ISO 27001 BGYS’NİN İZLENMESİ VE GÖZDEN GEÇİRİLMESİ

ISO 27001 BGYS’NİN İZLENMESİ VE GÖZDEN GEÇİRİLMESİ

Kontrol et aşaması için;  TS ISO/IEC 27001 Madde 4.2.3’de tanımlanan “-ecek”,”-acak” ifadeleri; kuruluşun Uygula aşamasında gerçekleştireceği BGYS’nin izlenmesi ve gözden geçirilmesi için uygun süreçler dizisine sahip olunması amacıyla tasarlanmıştır.

Kontrol et aşamasının ayrıntıları aşağıdaki faaliyetleri içerir:

a) Prosedürlerin izlenmesi ve gözden geçirilmesi işleminin yapılması. Bu prosedürler ve diğer kontroller, BGYS’nin çalışması sırasında ve işletilirken ortaya çıkan hataları tespit etmeli, başarısız ve başarılı olan güvenlik açıklarını tanımlamalı, bilgi güvenliği olaylarını ortaya koymalı, bilgi güvenliği ihlal olaylarını önlemeli ve alınan önlemlerin güvenlik açıklarını giderip gidermediğini ya da işe yarayıp yaramadığını tespit etmelidir. Bunlara ek olarak, söz konusu bu izleme ve gözden geçirme prosedürleri, gerçekleştirilen kontrollerin etkin olarak çalışıp çalışmadığını ve sorumluluk verilen kişilerin risk giderme planınında tasarlandığı şekilde görevlerini yerine getirip getirmediklerini yönetimin tespit etmesine imkân vermelidir.

Kuruluş, yürüttüğü izleme faaliyetlerinin, izleme kayıtlarının ve dosyalarının, izleme faaliyetlerinin sonuçlarına karşılık yapılan eylemlerin değerlendirilmesinin yazılı kayıtlarını da belgelendirmek bakımından sahip olmalıdır.

b) BGYS’nin etkinliğinin düzenli aralıklarla gözden geçirilmesi faaliyetinin yapılması. Kuruluş, BGYS’nin ne kadar etkin çalıştığını belirlemelidir. Bu işlem, güvenlik politikaları ve hedefleri ile güvenlik kontrollerinin gözden geçirilmesi bakımından ele alınmalıdır (c) maddesine de bakılmalıdır.). Söz konusu bu gözden geçirme faaliyetlerinde, BGYS’nin etkinliğinin tespit edilmesi sırasında tüm faktörlerin göz önüne alındığını temin etmek için güvenlik gözden geçirmeleri ve denetimlerinin sonuçlarını dikkate alınmalıdır

BGYS’nin etkinliği konusunda tanımlanmış herhangi bir uyumsuzluk ya da yetersizlik, düzeltici önlemlerin alınmasını, BGYS’nin çalışmasının sürdürülmesini ve geliştirilmesini teşvik etmelidir.

c) Kontrollerin etkinliğinin ölçülmesi. Gerçekleştirilen kontrollerin etkinliğinin belirlenmesi için ortaya konulan tanımlar, kontrollerin ne kadar etkin çalıştığının ve kontrollerin düşünülen hedeflere ulaşılıp ulaşılmadığı ile tanımlanan gereksinimleri karşılayıp karşılamadığının ölçülmesi için kullanılmalıdır. Bu konuda uygulanabilecek oldukça fazla farklı ölçüt bulunmaktadır ve uygun ölçütler kontrollere ya da düşünülen kontrol gruplarına göre değişiklik gösterebilir.

d) Planlanan sürelerle risk belirlemelerin gözden geçirilmesi. Bilgi güvenlik risklerinin yönetiminde etkili olmak için BGYS’yi etkileyebilecek değişiklikleri izlemek ve kaydını tutmak BGYS için önemlidir. Söz konusu bu gözden geçirmeler, aşağıda belirtilenlerden dolayı tehditlerde, hassasiyetlerde ve etkilerde meydana gelen değişiklikleri tanımlamalıdır:

  • İş ortamı ya da kapsamı – yeni iş ortakları; yeni ve farklı ikmal zincirleri; yeni, farklı veya özellikleri değişen müşteri tabanı; farklı pazarlara açılma; pazar koşulları; üçüncü şahıs düzenlemeleri; dış kaynaklı düzenlemeler; evde çalışma;
  • İş politikası ve hedefleri – Değiştirilen iş politikası ya da değişen hedefler riski ortadan kaldırma kararlarına ya da varlık değerlendirmelerine tesir edebilir;
  • Kuruluş yapısı, işgücü, çalışma ortamı;
  • Gerçekleştirilen kontrollerin etkinliği;

