ISO 27001 Bilgi Güvenliği Kitabı Bölüm 3 İşletmelere Rehber

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bölüm 3

iso 27001 işletmeler için rehber
Bölüm I Bölüm II Bölüm IV

Bölüm 3

Kitabın Tamamı için ISO 27001 Google Books sayfamızı ziyaret edebilir veya bölüm bölüm okuyabilirsiniz

ISO 27001 Kapsamında Yer Alan Temel Belgeler

ISO 27001 standartının uygulanması sırasında üretilen pek çok doküman olsa da, bazı belgeler kritik öneme sahiptir ve ayrıca bunların içeriğinin iyi anlaşılması gerekir. Bu bölümde, BGYS’nin bel kemiğini oluşturan üç temel belgeyi inceleyeceğiz: Bilgi Güvenliği Politikası, Risk Değerlendirme Raporları ve Erişim Kontrol Prosedürleri. Bu belgeler, ISO 27001’in uygulama aşamasında her işletmenin hazırlayıp hayata geçirmesi gereken somut çıktılardır.

Bilgi Güvenliği Politikası

Bilgi Güvenliği Politikası, ISO 27001 Madde 5.2’ye göre üst yönetim tarafından oluşturulması ve onaylanması gereken, kuruluşun bilgi güvenliği amaç ve ilkelerini beyan eden üst düzey dokümandır (DataGuard, 2023) (DataGuard, 2023). Bu politika, bir anlamda kuruluşun bilgi güvenliğiyle ilgili “anayasası” konumundadır ve BGYS’nin genel çerçevesini çizer.

İyi bir bilgi güvenliği politikası şunları yapar: kuruluşun bilgi güvenliğine olan bağlılığını ortaya koyar, koruma altına alınacak bilgi varlıklarını ve bunlara yönelik genel tehditleri tanımlar, risklere karşı uygulanacak temel yaklaşımları belirtir ve organizasyonda bilgi güvenliğiyle ilgili rollerin ve sorumlulukların dağılımını açıklar (DataGuard, 2023) (DataGuard, 2023). Örneğin politika, “Şirketimiz müşteri verilerinin gizliliğini ve bütünlüğünü korumayı taahhüt eder” diyerek bir taahhüt cümlesiyle başlayabilir. Ardından “Tüm çalışanlar, belirlenen güvenlik politikalarına uymakla yükümlüdür” gibi sorumluluk vurguları yapar. Tipik olarak aşağıdaki konular politika içinde ele alınır:

  • Amaç ve Kapsam: Politikanın amacı (neden var olduğu) ve hangi bilgi varlıklarını/ortamlarını kapsadığı belirtilir.
  • Üst Yönetim Taahhüdü: Üst yönetim, bilgi güvenliğini desteklediğini açıklar. Bu, ISO 27001’in bir gereği olarak yöneticilerin politikayı onaylamasıyla gösterilir.
  • Bilgi Güvenliği Hedefleri: Kuruluşun bilgi güvenliği ile ilgili temel hedefleri (örn. “veri ihlallerini önlemek”, “yasal uyumu sağlamak”, “müşteri bilgilerinin gizliliğini temin etmek”) ifade edilir.
  • Uygulanacak Genel İlkeler: Örneğin “Gizlilik, Bütünlük, Erişilebilirlik ilkelerine uyulacaktır”, “En az ayrıcalık prensibi uygulanacaktır”, “Tüm yasal gerekliliklere uyulacaktır” gibi prensipler sıralanır.
  • Roller ve Sorumluluklar: Bilgi güvenliği yönetiminde kimlerin sorumlu olduğu açıklanır (BGYS yöneticisi, varlık sahipleri, sistem yöneticileri, tüm personel vb.). Herkesin rolüne uygun sorumlulukları olduğuna vurgu yapılır.
  • Uyum ve Disiplin: Çalışanların politikaya uymalarının beklendiği, uymayanlar için ne tür disiplin prosedürleri olabileceği belirtilir.
  • Gözden Geçirme: Politikanın ne sıklıkla gözden geçirilip güncelleneceği (örneğin yılda bir) ifade edilir.

ISO 27001, politikanın kurum içinde iletilmesini ve ilgili taraflara duyurulmasını şart koşar (DataGuard, 2023). Bu nedenle politika onaylandıktan sonra tüm çalışanlara duyurulur, kolay erişilebilir bir yerde yayımlanır (intranet gibi) ve gerekli durumlarda üçüncü taraflarla da paylaşılabilir. Ayrıca değişen koşullara göre (örneğin büyük bir organizasyonel değişiklik ya da ciddi bir güvenlik ihlali sonrası) politikanın gözden geçirilmesi gerekir.

