27001 BGYS Yönetimin Sorumluluğu

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Yönetimin Sorumluğu

Yönetimin, ISO/IEC 27001 standardındaki Madde 5 ile uyumlu olarak; BGYS’nin kurulması, gerçekleştirilmesi, işletilmesi, izlenmesi ve gözden geçirilmesi, sürekliliğinin sağlanması ve iyileştirilmesinde üstlendiği prosesler ve faaliyetler için var olduğunu kanıtlaması önemlidir. Bilgi güvenlik politikasının tesisinden başlayarak, hedeflerin belirlenmesi, rollerin ve sorumlulukların verilmesi, bilgi güvenlik yönetiminin öneminin işe iletilmesi, kaynakların BGYS için tedarik edilmesi, yönetimin gözden geçirme sürecini uygulayarak risk kabul ölçütüne ve kabul edilebilir risk seviyesine karar verilmesi; gerçek, pozitif, şeffaf destek verilen ve kendisini adamış bir yönetime ihtiyaç gösterir.

Yönetim kararlarının yazıya dökülmesi ve yazıya dökülen bu kararların, kendisini işe adamış olan kuruluşun bilgi güvenliği yönetim prosesine sahip olduğunu kanıtlaması için gösterilmesi amacıyla kullanılabilir.

Kuruluş BGYS standardında tanımlanan gereksinimlerin ve proseslerin gerçekleştirilmesi için yeterli kaynakları sağladığından emin olmalıdır. Bu husus, Madde 4 ila Madde 7’de tanımlananların tümünü içerir.

Kuruluş, kaynakların ISO 27001’deki Madde 5.2’ye uygun olarak doğru bir biçimde yönetilmesini de temin etmelidir. Kaynakların gerekli olduğu bazı faaliyetler bulunmaktadır: Risk belirlemede kullanılacak kaynaklar, kontrollerin gerçekleştirilmesi için gerekli olan kaynaklar, eğitim ve BGYS bir kez kurulduktan sonra onu güncel tutmak ve iş için her gün etkin olmasını sağlamak için gerekli olan kaynaklar. Bu faaliyetlerin her birisi için, yeterli kaynağın tahsis edilmesini destekleyen planlar da hazır olmalıdır.
Kuruluş, eğitim ve farkındalık gereksinimlerini tanımlamalı ve BGYS’in etkin olduğunu ve söz konusu bu bilgi güvenliğinin günlük olarak pazarlandığının uygun bir biçimde bildirilmesini temin etmek amacıyla tüm kullanıcılara, kuruluşun idari personeline ve yöneticilere uygun eğitim verilmelidir.
Verilecek eğitim, bilgi güvenliği için rol ve işlev ile belli sorumluluklarla orantılı olmalıdır. Genel eğitim ve farkındalık programının bir parçası olarak, kuruluş bilgi güvenlik yönetimini içine almalı ve eğitilen kişilere doğru rollerin ve sorumlulukların verildiğinden ve rol ve sorumluluk verilen bu kişilerin bilgi güvenlik yönetimi konularıyla uğraşacak yeterlikte olduklarından emin olmalıdır. Burada geçen yeterlik düzeyi, herkesin sahip olması gereken basit anlama ve yeterlik düzeyinden – örneğin; parola kullanımı, fiziki güvenliğin temelleri, elektronik postanın doğru kullanımı, virüslerden korunma, vs. – tüm çalışanların sahip olması beklenmeyen daha karmaşık yeterlik düzeyine – örnek: koruma duvarı oluşturulması, bilgi güvenlik ihlal olayı işlem sürecinin yönetilmesi, vb. – kadar olabilir.
Kuruluş içerisinde eğitime katılan personelin eğitim kayıtları, personelin beceri düzeyinin genel hatlarıyla ortaya konulması ve kuruluş içerisinde gerçekleştirilen eğitim faaliyetlerinin kanıtlanması için muhafaza edilmelidir. Eğitimin ne kadar etkili olduğunun ve düşünülen hedeflere ulaşılıp ulaşılmadığının değerlendirilmesi için de bu kayıtlar önemlidir.

ISO 27001 BGYS İç Denetimleri

ISO 27001 BGYS iç denetimleri (Bu denetimler üçüncü tarafın yaptığı denetimler olmayıp kuruluş tarafından yapılan denetimlerdir.) yapılması ISO/IEC 27001’in 6’ncı maddesi gereğince bir zorunluluktur. Kuruluş, kontrol hedeflerinin, kontrollerin, prosedürlerin ve proseslerin tanımlanan güvenlik gereksinimlerini karşılayıp karşılamadığını ve yürürlükteki yasal mevzuatla uyumlu olup olmadığını tespit etmek için BGYS denetimleri yapmalıdır.

BGYS denetimleri aynı zamanda kontrollerin etkin bir biçimde gerçekleştirilip gerçekleştirilmediğini; kontrol hedeflerinin, kontrollerin, prosedürlerin ve proseslerin beklenildiği şekilde işe yarayıp yaramadığını da ortaya koymalıdır. Kuruluşun BGYS denetimlerini ne zaman yapılacağına ilişkin planları olmalı ve planlama sorumluluğu, denetimlerin yapılması ve sonuçların kayıt altına alınması yazıya dökülmelidir. BGYS iç denetimleri, denetçinin tarafsız olması, dokümantasyonun ve sonuçların rapor edilmesi gibi tüm denetimlerde görülen gereksinimlerle uyumlu olmalıdır.

