksinimlere uyduğuna yazılı olarak güvence verdiği prosedür.

Belgelendirmede yer alan taraflar

Belgelendirme prosesi aşağıdaki tarafları ilgilendirir.

* Akreditasyon tarafları (belgelendirme işlemini yapmak için belirleme ve akreditasyon kuruluşlarından sorumlu olan taraflar),

* Belgelendirme/tescil kuruluşları (müşterileri için belgelendirme faaliyetlerini idare etmekten ve müşterilerin yönetim sistemlerinin denetlenmesinden sorumlu olan taraflar),

* Yönetim sistemi, belgelendirmenin konusu olan kuruluşlar ile belgelendirme kuruluşlarının müşterisi olan kuruluşlar.

Akreditasyon ve Belgelendirme standartları

Akreditasyon kuruluşlarının, birbirleri ile anlaşmaları vardır ve uluslararası ve bölgesel akreditasyon ağları yoluyla işbirliği yaparlar. Belgelendirme kuruluşları (BK’ları) ve BK’ların müşterileriyle ilgili akreditasyon kuruluşlarının belirleme faaliyetleri akreditasyon için kullanılan bir dizi standart ve kılavuzlarına dayanır.

BGYS belgelendirmesi (BS 7799-2:2002 standardındaki BGYS gereksinimleri ile bu standarttan sonra yayımlanan ISO/IEC 27001 standardındaki BGYS gereksinimleri) aşağıdakileri içerir:

* EA 7/03,bilgi güvenliği Yönetim Sistemi (BGYS)’nin tescil eden/belgelendirmesini yapan Kuruluşların Akreditasyonu İçin EA Kılavuzları;
* 61 numaralı ISO/IEC Kılavuzu (1996) Belgelendirme/Tescil kuruluşlarının belirlenmesi ve akreditasyonu için genel gereksinimler;
* 62 numaralı ISO/IEC Kılavuzu (1996) Kalite sistemlerinin Belgelendirme/Tescili ile belirlemesini yapan kuruluşlar için genel gereksinimler;
* EN 45010 (1998) Belgelendirme/Tescil kuruluşlarının belirlenmesi ve akreditasyonu için genel gereksinimler;
* EN 45012 (1998) Kalite sistemlerinin Belgelendirme/Tescili ile belirlemesini yapan kuruluşlar için genel gereksinimler;
* ISO/IEC 17011(2004) Uygunluk Tespiti ;Uygunluk tespit kuruluşlarının akretide eden Akreditasyon kuruluşları için genel gereksinimler;
* Kalite ve/veya çevre yönetim sistemleri denetim rehberi.

BGYS denetçileri

BGYS belirlemelerini yürüten denetçilerin niteliklerinin tescil edilmiş olmasına ve yukarıda geçen Madde 4.1.3’te listelenen dokümanların birkaçında belirtildiği şekilde uygun yeterlik alanlarında yeterli deneyime sahip olmalarına gerek vardır.

UBDS (Uluslararası Belgeli Denetçiler Sicili), BGYS denetçileri standartlarda tanımlanan gereksinimleri karşılarlarsa, söz konusu denetçilerin nitelikli BGYS denetçileri olarak tescil edilmesine olanak sağlayan BGYS Denetçi Projesini yönetir. UBDS belgelendirme prosesinin bir parçası olarak, başvuruda bulunanların BGYS denetçisinin denetim sırasında sahip olması ve göstermesi gereken ana becerilere, bilgi ve deneyime sahip olup olmadığını yansıtan gereksinimleri karşılayıp karşılamadığını değerlendirir. Değerlendirme ölçütü başvuruda bulunanların tescil edilmeleri için ortaya konulması gereken eğitimi, iş deneyimini, denetçi eğitimini ve denetim deneyimini belirtir.

Belgelendirme

Akredite BGYS belgelendirmesi bir kuruluşun BGYS’nin ISO/IEC 27001’de belirtilen gereksinimlerle uyumunu kontrol etmek için BGYS’nin durumunun belirlenmesi ve denetimini içerir.

Söz konusu bu BGYS belirlemesi ve denetimi belgelendirme işini yapan kuruluşta çalışan bir ya da daha fazla sayıdaki denetçi tarafından yapılır. BGYS belirlemesi ve denetimi başarılı olursa, bu durumda denetçiler belgelendirme kuruluşuna, denetlenen kuruluşun BGYS gerçekleştirmesi için belge verilmesi tavsiyesinde bulunur.

Bu tavsiye belgelendirme kuruluşu içerisindeki bir yönetim ekibi (bu ekip, denetimi yapan kişilerden başka kişiler tarafından oluşturulur) tarafından gözden geçirilir. Gözden geçirme olumlu sonuçlanırsa, kuruluşun BGYS tescili yapılır ve kuruluşa, belgelendirme işlemini yapan kuruluş ile akreditasyon kuruluşunun belgelendirme damgasıyla damgalanmış bir belge verilir.

Bir BGYS’nin belgelenmesi tamamıyla gönüllülük esasına göredir. ISO/IEC 27001 belgelendirme sürecini başarıyla tamamlayan kuruluşlar, bilgi güvenliğini yönetme konusunda kendilerinde daha fazla güven hissederler ve bu durum da, kuruluşun iş ilişkisinde bulunduğu ticari ortaklarına, müşterilerine ve hissedarlarına güven telkininde bulunmasına yardım eder.

