Bilgi Güvenliği Yönetim Sistemi

ISO 27001:2022 – Madde 9 Performans Değerlendirmesi

Nisan 26, 2025
0
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 standardının 9. maddesi, Bilgi Güvenliği Yönetim Sistemi (BGYS) performansının etkin bir şekilde değerlendirilebilmesi için izleme, ölçme, analiz, değerlendirme, iç denetim ve yönetim incelemesi gerekliliklerini tanımlar.

Bu madde, bir kuruluşun BGYS’sinin belirlenen amaçlara ulaşıp ulaşmadığını ve etkin çalışıp çalışmadığını sistematik şekilde kontrol etmesini sağlar.

📌 Madde 9.1 – İzleme, Ölçme, Analiz ve Değerlendirme

Gereklilikler:

  • Performans ölçütlerinin belirlenmesi: Bilgi güvenliğini koruyan süreçler, prosedürler ve işlevler için.

  • ISMS performans kriterlerinin tanımlanması.

  • Toplanan verilerin:

    • İzlenmesi

    • Ölçülmesi

    • Analiz edilmesi

    • Değerlendirilmesi gerekir.

Amaç:

  • Süreçlerin etkinliğini ve verimliliğini sürekli iyileştirmek.

  • Risklerin ve fırsatların zamanında tespiti ve yönetimi.

Örnek: Kullanıcı erişim kontrolleri, güvenlik olaylarının sıklığı, yedekleme süreleri gibi metriklerin düzenli takibi.

📌 Madde 9.2 – İç Denetim

Gereklilikler:

  • Planlı aralıklarla iç denetimler gerçekleştirilmeli.

  • Denetimlerin amacı:

    • BGYS’nin etkin uygulanıp uygulanmadığını,

    • BGYS’nin sürdürülebilirliğini,

    • ISO 27001 standardına ve şirket içi prosedürlere uygunluğu değerlendirmektir.

İç Denetim Süreci:

  1. Denetim programı hazırlanır.

  2. Yetkin denetçiler atanır.

  3. Denetim gerçekleştirilir.

  4. Bulgular raporlanır.

  5. Uygunsuzluklar için düzeltici faaliyetler başlatılır.

Not: İç denetim, bağımsız ve tarafsız bir şekilde yürütülmelidir.

📌 Madde 9.3 – Yönetim İncelemesi

Gereklilikler:

  • Yönetim, BGYS’yi düzenli aralıklarla gözden geçirmelidir.

  • İnceleme konuları şunları kapsar:

    • Politika ve hedeflerin uygunluğu

    • İç denetim sonuçları

    • Bilgi güvenliği riskleri

    • Süreç performansları ve iyileştirme fırsatları

    • Önceki yönetim incelemelerinden kalan açık hususlar

Yönetim İncelemesi Çıktıları:

  • İyileştirme kararları

  • Kaynak ihtiyaçları

  • Politika ve hedeflerin güncellenmesi

Örnek: Yılda en az bir kez Yönetim İncelemesi toplantısı yapılması tavsiye edilir.

🎯 Neden Önemlidir?

  • BGYS’nin sürekli gelişimini sağlar.

  • Bilgi güvenliği olaylarının önceden tespitine yardımcı olur.

  • Yasal ve düzenleyici gerekliliklere uyumu destekler.

  • Kuruluşun iş sürekliliği ve itibarının korunmasına katkıda bulunur.

🌿Bu makaleyi okumaktan da keyif alabilirsiniz.  ISO 27001 Belgeler, Politikalar, Prosedürler ve Daha Fazlası

📈 Özet Akış

flowchart TD
A[Performans Kriterlerinin Belirlenmesi] --> B[İzleme, Ölçme ve Analiz]
B --> C[İç Denetimlerin Yapılması]
C --> D[Yönetim İncelemesi]
D --> E[Sürekli İyileştirme]

📋 Türkiye İçin Öneriler

  • BGYS performans ölçütleri, KVKK ve diğer yerel düzenlemelerle de uyumlu olmalıdır.

  • Yönetim incelemelerine, Bilgi Güvenliği Sorumlusu (CISO) ve Üst Yönetim aktif katılmalıdır.

  • İç denetimlerde bağımsızlık ilkesine özellikle dikkat edilmelidir.

  • Yönetim İncelemesi sonuçları, Stratejik Planlama ve Risk Yönetimi süreçlerine entegre edilmelidir.

ISO 27001 BGYS Nedir? 

Nisan 26, 2025
0

İlgili Makaleler

fotoğrafı

ISO 27001:2022 – Madde 4.2: İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması

Nisan 24, 2025
fotoğrafı

Belge ve Kayıt Kontrol Prosedürü

Nisan 24, 2025
fotoğrafı

Bertaraf ve İmha Politikası

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 7.2 – Yeterlilik

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu