Site Overlay

ISO 27001 Sertifikası: Temel Bilgiler ve Uygulama Rehberi

By Arif Akyüz

ISO 27001 Sertifikası: Temel Bilgiler ve Uygulama Rehberi

ISO 27001, bir kuruluşun bilgi güvenliğini sağlamak ve yönetmek amacıyla uluslararası kabul görmüş bir standarttır. Bu makalede, ISO 27001’in temel prensiplerini, risk yönetimi süreçlerini ve sertifika alma adımlarını detaylı bir şekilde inceleyeceğiz.

1. ISO 27001 Nedir?

ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) için bir standarttır ve kuruluşların bilgi güvenliğini yönetmelerine yardımcı olur. Bu standart, bilgi güvenliği risklerini tanımlayarak, risk yönetimi ve sürekli iyileştirme döngüsü (Planla-Uygula-Kontrol Et-Önlem Al) temelinde çalışır.

Cevap: ISO 27001, bilgi güvenliğini yönetmeye yönelik bir standarttır ve bilgi güvenliği risklerini azaltmayı hedefler.

2. ISO 27001’in Temel Prensipleri

ISO 27001, üç temel prensip etrafında şekillenir:

  • Gizlilik (Confidentiality): Bilgilere sadece yetkili kişiler erişebilir.
  • Bütünlük (Integrity): Bilgilerin doğruluğu ve güvenilirliği korunur.
  • Erişilebilirlik (Availability): Bilgilere gerektiğinde erişim sağlanabilir.

Cevap: Gizlilik, Bütünlük ve Erişilebilirlik, ISO 27001’in temel ilkelerindendir.

3. ISO 27001’de Risk Değerlendirme Süreci

ISO 27001, bilgi güvenliği risklerini belirlemek ve yönetmek için bir süreç önerir. Bu süreç aşağıdaki adımlardan oluşur:

  • Risklerin Tanımlanması: Tehditler ve zayıf noktalar belirlenir.
  • Risk Değerlendirmesi: Risklerin olasılığı ve etkisi değerlendirilir.
  • Risk Tedbiri: Risklerin kabul edilebilir seviyeye indirilmesi için kontrol önlemleri alınır.
  • Risk İzleme ve Gözden Geçirme: Alınan önlemler düzenli olarak izlenir ve gözden geçirilir.

Cevap: Risk değerlendirme süreci, risklerin tanımlanması, değerlendirilmesi, tedbirlerin alınması ve izlenmesi adımlarını içerir.

4. ISO 27001’in Ana Bileşenleri

ISO 27001’in ana bileşenleri şunlardır:

  • Politika ve Yöneticilik Kararları: Bilgi güvenliği politikalarının belirlenmesi.
  • Risk Yönetimi: Bilgi güvenliği risklerinin tanımlanması ve yönetilmesi.
  • Kontroller ve Prosedürler: Güvenlik kontrollerinin uygulanması.
  • İç Denetim ve İzleme: Bilgi güvenliği yönetim sisteminin etkinliğinin izlenmesi.

Cevap: ISO 27001’in ana bileşenleri, politika oluşturma, risk yönetimi, kontrol ve prosedürlerin uygulama, iç denetim ve izleme adımlarından oluşur.

5. ISO 27001 Sertifikası Almak için Gerekli Şartlar

ISO 27001 sertifikası almak için kuruluşların aşağıdaki şartları yerine getirmesi gerekmektedir:

  • Bir BGYS Kurulması: Bilgi güvenliğini yönetmek için bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak.
  • ISO 27001 Standartlarına Uygunluk: Standartlara uygunluk sağlamak ve denetimden geçmek.
  • Sürekli İyileştirme ve İzleme: Sürekli iyileştirme ve izleme süreçlerinin uygulanması.

Cevap: ISO 27001 sertifikası almak için bir BGYS kurulmalı, denetimden geçilmeli ve sürekli iyileştirme sağlanmalıdır.