Akredite olmuş ISO/IEC 27001 BGYS belgesi, kuruluşun bilgi güvenlik kontrollerinin gizliliğinin ve özelliğinin belli ayrıntılarını muhafaza etmesi için kuruluşa izin veren BGYS yeteneğinin açık ifadesidir.

Belgeler
Verilen belge üç yıl geçerlidir. Bu sürenin sonunda kuruluş, başka bir üç yıllık dönem için belge almak üzere BGYS’nin durumunun yeniden belirlenmesi için başvuruda bulunabilir. Belgenin geçerli olduğu üç yıllık süresince kuruluşun BGYS’si bir dizi izleme ziyaretine maruz kalır. Bu husus, BGYS’nin güncelliğini koruduğunu ve BGYS’de yapılan değişikliklerin etkili bilgi güvenliğinin sürdürülmesi ile orantılı uygun iyileştirmeleri yansıttığının belirlenmesi için kontrolleri yapan belgelendirme kuruluşunun denetimcilerini kapsar.

Belgelendirme hazırlığı
Uyumun gösterilmesi ve belirlenmesi
Akredite ISO/IEC 27001 belgesi, kuruluşun BGYS’sinin belirlenmesini içerir. Bu tür bir belirleme için yapılan hazırlıkta kuruluşun, ana hatları Madde 3.3’te belirtildiği şekilde,
Planlama aşamasında geçen çeşitli faaliyetleri tamamlamış olmasına ve bu faaliyetlerin sonuçlarının yazıya dökülmesine ihtiyaç vardır.

Örneğin; kuruluşun bir risk belirlemesi yapması ve belirlediği riskleri ve bu riskleri belirlerken yaptığı analizi ortaya koyan bir risk belirleme raporunu hazırlaması önemlidir.

Kanıtın denetlenmesi

Kuruluşun, BGYS’yi kurduğunun ve gerçekleştirdiğinin ve bu BGYS’nin işletimde olduğunun kanıtını denetçilere gösterme ihtiyacı vardır. Söz konusu kanıt, kuruluşun BGYS’nin tanımından başlayarak işin bilgi güvenliği ihtiyaçlarına uygun yönetim prosedürleri ile kontrolleri sisteminin gerçekleştirilmesine uzanan bir sistem yaklaşımı içerisinde bu işlemi yaptığını ortaya koymalıdır.

Kullanılan yaklaşım aynı zamanda, iyi tesis edilmiş bir risk yönetim prosesine dayanarak karşılaşılan risklerle nasıl baş edileceği konusunda uygun yönetim kararlarının alındığını göstermeli ve bunun kanıtlarını da ortaya koymalıdır. Bunlara ek olarak, BGYS’yi izlemek, gözden geçirmek ve geliştirmek için konulan prosedürleri ve bu prosedürlerin kullanıcılar tarafından bilindiğini, prosedürlerin uygulamada da kullanıldığını kanıtlamalıdır.

Denetim prosesi, ortaya konulan kanıtların yönetimin, yürürlükteki yasal mevzuata ve ISO/IEC 27001’te belirtilenlere uygun olarak kuruluşun risk belirlemeleriyle tespit edilen güvenlik gereksinimlerini karşılayan bilgi güvenliğini sunması için yeterli adımları attığını ve gerekli işlemleri yürüttüğünü teyit etmesi amacıyla gözden geçirme için iyi bir fırsattır.

Hariç tutulan hususlar ve riskin kabul edilmesi

Risk kabul ölçütünü karşılaması için gerekli olacağı düşünülerek tesis edilmiş yönetim kontrollerinden herhangi birisinin hariç tutulmasının gerekçesi ortaya konulmalı ve yönetimin bu hariç bırakma kararının, kuruluşun bilgi güvenliği risklerini ve hariç bırakma kararını almada idari sorumluluğu bulunan ve kendilerine bu tür kararların alınmasında güvenilen idareciler tarafından, konuyla ilgili olduğu bilinen ve objektif bir biçimde kabul edilen başka riskleri yönetme yeteneğini ve/veya sorumluluğunu etkilemediği de kanıtla desteklenmelidir.

Yazıya dökülmüş bir yönetim sisteminin sunumu

Kurulan BGYS’nin çalışması ve etkin bir biçimde işlemesi; ISO/IEC 27001’e uyumlu olduğunu açıkça gösteren ve teyit eden bir dokümantasyon sistemi, ilgili kayıtlar ve başka kanıtlar ile desteklenmesi önemlidir.

Bu belgelendirme prosesi bir yönetim sistemi ile doğrudan ilgilidir ve kuruluşun kendi BT sistemleri, ürünleri ve hizmetleriyle ilgili bilgi güvenliğinin belli seviyelerine ulaşmış olduğunu göstermez. Kuruluş, bu tür sistemlerin, ürünlerin ve hizmetlerin ayrı BT güvenliği ürün değerlendirmesi tarafından belirlendiği şekilde BT güvenliğinin belli seviyelerini sağladığının kanıtını belgelendirme denetçilerine sunmayı düşünebilir; ancak bu tür değerlendirme sonuçları belgelendirme prosesinin ana amacı ya da hedefi değildir.

Denetim süreci

Denetim metodolojisi
EA 7/03’teki kılavuz, belgelendirme kuruluşunun alternatif bir yaklaşımı doğrulamadığı sürece kuruluşun yerleşim (lerinde) en azından iki aşamada, kuruluşun BGYS’nin denetimini yapması gerektiğini belirtir (Belgelendirme kuruluşunun diğer müşterileriyle de görüşmesi ve anlaşmaya varması gerekecektir.).

EA 7/03, denetimin iki aşamasını tanımlar: 1’inci Aşama Denetim ve 2’nci Aşama Denetim.

1’inci aşama denetim

1’inci aşama denetimin bir hedefi, belgelendirme kuruluşunun, kuruluşun güvenlik politika ve hedefleri kapsamındaki BGYS’nin anlaşılmasını ve risk yönetim yaklaşımını ortaya konulmasını sağlamaktır. Bu denetim aşaması, aynı zamanda 2’nci aşama denetimin planlanmasına odaklanılmayı da sağlar ve kuruluşun denetim için ne kadar hazır olduğunun da kontrol edilmesi için de bir fırsat sunar.

1,inci aşama denetimi, 2’nci aşama denetimin başlamasından önce tamamlanması gereken bir belge gözden geçirme sürecini içerir.

Belgelendirme organının, kuruluşun en azından risk belirleme raporu, riski ortadan kaldırma planı ve Uygulanabilirlik Belgesi ile BGYS’nin diğer önemli belgelerini kapsayan BGYS’nin tasarımı ve gerçekleştirmesiyle ilgili belgeleri gözden geçirmesi gerekir.

1’inci aşama denetimin sonuçlarını içeren bir yazılı rapor hazırlanmalıdır. Bu raporda verilen bulgular, 2’nci aşama denetime geçilmesi için doğru zamanın gelip gelmediğine karar verilmesi için kullanılır.

Rapordaki bulgular, BGYS’nin özel tabiatına uygun gerekli niteliklere sahip 2’nci aşama denetim personelinin seçimi için de kullanılır. Bir sonraki denetim aşamasına geçerken, belgelendirme kuruluşu, hangi ilave belgelerin, ilave bilgilerin ve kayıtların 2’nci aşama denetim sırasında ayrıntılı inceleme için gerekli olabileceği hususunda kuruluşu bilgilendirmelidir.

2’nci aşama denetim

2’nci aşama denetim, 1’inci aşama denetim raporundaki bulgulara dayanır. Belgelendirme kuruluşu, bu bulgulara göre 2’nci aşama denetimi icra etmek için bir denetim planı yapar. 2’nci aşama denetimi, kuruluşta BGYS’nin bulunduğu yerde yapılır.

2’nci aşama denetim şu hususları içermelidir:

a) Kuruluşun kendi politikalarına, hedeflerine ve prosedürlerine göre hareket ettiğinin teyidi,

b) BGYS’nin ISO/IEC 27001 standardında geçen gereksinimlerin tümüne uyduğunun ve BGYS’nin kuruluşun bilgi güvenliği hedeflerini elde ettiğinin teyidi (Bu bölüme kuruluşun, ISO/IEC 27001 standardının Madde 4 ila Madde 8’de belirtilen gereksinimleri karşılaması için konulan proses sistemine sahip olduğunun kontrolü de dahil edilmelidir.). 2’nci aşama denetimi özellikle kuruluşun aşağıdakileri nasıl yerine getirdiğiyle ilgilidir:

c) Risklerle ilgili bilgi güvenliğinin belirlenmesi ve kendi BGYS’nin nihai tasarımı,
* Kuruluşun risk belirleme yaklaşımının tanımlanması (ISO/IEC 27001; Madde 4.2.1 c)),
* Risklerin tanımlanması (ISO/IEC 27001; Madde 4.2.1 d)),
* Risklerin analiz edilmesi ve değerlendirilmesi (ISO/IEC 27001; Madde 4.2.1 e)),
* Risklerin ortadan kaldırılması seçeneklerinin tanımlanması(ISO/IEC 27001; Madde 4.2.1 f)),
* Risklerin ortadan kaldırılması için kontrol hedeflerinin ve kontrol tedbirlerinin seçimi (ISO/IEC
27001,,Madde 4.2.1 g)),
* Bir Uygulanabilirlik Belgesi’nin hazırlanması (ISO/IEC 27001; Madde 4.2.1 j)).

d) Bu süreçten elde edilen hedeflerin kontrol edilmesi,

e) Hedefler göz önünde bulundurularak performansın izlenmesi, ölçülmesi, rapor edilmesi ve gözden geçirilmesi. Bu husus, proseslerin uygulandığının ve en azından ISO/IEC 27001’de geçen hususların aşağıdakilerde kullanıldığının kontrolünü de içermelidir:

* Madde 4.2.2 BGYS’nin izlenmesi ve gözden geçirilmesi,
* Madde 6 BGYS’nin yönetiminin gözden geçirilmesi,
* Madde 7 BGYS’nin geliştirilmesi,
* Madde 8 BGYS’nin geliştirilmesi,

f) Güvenlik ve yönetim gözden geçirmeleri. Bu husus, süreçlerin yerinde olduğu ve en azından ISO/IEC 27001’de geçen hususların aşağıdakilerde kullanıldığının kontrolünü de içermelidir:

* Madde 4.2.2 BGYS’nin izlenmesi ve gözden geçirilmesi,
* Madde 6 BGYS iç denetimleri,
* Madde 7 BGYS’nin yönetiminin gözden geçirilmesi,

g) bilgi güvenliği politikası için yönetim sorumluluğu. Bu husus, süreçlerin yerinde olduğu ve en azından ISO/IEC 27001’de geçen hususların aşağıdakilerde kullanıldığının kontrolünü de içermelidir:

* Madde 4.2.2 BGYS’nin izlenmesi ve gözden geçirilmesi,
* Madde 5 Yönetim sorumluluğu,
* Madde 6 BGYS’nin yönetiminin gözden geçirilmesi,

h) Aşağıda belirtilenlerle arasındaki denetim bağlantısı (ISO/IEC 27001 standardının 4 ila 7’nci
maddelerinde belirtilen çeşitli faaliyetler, prosesler ve sonuçlar arasındaki bağlantıların gösterilmesini de içermelidir.)

* BGYS’nin kapsamı ve politikası,
* BGYS’nin bilgi güvenliği risk belirlemelerinin sonuçları,
* BGYS ve iş hedefleri,
* Sorumluluklar,
* Programlar,
* BGYS prosedürleri,
* BGYS performans verisi, hedefleri, ölçümleri,
* BGYS’nin güvenlik gözden geçirmeleri.

BGYS’nin kapsamı

ISO/IEC 27001’in Madde 4.2.1’de yer alan bir gereksinim de fıkrasında da ifade edildiği üzere), kuruluşların kendi BGYS kapsamını tanımlamasıdır. Kuruluşların etkin bilgi güvenliğini sağlaması için kendi işletimi veya işi için önemi olan BGYS kapsamından herhangi bir şeyin hariç tutulmamasını temin etmek amacıyla BGYS kapsamını teyit etmek belgelendirme kuruluşunun görevidir.

Belgelendirme kuruluşu, kuruluşların bilgi güvenlik risk belirlemesinin ISO/IEC 27001 standardında tanımlandığı üzere kuruluşların iş faaliyetlerini doğru bir biçimde yansıtması ve sınırlarını genişletmesi ve faaliyetlerine arayüzlük yapması hususunu kendisinin temin etmesine ihtiyaç duyar. Belgelendirme kuruluşları; söz konusu bu ihtiyacın BGYS standardına göre kuruluşun riski ortadan kaldırma planında ve Uygulanabilirlik Belgesi’nde yansıtıldığını teyit etmelidir.

Tamamıyla BGYS’nin kapsamında olmayan hizmetler ve faaliyetler arasındaki arayüzler, belgelendirmeye göre BGYS içerisinde adreslenmeli ve kuruluşun bilgi güvenliği risk belirlemesine dahil edilmelidir.

Bu tür durumlara bir örnek olarak tesislerin (bilgisayarların, iletişim sistemlerinin, vb.) başkalarıyla paylaşılması verilebilir.

ISO/IEC 27001 standardının Madde 1.2’sinde belirtildiği üzere:
Bir kuruluş uluslararası standarda uyduğunu iddia ettiğinde, 4’üncü, 5’inci, 6’ncı ve 7’nci maddelerde belirtilen gereksinimlerden herhangi birinin kapsam dışı bırakılması kabul edilmez.

Risk kabul kriterini karşılamak için gerekli olduğu görülen kontrol tedbirlerinin kapsam dışı bırakılmasının gerekçeleri ortaya konulmalı ve ortaya konulan gerekçenin, konuyla ilişkili risklerin güvenilir insanlar tarafından kabul edildiğinin belirtilmesine ihtiyaç duyulur. Herhangi bir kontrol önlemi kapsam dışı bırakıldığında bu standarda uyumlu olunduğu iddia edilirse; risk belirlemesiyle ve yürürlükteki yasal mevzuat gereksinimleriyle belirlenen güvenlik gereksinimlerini karşılayan bilgi güvenliğini sağlamak kuruluşun yeteneğini ve / veya sorumluluklarını etkilemediği sürece kapsam dışı bırakılan önlemler kabul edilemez.

Çoklu yerleşimleri kapsayan BGYS kapsamı

Çoklu yerleşimlerin tek bir BGYS ile kapsama alanına alındığı yerde, bir sertifika, benzer tüm yerleşimler aşağıdaki hususları yerine getirdikçe kapsama alanına alınması için belgelendirme kuruluşu vasıtasıyla yayımlanabilir:

* Tüm yerleşimler; merkezi olarak idare edilen, yönetilen, denetlenen ve merkezi yönetimin gözden geçirmesine maruz olan aynı BGYS kontrolü altında işletilir.

* Tüm yerleşimler, kuruluşun iç güvenlik gözden geçirme prosedürlerine göre denetlenir.
Bir siteden daha fazla siteyi (çoklu site) kapsayan BGYS’yi tanımlarken arayüzleri temin etmek için özel önem gösterilmeli ve bağımlılıklar uygun bir biçimde belirtilmeli ve risk belirlemesinde dikkate alınmalı; bu belirleme sonuçları, gerçekleştirilen kontrol sistemlerinde doğru bir biçimde yansıtılır.

Eğer belgelendirme kuruluşu, çoklu yerleşim denetimlerine örnekleme tabanlı yaklaşımı adapte ederse, bu durumda örneklemenin birkaç site farklılıklarında kısmen seçici olması, kısmen de seçici olmaması ve yerleşim seçiminin rasgele elemanını çıkarmaksızın seçilen farklı yerleşimlerde sonuçlandırması beklenir. Tek bir BGYS tarafından kapsanan yerleşimler arasında uygulanabilecek farklılıklar aşağıdakileri içerir:

* Yerleşimlerin büyüklüğündeki değişiklikler;
* Bu yerleşimlerde yapılan işlerde değişiklikler.
* Farklı yerleşimlerdeki bilgi sistemlerindeki karmaşıklık.
* Farklı yerleşimlerde üstlenilen çalışma uygulamaları ve işletim faaliyetlerinde değişiklikler.
* Farklı yerleşimlerde işleme tabi tutulan bilgi türlerindeki (kritik olan/kritik olmayan, hassas olan/hassas olmayan) değişiklikler.
* Farklı yerleşimlere uygulanabilen yasal ve düzenleyici gereksinimlerdeki değişkenler

Varlıklar, kırılganlıklar veya tesirler üzerinde belli tehditlere maruz olan BGYS’de bulunan her yerleşkenin belgelendirme kuruluşunca denetlenmesi gerekir.

Takip denetim programlarının belli bir süre içerisinde, kuruluşun tüm yerleşimlerini kapsaması ya da Uygulanabirlik Belgesi’nde belirtildiği üzere BGYS belgelendirme kapsamında uygulanması gerekir.

Ana büroda ya da BGYS’deki ayrı bir sitede bir uyumsuzluk ortaya çıktığında, düzeltme hareketi prosedürü ana büroya ve belge kapsamındaki tüm yerleşimlere tatbik edilmelidir.

Denetim yolu

Denetçiler, kanıt toplanırken ve toplanan kanıtlar incelenirken, kuruluşun BGYS’yi kurmak amacıyla ISO/IEC 27001’deki prosesleri takip ettiğinin doğrulanmasına ihtiyaç duyar.

Kuruluşun takip ettiği adımların (örneğin, BGYS kapsamından Uygulanabilirlik Belgesi’ne kadar giden) geriye doğru izlenmesinde kullanılmak üzere bir denetim yolu olmalıdır.

Bundan dolayı denetçi, riskleri ve gerçekleştirilecek kontrol seçimleri için nedenleri nasıl ortadan kaldıracağına ilişkin yönetim kararı verme prosesiyle, tanımlanmış riskler ve belirleme prosesiyle ve son olarak da BGYS kapsamı ve politikasıyla Uygulanabilirlik Belgesi’nde belirtilen kontrolleri ve ilişkili riskleri geriye doğru izleyebilmelidir.
Planlama Aşaması İçin Denetim Akış Şeması

Benzer şekilde, BGYS’nin gerçekleştirilmesinden ve işletime alınmasından, yönetim kontrollerinden ve ISO/IEC 27001’deki Uygula aşaması’ndan Planlama aşaması sırasında BGYS’nin geliştirmesine kadar geriye doğru izlemek için kullanılabilen bir denetim yolu olmalıdır.

Denetim raporu

Sertifikasyon kuruluşunun denetim sonuçlarının kuruluşa aktarılması için çeşitli raporlama metotlarına ve işlemlerine uyması beklenir. Bu uyum, denetimin sonunda verilen resmî raporlar şeklinde olabileceği gibi,kuruluşun bulunduğu yerde denetim toplantıları sırasında verilen yazılı ve sözlü raporları da içerir.

Söz konusu bu raporlar, kuruluşun BGYS’nin ISO/IEC 27001’teki gereksinimlerine uyum seviyesini de gösterir.

Denetim sırasında verilen raporlar, denetimcinin bulguları ve bu bulguların esası hakkında sorular sorması için kuruluşa bir fırsat sunar. Belgelendirme kuruluşunun, belgelendirme gereksinimlerinin tamamıyla uyumlu olması için uğraşılacak ya da göz ardı edilebilecek uyumsuzlukları ortaya çıktıkça belli zamanlarda kuruluşa denetim raporu sunması beklenir.

Kuruluş, denetim raporları hakkında yorum yapması ve yaptığı ya da denetim sırasında belirlenen uyumsuzluğu gidermek için yapmayı planlandığı belli düzeltme eylemlerini açıklaması için davet edilir.

Belgelendirme kuruluşu, tamamen ya da kısmen yeniden belirleme ihtiyacının bulunup bulunmadığı veya gözlem sırasında teyit edilmesi gereken yazılı bir bildirimin, düzeltici eylemin yapılıp yapılmadığını kontrol etmek için yeterli görülüp görülmeyeceği hususunda kuruluşu bilgilendirmelidir.

Belgelendirme kararı
Bir kuruluşa belge verilip verilmeyeceğinin kararı belgelendirme kuruluşu tarafından verilir. Bu karar, denetim sırasında toplanan bulgu ve bilgiler ışığında verilir. Belgelendirme kararını verecek olan kişiler, denetimde yer almayan kişilerdir.

