ISO 27001 Bilgi Güvenliği Kitabı Bölüm 2 İşletmelere Rehber

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bölüm 2

iso 27001 işletmeler için rehber
Bölüm I Bölüm III Bölüm IV

Bölüm 2

Kitabın Tamamı için ISO 27001 Google Books sayfamızı ziyaret edebilir veya bölüm bölüm okuyabilirsiniz

ISO 27001 Belgesi Nasıl Alınır?

ISO 27001 Sertifikasyon Süreci

ISO 27001 belgesini (sertifikasını) almak, planlı ve çok adımlı bir süreci gerektirir. Bir kuruluşun ISO 27001 sertifikası alabilmesi için öncelikle BGYS’yi standardın gereksinimlerine göre kurması ve işletmesi, ardından akredite bir sertifikasyon kurumu tarafından denetlenerek uygun bulunması gerekir. Bu süreç genel hatlarıyla şu adımlardan oluşur:

Hazırlık ve Kapsam Belirleme: İlk olarak kuruluş, BGYS’nin kapsamını tanımlar (hangi birimleri, lokasyonları ve varlıkları kapsayacağı) (Secureframe, 2023). Üst yönetim desteği sağlanır ve bir proje ekibi oluşturulur. Bu aşamada mevcut durum analizi (gap analysis) yapılarak kuruluşun halihazırdaki bilgi güvenliği uygulamaları, ISO 27001 gereksinimleri ile karşılaştırılır (Secureframe, 2023). Boşluklar tespit edilip bir eylem planı hazırlanır.

BGYS Tasarımı ve Dokümantasyon: Kuruluş, ISO 27001’in 4–10. maddelerindeki gereksinimleri yerine getirecek şekilde politika ve prosedürlerini tasarlar. Bilgi güvenliği politikası üst yönetimce onaylanır, risk yönetimi prosedürleri, varlık envanteri, erişim kontrol prosedürleri, iş sürekliliği planları vb. dokümantasyon oluşturulur. İlgili tüm zorunlu doküman ve kayıtların (ör. Varlık envanteri, Risk değerlendirme raporu, Uygulanabilirlik Bildirgesi, eğitim kayıtları) mevcut olduğundan emin olunur (Dokümantasyon gereklilikleri sonraki bölümde ele alınacaktır).

Uygulama ve Eğitim: Tanımlanan kontroller ve politikalar fiilen uygulanmaya başlanır. Örneğin teknik önlemler (güvenlik duvarları, antivirüs, yedekleme sistemi) kurulup işletilir; prosedürler (erişim yetkilendirme, olay yönetimi vb.) günlük operasyonun parçası haline getirilir. Çalışanlar için bilgi güvenliği farkındalık eğitimleri düzenlenir ve tüm personelin politika ve prosedürlere uygun hareket etmesi sağlanır (Secureframe, 2023) (Secureframe, 2023). Bu aşama, standardın “yap ve işlet” kısmıdır ve kuruluşun belli bir süre (genellikle birkaç ay) BGYS’yi yaşatarak olgunlaştırması beklenir.

İç Denetim ve Gözden Geçirme: BGYS uygulamaya alındıktan sonra, kuruluş içinde iç denetimler gerçekleştirerek sistemin etkinliğini ve standarda uygunluğunu kontrol eder (DataGuard, 2023) (DataGuard, 2023). İç denetimler sayesinde eksikler ve uygunsuzluklar tespit edilip giderici önlemler alınır. Ayrıca üst yönetim, BGYS’nin performansını resmi olarak yönetim gözden geçirmesi toplantısında değerlendirir (hedeflerin gerçekleşme durumu, iç denetim bulguları, düzeltici aksiyonlar vb. gözden geçirilir). Bu adım, dış denetime hazırlık niteliğindedir ve sertifika denetimine girmeden önce kuruluşun hazır olup olmadığını gösterir.

Sertifikasyon Denetimi (Aşama 1 ve 2 Denetimleri): ISO 27001 belgelendirme denetimi genellikle iki aşamalı yapılır.

