ISO 27001:2022 – Madde 4.4: Bilgi Güvenliği Yönetim Sistemi (BGYS)

📌 Temel Tanım

Madde 4.4, kuruluşun Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) kurmasını, uygulamasını, sürdürmesini ve sürekli iyileştirmesini zorunlu kılar. Bu madde, sistemin tüm temel yapı taşlarını kapsar ve ISO 27001’in tüm gerekliliklerinin bir arada işletilmesini şart koşar.

📍 Bu madde kendi başına ayrıntılı belge veya prosedür istemese de, 1 ila 6. modül arasında ele alınan diğer maddelerle birlikte hayata geçirilir.

🛠️ Uygulama Adımları

4.4 maddesini etkin bir şekilde uygulamak için şu adımları izleyin:

1. Uygulanabilirlik Beyanını (SoA) tamamlayın.

   • Bu belge, hangi kontrol önlemlerinin uygulanacağını netleştirir.

   • Kuruluşun güvenlik risklerine göre belirlenmiş kontroller içermelidir.

2. Güvenlik Süreçlerini Tanımlayın:

   • Hangi bilgi güvenliği süreçlerine ihtiyacınız olduğunu belirleyin (ör. erişim kontrolü, yedekleme, güvenlik olay yönetimi).

   • Her sürecin girdisini, faaliyetlerini ve çıktısını tanımlayın.

3. Süreçler Arasındaki Etkileşimi Gözlemleyin:

   • Bir sürecin çıktısı başka bir sürecin girdisi olabilir.

   • Süreçler arasındaki bu bağı kurumsal düzeyde netleştirmek, sistemin sürdürülebilirliği için önemlidir.

4. (İsteğe Bağlı) Süreçleri Belgelendirin:

   • Zorunlu olmasa da süreç haritası veya prosedür dökümanları oluşturmak sistem takibini kolaylaştırır:

     • 🗺️ Süreç Haritası: Tüm süreçlerin birbirine nasıl bağlandığını görselleştirir.

     • 📋 Süreç Prosedürleri: Belirli süreçlerde ne yapıldığını, kimlerin sorumlu olduğunu, hangi girdilerle çalışıldığını açıklar.

📄 Belgeleme Gerekliliği

Madde 4.4 özelinde zorunlu bir belge yoktur, ancak aşağıdaki dökümanların oluşturulması faydalıdır:

• Süreç akışlarını gösteren süreç haritaları

• Tanımlı süreç prosedürleri

• Uygulanabilirlik Beyanı (SoA) (Madde 6.1.3’te zorunludur ama burada kullanılır)

🕵️‍♂️ Denetim Kanıtı

Bir belgelendirme denetimi sırasında denetçi şunlara odaklanır:

• ✅ BGYS’nin kurulduğu ve etkin şekilde işletildiği görülebiliyor mu?

• ✅ Kuruluş iç ve dış bağlamını dikkate almış mı?

• ✅ Gerekli yasal, sözleşmesel ve düzenleyici gereksinimlerin farkında mı ve uyguluyor mu?

• ✅ Tüm kapsamda sistemin işlerliği var mı? (Madde 4.3’ten referansla)

• ✅ Güvenlik gerekliliklerini karşıladığınıza dair kanıt sunulabiliyor mu?

💬 Eğer süreçlerin çalıştığına ve yönetildiğine dair kayıtlar (loglar, raporlar, uygulama çıktıları vb.) yoksa bu, denetim sırasında uygunsuzluk olarak değerlendirilebilir.

✅ Özet

Madde 4.4, ISO 27001’in “omurgası” niteliğindedir. Diğer tüm maddelerin entegrasyonunu ve sistemsel çalışmasını ifade eder. Bu maddeyle amaç, BGYS’nin sadece “yazılı” değil, aynı zamanda “uygulanabilir ve sürdürülebilir” olmasıdır.

ISO 27001 BGYS Nedir?