Politika, somut teknik detaylara girmeyen, daha çok çerçeve çizen bir belgedir. Detaylar alt prosedürlere bırakılır. Örneğin politika “şirket ağındaki tüm cihazlar uygun güvenlik yazılımları ile korunacaktır” diyebilir, bunun uygulama detayları antivirüs prosedüründe tarif edilir. Bu sayede politika uzun yıllar genel hatlarıyla sabit kalırken, prosedürler teknoloji ve ihtiyaçlar değiştikçe güncellenebilir.

Bir örnek vermek gerekirse; politika, “Şirket bilgilerini korumak için güçlü parolalar kullanılacaktır” şeklinde bir ilke ortaya koyar. Bu ilkenin uygulanması ise Parola Yönetimi Prosedürü adı altındaki ayrı bir dokümanda detaylandırılır (minimum parola uzunluğu, değiştirme sıklığı vb.). Politikada bu denli ayrıntıya girilmez, ancak böyle bir prosedürün var olması gerektiği ima edilir.

Sonuç olarak bilgi güvenliği politikası, ISO 27001’in başarılı uygulanması için kritik bir belgedir. Üst yönetimin vizyonunu ve kurumsal duruşu yansıtır. Tüm BGYS süreçlerinin bu politikanın çizdiği sınırlar ve hedefler içinde şekillenmesi gerekir. Sertifikasyon denetimlerinde denetçiler ilk olarak bu politikayı görmek ve üst yönetimin imzasıyla onaylandığını teyit etmek isterler (DataGuard, 2023) (DataGuard, 2023). Çünkü politika, yönetimin desteğinin ve BGYS’nin ciddiyetinin bir göstergesidir.

Risk Değerlendirme Raporları

Risk değerlendirme raporu, ISO 27001 kapsamında yapılan risk analizi çalışmasının sonuçlarını belgeleyen temel kayıtlardan biridir. Bu rapor, kurumun karşı karşıya olduğu bilgi güvenliği risklerini ve bu risklerin nasıl yönetileceğini gösterir. Sertifikasyon sürecinde hem iç denetçiler hem de dış denetçiler tarafından dikkatle incelenen bir dokümandır (Sprinto, n.d.). Bu nedenle, raporun kapsamlı ve anlaşılır olması önem taşır.

Tipik bir risk değerlendirme raporunda şu unsurlar bulunur:

  • Risk Değerlendirme Metodolojisi Özeti: Kullanılan risk değerlendirme yönteminin kısa bir açıklaması (ör. risklerin olasılık ve etki kriterlerine göre 5×5 matris ile değerlendirildiği, kabul edilebilir risk eşik değerinin “orta” seviyede belirlendiği gibi bilgiler). Bu kısım, denetime gelenlere sürecin nasıl işletildiğini gösterir.
  • Değerlendirilen Varlıklar ve Kapsam: Hangi bilgi varlıklarının değerlendirildiği listelenir (örn. CRM veritabanı, finans departmanı dosya sunucusu, çalışan e-posta hesapları vb.). Böylece hangi varlıklar için risk analizi yapıldığı netleşir (Security StackExchange, n.d.).
  • Risk Kayıtları: Bu bölümde tespit edilen her bir risk için ayrı kayıtlar veya tablo satırları bulunur. Her risk kaydında genellikle şu alt bilgiler yer alır:
    • Risk açıklaması (tehdit + varlık + etki kombinasyonu, örneğin: “Web sunucusuna DoS saldırısı yapılması sonucu hizmet kesintisi yaşanması”),
    • İlgili varlık ve varlık sahibi,
    • Riskin gerçekleşme olasılığı (düşük/orta/yüksek ya da numerik),
    • Riskin etki seviyesi (düşük/orta/yüksek veya numerik),
    • Mevcut kontroller (varsa o riski azaltmak için halihazırda mevcut önlemler, örn. “Web uygulama güvenlik duvarı mevcut”),
    • Risk derecesi (olasılık ve etkinin birleştirilmesiyle hesaplanan nihai skor veya seviyelendirme),
    • Risk işleme kararı (alınacak aksiyon: azalt, kabul, transfer, önle),
    • Sorumlu kişi ve hedef tarih gibi bilgiler.
  • Özet ve Sonuçlar: Tüm risklerin değerlendirilmesi sonucunda kaç adet yüksek, orta, düşük risk bulunduğu, hangi risklerin kabul edildiği, hangileri için tedbir alınacağı gibi genel bir özet sunulur. Örneğin “Toplam 50 risk değerlendirilmiş, 5 yüksek risk tespit edilmiş, bunların tümü için risk işleme planı hazırlanmıştır. Orta ve düşük seviyeli risklerin bir kısmı üst yönetimce kabul edilmiştir.” gibi bir özet ifadeye yer verilir.

