Bilgi güvenliğinin kurumlarda yönetim sistemi olarak kurulması ve işletilmesi yeni bir kavram olmamakla birlikte, bu sistemin sertifikalanması özellikle ülkemizde 2005’den bu yana başlamıştır.
Kurumunuz, ISO 27001 Sertifikası ile, rekabet avantajı kadar, yönetilen bilgi güvenliği sayesinde farklı ticari avantajlar, bilginin korunmasına bağlı parasal kazançlar sağlayacaktır.
Bu yazıda numaraları bir çok kez değişen standartlara açıklık getirip, bir kurumda uygulanması sırasında takip edilmesi gereken aşamalar özetlenecektir.
İngiltere’de Ocak 1993’de bir endüstri çalışma grubu olarak toplanan ekibin yazmaya başladığı standart günümüzde ABD’den Japonya’ya tüm Dünya’da yaygın olarak Bilgi Güvenliği Yönetim Sistemi kurmak ve belgelendirmek için kullanılmaktadır. ISO 27001 ailesinin farklı standartları ve numaraları aşağıdaki tabloda yer almaktadır.
| ISO 27001 | (Eski no:TS17799-2, BS7799-2) Bilgi Güvenliği Yönetim Sistemleri – Şartlar (Belgelendirme) |
| ISO 27002 | (TS17799, ISO17799, BS7799) Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri |
| ISO 27003 | (BS7799-3) BGYS risk analiz yönetim yönergesi |
| ISO 27004 | BGYS metrik ve ölçümler |
| ISO 27005 | GBYS uygulama yönergeleri |
Kurumsal bilgi güvenliği yönetim sistemi (BGYS) kurmak için hazırlanan proje planı aşağıdaki adımlardan oluşmaktadır:
1.Standardın alınması: Standardlar www.bsi-global.com adresinden Ingilizce ve www.tse.gov.tr adresinden Türkçe olarak edinilebilir. Yapılması düşünülen BGYS çalışması ile standardın uyumu kontrol edilmelidir.
2.Ön ekibin eğitimi: BGYS kurmanın yararları, uygulanabilecek yöntemlerin de yer aldığı bir eğitim programı ile kurum içindeki “BGYS Şampiyonu” ve ön ekip ilk hazırlığını tamamlar. Eğitim programı, farkındalık, uygulama ve baş tetkikçi eğitimlerini içerebilir. Ekip içinde en az bir kişinin baş tetkikçi eğitimini almış olması, yaratılan sistemin belgelendirme denetimine hazırlığı kolaylaştırır.
3.Ekip ve Stratejinin kesinleştirilmesi: Kurum içinde ilk BGYS ekibinin kurulması ve üst yönetim bilgi/desteği ile hedefin ortaya konmasıdır. Ekip, BGYS ekibi içinde gerekli kaynakların aktarılması ve görevlendirme için üst yönetim temsilciliğini de yapacak olan “BGYS Sponsoru”, projenin yönetimini yapacak olan “BGYS Şampiyonu” ve gerekli süreç sahiplerinden oluşabilir.
4.Kapsamın belirlenmesi: BGYS’nin hangi sınırlar içinde uygulanacağı kapsam dokümanı içinde belirlenir. Kapsam seçenekleri, tüm kurum, tek bir süreç, bir departmanın tüm süreçleri olabilir. Kapsamı belirlerken işin karakteristik özellikleri, organizasyon, yerleşim, varlıklar ve teknoloji düşünülmeli, kapsam dışında bırakılan her şey ayrıntıları ve gerekçeleri ile belirtilmelidir.
5.Danışmanlık kararının verilmesi: Kapsam belirlendikten sonra, bu kapsama giden yolda kendi BGYS’nizi kurarken dışarıdan alınabilecek destek seçeneklerini değerlendirebilirsiniz. Danışmanlık, BGYS süresince ekibi yönlendirme ve doğru sonuçları üretme hedefinde olmalıdır. Sizin adınıza bir başka kurum çalışan bir BGYS yaratamaz.
6.Politika Beyannamesinin yazılması ve onaylanması: Genellikle yarım-iki sayfa arası yazılan güvenlik politika beyannamesi, tüm şirket çalışanlarının ve ilişki içinde bulunan kişilere bilgilerin güvenliği ile ilgili hedeflerin gösterilmesi amacıyla yazılır. Kurumun bilgi güvenliği anayasası gibi hareket görür. Üst yönetim tarafından onaylanmış bilgi güvenliği beyannamesinin anlaşılması kolay, uygulanabilir, gerçekleştirmesi kolay, yürürlüğe koyulabilir, iş hedeflerini karşılayan yapıda olması önemlidir.