  • Aşama 1 Denetimi (Belge İncelemesi): Bu ilk aşamada, seçilen akredite sertifikasyon kuruluşunun denetçileri kuruluşun BGYS dokümantasyonunu gözden geçirir. Amaç, politikaların ve prosedürlerin ISO 27001’in gerekliliklerine uygun olarak tasarlanıp tasarlanmadığını doğrulamaktır (Secureframe, 2023). Denetçiler, kapsam dokümanından risk değerlendirme raporlarına, uygulanabilirlik bildirgesinden prosedürlere kadar temel dokümanları inceler. Bu aşama bir nevi “masa başı denetimi” şeklindedir. Aşama 1 sonucunda tespit edilen eksikler veya iyileştirme gereken noktalar olursa, kuruluş bunları düzeltme fırsatı bulur (Secureframe, 2023).
  • Aşama 2 Denetimi (Saha / Uygulama Denetimi): İkinci aşamada denetçiler, BGYS’nin uygulamasını detaylı şekilde değerlendirir. Bu, kuruluşun iş süreçlerinin ve uygulanan kontrollerin ISO 27001 gereklilikleriyle uyumlu olup olmadığına dair kapsamlı bir denetimdir (Secureframe, 2023). Denetçiler saha ziyaretleri yaparak kontrollerin işletimde olduğunu doğrular, çalışanlarla görüşmeler gerçekleştirir, kayıtları ve teknik önlemleri inceler. Örneğin erişim logları, yedekleme kayıtları, olay kayıtları, eğitim katılım listeleri gibi kanıtlar gözden geçirilir. Aşama 2 sonunda denetçiler, kuruluşun standardın tüm şartlarını karşılayıp karşılamadığına karar verir.

Sertifika ve Sonrası: Aşama 2 denetimini başarıyla tamamlayan kuruluşa, akredite sertifikasyon kuruluşu tarafından ISO/IEC 27001 Sertifikası verilir. Bu sertifika, genelde 3 yıl geçerli olacak şekilde düzenlenir. Ancak bu 3 yıllık periyot boyunca, kuruluşun BGYS’sinin sürekliliğini koruduğunu doğrulamak için yıllık gözetim denetimleri yapılır (Secureframe, 2023) (Secureframe, 2023). Gözetim denetimleri, tam kapsamlı olmasa da kritik maddelerin ve kontrollerin yerinde durduğunu, varsa önceki denetimde belirtilen bulguların düzeltildiğini teyit eder (Secureframe, 2023). Üçüncü yılın sonunda ise yeniden belgelendirme (recertification) denetimi yapılır; bu da kapsamlı bir denetim olup BGYS’nin o anki haliyle tekrar 27001 gerekliliklerini karşılayıp karşılamadığını değerlendirir (Secureframe, 2023). Yeniden denetim de başarılı olursa sertifika 3 yıl daha uzatılır.

Bir ISO 27001 sertifikasyon sürecinin toplam süresi, kuruluşun büyüklüğüne, kapsamına ve hazırbulunuşluk seviyesine bağlı olarak değişir. Küçük ve hazırlıklı bir organizasyon birkaç ay içinde sertifika alabilecekken, büyük ölçekli bir kuruluş için bu süreç 6-12 ayı bulabilir (Secureframe, 2023). Kritik olan, belgelendirme denetimine girmeden önce kuruluşun kendi BGYS’sini olgunlaştırmış ve iç tetkiklerle doğrulamış olmasıdır. Bu sayede sertifika denetimlerinde sürpriz bulgularla karşılaşma riski azalır.

Sonuç olarak, ISO 27001 belgesi almak disiplinli bir çalışma, üst yönetim desteği ve kuruluş genelinde farkındalık gerektiren bir yolculuktur. Bu yolculukta işletmeler, standart gerekliliklerini yerine getirirken aslında kendi güvenlik seviyelerini yükseltmiş olurlar. Sertifikasyon süreci tamamlandığında ise ellerinde sadece bir sertifika değil, aynı zamanda işlerini güvence altına alan etkin bir yönetim sistemi bulunacaktır.

ISO 27001 İçin Gereken Dokümantasyon

ISO 27001 standardına uyum sağlamak, önemli ölçüde dökümantasyon çalışması yapmayı gerektirir. Standart, bir BGYS’nin etkin biçimde kurulup denetlene bilmesi için belirli politika, prosedür ve kayıtların oluşturulmasını şart koşar. Bu dokümanlar, bir yandan kuruluşun bilgi güvenliği faaliyetlerini tanımlar, diğer yandan sertifikasyon denetimleri sırasında denetçilere kanıt sunar. ISO 27001:2022 sürümünde, standart gereği zorunlu olan belli başlı doküman ve kayıtlar şunlardır (Advisera, n.d.) (Advisera, n.d.):