6. ISO 27001 Uygulama Adımları

ISO 27001’i uygulamak için şu adımlar izlenir:

  • Planlama (Plan): Bilgi güvenliği hedefleri ve politikalarının belirlenmesi.
  • Uygulama (Do): Bilgi güvenliği kontrollerinin uygulanması.
  • Kontrol Etme (Check): Bilgi güvenliği sistemlerinin etkinliğinin izlenmesi.
  • Önlem Alma (Act): İyileştirme önerilerinin uygulanması.

Cevap: ISO 27001 uygulama adımları Planla-Uygula-Kontrol Et-Önlem Al döngüsüne dayanır.

7. ISO 27001 ve ISO 9001 Arasındaki Farklar

ISO 27001 ile ISO 9001 arasındaki temel farklar şunlardır:

  • ISO 9001: Kalite yönetimi ile ilgilidir ve ürün/hizmet kalitesini iyileştirmeyi amaçlar.
  • ISO 27001: Bilgi güvenliği yönetimi ile ilgilidir ve bilgiyi güvence altına almayı amaçlar.

Cevap: ISO 9001 kalite yönetimi için, ISO 27001 ise bilgi güvenliği yönetimi için bir standarttır.

NOTLAR:

RTO: Kabul Edilebilir Kesinti Süresi (İlgili Varlık Sorumlusu)
RPO: Kabul Edilebilir Veri Kaybı (İlgili Veriyi Kullanan Kişi)
MTPoD: Maksimum Kabul Edilebilir Kesinti Süresi (Üst Yönetim)

BULGU TÜRLERİ:
Majör Bulgu: Ciddi sorun, düzeltilmesi acil.
Minor Bulgu: Küçük sorun, düzeltilmesi önerilir ama acil değil.
İyileştirme Önerisi: Gelişme fırsatları, iyileştirme yapılması önerilen alanlar.
Güçlü Bulgu: Pozitif bulgu, güçlü uygulamalar veya başarılar.

Bu tür bulgular, genellikle bir denetim raporunda yer alır ve kuruluşların iyileştirilmesi gereken alanlarını veya başarılı olduğu noktaları belirlemek için kullanılır.

ISO 27001 Denetim Bulgularının Sınıflandırılması

ISO 27001 denetimlerinde, bir kuruluşun bilgi güvenliği yönetim sisteminin etkinliği ve uyumu değerlendirilirken bazı bulgular ortaya çıkabilir. Bu bulgular, genellikle denetim raporlarında belirli kategorilere ayrılarak değerlendirilir. Aşağıda, ISO 27001 denetimlerinde sıkça karşılaşılan bulguların sınıflandırılmasına dair açıklamalar yer almaktadır.

1. Majör Bulgu (Major Finding)

Majör bulgu, ciddi ve acil bir sorun olduğunu gösteren bir durumdur. Bu tür bulgular, kuruluşun bilgi güvenliği yönetim sisteminde veya operasyonlarında önemli eksiklikler olduğunu ve bu eksikliklerin hızlı bir şekilde giderilmesi gerektiğini ifade eder. Genellikle bu tür bulgular, kuruluşun operasyonlarını, güvenliğini veya uyumunu büyük ölçüde etkileyebilir.

Örnek: ISO 27001 denetiminde, Bilgi Güvenliği Yönetim Sistemi (BGYS) için belirlenen politikaların ve prosedürlerin yetersiz veya eksik olması, majör bir bulgu olarak değerlendirilebilir.

2. Minor Bulgu (Minor Finding)

Minor bulgular, daha küçük ama yine de önemli olan ve iyileştirilmesi gereken durumlardır. Bu bulgular, kuruluşun bilgi güvenliği veya uyumunu büyük ölçüde etkilemez, ancak süreçlerin daha verimli hale getirilmesi için dikkate alınmalıdır. Minor bulgular, genellikle belirli prosedürlerde veya uygulamalarda eksiklikler olduğunu gösterir.

Örnek: Bir bilgi güvenliği prosedürünün güncellenmemiş olması veya belirli bir güvenlik kontrolünün eksik uygulanması, minor bir bulgu olabilir.