7.Bilgi Varlıklarının belirlenmesi: Bilgi güvenliğini sağlayabilmek için, korunması gereken bilgi varlıklarının listelenmesi, sahiplerinin belirlenmesi gereklidir. Süreçleri takip ederek ilişki içinde olan bilgi ve kaynakları çıkartılır. Böylece bilgi varlıklarının eksiksiz listelenmesi sağlanabilir. Bilgi kaynakları kağıt üzerine basılmış ya da yazılmış, elektronik olarak saklanıyor, posta ya da elektronik ortamlarla aktarılmakta, kurumsal videolarda gösterilmekte ya da söyleşiler sırasında sözlü olarak aktarılmakta olabilir.
8.Varlıkların Değerlendirmesi: Her varlık aynı değerde değildir. Her varlığın da korunması için benzer çaba gösterilmesi anlamlı değildir. Bu yüzden varlık sahiplerinin, varlıkları önceliklendirmesi gereklidir. Bu önceliklendirme varlığın Gizlilik, Bütünlük ve Kullanılabilirlik ihtiyacına göre yapılabilir.
9.Risk Değerlendirmesi: Her varlığın Gizliliğini, Bütünlüğünü ve Kullanılabilirliğini (GMK) tehdit eden unsurlar ve bu tehdide “çanak tutan” zayıf noktalar vardır. Bu tehdit ve zayıf noktalar birleşerek varlıkların GMK’ları için riskleri oluştururlar. Risklerin doğru, tekrarlanabilir ve kurum ihtiyaçlarını karşılayabilir olması BGYS’nin başarısını direk etkiler. Doğru risk değerlendirme yönteminin geliştirilmesi en önemli danışmanlık alanları içinde yer alır.
10.Risk Ele Alınış + Kontrol Seçimi: Önceki aşamada belirlenen riskler, ya yeterince düşük bulunur ve “kabul edilir” ya da kabul seviyesine gelmesi için çeşitli kontroller uygulanarak “ortadan kaldırılır”, “azaltılır” ve “devredilir”.
Seçilen kontroller için ISO 27001 ve ISO 27002 (ISO 17799)’dan yararlanılabilir.
11.Politika ve Prosedürlerin yazılması: Seçilen kontrollerin nasıl kullanılacağı, BGYS’nin nasıl çalışacağı hazırlanan dokümanlar içinde belirlenir. Bu dokümanlar “politikalar”, “standartlar”, “kılavuzlar” ve “süreçler adlarını alırlar”.
12.BGYS Dokümantasyonu + Uygulamanın gerçekleştirilmesi: Dokümantasyon yönetim kararlarının kayıtlarını içermeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sağlamalı ve kaydedilen sonuçların yeniden üretilebilir olmasını sağlamalıdır. Önceki maddelerde anlatılanların dışında “uygulanabilirlik beyannamesi” hazırlanmalıdır.
13.Farkındalık Eğitimlerinin verilmesi: Hazırlanan BGYS kağıt üstünde ne kadar başarılı olursa olsun, kurum çalışanları tarafından uygulanmadıkça etkili olamaz. Hazırlanan politika, süreç ve diğer BGYS dokümanları, standart tehdit ve zayıf noktalar ve çözümlerle birlikte tüm (tam ve yarı zamanlı) yöneticileri, çalışanları, teknik ve teknik olmayan personel, kapsam dışı ama kapsamla ilişkisi olan kişiler (müşteriler ve tedarikçiler vb.) farkındalık eğitimlerine katılmalıdır. Farkındalık eğitimleri web tabanlı olabileceği gibi, sınıf eğitimi ya da diğer yöntemlerle yapılabilir.
14.Gözden Geçirme, Denetim ve Önlemler : ISO 27001 standardında yer alan PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsü içinde yer alan “kontrol et”, gerçekleştirilen tüm süreçlerin gözden geçirilmesini kastetmektedir. Burada yapılan izleme süreçlerinin çalıştırılması, BGYS’nin etkinliğinin gözden geçirilmesi, planlanan aralıklarla risk değerlendirilmesinin gözden geçirilmesi ve üst yönetiminin BGYS’yi gözden geçirmesidir.
Bulgulara göre karar verilen önlemlerin alınması ve sistemin güncellenmesi gereklidir.
15.ISO 27001 Sertifika Başvuru & Alım:
Bu aşamaya geldiğinizde sahip olduğunuz sistemi belgelendirmek, avantajlara kavuşmak için önemlidir.