Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Madde 6.2 – Bilgi Güvenliği Hedefleri ve Bunlara Ulaşmak İçin Planlama

Nisan 24, 2025
0 4.383 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 madde 6.2, Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama konusunda kuruluşların belirli ve ölçülebilir hedefler oluşturmasını ve bu hedeflere nasıl ulaşacaklarını planlamalarını gerektirir. Bu madde, bilgi güvenliği stratejilerinin etkin bir şekilde uygulanabilmesi için net bir planlama ve hedef belirleme süreci oluşturur. Aşağıda, bu maddenin temelleri, belgeleme gereklilikleri, uygulama adımları ve denetim kanıtları hakkında detaylı açıklamalar yer almaktadır.

Temeller

ISO 27001 madde 6.2, bilgi güvenliği hedeflerinin belirlenmesini ve bu hedeflere nasıl ulaşılacağına dair bir planın oluşturulmasını gerektirir. Bu hedefler ölçülebilir olmalı ve kuruluşun BGYS (Bilgi Güvenliği Yönetim Sistemi) ile uyumlu olarak, belirli güvenlik performansını hedeflemelidir.

Belgeleme Gereklilikleri

ISO 27001 madde 6.2’nin uygulanabilmesi için bilgi güvenliği hedeflerinin listesi oluşturulmalıdır. Bu liste, hedeflerin net bir şekilde tanımlanmasını ve izlenebilirliğini sağlar.

Uygulama Adımları

Madde 6.2’ye uymak için aşağıdaki adımlar izlenmelidir:

  1. Üst Yönetim Tarafından Hedeflerin Tanımlanması:

    • Üst yönetim, BGYS’nin uygulanması ile neyi başarmak istediğini açıkça tanımlamalıdır. Bu hedefler, organizasyonun genel stratejik hedefleriyle uyumlu olmalıdır.

  2. Ölçülebilir Güvenlik Hedeflerinin Tanımlanması:

    • Bu hedefler, spesifik, ölçülebilir ve izlenebilir olmalıdır. Örneğin, veri sızıntılarını %10 oranında azaltmak veya güvenlik ihlalleri için yanıt süresini %15 oranında kısaltmak gibi.

  3. Uygulanabilirlik Beyanı (SoA):

    • Bu beyan, hangi güvenlik kontrollerinin uygulanabilir olduğunu tanımlar ve uygulanacak kontrollerin türünü belirler.

  4. Operasyonel Hedeflerin Tanımlanması:

    • Güvenlik hedefleri, bireysel kontroller ve/veya güvenlik süreçleri üzerinden tanımlanabilir. Operasyonel seviyede, hedefler çeşitli güvenlik kontrol gruplarına veya kurumsal birimlere özgü olabilir. Örneğin, bir yazılım geliştirme ekibi için özel güvenlik hedefleri belirlenebilir.

  5. Ölçülebilir Operasyonel Kontrollerin Tanımlanması:

    • Operasyonel seviyede de ölçülebilir hedefler belirlenmelidir. Bu hedefler, bilgi güvenliği stratejilerinin başarılı bir şekilde uygulanıp uygulanmadığını gösteren göstergeler olabilir.

Bu Makaleyede Göz Atmalısın!  ISO 27001:2022 Kontrolü A.5.10 – Bilginin ve Diğer İlişkili Varlıkların Kabul Edilebilir Kullanımı

Denetim Kanıtları

ISO 27001 belgelendirme denetimi sırasında denetçi aşağıdaki kanıtları arayacaktır:

  1. Güvenlik Hedeflerinin Belgelendirilmesi:

    • Belirlenmiş güvenlik hedeflerinin yazılı bir belgede yer alıp almadığı.

  2. Hedeflerin Ölçülebilir Olması:

    • Hedeflerin net ve ölçülebilir olup olmadığına bakılacaktır. Denetçi, hedeflerin belirli ve izlenebilir olmasını bekler.

  3. Çalışanların Hedef Farkındalığı:

    • Çalışanların, belirlenen güvenlik hedeflerinin farkında olup olmadığı kontrol edilir. Örneğin, üst yönetimin en üst düzey BGYS hedeflerinden haberdar olup olmadığı, yazılım test uzmanlarının yazılım testi ile ilgili kontrol hedeflerinden haberdar olup olmadığı denetlenir.

  4. Hedeflere Ulaşılma Durumu:

    • Belirlenen hedeflere ulaşılması için yapılan ölçümler ve değerlendirmeler istenecektir. Hedeflere ulaşılmadıysa, nedenleri ve düzeltici eylemler belirlenmelidir.

  5. Yönetim Gözden Geçirmesi:

    • Üst yönetime BGYS’nin performansı hakkında düzenli olarak bilgi verilip verilmediği kontrol edilir. Eğer hedeflere ulaşılamamışsa, düzeltici eylemler başlatılmalıdır.

  6. Düzeltici Eylemler:

    • Hedeflere ulaşılamadığı durumlarda, düzeltici eylemlerin başlatılıp başlatılmadığına dair kanıt aranır.

Önemli Notlar

  • KPI’lar (Anahtar Performans Göstergeleri): ISO 27001, KPI’ları zorunlu tutmaz. Bu nedenle, denetçi KPI’ları denetim sırasında aramaz. Ancak, organizasyonun belirlediği ölçülebilir hedeflerin izlenebilir ve geçerli olması beklenir.

  • Güvenlik Hedeflerinin Yönetime Etkisi: Güvenlik hedeflerinin uygulanması, genel organizasyonel güvenliği iyileştirecek ve riskleri azaltacaktır. Bu, denetim sırasında denetçilerin aradığı temel kanıttır.

ISO 27001 madde 6.2, bilgi güvenliği stratejilerini etkili bir şekilde uygulamak ve izlemek için net, ölçülebilir hedefler koyma gerekliliğini ortaya koyar. Bu hedeflere ulaşmak için bir planın oluşturulması, kuruluşun güvenlik performansını sürekli olarak iyileştirmesini sağlar.

ISO 27001 BGYS Nedir? 

Nisan 24, 2025
0 4.383 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

Kontrol 5.6 – Özel ilgi gruplarıyla iletişim

Nisan 26, 2025
fotoğrafı

ISO 27001:2022 Ek A Rehberi (Kontrollerin Mantığı, Yapısı ve Listesi)

Nisan 26, 2025
fotoğrafı

ISO 27001:2022 – Madde 9 Performans Değerlendirmesi

Nisan 26, 2025
fotoğrafı

Dahili Denetim Kontrol Listesi

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu