ISO 27001:2022 Madde 10.2 – Uygunsuzluk ve Düzeltici Eylem

Bilgi Güvenliği Yönetim Sistemi (BGYS) sürecinde her zaman her şey plana uygun gitmeyebilir. İşte bu noktada, uygunsuzlukların etkili bir şekilde yönetilmesi ve düzeltici eylemlerin alınması kritik önem taşır.
ISO 27001:2022 standardının 10.2 maddesi, kuruluşların uygunsuzlukları sistematik şekilde ele almasını, kök nedenlerini ortadan kaldırmasını ve tekrarını önleyecek önlemler geliştirmesini zorunlu kılar.

Temeller

ISO 27001:2022 Madde 10.2 “Uygunsuzluk ve Düzeltici Eylem” başlığını taşır.
Bu madde, bir uygunsuzluk tespit edildiğinde kuruluşların sadece durumu düzeltmekle kalmayıp, temel nedeni analiz ederek kökten çözüm geliştirmelerini bekler.

Amaç sadece mevcut sorunu ortadan kaldırmak değil; aynı zamanda benzer uygunsuzlukların gelecekte tekrar yaşanmasını önleyecek güçlü bir sistem kurmaktır.

Belgeleme

ISO 27001 Madde 10.2 kapsamında aşağıdaki belgeler zorunludur:

• Düzeltici Eylem Sonuçlarının Kayıtları
  (Genellikle Düzeltici Eylem Formları veya eşdeğer kayıtlar şeklinde hazırlanır.)

İsteğe bağlı olarak hazırlanabilecek belgeler:

• Uygunsuzluklara İlişkin Prosedür

• Düzeltici Eylem Prosedürü

Bu prosedürler hazırlanırsa, süreçlerin sistematik şekilde yürütülmesine büyük katkı sağlar.

Uygulama

ISO 27001:2022 Madde 10.2’yi etkin şekilde uygulamak için aşağıdaki adımlar izlenmelidir:

1. Uygunsuzlukları Belirleyin:
   BGYS içinde ortaya çıkan uygunsuzlukları tespit edecek ve belgeye dökecek bir süreç oluşturulmalıdır. Bu süreç, iç denetimler, dış denetimler, olay yönetimi veya kullanıcı bildirimleri gibi kaynaklardan beslenebilir.

2. Uygunsuzlukları Değerlendirin:
   Her bir uygunsuzluğun etkisi analiz edilmeli, kök neden belirlenmelidir. Kök neden analizi için “5 Neden” gibi yöntemler kullanılabilir.

3. Düzeltici Eylem Planlayın ve Uygulayın:
   Uygunsuzluğun temel nedenini ortadan kaldırmak için uygun eylemler planlanmalı ve uygulanmalıdır. Bu adım; süreç değişiklikleri, yeni kontrollerin devreye alınması veya personel eğitimleri gibi müdahaleleri kapsayabilir.

4. Etkinliği Değerlendirin:
   Uygulanan düzeltici eylemlerin gerçekten sorunu çözüp çözmediği mutlaka gözden geçirilmelidir. Gerekiyorsa ilave iyileştirmeler yapılmalıdır.

5. Belgelendirme:
   Tespit edilen uygunsuzluklar, alınan düzeltici eylemler ve bu eylemlerin sonuçları ayrıntılı şekilde kayıt altına alınmalıdır. Bu kayıtlar, denetimler sırasında ve sürekli iyileştirme faaliyetlerinde temel dayanak olacaktır.

6. İletişim ve Eğitim:
   İlgili tüm personel, tespit edilen uygunsuzluklar ve yapılan düzeltici eylemler hakkında bilgilendirilmelidir. Gerekirse tekrarını önlemek amacıyla özel eğitimler düzenlenmelidir.

Denetim Kanıtı

ISO 27001 belgelendirme denetimlerinde, denetçiler Madde 10.2 kapsamında şu kanıtları görmek ister:

• Uygunsuzlukların kayıt altına alındığına dair belgeler,

• Her bir uygunsuzluk için kök neden analizlerinin yapıldığını gösteren kayıtlar,

• Düzeltici eylem kararlarının ve uygulama adımlarının belgelenmiş olması,

• Alınan düzeltici eylemlerin etkinlik değerlendirmesinin yapılmış olması.

Burada önemli olan nokta:
Denetçilerin yalnızca uygunsuzluğun tespit edildiğini değil, bu uygunsuzluğun neden oluştuğunu anlayıp kalıcı çözüm adımlarının atıldığını açık bir şekilde görebilmesidir.

ISO 27001:2022 Madde 10.2, bir sorunun yüzeyini düzeltmekten fazlasını ister; kök nedeni çözmeyi ve sistemi sürekli geliştirmeyi amaçlar.
Bu yaklaşımı başarıyla uygulayan kuruluşlar, sadece bilgi güvenliği açıklarını kapatmakla kalmaz, aynı zamanda daha dirençli ve proaktif bir BGYS yapısına sahip olurlar.

ISO 27001 BGYS Nedir?