  • BGYS Kapsam Dokümanı – BGYS’nin sınırlarını, hangi birimleri ve varlıkları kapsadığını tanımlar (Madde 4.3).
  • Bilgi Güvenliği Politikası – Üst yönetimin onayladığı, kuruluşun bilgi güvenliği amaç ve prensiplerini ortaya koyan yüksek seviye politikadır (Madde 5.2).
  • Risk Değerlendirme Metodolojisi ve Risk İşleme Prosedürü – Risklerin nasıl belirleneceği, analiz edileceği ve işleme alınacağına dair yöntemleri tanımlar (Madde 6.1.2).
  • Risk Değerlendirme Raporu – Gerçekleştirilen risk analizinin sonuçlarını, tespit edilen riskleri, bunların derecelerini ve alınacak tedbirleri özetler (Madde 8.2 ve 8.3).
  • Risk İşleme Planı – Kabul edilemez riskler için ne tür önlemler alınacağını, sorumluları ve takvimini içeren aksiyon planıdır (Madde 6.1.3 ve 6.2) – çoğunlukla “risk tedavi planı” olarak adlandırılır.
  • Uygulanabilirlik Bildirgesi (SoA) – ISO 27001 Ek A’daki kontrollerden hangilerinin uygulanıp hangilerinin neden uygulanmadığını açıklayan doküman (Madde 6.1.3(d)). Bu bildiri, kuruluşun seçtiği kontrol setinin gerekçesini içerir ve denetçinin ilk inceleyeceği kritik dokümanlardan biridir (Secureframe, 2023).
  • Bilgi Güvenliği Hedefleri – Kuruluşun ölçülebilir bilgi güvenliği hedeflerini ve bunlara ulaşmak için planlarını tanımlayan doküman (Madde 6.2). Örneğin “bir yıl içinde phishing farkındalık skorunu %20 artırmak” gibi hedefler belirlenir.
  • Yetki Matrisleri ve Varlık Envanteri – Kuruluşun bilgi varlıkları envanteri (Ek A kontrolü gereği) ve bu varlıklara kimlerin hangi seviyede erişebileceğini gösteren kayıtlar.
  • Prosedürler ve Politikalar – Erişim kontrol prosedürü, kriptografik kontrol prosedürü, güvenlik olay yönetimi prosedürü, yedekleme prosedürü gibi çeşitli alt politikalar ve prosedür dokümanları (Ek A kontrollerinin gerektirdiği şekilde). Bu prosedürlerin bir kısmı zorunlu olmasa da iyi uygulama olarak dokümante edilir.
  • Kayıtlar (Loglar, Raporlar) – Eğitim katılım kayıtları (Madde 7.2), izleme ve ölçüm sonuçları (Madde 9.1), iç denetim raporları (Madde 9.2), yönetim gözden geçirme toplantı tutanakları (Madde 9.3), düzeltici faaliyet kayıtları (Madde 10.1) gibi operasyonel kayıtlar. Bu kayıtlar, sistemin çalıştığını ve kontrollerin uygulandığını kanıtlayan belgelerdir (Advisera, n.d.).

Yukarıdaki liste, önemli dokümanların bir özetidir. ISO 27001’in 2022 versiyonu, özellikle dokümantasyon konusunda 2013 versiyonuna kıyasla biraz daha esnek hale gelmiştir; bazı politikalara doğrudan atıf yapılmaz. Ancak uygulamada, belgelendirme denetiminde denetçiler yukarıda belirtilen ana dokümanların varlığını görmek isterler. Özellikle ISMS kapsam dokümanı, bilgi güvenliği politikası, risk değerlendirme/işleme prosedürü, Uygulanabilirlik Bildirgesi, iç denetim planı ve raporları, yönetim gözden geçirme tutanakları hemen her denetimde sorulan temel kanıtlardır.

Dokümantasyon, sadece sertifikasyon için bir gereklilik olmayıp aynı zamanda BGYS’nin omurgasını oluşturur. İyi tanımlanmış ve güncel tutulan dokümanlar, kuruluş içinde bilgi güvenliği uygulamalarının tutarlı yürütülmesini sağlar. Örneğin, yazılı bir erişim kontrol prosedürü olmadan, çalışanların sistemlere erişim yetkilerinin nasıl verileceği veya geri alınacağı tutarlı şekilde yönetilemez. Benzer şekilde, yazılı bir olay müdahale prosedürü olmadan bir güvenlik ihlali anında kaos yaşanabilir. Bu nedenle, ISO 27001 kapsamındaki dokümanlar işletme için de yol gösterici ve düzenleyici araçlardır.