Belge verilen kuruluşa, belgelendirme kuruluşundan bir BGYS belgesi verilir. Bu BGYS belgesi, belgelendirmenin kapsamı, belgelendirmenin yürürlüğe gireceği tarih, uygulanabilirlik belgesinin belli bir sürümüne atıfta bulunulması, uygulanabilir belgelendirme kuruluşu ve akreditasyon kuruluşunun logosu ya da işaretleri gibi özellik arz eden bilgileri içerir.

Gözlem ve yeniden değerlendirme işlemleri
Belgelendirme kuruluşunun, kuruluşun BGYS’si üzerinde belli zaman aralıklarıyla gözlem denetimleri yapması gerekir. Söz konusu bu izleme denetimlerinin sıklığı, belgelendirme kuruluşunun sorumluluğundadır ve genellikle bir kuruluş altı ayda bir böyle bir denetim için ziyaret edilir.

Bu gözlem denetimlerinin amacı, belgelenen BGYS’nin belgelendirme gereksinimlerine ve ISO/IEC 27001 standardına uyumunun sürüp sürmediği hususunu doğrulamaktır.

Kuruluşun BGYS’sinin yeniden belirlenmesi normal olarak her üç yılda bir yapılır. Bir BGYS belgesinin en fazla ömrü, BGYS ihtiyaçlarının yeniden belgelendirme ihtiyacının görüleceği üç yıldan sonradır.

Söz konusu bu yeniden denetimin amacı;

* Kuruluşun BGYS’sinin, ISO/IEC 27001 gereksinimlerine uyumluluğunu tam olarak sürdürdüğünü doğrulamak,

* Geçmiş gerçekleştirmeleri ve tüm belgelendirme prosesinde sistemin devam eden bakımını aşağıdaki hususları da içerecek şekilde gözden geçirmektir.

BGYS’nin, ISO/IEC 27001’teki gereksinimlere uygun olarak düzgün bir biçimde gerçekleştirildiği,sürekliliğinin sağlandığı ve geliştirildiğinin kontrolü,
BGYS dokümantasyonunun ve düzenli BGYS denetimlerinin (iç denetimler ve gözlem denetimleri de dahil olmak üzere) gözden geçirilmesi,
BGYS’nin tüm elemanları arasındaki etkin iletişimin kontrolü,
Kuruluşun iş ve faaliyetlerindeki değişiklikleri de göz önüne alarak kuruluşun bütününde BGYS’nin etkinliğinin kontrolü,
BGYS’nin etkinliğinin sürdürülmesi için ortaya konulan sorumluluğun doğrulanması.ISO 27001 BGYS Dokümantasyon Sistemi

BGYS’nin ISO/IEC 27001’in Madde 4.3’ünde belirtilen gereksinimlerle uyumlu belgelenmiş bir yönetim sistemi olması önemlidir.
BGYS dokümantasyonu aşağıda belirtilen TS ISO/IEC 27001 gereksinimleri içermelidir:
* Madde 4.2.1 b)’de belirtilen zorunlu gereksinimle uyumlu BGYS politikası ve hedefleri,
* Madde 4.2.1 a)’da belirtilen zorunlu gereksinimle uyumlu BGYS kapsamı ve sınırları,
* BGYS’i destekleyen prosedürler ve kontroller,
* Madde 4.2.1 c)’de belirtilen zorunlu gereksinimlerle uyumlu olan kuruluş tarafından uyarlanmış risk
belirleme metodolojisinin tanımı,
* Madde 4.2.1 g)’de belirtilen zorunlu gereksinimlerle uyumlu bir risk belirleme raporu,
* Madde 4.2.2 b)’de belirtilen zorunlu gereksinimle uyumlu risk işleme planı,
* Madde 4.2.2 c) ve 4.2.3 c)’de belirtilen zorunlu gereksinimle uyumlu bilgi güvenlik süreçlerinin etkili şekilde planlanması, yürütülmesi ve kontrolünü sağlamak için gerekli olan yazılı işlemler ile kontrollerin etkinliğinin nasıl ölçüldüğünün tanımı,
* BGYS’nin etkili bir biçimde işletildiğinin ve gereksinimleri karşıladığının kanıtını ortaya koyan kayıtlar,
* Madde 4.2.1 j)’de belirtilen zorunlu sertifikasyon gereksinimiyle uyumlu Uygulanabilirlik Belgesi.
Dokümantasyonun içeriğinin ve uzanımının, kuruluşun faaliyetlerinin çokluğuna ve türüne, kuruluşun
dokümantasyon gereksinimlerine, BGYS’nin kapsamına, uygulanabilir güvenlik gereksinimlerine ve gözden geçirilmekte olan bilgi sisteminin karmaşıklığına bağlı olarak değişiklik gösterebileceği unutulmamalıdır. Ayrıca, dokümantasyonun kuruluşa göre uydurulabileceği hususu da akıldan çıkarılmamalıdır.