Risk değerlendirme raporu, BGYS döngüsünde kritik bir karar destek belgesi olduğu gibi, ilerleyen zamanda güvenlik durumunu izlemek için de kullanılır. Bu rapor düzenli aralıklarla (örneğin yılda bir veya önemli değişiklikler sonrası) güncellenir. Böylece kuruluş, risk profilindeki değişimleri takip edebilir. Örneğin geçen yıl yüksek risk olarak listelenen bir konu bu yıl alınan önlemler neticesinde orta riske düşmüş olabilir. Bu durum raporun yeni versiyonunda görülür ve iyileşme olduğunu gösterir. Risk raporu bu yönüyle, zaman içinde ilerlemeyi değerlendirmek için bir başlangıç noktası işlevi görür (PECB, n.d.).

Sertifikasyon denetimlerinde risk değerlendirme raporu başlıca inceleme konularından biridir. Denetçiler, kuruluşun risklerini sistematik şekilde ele alıp almadığını bu rapordan anlar. Özellikle raporda belirtilen yüksek riskler ile uygulanan kontrollerin tutarlı olup olmadığı kontrol edilir. Örneğin rapor “X riski yüksek” demişse, SoA’de veya uygulamalarda o risk için bir kontrol görülmezse bu bir uyumsuzluk olarak not edilir. Bu yüzden risk raporundaki bulgular ile Uygulanabilirlik Bildirgesi ve risk işleme planı arasında tutarlılık olması şarttır.

Ayrıca risk değerlendirme raporu, üst yönetimin de dikkatine sunulur ve genellikle yönetim gözden geçirmelerinde tartışılan bir dokümandır. Yönetim, en kritik riskleri ve alınan aksiyonları bu rapor üzerinden takip eder. Örneğin bir yönetim gözden geçirmesi toplantısında “en büyük riskimiz tedarikçi ağından gelebilecek saldırılar olarak görülmüş, bunla ilgili ne yaptık?” gibi sorular bu rapora referansla ele alınır.

Özetle, risk değerlendirme raporu ISO 27001 BGYS’nin durum raporu niteliğindedir. Kuruluşun güvenlik risklerinin fotoğrafını çeker ve bu risklerin yönetimi için planların temelini oluşturur. Hem iç denetimlerin hem de sertifika denetimlerinin yakından incelediği bu belge, BGYS’nin başarısını göstermede anahtar rol oynar. Bu nedenle, raporun güncel, doğru ve kapsamlı olması; ayrıca anlaşılır bir biçimde sunulması en iyi uygulamadır. İyi hazırlanmış bir risk değerlendirme raporu, denetçiler nezdinde kuruluşun risk yönetimi yaklaşımına duyulan güveni artıracaktır (Sprinto, n.d.).

Erişim Kontrol Prosedürleri

Erişim kontrol prosedürleri, bir kuruluşta bilgi ve sistem kaynaklarına erişim haklarının nasıl yönetileceğini ayrıntılı olarak tanımlayan dokümanlardır. ISO 27001’in Ek A kontrol setinde erişim kontrolü önemli bir yer tutar (özellikle kullanıcı erişim yönetimi, kullanıcı yetkilendirme, parolaların yönetimi vb. başlıklar). Bu prosedürler, kimlerin hangi bilgilere ulaşabileceğini düzenleyen kuralları içerir ve böylece gizlilik prensibinin operasyonel düzeyde uygulanmasını sağlar.