Tanımlanan tehditler ve duyarlılıklar – teknolojideki en son gelişmelerle güncellenecek, değişecek iş prosesleri ve meydana gelen ihlal olayları;

  • Teknolojinin kullanımı ve yayılması – yeni sistemler ve uygulamalar, güncellemeler, genişleyen iş ağları, sistem platformlarında daha büyük farklılıklar; uzaktan erişimin daha geniş oranda kullanımı,üçüncü şahısların daha büyük pay sahibi olmaları, daha çok dış kaynaklı düzenlemeler;
  • Yasal ve düzenleyici ortam, değişen ya da ilave sözleşmeler veya kuruluş ortamındaki diğer değişiklikler.

Burada sayılan değişiklik örneklerinin hepsinin risklerin üzerinde etkisi ve kuruluşun işi konusunda tesiri vardır. Risklerin yeniden değerlendirilmesi, artık risk düzeyi ve kabul edilebilir risk; BGYS’nin kalan etkisini garanti etmesi için gereklidir. Belgelendirmeye niyeti olan bir kuruluş kendi risk belirlemesinin güncellemesini yaparak bu faaliyetleri yazıya dökebilir ve sonraki zamanlarda ne kadar ilerlediğini tespit etmek için risk değerlendirme sonuçlarını karşılaştırabilir.

e) Kuruluş içi BGYS denetimlerinin yapılması. Kuruluş, BGYS’nin kontrol hedeflerinin, kontrollerinin, politikalarının ve prosedürlerinin tanımlanan gereksinimlere uyumluluğunu sağlamak için bir BGYS iç denetimi yapmalıdır (Daha fazla ayrıntı için Madde 3.10’a bakılmalıdır.). BGYS denetimleri planlanan aralıklarla yapılmalıdır.

f) BGYS’nin yönetim gözden geçirmesinin yapılması. Kuruluş; Kontrol et aşaması’nda, kendi BGYS’sinin kapsamının ve kontrol sisteminin hâlâ geçerli ve etkili olduğu, prosedürlerin hâlâ geçerli olduğu ve doğru bir biçimde mevcut iş kapsamında kullanıldığı, yapılan rol ve sorumluluk paylaşımının hâlâ geçerli olduğu ve verilen güvenlik faaliyetlerinin kendilerinden beklenildiği gibi yerine getirildiği, güvenlik ihlal olayı işlem süreçlerinin uygun olduğu ve güvenlik ihlal olayı işlem süreçlerinin sonuçlarının doğru biçimde kullanıldığı ve iş süreklilik planının hâlâ geçerli olduğu konusunun gözden geçirilmesinden ve yeniden değerlendirilmesinden sorumlu olmalıdır. Bu proses, aynı zamanda “Uygula aşaması”nda gerçekleştirilecek gerekli iyileştirmeleri de tanımlamalıdır.

g) Güvenlik planlarının güncellenmesi. Kuruluş, bulgulara karşılık vermek ve planları en etkin hala getirebilmek amacıyla güvenlik planlarının güncellenmesi için bir esas olarak, izleme ve gözden geçirme faaliyetlerinin sonuçlarını yerinde kullanmak için prosedürler belirlemelidir.

h) Eylemlerin ve olayların kaydedilmesi. Yönetim faaliyetlerinin gözden geçirilme sonuçları, güvenlik ve kuruluş içi denetimleri, sistem testleri, güvenlik ihlal olayları raporları, izleme faaliyetlerinin sonuçları, bilgi sistemi sahiplerinin, yöneticilerin, kullanıcıların geri beslemeleri ve önerileri gerekli olan tüm iyileştirmelerin tanımlanmasını temin etmek için kaydedilmelidir. Bu aynı zamanda etkin bir biçimde çalışan BGYS bölümlerini göstermeye de yardımcı olur ve kayıt etme işlemine BGYS’nin iyi işlemesini sürdürmek için doğru bir biçimde sürdürülmelidir.

BİLKALİTE DANIŞMANLIK EĞİTİM

VE BELGELENDİRME HİZMETLERİ

Tel:  0216 459 06 52

Fax: 0216 459 06 52

GSM: 0530 543 99 91 - 92

[email protected]

Etiket : ISO 27001 BGYS’NİN İZLENMESİ VE GÖZDEN GEÇİRİLMESİ