Dokümantasyonun Kanıtlanması

BGYS’nin doğru, düzgün ve etkin bir biçimde işlediğini kanıtlamak için dokümantasyonun yeterli bilgi içermesi önemlidir. Bundan dolayı dokümantasyon, yukarıda sayılanlara ek olarak yönetim kurulu toplantıları ve kararlarının kayıtlarını da içermeli ve kuruluşun attığı adımlarda alınan kararları ve/veya politikaları ve standartları uyguladığının izleri görülebilmelidir. Bir şekilde tutulan kayıtların tekrar elde edilebilir olması da sağlanmalıdır.
Yukarıda bahsedilen Uygulanabilirlik Belgesi’nde de belirtildiği üzere sunulan dokümantasyonun seçilen kontrollerden risk belirleme ve risk giderme proseslerinin sonuçlarına ve buradan da BGYS politikası ve hedeflerine kadar uzanması arasındaki ilişkinin gösterilmesini desteklemesi önemlidir. Kuruluş, denetim sürecinde sık sık göz önüne alınan bir konu olması nedeniyle belgelendirmeyi amaçlıyorsa, bu durumda bu konu ayrı bir önem arz eder.

Dokümantasyonun ve Kayıtların Kontrolü

ISO/IEC 27001’deki Madde 4.3.2 ve Madde 4.3.3, BGYS dokümanlarının yeterince korunması ve kontrol edilmesini sağlamak amacıyla dokümantasyonun ve kayıtların kontrol edilmesi için bir dizi zorunlu gereksinimi tanımlar.
Söz konusu bu gereksinimler; dokümanların ve kayıtların korunması ve kontrol edilmesini sağlayan uygun bir dizi işlemler ve süreçlerle karşılanır. Bu husus, bilgi güvenliği için diğer kontrol tedbirlerinin yanı sıra risk yönetimi sürecinin önemli bir parçasıdır.
BGYS’yi işletmek ve BGYS’nin doğru, düzgün ve etkin bir biçimde çalıştığını göstermek için gerekli olan tüm dokümanlar ve kayıtlar sürekli olarak elde bulundurulmalı, kullanılabilir, güncel ve ilişkili olmalıdır.
Kayıtlar, bilgi güvenlik yönetimi dünyasında özellikle önemli bir rol oynar. Bir bilgi güvenliği ihlal olayı meydana geldiğinde, ihlal olayının ciddiyetine uygun öncelik ve zamanlama derecesi verilmesi önem arz eder.

Çoğu kez, en uygun durumda ihlal olayıyla ilişkilendirilebilecek kanıt gerekli olur: Nerede, ne zaman meydana geldi? Koşullar nelerdi? Kim/Ne yaptı? Elde edilenler ne idi? vb. Doğru ve kesin kaydın tutulması bu kanıtları bize verebilir. Tabii ki, adli bir ihlal olayının meydana gelmesi halinde kanıtların toplanması ve sunulması yasal gereksinimleri de beraberinde getirir. Bu kayıtlar, kuruluşun BGYS gereksinimlerine uyduğunun ve söz konusu BGYS’nin etkin bir biçimde işlediğinin kanıtını ortaya koyabilir ve de gösterebilir.
Bundan dolayı, yalnızca kayıtları tutmak önemli değildir; aynı zamanda bu kayıtların korunması;
bütünlüğünün, kullanılabilirliğinin ve gizliliğinin sağlanması da önemlidir.
ISO/IEC 27001’deki dokümantasyon ve kayıtlar için kontrol gereksinimleri, diğer yönetim sistem standartında ör: ISO 9001 belirtilen gereksinimlerle uyumlu hale getirilmiştir. Bu durum, birleştirilmiş/bütünleştirilmiş denetimlere sahip olma, dokümantasyon ve kayıtların yönetimi ve muhafazası için gerekli olan kaynaklarda tasarruf edilmesi gibi kuruluşa pek çok yararlar sağlar. Ayrıca, iş imkânlarının daha iyi kontrol edilmesini, daha pürüzsüz ve daha bütünleşmiş bir yönetim imkanını da sunar.BGYS’nin İzlenmesi ve Gözden Geçirilmesi

Kontrol et aşaması için TS ISO/IEC 27001 Madde 4.2.3’de tanımlanan “-ecek” , “-acak” ifadeleri; kuruluşun Uygula aşamasında gerçekleştireceği BGYS’nin izlenmesi ve gözden geçirilmesi için uygun süreçler dizisine sahip olunması amacıyla tasarlanmıştır.
Kontrol et aşamasının ayrıntıları aşağıdaki faaliyetleri içerir:

a) Prosedürlerin izlenmesi ve gözden geçirilmesi işleminin yapılması. Bu prosedürler ve diğer kontroller, BGYS’nin çalışması sırasında ve işletilirken ortaya çıkan hataları tespit etmeli, başarısız ve başarılı olan güvenlik açıklarını tanımlamalı, bilgi güvenliği olaylarını ortaya koymalı, bilgi güvenliği ihlal olaylarını önlemeli ve alınan önlemlerin güvenlik açıklarını giderip gidermediğini ya da işe yarayıp yaramadığını tespit etmelidir. Bunlara ek olarak, söz konusu bu izleme ve gözden geçirme prosedürleri, gerçekleştirilen kontrollerin etkin olarak çalışıp çalışmadığını ve sorumluluk verilen kişilerin risk giderme planınında tasarlandığı şekilde görevlerini yerine getirip getirmediklerini yönetimin tespit etmesine imkân
vermelidir.
Kuruluş, yürüttüğü izleme faaliyetlerinin, izleme kayıtlarının ve dosyalarının, izleme faaliyetlerinin
sonuçlarına karşılık yapılan eylemlerin değerlendirilmesinin yazılı kayıtlarını da belgelendirmek
bakımından sahip olmalıdır.