ISO 27001 BGYS’in Yönetim Tarafından Gözden Geçirilmesi

Yönetimin, ISO/IEC 27001 standardının 7’nci maddesine göre kuruluşun BGYS’nin belirlenen bir plan ve gözden geçirme programına göre incelemesi önemlidir. BGYS’nin gözden geçirilmesi, BGYS’nin iyileştirmeler ve değişiklikler yapılıp yapılmamasına ihtiyacı bulunup bulunmadığı konusunda kuruluşun tespitte bulunmasını ve karar vermesini sağlar.

Kontrol et aşaması BGYS’nin, hâlâ geçerli olup olmadığı ve yeterli bilgi güvenliği sağlayıp sağlamadığını tespit etmek ve değerlendirmek için BGYS’nin ve değişen tehdit durumunun iş ve işletim ortamındaki değişikliklerinin izlenmesi ve gözden geçirilmesi üzerinde durur. Durumun gözden geçirilmesinden sonra, bazı ilke ve işlemlerin eklenmesi/değiştirilmesi/geliştirilmesi; ya da bazı teknik kontrol önlemlerinin eklenmesi/değiştirilmesi/geliştirilmesi gerekebilir anlamı çıkar.

Düzenli olarak BGYS’nin gözden geçirilmesi ve denetimi yapılmazsa; BGYS güncelliğini, etkinliğini yitirebilir ve kuruluşun karşılaşacağı risklerin yönetiminde yetersiz kalabilir. Bunun sonunda da kuruluş, artık daha fazla işe yaramayacak olan bir BGYS’ye yatırım yapmış olur.

Kuruluşun göz önüne alması gereken çeşitli denetim ve gözden geçirme yolları vardır: İlk taraf denetimi ve gözden geçirmesi (ör: BGYS iç denetimi), ikinci taraf denetimi ve gözden geçirmesi (örnek: bir müşteri gereksiniminden doğan gereksinim ya da sözleşmeden kaynaklanan düzenleme) veya üçüncü taraf denetimi ve gözden geçirmesi (ör: bağımsız üçüncü taraf belgelendirme kuruluşu tarafından yürütülen bir BGYS belgelendirmesi)

ISO/IEC 27001’de Madde 7.2 ve Madde 7.3, yönetsel gözden geçirmelerin giriş ve çıkışları için belirgin gereksinimler tanımlar. Kuruluşun, gözden geçirmeler için yeterli ve doğru bilgiyi girdiğinden emin olması,doğru kararların alınması ve uygun eylemlerin yapılmasını sağlaması bakımından önemlidir.
Kuruluşlar, yönetsel gözden geçirmelere sahip olma gayretine gireceklerse, bu durumda zaman ve kaynak kaybına neden olmadan doğru kararları alabilmesi için yeterli bilgiye sahip olmaları önemlidir.

Kuruluşun üçüncü taraf sertifikasyonuna gidip gitmemesi bir yönetim kararıdır; ancak zorunlu değildir.

Bununla birlikte, BGYS standardının 1 ila 8’inci maddelerinde belirtilen gereksinimlerin tümü sertifikasyon için zorunludur.

ISO 27001 BGYS İyileştirmeleri

Risk, iç ve dış koşullardan etkilenerek sürekli olarak değişir. Bundan dolayı “Kontrol et aşaması”nda tanımlanan değişikliklere karşılık olarak yapılan gözden geçirmeler ile risk ortaya çıkmadan önce riski yönetmek önemlidir. Kuruluş ISO/IEC 27001 Madde 8.2 ve 8.3’de tanımlandığı şekilde, tanımlanan her türlü BGYS iyileştirmesini gerçekleştirecek ve alınması gereken düzeltici ve önleyici önlemleri gösteren prosesleri önceden belirlemelidir.

Kuruluş BGYS’nin gerçekleştirilmesinde ve işletilmesindeki uyumsuzlukları tanımlamalı, bu uyumsuzlukların nedenlerini tespit etmeli ve uyumsuzluklarla tekrar karşılaşılmaması için gereken düzeltici önlemleri almalıdır.

Bu önlemlerin öngörülen hedefin elde edilmesini sağlaması için sonuçlar kayıt altına alınmalı ve gözden geçirilmelidir.
Yukarıda sayılanlara ek olarak kuruluş, BGYS gereksinimleriyle ortaya çıkabilecek olası uyumsuzluklar ile bu uyumsuzlukların nedenlerini tanımlamak için gerekli olan önlemleri de tespit etmelidir. Bu önlemlerin alınması ihtiyacı değerlendirilmeli ve önlem alınacaksa, önce bu önlem tanımlanmalı ve sonra da tanımlanan bu önlem alınmalıdır. Burada özellikle, önlemin alınacağı yerin büyük bir olasılıkla, riskli bir ortam olacağı düşünüldüğünde, risk durumundaki değişiklikler de dikkate alınmalıdır. Bu tür önlemlerin sonuçları, önlemlerin uygun olup olmadığı ve öngörülen hedeflerin elde edilmesini sağlayıp sağlamadığının değerlendirilmesi için kayıt altına alınmalı ve sonradan gözden geçirilmelidir.

 

BİLKALİTE DANIŞMANLIK EĞİTİM

VE BELGELENDİRME HİZMETLERİ

Tel:  0216 459 06 52

Fax: 0216 459 06 52

GSM: 0530 543 99 91 - 92

[email protected]

Etiket : 27001 Bilgi Güvenliği Yönetim Sisteminde Yönetimin Sorumluğu