Sertifikasyon sürecinde, denetime girmeden önce kuruluşun dokümantasyonunun tam olması kritik önemdedir. Aşama 1 denetiminde bu dokümanlar ayrıntılı inceleneceğinden, eksik veya yetersiz doküman tespit edilirse belgelendirme süreci uzayabilir. Bu yüzden birçok kuruluş, danışmanlık hizmetleri veya hazır doküman şablonları kullanarak kapsamlı bir dokümantasyon seti oluşturur. Örneğin, risk değerlendirme metodolojisi, SoA şablonu, politika örnekleri gibi içerikler kullanılır.

Sonuç olarak, ISO 27001 uyum sürecinde “yazmadığınız şeyi yapmış sayılmazsınız” ilkesi geçerlidir. Güvenlik uygulamalarınız ne kadar iyi olursa olsun, eğer uygun şekilde dokümante edilmemişlerse ve kanıtları tutulmamışsa denetimde kabul görmeyecektir. Bu nedenle işletmeler, BGYS dokümantasyonunu hazırlamaya yeterli zaman ve emek ayırmalı, dokümanların standarda uygunluğunu ve güncelliğini sürekli sağlamalıdır. Bir sonraki bölümde, bu dokümanlardan özellikle öne çıkan üç tanesine (politika, risk raporu, prosedür) daha yakından bakacağız.

ISO 27001 İç Denetim Süreci

ISO 27001’in gerektirdiği önemli adımlardan biri de iç denetimlerin gerçekleştirilmesidir. İç denetim, kuruluşun kendi BGYS’sini ISO 27001 gereksinimlerine ve kendi belirlediği prosedürlere göre tarafsız bir gözle değerlendirmesidir. Sertifikasyon öncesinde yapılan iç denetimler, kuruluşun eksiklerini dış denetimden önce tespit edip gidermesine olanak tanır ve “prova” işlevi görür. Bu başlık altında iç denetim sürecinin nasıl planlanıp yürütüldüğüne odaklanacağız.

İç denetim planlaması: Öncelikle denetimin kapsamı ve kriterleri tanımlanır. Hangi birimlerin, süreçlerin ve kontrollerin denetleneceği belirlenir (örneğin sadece belirli departmanlar mı, yoksa tüm BGYS kapsamı mı). Denetim planı hazırlanırken ISO 27001’in tüm gerekliliklerinin belli aralıklarla kapsanması hedeflenir. İç denetçi veya denetim ekibi, mümkünse BGYS’den operasyonel olarak bağımsız kişilerden seçilir (çapraz denetim yöntemiyle). Denetim takvimi oluşturulur ve ilgili birimlere bildirilir.

Denetimin gerçekleştirilmesi: İç denetçi, belirlenen kapsam doğrultusunda bulgu toplar. Bu süreçte tipik olarak aşağıdaki adımlar izlenir (DataGuard, 2023) (DataGuard, 2023):

  • Doküman İncelemesi: Denetçi önce BGYS dokümantasyonunu gözden geçirir. Politikalar, prosedürler, önceki denetim raporları ve kayıtlar incelenerek, kağıt üzerindeki gerekliliklerle pratik uygulama arasında tutarlılık olup olmadığına bakılır. Örneğin, bilgi güvenliği politikasında taahhüt edilen bir konunun (örn. şifre politikası) gerçekten uygulanıp uygulanmadığı, ilgili kayıtlardan kontrol edilir.
  • Görüşmeler ve Saha Gözlemi: Denetçi, süreç sahipleri ve çalışanlarla görüşerek prosedürlerin günlük hayatta nasıl uygulandığını değerlendirir. Çalışanlara, kendilerine atanmış bilgi güvenliği rollerini bilip bilmedikleri, olay yaşandığında ne yapacakları, farkındalık eğitimlerine katılıp katılmadıkları gibi sorular sorulabilir. Ayrıca fiziksel güvenlik önlemleri, ekranlarda açık kalan oturumlar gibi gözlemler yapılabilir.
  • Kayıt ve Kanıt Kontrolleri: Denetimin önemli bir kısmı, uygulamaların kanıtlarının incelenmesidir. Denetçi, seçilen kontrol örneklerine ait kayıtları arar. Örneğin, erişim kontrolünün etkinliğini değerlendirmek için son 6 aya ait kullanıcı yetki değişiklik kayıtlarına bakabilir; yedekleme prosedürünün uygulandığını doğrulamak için yedek loglarını inceleyebilir. Bu sayede kontrollerin gerçekten işletilip işletilmediği anlaşılır.
  • Uygunsuzlukların Belirlenmesi: Denetçi bulguları analiz ederek standarda veya iç prosedürlere aykırı durumları (uygunsuzluk) tespit eder. Örneğin, prosedüre göre üç ayda bir yapılması gereken erişim gözden geçirmelerinin yapılmadığını bulabilir veya bir teknik kontrolün (antivirüs güncellemesi gibi) aksatıldığını saptayabilir. Ayrıca iyi uygulama olarak öngörülen ancak bulunmayan noktaları “iyileştirme fırsatı” olarak not edebilir.

