Bilgi Güvenliği ISO 27001’in Güncel Standard Yapısı

ISO 27001 Bilgi Güvenliği

ISO tarafından yapılan tüm 2015 ve sonrasına ait standard güncellemelerinin tümünde aynı yapısal değişim kullanılıyor. Bilgi güvenliği dahil olmak üzere tüm yönetim sistemlerinin standard maddelerinin aynı yapıyla ilerlediğini görüyoruz. Önce ortak maddelerden başlayalım daha sonra bilgi güvenliği özel maddeler ile ilerleyelim.

Birinci madde tüm yapılarda aynı ve kapsam ile başlıyor. Bu ilgili stadartın kapsamının ne olduğuna dair sınırları belirliyor. Bu standard neleri kapsıyor bu bölümde söyleniyor.

İkinci madde atıf yapılan standard ve/veya dokümanlar başlığına sahip. Eğer bu standard hazırlanırken farklı doküman, kayıt, yönerge, mevzuatlar ile arada bir bağlantı mevcut ise o ilişkiler tanımlanıyor.

Üçüncü terimler ve tarifler maddesi kısa bir sözlük gibi. Bilinmeyen, yabancı dilden geçme farklı kelime veya kelime grupları, deyimler varsa burada açıklanıyor. Bazı durumlarda ise anlamını bildiğimiz ancak birden fazla manası bulunan standard içerisinde farklı anlamlarıyla yazıya dökülen, bilinenden farklı şekilde kullanımı beklenen ifade gruplarının ne anlama geldikleri bu mini sözlükte kendisine yer buluyor.

ISO 27001’in ne anlama geldiğini önceki yazılarımızda sizlerle paylaşmıştık. Dileyenler ve konuya yeni girenler geçiş makaleleri okuyabilirler.

ISO 27001 ve Diğer Standartların Başlangıç Noktası

Dördüncü madde ortak maddelerden bir diğeri olup uygulama faaliyetlerinin de başlayacağı ilk madde. İlk üç maddenin bizden istediği herhangi bir çalışma bulunmuyor. Altında dört alt madde yer alıyor. Eskiden el kitabında anlatılan kuruluşun tanıtımı, proses etkileşim şemaları, ürün ve hizmetlerin listelenmesi işte bu madde ile isteniyor. Ayrıca bu madde tüm yönetim sistemi standartları için de güncel bir maddedir. İşin içine artık pazarlama dahil ediliyor. Kuruluşun iç ve dış bağlamını analiz bazı önemli ve kuruluşu bağlayan konuların detaylı irdelenmesini istiyor. Paydaşların belirlenmesi ve kuruluştan beklentilerine dair detaylı SWOT, PESTLE gibi analizler yapılması isteniyor.

Önemsenmesi gereken bilgi şu; ISO 27001 standardı dahil olmak üzere her standardın hangisi için çalışma yapılacaksa, işlem kararlarında ona göre davranılması. Tek bilinmesi gereken sürpriz nokta bu. Diğer her şey neredeyse ortak çatı altında yürüyebiliyor.

Beşinci maddenin ortak ISO 27001 yapısına bakıldığında herkesin liderlik çerçevesinde buluşması söylenmiş. ISO 27001 bilgi güvenliği politikasının hazırlanması, tüm taraf ve çalışanlara bildirimi gerekiyorsa personelin sadece hedefler ve politika için eğitime tabi tutulması isteniyor. Her çalışan taşın altına elini koymalı. Yeni dönem bunu sağlama peşinde. Organizasyon şeması ve bilgi güvenliği ekip listesinin hazırlanması şartlardan bir diğeri.

Planlama maddesi altında risk ve fırsatları ele alma, 27001 hedeflerinin proses bazında ortaya konması isteniyor. Diğer ISO standartlarından farklı şekilde ISO 27001 standard içeriğinde burada değişim yönetimi bulunmuyor. İlk ayrışma burada gerçekleşiyor. Bilgi güvenliği riskleri ve fırsatları ile hedef planlaması ise burada yer alıyor.

Destek yedinci madde de karşımız çıkıyor. İnsan kaynakları yönetimi, kaynakların listelenmesi, eğitimler, oryantasyon ve dokümante edilmiş bilgi denilen kurumsal bilginin yazıya dökülmüş versiyonu bu aşamada dokümante edilmek zorundadır. İç ve dış iletişim prosedürü ile iletişim tablosunun hazırlanması, yazılı bilgilerin işletimi planlanıyor.

İşin en alıcı maddesi işletim başlığıyla sınırlarının çizildiği bu madde sizin uygulayacağınız ISO 27001 operasyonlarının özelleştirilmiş tüm faaliyetleri burada toplanmalı. İşletim planlaması ve kontrol bilgi güvenliğinin ayrıştığı nokta burada yer alıyor.

ISO 27001 bilgi güvenliği yönetim sistemi 2017 modeliyle, ISO 9001 kalite yönetim sistemi, ISO 14001 çevre yönetim sistemi, ISO 45001 iş sağlığı ve güvenliği yönetim sistemi ile aynı çatıda toplanarak kolaylıkla entegre etme ve bilgi güvenliğinin yöntemiyle birlikte benimsenmesi mümkün olmuştur. Bu daha kısa zamanda daha büyük işler yapılmasına ve hızlı ilerlemeye büyük katkılar sağlıyor.

ISO 27001’in operasyonel çalışmaların çoğu diğer entegre sistemlerde dahil olacak şekilde ele alındığında burada bilgi gibi sanal bir kavramın konuya ağırlığını verdiği görülüyor. Her ne kadar işin içinde fiziksel sunucular bulunuyor olsa bile çoğu kurgu sistemin hack saldırılarından kurtulması üzerinde yoğunlaşıyor. Planlama yapılırken bilgi güvenliği yönetim sistemi işletim kurgusunun bu ortak zemin üzerinde yükseltilmesi önemlidir.

ISO 27001 Son İki Madde

Performansın periyodik değerlendirmesinin yapılması ISO 27001 de dahil tüm sistemler için analiz, izleme ve ölçme aşamaları zorunlu talep ediliyor. ISO 27001 iç denetim soru listeleri hazırlığı, yönetim toplantılarında girdilerin ele alınması üst yönetim kararlarının verilmesi girdilerin kalitesiyle doğru orantılıdır.

Onuncu ve son final maddesinde potansiyel bilgi güvenliği uygunsuzluklarına karşı tepki geliştirilmesi ve sürekli iyileştirme yürütülmesi mevcut sistemsel sıralama yapısı uygulamanın kendi içeriğinde yer alıyor.

EK-A referans kontrol amaçları ve hedefler ISO 27001’e özel hazırlanmış destek bölümü mahiyetindedir. Liste EK-A altında bulunan kontroller yapıldığında neredeyse temel ve orta seviyede bilgi güvenliği risklerinin çoğundan arınmış oluyorsunuz. EK-A listesinde ISO 27001 taahhüt edilen politikalar, zorunlu denetimler sırasında istenen dokümanlar arasında yer almaktadır.

ISO 27001 Bilgi Güvenliği Standard Maddeleri

1 Kapsam

2 Atıf yapılan standard ve/veya dokümanlar

3 Terimler ve tarifler

4 Kuruluşun bağlamı

4.1 Kuruluşun ve bağlamının anlaşılması

4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi

4.4 Bilgi güvenliği yönetim sistemi

5 Liderlik

5.1 Liderlik ve bağlılık

5.2 Politika

5.3 Kurumsal roller, sorumluluklar ve yetkiler

6 Planlama

6.1 Risk ve fırsatları ele alan faaliyetler

6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama

7 Destek

7.1 Kaynaklar

7.2 Yeterlilik

7.3 Farkındalık

7.4 İletişim

7.5 Yazılı bilgiler

8 İşletim

8.1 İşletimsel planlama ve kontrol

8.2 Bilgi güvenliği risk değerlendirme

8.3 Bilgi güvenliği risk işleme

9 Performans değerlendirme

9.1 İzleme, ölçme, analiz ve değerlendirme

9.2 İç tetkik

9.3 Yönetimin gözden geçirmesi

10 İyileştirme

10.1 Uygunsuzluk ve düzeltici faaliyet

10.2 Sürekli iyileştirme

Ek A Referans kontrol amaçları ve kontroller