3. İyileştirme Önerisi (Improvement Opportunity or Suggestion)

İyileştirme önerisi, kuruluşun mevcut uygulamalarının daha verimli veya etkili hale getirilmesi için önerilen bir yaklaşımdır. Bu, bir sorunun doğrudan çözümü değil, daha çok bir fırsat sunan bir öneridir. İyileştirme önerileri, kuruluşun süreçlerini daha güçlü hale getirmek amacıyla yapılır.

Örnek: Bilgi güvenliği süreçlerinin iyileştirilmesi için daha sıkı denetimler ve daha etkin kontrol mekanizmaları oluşturulması gibi bir iyileştirme önerisi yapılabilir.

4. Güçlü Bulgu (Strong Finding)

Güçlü bulgular, bir kuruluşun uygulamalarının veya süreçlerinin güçlü ve etkili olduğunu belirten olumlu bir değerlendirmedir. Bu bulgular, kuruluşun bilgi güvenliği yönetim sistemi veya uygulamalarının başarılı ve etkili bir şekilde işlediğini gösterir. Güçlü bulgular, genellikle kuruluşun uyumlu olduğunu ve yüksek standartları karşıladığını ifade eder.

Örnek: Bilgi güvenliği politikalarının tüm çalışanlar tarafından başarıyla takip edilmesi veya belirli güvenlik kontrollerinin yüksek etkinlikle uygulanması güçlü bir bulgu olarak değerlendirilebilir.

Sonuç

ISO 27001 denetim raporlarında bulguların doğru bir şekilde sınıflandırılması, kuruluşların bilgi güvenliği yönetim sistemlerini iyileştirme çabalarını daha verimli hale getirir. Majör bulguların hızlı bir şekilde düzeltilmesi gerekirken, minor bulgular ve iyileştirme önerileri de dikkatle değerlendirilerek uygulama sürecine dahil edilmelidir. Güçlü bulgular ise kuruluşun bilgi güvenliği uygulamalarının etkili olduğunu gösteren önemli bir geri bildirim sağlar.

BGYS Denetimi ve Uygunsuzluk Raporu

Bilgi Güvenliği Yönetim Sistemi (BGYS) denetimleri, kuruluşların ISO 27001 gibi bilgi güvenliği standartlarına uygunluklarını değerlendiren kritik süreçlerdir. Bu denetimlerin amacı, bilgi güvenliğine ilişkin riskleri yönetmek, eksiklikleri tespit etmek ve iyileştirme fırsatları yaratmaktır. Bu makalede, BGYS denetimlerinde **uygunsuzlukların** nasıl tespit edildiği ve raporlandığına dair detaylı bilgiler yer almaktadır.

Uygunsuzlukların Tespiti

BGYS denetimlerinde uygunsuzluklar, bir kuruluşun bilgi güvenliği politikalarına, prosedürlerine, kontrol önlemlerine ve uygulamalarına yönelik belirli kriterlere uygunluk eksikliklerini ifade eder. Uygunsuzlukların tespiti genellikle aşağıdaki adımlar üzerinden gerçekleştirilir:

  1. Dokümantasyonun Gözden Geçirilmesi: Bilgi güvenliği ile ilgili politika ve prosedürlerin geçerliliği ve yeterliliği kontrol edilir. Ayrıca, güncel olup olmadıkları ve yasal gerekliliklerle uyumu incelenir.
  2. Risk Değerlendirmesi ve Yönetimi: Kuruluşun risk yönetimi sürecinin etkinliği değerlendirilir. Bu aşamada, risklerin doğru şekilde tanımlanıp tanımlanmadığı ve kontrol önlemlerinin yeterliliği sorgulanır.
  3. Sistem ve İletişim Denetimleri: Uygulanan güvenlik önlemleri, ağ güvenliği, erişim kontrolü gibi unsurların yeterliliği incelenir.
  4. İç Denetim ve İzleme: İç denetim raporları ve izleme mekanizmalarının etkinliği gözden geçirilir.

