ISO 27001 Madde 8.3 – Bilgi Güvenliği Risk Tedavisi (Risk Yönetimi)
🎯 Amaç ve Kapsam
Bu madde, risk değerlendirmesi sonrasında tanımlanan kabul edilemez risklerin tedavi edilmesini zorunlu kılar. Risk tedavisi, yalnızca riskin kabul edilmez olduğunun belirlenmesiyle kalmaz; ayrıca hangi kontrollerin uygulanacağı, kimin sorumlu olacağı ve ne zaman uygulanacağının da belirlenmesini içerir.
🧱 Temel Gereksinimler
-
Risk Tedavi Planı oluşturulmalı ve uygulanmalı
-
Bu plan, ISO 27001 Ek A’daki kontrollerden uygun olanları içermeli
-
Planlı aralıklarla veya önemli değişikliklerde güncellenmeli
-
Uygulanan kontrollerin etkinliği düzenli olarak izlenmeli ve değerlendirilmelidir
📄 Belgeleme Gereksinimi
| Belge | Açıklama |
|---|---|
| 📑 Risk Değerlendirmesi ve Tedavi Raporu | Hem 8.2 hem de 8.3 için ortak bir zorunlu dokümandır. Risklerin nasıl tedavi edildiğini açıkça gösterir. Planlanan ve uygulanan kontrolleri içerir. |
🛠️ Uygulama Adımları
-
Risk Değerlendirme Raporunu İnceleyin
→ Kabul edilemez riskleri belirleyin. -
Risk Tedavi Seçeneklerini Değerlendirin
Her risk için aşağıdaki seçeneklerden biri seçilebilir:-
Riski azaltmak (kontrol uygula)
-
Riski ortadan kaldırmak (işlemi durdur)
-
Riski paylaşmak (sigorta, dış hizmet alımı vb.)
-
Riski kabul etmek (yönetim onayı ile)
-
-
Kontrolleri Belirleyin ve Atayın
→ Örneğin, ISO 27001 Ek A’dan: Erişim Kontrolü, Kriptografi, Olay Yönetimi vb. -
Risk Tedavi Planını Hazırlayın
→ Uygulanacak kontrol, sorumlu kişi, hedef tarih, kontrolün amacı açıkça yazılmalı. -
Planı Uygulayın ve İzleyin
→ Kontrollerin hayata geçirildiğine dair kanıt toplayın (sistem log’ları, politika güncellemeleri, eğitim kayıtları). -
Etkinliği Değerlendirin
→ Kontrol risk seviyesini düşürmüş mü? Risk kabul edilebilir seviyeye inmiş mi?
🔍 Denetim Kanıtı Olarak Gerekli Olabilecekler
| Kanıt Türü | Açıklama |
|---|---|
| 📁 Risk Tedavi Planı | Hangi risk için hangi kontrolün uygulanacağı, kim tarafından ve ne zaman yapılacağı |
| ✅ Uygulama Kanıtları | Kontrollerin hayata geçirildiğini gösteren kayıtlar (sistem ayarları, politika versiyonları, e-posta kayıtları vb.) |
| 📄 Yönetim Onayı | Risk tedavi kararlarının ve risk kabul durumlarının üst yönetimce onaylandığını gösteren dokümanlar |
| 📉 Risk Seviyesi Takibi | Tedavi öncesi ve sonrası risk seviyesi karşılaştırmaları |
📌 Pratik Örnek – Risk Tedavi Planı Tablosu
| Risk Tanımı | Tedavi Seçeneği | Uygulanacak Kontrol | Sorumlu | Tarih | Durum |
|---|---|---|---|---|---|
| Zayıf parola kullanımı | Riski azalt | MFA + Güçlü parola politikası | BT Müdürü | 30.06.2025 | ✅ Uygulandı |
| USB ile veri sızdırma | Riski azalt | USB port devre dışı bırakma + DLP yazılımı | Güvenlik Ekibi | 15.07.2025 | ⏳ Devam ediyor |
| E-posta ile oltalama | Riski azalt | Bilinçlendirme eğitimi | İK + Bilgi Güvenliği | 01.08.2025 | 📅 Planlandı |
