ISO 27001:2022 – Madde 4.2: İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması

📌 Temel Tanım

Bu madde, bilgi güvenliği yönetim sistemi (BGYS) bağlamında ilgili tarafları tanımlamayı ve bunların beklentilerini, ihtiyaçlarını ve yasal yükümlülüklerini belirlemeyi zorunlu kılar.

Kuruluş, aşağıdaki hususları açıkça ortaya koymalıdır:

• (a) Hangi taraflar bilgi güvenliği açısından “ilgili taraf” olarak kabul edilebilir?

• (b) Bu tarafların bilgi güvenliğiyle ilgili hangi ihtiyaçları ve beklentileri bulunmaktadır?

• (c) Bu beklenti ve ihtiyaçlardan hangileri uygulama zorunluluğu taşıyan yükümlülüklerdir (yasal, sözleşmesel, düzenleyici)?

📄 Belgeleme Gereklilikleri

Zorunlu Belge:

• ✅ Yasal, düzenleyici, sözleşmesel ve diğer gerekliliklerin listesi

İsteğe Bağlı Belge:

• ❌ Gereksinimlerin belirlenmesine ilişkin prosedür (İç süreç dökümantasyonu – önerilir ama zorunlu değildir)

🛠️ Uygulama Adımları

ISO 27001:2022 Madde 4.2’ye uygunluk sağlamak için şu adımları izlemelisiniz:

1. İlgili Tarafların Tanımlanması (4.2-a):

   • Müşteriler

   • Tedarikçiler

   • Regülatörler (BTK, KVKK, vb.)

   • Hissedarlar, çalışanlar

   • Denetim kuruluşları

2. Gereksinimlerin Belirlenmesi (4.2-b):

   • Yasal ve düzenleyici yükümlülükler (örneğin: KVKK, GDPR, ISO vb.)

   • Sözleşme şartları

   • Güvenlik politikası ve prosedür talepleri

3. Uyumluluk Yükümlülüklerinin Saptanması (4.2-c):

   • Hangi gereksinimlerin bilgi güvenliği sisteminiz açısından zorunlu olarak uygulanması gerektiğini tanımlayın.

4. Listeleme ve Sorumluluk Atama:

   • “Yasal, Düzenleyici ve Sözleşmesel Gereklilikler Listesi” oluşturun.

   • Her bir gereksinim için bir sorumlu kişi/rol atayın.

   • Uyum stratejisini bu kişilerle birlikte tanımlayın.

🕵️‍♂️ Denetim Kanıtı

Belgelendirme denetiminde denetçi aşağıdaki hususları sorgular:

• 📄 Yasal, düzenleyici ve sözleşmesel gerekliliklerin listesi mevcut mu?

• 📊 Bu listede ilgili taraflar, gereklilikler ve sorumlular net şekilde tanımlanmış mı?

• ✔️ Bu gereksinimler yerine getirilmiş mi? (İzleme ve uygunluk kanıtları ile birlikte)

• 👥 İlgili tarafların ihtiyaçlarının anlaşılması sürecine ilgili bölümler ne ölçüde dahil edilmiş?

✅ Sonuç olarak, Madde 4.2, bilgi güvenliği açısından risk oluşturabilecek veya yönlendirici rol oynayabilecek tüm tarafların belirlenmesini ve bu tarafların beklentilerinin etkin biçimde yönetilmesini zorunlu kılar. Bu süreç, BGYS’nin kapsamı, kontrollerin belirlenmesi ve sürdürülebilirliği için hayati öneme sahiptir.

ISO 27001 BGYS Nedir?