Denetim kriterleri: İç denetimde değerlendirme yapılırken iki temel kriter vardır: ISO 27001 standardının maddeleri ve kuruluşun kendi BGYS dokümantasyonu (politika ve prosedürleri). Denetçi, kuruluşun kendi belirlediği kurallara uyup uymadığını (iç uyum) ve aynı zamanda bu kuralların ISO 27001 gerekliliklerini karşılayıp karşılamadığını kontrol eder. Örneğin, şirketin erişim kontrol prosedürü varsa, buna uyulup uyulmadığı kontrol edilir; eğer yoksa bu, standardın gerektirdiği dokümantasyon eksiği olarak not edilir.

Denetim raporu ve takip: İç denetim sonunda denetçi bir rapor hazırlar. Bu raporda denetimin kapsamı, kullanılan yöntemler, tespit edilen uygunsuzluklar ve iyileştirme önerileri yer alır (DataGuard, 2023) (DataGuard, 2023). Uygunsuzluklar genellikle majör (büyük) ve minör (küçük) olarak sınıflandırılır. Rapor üst yönetime sunulur ve bulgular üzerinde mutabık kalınır. Ardından her uygunsuzluk için düzeltici faaliyetler planlanır ve sorumlular atanır. Örneğin, “BGYS farkındalık eğitimi tüm çalışanlara verilmemiş” şeklinde bir bulgu varsa, İnsan Kaynakları birimine eğitim planlaması yapma görevi verilebilir.

İç denetim, ISO 27001’de zorunlu bir süreç olmakla birlikte, esas amacı BGYS’nin etkinliğini artırmak ve sürdürmektir. İyi uygulandığında, dış denetimler öncesi bir alarm mekanizması gibi çalışır ve sorunlar içeride iken çözülür. Ayrıca iç denetimler, çalışanlara BGYS’nin ciddiyetini hatırlatır ve kurum içinde bilgi güvenliği kültürünü pekiştirir.

Sonuç olarak ISO 27001 iç denetim süreci; planlama, uygulama, raporlama ve iyileştirme adımlarıyla yürütülen, standart uyumunun sürekliliğini sağlamaya yönelik kritik bir mekanizmadır. Bu sürecin iyi işletilmesi, belgenin sürdürülebilirliğinin ve BGYS’nin canlı tutulmasının güvencesidir. İç denetimin önemi ve teknik detayları, 5. bölümde daha kapsamlı şekilde ele alınacaktır.

Kaynakça

• Advisera. (n.d.). ISO 27001 mandatory documents.
• Afyonluoğlu, S. (2019). ISO 27001 Uygulama Kılavuzu (PDF).
• AuditBoard. (2022). Definitive Guide to ISO 27001 Audits.
• BSI. (n.d.). ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
• Böke Yazıcıoğlu, M. (2024). ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Kapsamında Bilgi Güvenliği Risk Yönetimi ve Risk Analizi. Bilgisayar Bilimleri ve Teknolojileri Dergisi, 5(2), 01-13
• DataGuard. (2023). ISO 27001 Clause 9.2: Internal Audit & ISO 27001 Clause 5.2: Information Security Policy.
• IBM Security. (2023). Cost of a Data Breach Report.
• Isobelgesi. (n.d.). ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sistemi.
• Online Standart. (2023). Teknik Bilgide Güvenilir Kaynak – ISO 27001 Standardı Satın Alın.
• Pivot Point Security. (n.d.). ISO 27001 and Data Protection: The Crucial Link.
• Protiviti. (n.d.). ISO/IEC 27001:2013 and ISO/IEC 27001:2022 revision details.
• Prozorov, A. (2023). ISO Survey 2022: ISO 27001 Certificates (ISMS). SlideShare.
• Secureframe. (2023). ISO 27001 Certification Process: A Step-by-Step Guide.
• StandardFusion. (2022). ISO 27001 Mandatory Clauses – Guide.
• Wikipedia. (n.d.). Bilgi Güvenliği.