Bu adımlar sonunda, denetim sırasında belirlenen uygunsuzluklar raporlanır ve düzeltici aksiyonlar önerilir.

Uygunsuzluk Türleri

Uygunsuzluklar, genellikle üç ana kategoriye ayrılır:

  • Majör Uygunsuzluk: ISO 27001 veya diğer yasal gerekliliklerle ciddi uyumsuzluk gösteren, kuruluşun bilgi güvenliğini önemli ölçüde tehdit eden bulgular.
  • Minor Uygunsuzluk: Küçük eksiklikler ve uyumsuzluklar. Bu tür uygunsuzluklar, genel bilgi güvenliği sistemini büyük ölçüde etkilemez ancak düzeltici aksiyonlar gerektirir.
  • İyileştirme Fırsatları: Yasal gerekliliklere veya ISO 27001’e aykırı olmayan ancak verimliliği artırabilecek, geliştirilebilecek süreçler ve uygulamalar.

Uygunsuzluklar, kuruluşun bilgi güvenliği yönetim sistemini iyileştirme adına fırsatlar sunar. Her bir bulgu, düzeltici aksiyon ve takip süreci ile çözülmelidir.

Uygunsuzlukların Raporlanması

Denetim sonucunda tespit edilen uygunsuzluklar, denetim raporunda belirli bir formatta sunulmalıdır. Raporlar genellikle şu unsurları içerir:

  • Uygunsuzluk Türü: Uygunsuzluğun majör, minor veya iyileştirme fırsatı olarak kategorize edilmesi.
  • İlgili Proses veya Alan: Hangi süreç veya alanla ilgili uygunsuzluk bulunduğunun belirtilmesi.
  • Açıklama: Uygunsuzluğun detayı, nasıl tespit edildiği ve oluşabilecek riskler hakkında açıklamalar.
  • Düzeltici Aksiyonlar: İlgili uygunsuzluğun nasıl giderileceği, ne zaman ve hangi yöntemle düzeltileceği.
  • Takip ve İzleme: Düzeltici aksiyonların ne zaman tamamlanacağı ve nasıl izleneceği hakkında bilgi.

Bu rapor, yönetim ve denetim süreçlerinde karar alınmasında ve uygun aksiyonların belirlenmesinde rehberlik eder.

Sonuç

BGYS denetimlerinde uygunsuzlukların tespit edilmesi ve raporlanması, kuruluşun bilgi güvenliği yönetim sisteminin etkinliğini artıran önemli bir adımdır. Uygunsuzluklar, sadece standartlara uyumsuzlukları tespit etmekle kalmaz, aynı zamanda organizasyonun güvenlik seviyesini iyileştirebilmesi için fırsatlar da sunar. Bu nedenle, denetimlerin düzenli ve sistematik bir şekilde yapılması, kuruluşun güvenlik durumunu sürekli olarak geliştirmesi için kritik öneme sahiptir.

BGYS (Bilgi Güvenliği Yönetim Sistemi) denetimlerinde uygunsuzluklar genellikle kuruluşun uyguladığı bilgi güvenliği politikaları, prosedürleri, kontrolleri ve uygulamalarının ISO 27001 standardına veya diğer ilgili yasal, düzenleyici ve sözleşmesel gerekliliklere uygun olmadığını gösteren durumlardır. Uygunsuzlukların tespiti, bir denetim sırasında yapılan incelemelere dayalı olarak gerçekleştirilir. Bu süreçte denetçiler, kuruluşun mevcut bilgi güvenliği uygulamalarını, sistemlerini ve süreçlerini değerlendirir ve belirlenen kriterlere göre uygunluklarını ölçer.