Erişim kontrol prosedürü genellikle şu alt başlıkları içerir:

  • Kapsam ve Amaç: Hangi sistemler ve ortamlarda erişim kontrolünün bu prosedürle düzenlendiği açıklanır (örneğin tüm şirket ağ kaynakları, bulut hizmetleri vs.). Amacı, yetkisiz erişimi engellemek ve yetkili erişimi uygun şekilde yönetmek olarak ifade edilir (BAIB, n.d.).
  • Kullanıcı Yetkilendirme Süreci: Yeni bir kullanıcı (örneğin işe yeni başlayan bir çalışan) için hesap oluşturma ve yetki atama adımları tarif edilir. Hangi onayların gerektiği, kimin tarafından yapıldığı (ör. bölüm yöneticisinin onayı ile BT hesabı açılması) belirtilir. Minimum yetki prensibi vurgulanır: her kullanıcı görevini yapması için gereken en az erişim haklarına sahip olmalıdır.
  • Kullanıcı Kimlik Doğrulama: Kullanıcıların sisteme erişirken nasıl kimlik doğrulayacağı anlatılır. Bu bölüm, parola politikası gibi kuralları içerebilir (parola uzunluğu, karmaşıklığı, değiştirme periyodu vb.) ve mümkünse iki faktörlü kimlik doğrulama gerekliliklerini kapsar. Örneğin, “Tüm kullanıcı hesapları en az 12 karakterli karmaşık parolalarla korunacaktır; parolalar 90 günde bir değiştirilmelidir” kuralı burada yer alabilir (Afyonluoglu, n.d.).
  • Yetki Değişiklik ve İptal Süreci: Çalışanların rol değişikliği, terfi, işten ayrılma gibi durumlarda erişim yetkilerinin nasıl güncelleneceği tanımlanır. Özellikle işten ayrılan personelin hesaplarının devre dışı bırakılması kritik bir kontroldür. Prosedürde, ayrılış bildirimi alındığında hesap kapatma adımlarının derhal atılması gerektiği belirtilir. Bu, eski çalışanların artık sisteme erişememesini sağlar.
  • Yetki Gözden Geçirmeleri: Belirli aralıklarla (ör. her 6 ayda bir) kullanıcı erişim haklarının gözden geçirilmesi gerektiği, varlık sahiplerinin kendi varlıklarına erişimi olan kullanıcıları periyodik olarak kontrol etmesi gerektiği ifade edilir. Bu, zaman içinde oluşabilecek “yetki sürünmelerini” (görev değişmiş ama eski yetkileri duruyor gibi durumları) yakalamak için önemlidir (YYU, n.d.).
  • Güvenli Giriş ve Oturum Yönetimi: Sisteme giriş esnasında uygulanacak güvenlik adımları (ör. başarılı/başarısız giriş denemesi loglarının tutulması), otomatik oturum kapatma/süre aşımı süreleri gibi konular prosedürde yer alır (Afyonluoglu, n.d.). Örneğin “Kullanıcılar 15 dakika boyunca işlem yapmazsa sistemden otomatik olarak çıkış yapılır (oturum zaman aşımı)” gibi bir kural eklenir.
  • Varsayılan Erişim Politikası: Genel ilke olarak hangi durumlarda erişim engellenir, ne tür erişimlerin kısıtlandığı belirtilir. Örneğin, “Bilgi sistemleri ve uygulama fonksiyonlarına erişim, tanımlanmış bir erişim kontrol politikasına uygun olarak sınırlandırılmalıdır” şeklinde bir ifade, ISO 27001 Ek A.9.1.1 gerekliliğini yansıtır (BAIB, n.d.).

Erişim kontrol prosedürleri, çoğu zaman birden fazla belgeye de ayrılabilir: Kullanıcı Yönetimi Prosedürü, Parola Prosedürü, Sistem Erişim Prosedürü gibi alt dokümanlar olabilir. Ancak küçük/orta ölçekli kuruluşlarda bunlar genellikle tek bir kapsamlı prosedürde toplanır.

Bu prosedürlerin amacı, yetkisiz erişimi önlemek ve yetkili erişimi kolaylaştırmak arasında denge kurmaktır. Yanlış yapılandırılmış bir erişim kontrol süreci ya güvenlik açığı bırakabilir ya da işi aksatacak kadar kısıtlayıcı olabilir. ISO 27001, bu nedenle erişim kontrollerinin tanımlı bir politika çerçevesinde yürütülmesini şart koşar ve uygulamada bu prosedürler bu ihtiyacı karşılar (BAIB, n.d.).