b) BGYS’nin etkinliğinin düzenli aralıklarla gözden geçirilmesi faaliyetinin yapılması. Kuruluş, BGYS’nin ne kadar etkin çalıştığını belirlemelidir. Bu işlem, güvenlik politikaları ve hedefleri ile güvenlik kontrollerinin gözden geçirilmesi bakımından ele alınmalıdır (c) maddesine de bakılmalıdır.). Söz konusu bu gözden geçirme faaliyetlerinde, BGYS’nin etkinliğinin tespit edilmesi sırasında tüm faktörlerin göz önüne alındığını temin etmek için güvenlik gözden geçirmeleri ve denetimlerinin sonuçlarını dikkate alınmalıdır (Madde e) ve f)’ye de bakılmalıdır.). BGYS’nin etkinliği konusunda tanımlanmış herhangi bir uyumsuzluk
ya da yetersizlik, düzeltici önlemlerin alınmasını, BGYS’nin çalışmasının sürdürülmesini ve
geliştirilmesini teşvik etmelidir.

c) Kontrollerin etkinliğinin ölçülmesi. Gerçekleştirilen kontrollerin etkinliğinin belirlenmesi için ortaya konulan tanımlar, kontrollerin ne kadar etkin çalıştığının ve kontrollerin düşünülen hedeflere ulaşılıp ulaşılmadığı ile tanımlanan gereksinimleri karşılayıp karşılamadığının ölçülmesi için kullanılmalıdır. Bu konuda uygulanabilecek oldukça fazla farklı ölçüt bulunmaktadır ve uygun ölçütler kontrollere ya da düşünülen kontrol gruplarına göre değişiklik gösterebilir. kılavuzu kontrollerin etkinliğinin tespit edilmesi hususunda kullanılabilecek ölçüler ve ölçü birimleri konusunda daha fazla bilgi vermektedir.

d) Planlanan sürelerle risk belirlemelerin gözden geçirilmesi. bilgi güvenlik risklerinin yönetiminde etkili olmak için BGYS’yi etkileyebilecek değişiklikleri izlemek ve kaydını tutmak BGYS için önemlidir. Söz konusu bu gözden geçirmeler, aşağıda belirtilenlerden dolayı tehditlerde, hassasiyetlerde ve etkilerde meydana gelen değişiklikleri tanımlamalıdır:

* İş ortamı ya da kapsamı – yeni iş ortakları; yeni ve farklı ikmal zincirleri; yeni, farklı veya özellikleri değişen müşteri tabanı; farklı pazarlara açılma; pazar koşulları; üçüncü şahıs düzenlemeleri; dış kaynaklı düzenlemeler; evde çalışma;
* İş politikası ve hedefleri – Değiştirilen iş politikası ya da değişen hedefler riski ortadan kaldırma kararlarına ya da varlık değerlendirmelerine tesir edebilir;
* Kuruluş yapısı, işgücü, çalışma ortamı;
* Gerçekleştirilen kontrollerin etkinliği;

Tanımlanan tehditler ve duyarlılıklar – teknolojideki en son gelişmelerle güncellenecek, değişecek iş prosesleri ve meydana gelen ihlal olayları;

* Teknolojinin kullanımı ve yayılması – yeni sistemler ve uygulamalar, güncellemeler, genişleyen iş ağları, sistem platformlarında daha büyük farklılıklar; uzaktan erişimin daha geniş oranda kullanımı, üçüncü şahısların daha büyük pay sahibi olmaları, daha çok dış kaynaklı düzenlemeler;
* Yasal ve düzenleyici ortam, değişen ya da ilave sözleşmeler veya kuruluş ortamındaki diğer
değişiklikler.
Burada sayılan değişiklik örneklerinin hepsinin risklerin üzerinde etkisi ve kuruluşun işi konusunda tesiri vardır. Risklerin yeniden değerlendirilmesi, artık risk düzeyi ve kabul edilebilir risk; BGYS’nin kalan etkisini garanti etmesi için gereklidir. Belgelendirmeye niyeti olan bir kuruluş kendi risk belirlemesinin güncellemesini yaparak bu faaliyetleri yazıya dökebilir ve sonraki zamanlarda ne kadar ilerlediğini tespit etmek için risk değerlendirme sonuçlarını karşılaştırabilir.

e) Kuruluş içi BGYS denetimlerinin yapılması. Kuruluş, BGYS’nin kontrol hedeflerinin, kontrollerinin, politikalarının ve prosedürlerinin tanımlanan gereksinimlere uyumluluğunu sağlamak için bir BGYS iç denetimi yapmalıdır (Daha fazla ayrıntı için Madde 3.10’a bakılmalıdır.). BGYS denetimleri planlanan aralıklarla yapılmalıdır.

f) BGYS’nin yönetim gözden geçirmesinin yapılması. Kuruluş; Kontrol et aşaması’nda, kendi BGYS’sinin kapsamının ve kontrol sisteminin hâlâ geçerli ve etkili olduğu, prosedürlerin hâlâ geçerli olduğu ve doğru bir biçimde mevcut iş kapsamında kullanıldığı, yapılan rol ve sorumluluk paylaşım