BGYS Denetiminde Uygunsuzluk Tespiti Aşamaları:
Dokümantasyonun Gözden Geçirilmesi:

Politikalar ve Prosedürler: Bilgi güvenliğiyle ilgili oluşturulmuş politika ve prosedürlerin mevcut olup olmadığı incelenir. Ayrıca, bu belgelerin güncel olup olmadığı, yürürlükteki yasal gereklilikleri karşılayıp karşılamadığı da değerlendirilir.
Eğitim ve Farkındalık Programları: Çalışanlara yönelik düzenli eğitimler ve farkındalık programlarının bulunup bulunmadığı, eğitim içeriklerinin yeterliliği ve etkililiği kontrol edilir.
Risk Değerlendirmesi ve Yönetimi:

Risk Değerlendirme Süreci: Kuruluşun, ISO 27001’e uygun bir risk yönetimi sürecine sahip olup olmadığına bakılır. Risklerin doğru şekilde tanımlanıp tanımlanmadığı, değerlendirilip değerlendirilmediği ve yönetilip yönetilmediği kontrol edilir.
Kontrollerin Uygulama Durumu: Riskleri kontrol altına almak için uygulanan güvenlik kontrollerinin (fiziksel, teknik, idari) uygunluğu ve etkinliği denetlenir.
Sistem ve İletişim Denetimleri:

Güvenlik Kontrollerinin Uygulama Durumu: Uygulamada olan güvenlik kontrollerinin, tanımlanan riskleri karşılayıp karşılamadığına ve güvenlik zafiyetlerine karşı koruma sağlıyor olup olmadığına bakılır.
Ağ Güvenliği: Bilgisayar ağlarında kullanılan güvenlik önlemleri (firewall, şifreleme, erişim kontrolü vb.) gözden geçirilir.
Erişim Kontrolü: Sisteme kimlerin erişebileceği, bu erişimlerin nasıl kontrol edildiği ve izlenip izlenmediği denetlenir.
İç Denetim ve İzleme:

İç Denetim Raporları: İç denetimlerin düzenli olarak yapılması gerektiği unutulmamalıdır. Bu denetimlerin sonuçları, tespit edilen uygunsuzluklar ve takip edilen düzeltici aksiyonlar incelenir.
İzleme ve Raporlama: Bilgi güvenliği olayları ve ihlalleri takip etme, izleme ve raporlama süreçlerinin etkinliği gözden geçirilir.
Uygunsuzlukların Belirlenmesi:

Denetçi, yukarıda belirtilen süreçler ve kontrol noktalarındaki eksiklikleri veya hataları inceleyerek uygunluk değerlendirmesini yapar. Bu aşamada, uygunsuzluk şu şekilde tespit edilir:
Mevcut kontrol veya süreçlerin eksikliği: Gereksiz veya eksik kontrollerin uygulanması.
Yetersiz uygulamalar: Belirli güvenlik kontrollerinin zayıf uygulanması veya eksik uygulanması.
Belgelerin eksikliği: İlgili politika, prosedür veya belgelerin güncel olmaması ya da eksik olması.
Uyum eksiklikleri: ISO 27001 veya ilgili düzenlemelere uyumun sağlanamaması.
Düzeltici Aksiyonların İlgili Kişilerle Gözden Geçirilmesi:

Tespit edilen uygunsuzlukların düzeltici aksiyonlar gerektirdiği belirtilir ve ilgili sorumlulara iletilir.
Ayrıca, bu düzeltici aksiyonların ne zaman ve nasıl uygulanması gerektiği de planlanır.

Uygunsuzlukların Kategorileri:
Majör Uygunsuzluk (Major Non-Conformity):
ISO 27001 standardına veya belirli yasal gerekliliklere aykırı durumlar.
Kuruluşun genel bilgi güvenliği seviyesini etkileyebilecek büyük eksiklikler.
Bu tür uygunsuzluklar, düzeltici aksiyonların hızla alınmasını gerektirir.

Minor Uygunsuzluk (Minor Non-Conformity):
Daha küçük çaplı eksiklikler.
Bilgi güvenliği yönetim sisteminin etkinliğini büyük ölçüde etkilemez ancak düzeltme yapılması gerekir.

İyileştirme Fırsatları (Improvement Opportunities):
Zorunlu olmayan ancak verimliliği artırabilecek iyileştirme önerileri.
Bu durumlar, şirketin mevcut uygulamalarının daha iyi hale getirilmesi için fırsatlar sunar, ancak hemen yapılması gereken düzeltici aksiyonlar değildir.

Uygunsuzlukların Raporlanması:
Denetim sonucunda tespit edilen uygunsuzluklar, denetim raporunda belirli bir formatta sunulmalıdır. Bu raporlar genellikle aşağıdaki bilgileri içerir:

Uygunsuzluk Türü (Majör/Minor): Uygunsuzluğun ciddiyetine göre kategorize edilmesi.
İlgili Proses veya Alan: Hangi süreçte veya alanlarda uygunsuzluk tespit edildiği.

Açıklama: Uygunsuzluğun ne olduğu, nasıl tespit edildiği ve ne şekilde risk oluşturduğunun detaylı açıklaması.
Düzeltici Aksiyonlar: İlgili uygunsuzluğun giderilmesi için yapılacak düzeltici aksiyonlar ve süreleri.

Takip ve İzleme: Düzeltici aksiyonların ne zaman tamamlanacağı ve takip edileceği.
Sonuç:
BGYS denetiminde uygunsuzluklar, kuruluşun bilgi güvenliği yönetim sistemindeki zayıf noktaları ve eksiklikleri belirler. Bu eksikliklerin tespit edilmesi ve düzeltici aksiyonların alınması, kuruluşun ISO 27001 standardına uygunluk sağlaması için kritik öneme sahiptir. Bu nedenle, uygun denetim süreçlerinin ve takip sistemlerinin kurulması gereklidir.
image 15
Başka cihazda görüntüle
Arif Akyüz Sistem Network Yöneticisi ve Siber Güvenlik Uzmanı
Arif Akyüz Sistem Network Yöneticisi ve Siber Güvenlik Uzmanı

Arif Akyüz
Bilgi Teknolojileri
Sistem Network Yöneticisi
ve Siber Güvenlik Uzmanı
[email protected]

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
CategoriesUncategorized

Author: Arif Akyüz

Experienced Information Technology System Specialist with a demonstrated history of working in the retail industry. Skilled in Windows Server, Management, Leadership, Troubleshooting, and Team Management. Strong information technology professional graduated from İstanbul Üniversitesi. * Cloud Administrator Office 365 (E3 Admin) Office 365 (Hybrid Exchange) Office 365 SharePoint Admin One Driver Business ownCloud * Video Conference Administrator Microsoft Teams Skype For Business Zoom CiscoWebex * Network Administator Cisco ASA 5510 Cisco Firepower SonicWALL NPS Hotspot * Security Vulnerability Administrator Nessus Vulnerability Scan OpenVas Vulnerability Scan Rapid 7 * Virtualization Administrator Vmware V-Center vSphere VMware ESXi Hyper-V Hyper-V Cluster Microsoft Azure * Backup Administrator Symantec Backup Exec Veritas Backup Exec Veeam Backup(WM) * Mobile Device Management Mobile Iron(MDM) Mobile@Works(MDM) * Endpoint Security administrator Symantec Endpoint Protection Kaspersky Endpoint Security Trend Micro Endpoint * Encryption management Sophos SafeGuard Disk Encryption BitLocker * Microsoft Windows Server Administrator SCCM Microsoft Failover Cluster Domain Trust Exchange 2010 Exchange 2016 Active Directory (Delegation) DHCP DNS Group Policy(GPO) Print Server File Server Terminal Server Radius WSUS IIS SQL Server * Linux Administrator Ubuntu Server Centos Server *ISP Management Vodafone MPLS Metro Ethernet Datacenter

© 2024 Arif Akyüz. Tüm Hakları Saklıdır. Gizlilik politikası
Yasal Uyarı: Bu sitede yer alan makaleler bilgi amaçlıdır ve hatalar içerebilir. Site sahibi, bu bilgilerin kullanımı sonucunda oluşabilecek zararlardan sorumlu tutulamaz.
Anasayfa IP'mi Göster Hız Testi Parola Oluştur