Örnek bir uygulama senaryosu verelim: Bir çalışan Finans departmanından BT departmanına geçtiğinde, erişim kontrol prosedürü sayesinde finans sistemlerine erişim yetkileri kaldırılır, BT ile ilgili sistemlere gerekli yeni yetkiler verilir. Bu değişiklik süreci belgelenir ve onaylanır. Bu sayede çalışan yeni rolü için doğru yetkilere sahip olurken, eski rolüne ait kritik finans verilerine artık erişemez (ihtiyacı olmadığı için). Böylece gizlilik ilkesi korunmuş olur.

Bir diğer örnek, misafir kullanıcı veya harici danışman hesaplarının yönetimidir. Prosedürlerde geçici erişimlerin nasıl sağlanacağı ve sonlandırılacağı da tanımlanır. Örneğin bir danışmana 1 aylığına verilmiş bir hesap, süre sonunda otomatik olarak kapatılmalı veya sorumlular tarafından kapatılması sağlanmalıdır.

Denetim perspektifinden bakıldığında, erişim kontrol prosedürleri ve bunların uygulanması, ISO 27001 denetimlerinde ayrıntılı incelenir. Denetçiler, özellikle kritik sistemlerde “ayrılan çalışanların hesapları hemen kapatılmış mı?”, “kullanıcı yetki listeleri güncel mi?”, “yöneticilerin herkesten geniş yetkileri uygun şekilde kontrol altında mı?” gibi soruların cevabını arar. Prosedürlerde tanımlanan kuralların gerçek hayatta takip edildiğini doğrulamak için sistem logları incelenebilir veya rastgele kullanıcılar seçilip erişimlerinin uygunluğu kontrol edilebilir. Örneğin, bir denetçi rastgele bir departman seçip oradaki tüm kullanıcıların erişim listelerini bölüm yöneticisine onaylatıp onaylatmadıklarını sorabilir.

Erişim kontrol prosedürleri, teknik ve idari tedbirlerin bir kesişim noktasıdır. İçinde teknik detaylar (ör. şifre politikası) barındırdığı gibi idari süreçler de (onay mekanizmaları gibi) barındırır. Bu prosedürlerin güncel tutulması şarttır; çünkü şirket BT altyapısı değiştikçe (örneğin yeni bir yazılım devreye girip kullanıcı hesapları yaratılmaya başlandığında) prosedürlerin de bunu kapsayacak şekilde güncellenmesi gerekir.

Sonuç olarak, erişim kontrol prosedürleri ISO 27001 uygulamasının vazgeçilmez bir parçasıdır. Gizlilik ilkesini operasyona döker, “doğru kişinin, doğru bilgiye, doğru zamanda erişebilmesi” ilkesini hayata geçirir. İyi tanımlanmış ve uygulanan erişim kontrolleri sayesinde kuruluşlar veri sızıntısı, yetki suistimalleri gibi riskleri önemli ölçüde azaltır. Bu nedenle, BGYS kapsamındaki tüm kritik sistemler için sağlam bir erişim kontrol süreci oluşturmak, ISO 27001 uyumunun temel gereklerindendir (Afyonluoglu, n.d.).

Kaynakça

• Advisera. (n.d.). ISO 27001 mandatory documents.
• Afyonluoğlu, S. (2019). ISO 27001 Uygulama Kılavuzu (PDF).
• AuditBoard. (2022). Definitive Guide to ISO 27001 Audits.
• BSI. (n.d.). ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
• Böke Yazıcıoğlu, M. (2024). ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Kapsamında Bilgi Güvenliği Risk Yönetimi ve Risk Analizi. Bilgisayar Bilimleri ve Teknolojileri Dergisi, 5(2), 01-13
• DataGuard. (2023). ISO 27001 Clause 9.2: Internal Audit & ISO 27001 Clause 5.2: Information Security Policy.
• IBM Security. (2023). Cost of a Data Breach Report.
• Isobelgesi. (n.d.). ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sistemi.
• Online Standart. (2023). Teknik Bilgide Güvenilir Kaynak – ISO 27001 Standardı Satın Alın.
• Pivot Point Security. (n.d.). ISO 27001 and Data Protection: The Crucial Link.
• Protiviti. (n.d.). ISO/IEC 27001:2013 and ISO/IEC 27001:2022 revision details.
• Prozorov, A. (2023). ISO Survey 2022: ISO 27001 Certificates (ISMS). SlideShare.
• Secureframe. (2023). ISO 27001 Certification Process: A Step-by-Step Guide.
• StandardFusion. (2022). ISO 27001 Mandatory Clauses – Guide.
• Wikipedia. (n.d.). Bilgi Güvenliği.