Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Madde 6 – Planlama

Nisan 24, 2025
0 44 1 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Madde 6, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS / ISMS) başarılı bir şekilde uygulanması ve sürdürülmesi için planlama süreçlerini tanımlar. Bu madde, risklerin yönetilmesi, güvenlik hedeflerinin belirlenmesi ve değişikliklerin planlı bir şekilde yapılmasını sağlayarak ISO 27001’in en temel yapı taşlarından biridir.

6.1 Riskleri ve Fırsatları Ele Almaya Yönelik Eylemler

Bu alt madde, kuruluşların hem riskleri hem de fırsatları tanımlaması, değerlendirmesi ve uygun şekilde yanıt vermesini gerektirir.

Uygulama:

  • Kuruluşun bağlamı (iç-dış etkenler) ve ilgili tarafların ihtiyaçları analiz edilir.

  • Bilgi güvenliği risk değerlendirme metodolojisi oluşturulur.

  • Riskler belirlenir ve etki/olasılık çarpanlarıyla değerlendirilir.

  • Kabul edilebilir risk seviyesi belirlenir.

  • Risk işleme seçenekleri seçilir (azaltma, kabul, aktarma, ortadan kaldırma).

  • Uygulanabilirlik Beyanı (SoA) hazırlanır: Hangi kontrollerin uygulanıp hangilerinin uygulanmadığı ve gerekçeleri açıklanır.

  • Risk İşleme Planı oluşturulur: Her risk için sorumlular, eylemler ve zaman çizelgesi belirlenir.

Denetim Kanıtları:

6.2 Bilgi Güvenliği Hedefleri ve Bunlara Ulaşmak İçin Planlama

Kuruluş, BGYS ile uyumlu ve ölçülebilir bilgi güvenliği hedefleri belirlemeli ve bunlara ulaşmak için gerekli adımları planlamalıdır.

Uygulama:

  • Hedefler SMART (Spesifik, Ölçülebilir, Ulaşılabilir, İlgili, Zamanlı) kriterlerine göre tanımlanır.

  • Her hedef için sorumlu kişi(ler), kaynak, takip yöntemi ve zaman çizelgesi belirlenir.

  • Hedefler genellikle yıllık olarak gözden geçirilir ve Yönetim Gözden Geçirme Toplantılarında ele alınır.

Denetim Kanıtları:

  • Belirlenmiş hedefler dokümantasyonu (ör. Hedef Matrisi, Yıllık Plan)

  • Hedeflerin izlenmesine ilişkin raporlar

  • Hedef gerçekleşme düzeyi ve değerlendirmesi

Bu Makaleyede Göz Atmalısın!  ISO 27001:2022 Kontrolü A.5.12 – Bilginin Sınıflandırılması

6.3 Değişikliklerin Planlanması

BGYS’te yapılacak değişiklikler sistemli ve planlı bir şekilde yönetilmelidir.

Uygulama:

  • Değişiklik yönetimi prosedürü oluşturulur.

  • Her değişiklik için risk analizi yapılır.

  • Değişiklikten etkilenecek varlıklar, süreçler ve dokümantasyon güncellenir.

  • Değişikliğin etkileri göz önünde bulundurularak eğitim ve iletişim planı hazırlanır.

Denetim Kanıtları:

  • Değişiklik talepleri ve onayları (ör. Change Request Formları)

  • Güncellenen dokümanlar (politikalar, prosedürler)

  • Değişiklik sonrası izleme ve değerlendirme kayıtları

Nisan 24, 2025
0 44 1 dakika okuma süresi

İlgili Makaleler

fotoğrafı

ISO 27001 Madde 8 – İşletme

Nisan 25, 2025
fotoğrafı

ISO 27001:2022 – Madde 4: Kuruluşun Bağlamı

Nisan 24, 2025
fotoğrafı

ISO 27001:2022 Kontrolü A.5.13 – Bilginin Etiketlenmesi

Nisan 26, 2025
fotoğrafı

Düzeltici Eylem Prosedürü

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu