ISO 27001 BGYS Dokümantasyon Sistemi

ISO 27001 BGYS Dokümantasyon Sistemi

BGYS’nin ISO/IEC 27001’in Madde 4.3’ünde belirtilen gereksinimlerle uyumlu belgelenmiş bir yönetim sistemi olması önemlidir.

BGYS dokümantasyonu aşağıda belirtilen TS ISO/IEC 27001 gereksinimleri içermelidir:

  • Madde 4.2.1 b)’de belirtilen zorunlu gereksinimle uyumlu BGYS politikası ve hedefleri,
  • Madde 4.2.1 a)’da belirtilen zorunlu gereksinimle uyumlu BGYS kapsamı ve sınırları,
  • BGYS’i destekleyen prosedürler ve kontroller,
  • Madde 4.2.1 c)’de belirtilen zorunlu gereksinimlerle uyumlu olan kuruluş tarafından uyarlanmış risk belirleme metodolojisinin tanımı,
  • Madde 4.2.1 g)’de belirtilen zorunlu gereksinimlerle uyumlu bir risk belirleme raporu,
  • Madde 4.2.2 b)’de belirtilen zorunlu gereksinimle uyumlu risk işleme planı,
  • Madde 4.2.2 c) ve 4.2.3 c)’de belirtilen zorunlu gereksinimle uyumlu bilgi güvenlik süreçlerinin etkili şekilde planlanması, yürütülmesi ve kontrolünü sağlamak için gerekli olan yazılı işlemler ile kontrollerin etkinliğinin nasıl ölçüldüğünün tanımı,
  • BGYS’nin etkili bir biçimde işletildiğinin ve gereksinimleri karşıladığının kanıtını ortaya koyan kayıtlar,
  • Madde 4.2.1 j)’de belirtilen zorunlu sertifikasyon gereksinimiyle uyumlu Uygulanabilirlik Belgesi.

Dokümantasyonun içeriğinin ve uzanımının, kuruluşun faaliyetlerinin çokluğuna ve türüne, kuruluşun dokümantasyon gereksinimlerine, BGYS’nin kapsamına, uygulanabilir güvenlik gereksinimlerine ve gözden geçirilmekte olan bilgi sisteminin karmaşıklığına bağlı olarak değişiklik gösterebileceği unutulmamalıdır. Ayrıca, dokümantasyonun kuruluşa göre uydurulabileceği hususu da akıldan çıkarılmamalıdır.

Dokümantasyonun kanıtlanması

BGYS’nin doğru, düzgün ve etkin bir biçimde işlediğini kanıtlamak için dokümantasyonun yeterli bilgi içermesi önemlidir. Bundan dolayı dokümantasyon, yukarıda sayılanlara ek olarak yönetim kurulu toplantıları ve kararlarının kayıtlarını da içermeli ve kuruluşun attığı adımlarda alınan kararları ve/veya politikaları ve standardları uyguladığının izleri görülebilmelidir. Bir şekilde tutulan kayıtların tekrar elde edilebilir olması da sağlanmalıdır.

Yukarıda bahsedilen Uygulanabilirlik Belgesi’nde de belirtildiği üzere sunulan dokümantasyonun seçilen kontrollerden risk belirleme ve risk giderme proseslerinin sonuçlarına ve buradan da BGYS politikası ve hedeflerine kadar uzanması arasındaki ilişkinin gösterilmesini desteklemesi önemlidir. Kuruluş, denetim sürecinde sık sık göz önüne alınan bir konu olması nedeniyle belgelendirmeyi amaçlıyorsa, bu durumda bu konu ayrı bir önem arz eder.

Dokümantasyonun ve kayıtların kontrolü

 

ISO/IEC 27001’deki Madde 4.3.2 ve Madde 4.3.3, BGYS dokümanlarının yeterince korunması ve kontrol edilmesini sağlamak amacıyla dokümantasyonun ve kayıtların kontrol edilmesi için bir dizi zorunlu gereksinimi tanımlar.

Söz konusu bu gereksinimler; dokümanların ve kayıtların korunması ve kontrol edilmesini sağlayan uygun bir dizi işlemler ve süreçlerle karşılanır. Bu husus, bilgi güvenliği için diğer kontrol tedbirlerinin yanı sıra risk yönetimi sürecinin önemli bir parçasıdır.

BGYS’yi işletmek ve BGYS’nin doğru, düzgün ve etkin bir biçimde çalıştığını göstermek için gerekli olan tüm dokümanlar ve kayıtlar sürekli olarak elde bulundurulmalı, kullanılabilir, güncel ve ilişkili olmalıdır.

Kayıtlar, bilgi güvenlik yönetimi dünyasında özellikle önemli bir rol oynar. Bir bilgi güvenliği ihlal olayı meydana geldiğinde, ihlal olayının ciddiyetine uygun öncelik ve zamanlama derecesi verilmesi önem arz eder.Çoğu kez, en uygun durumda ihlal olayıyla ilişkilendirilebilecek kanıt gerekli olur: Nerede, ne zaman meydana geldi? Koşullar nelerdi? Kim/Ne yaptı? Elde edilenler ne idi? vb. Doğru ve kesin kaydın tutulması bu kanıtları bize verebilir. Tabii ki, adli bir ihlal olayının meydana gelmesi halinde kanıtların toplanması ve sunulması yasal gereksinimleri de beraberinde getirir. Bu kayıtlar, kuruluşun BGYS gereksinimlerine uyduğunun ve söz konusu BGYS’nin etkin bir biçimde işlediğinin kanıtını ortaya koyabilir ve de gösterebilir.

Bundan dolayı, yalnızca kayıtları tutmak önemli değildir; aynı zamanda bu kayıtların korunması; bütünlüğünün, kullanılabilirliğinin ve gizliliğinin sağlanması da önemlidir.

ISO/IEC 27001’deki dokümantasyon ve kayıtlar için kontrol gereksinimleri, diğer yönetim sistem standardında – ör: ISO 9001 – belirtilen gereksinimlerle uyumlu hale getirilmiştir. Bu durum, birleştirilmiş/bütünleştirilmiş denetimlere sahip olma, dokümantasyon ve kayıtların yönetimi ve muhafazası için gerekli olan kaynaklarda tasarruf edilmesi gibi kuruluşa pek çok yararlar sağlar. Ayrıca, iş imkânlarının daha iyi kontrol edilmesini, daha pürüzsüz ve daha bütünleşmiş bir yönetim imkanını da sunar.

 

BİLKALİTE DANIŞMANLIK EĞİTİM

VE BELGELENDİRME HİZMETLERİ.

Tel:  0216 459 06 52

Fax: 0216 459 06 52

GSM: 0530 543 99 91 - 92

Etiket : ISO 27001 BGYS Dokümantasyon Sistemi