RİSK DEĞERLENDİRME VE RİSK TEDAVİ METHODOLOJİSİ

Doküman Kodu: [doküman kodu]
Versiyon: [doküman versiyon numarası]
Versiyon Tarihi: [versiyon tarihi]
Yazar: [yazar adı]
Onaylayan: [onaylayan adı]
Gizlilik Seviyesi: [gizlilik etiketi]

Değişiklik Geçmişi

İçindekiler

1. Amaç, Kapsam ve Kullanıcılar …………………………………………………………………………………………….. 3

2. Referans Belgeler …………………………………………………………………………………………………………… 3

3. Risk Değerlendirme ve Risk Tedavi Metodolojisi ………………………………………………………………. 3
   3.1. Risk Değerlendirme ……………………………………………………………………………………………………. 3
   3.1.1. Süreç …………………………………………………………………………………………………………………….. 3
   3.1.2. Varlıklar, Zayıflıklar ve Tehditler …………………………………………………………………………………… 3
   3.1.3. Risk Sahiplerinin Belirlenmesi …………………………………………………………………………………….. 4
   3.1.4. Sonuçlar ve Olasılıklar ………………………………………………………………………………………………. 4
   3.2. Risk Kabul Kriterleri …………………………………………………………………………………………………… 4
   3.3. Risk Tedavi …………………………………………………………………………………………………………………. 5
   3.4. Risk Değerlendirme ve Risk Tedavi Süreçlerinin Düzenli İncelenmesi ………………………………. 5
   3.5. Uygulanabilirlik Beyanı ve Risk Tedavi Planı …………………………………………………………………… 5
   3.6. Raporlama ………………………………………………………………………………………………………………….. 6

4. Bu Belgeye Dayalı Olarak Saklanan Kayıtların Yönetimi ………………………………………………….. 6

5. Geçerlilik ve Belge Yönetimi …………………………………………………………………………………………. 7

6. Ekler ……………………………………………………………………………………………………………………………. 7

1. AMAÇ, KAPSAM VE KULLANICILAR

Bu belge, şirketin bilgi güvenliği yönetim sistemi (BGYS) çerçevesinde kullanılan risk değerlendirme ve risk tedavi metodolojisini tanımlar. Metodoloji, risklerin tanımlanması, değerlendirilmesi, tedavi edilmesi ve sürekli izlenmesi için adımları içermektedir.

Kapsam: Bu metodoloji, şirketin tüm varlıklarını, süreçlerini ve operasyonlarını kapsayarak, bilgi güvenliği risklerinin sistematik bir şekilde yönetilmesini sağlar.

Kullanıcılar: Bu belgede belirtilen metodoloji, güvenlik yönetim ekibi, süreç sahipleri ve risk yönetimi sorumluları tarafından kullanılacaktır.

2. REFERANS BELGELER

• ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standartları

• ISO 27005:2011 Bilgi Güvenliği Risk Yönetimi

• Şirket içi güvenlik politikaları

• Yasal ve düzenleyici gereklilikler

3. RİSK DEĞERLENDİRME VE RİSK TEDAVİ METODOLOJİSİ

3.1. RİSK DEĞERLENDİRME

Risk değerlendirme süreci, risklerin tanımlanması, değerlendirilmesi ve önceliklendirilmesi adımlarını içerir.

3.1.1. Süreç

Risk değerlendirme süreci, aşağıdaki adımlardan oluşmaktadır:

1. Varlıkların belirlenmesi ve değerinin değerlendirilmesi

2. Potansiyel tehditlerin tanımlanması

3. Zayıflıkların tespiti

4. Olası sonuçların belirlenmesi

5. Risklerin değerlendirilmesi ve önceliklendirilmesi

3.1.2. Varlıklar, Zayıflıklar ve Tehditler

• Varlıklar: Şirketin sahip olduğu tüm değerli varlıklar (donanımlar, yazılımlar, bilgiler vb.)

• Zayıflıklar: Varlıklarda mevcut olan güvenlik açıkları ve zayıf noktalar

• Tehditler: Varlıklara zarar verebilecek dış ve iç faktörler (siber saldırılar, doğal afetler vb.)

3.1.3. Risk Sahiplerinin Belirlenmesi

Her riskin, uygun bir sorumluya atanması gerekmektedir. Risk sahipleri, belirlenen riskin azaltılmasından ve izlenmesinden sorumlu olacaklardır.

3.1.4. Sonuçlar ve Olasılıklar

Risklerin değerlendirilmesinde, her bir riskin gerçekleşme olasılığı ve sonuçlarının büyüklüğü belirlenir. Bu analiz, risklerin önceliklendirilmesinde kullanılacaktır.

3.2. RİSK KABUL KRİTERLERİ

Risk kabul kriterleri, hangi risklerin kabul edilebilir olduğunu ve hangi risklerin azaltılması gerektiğini belirler. Bu kriterler şirketin güvenlik seviyesini ve kaynaklarının etkin kullanımını sağlar.

3.3. RİSK TEDAVİ

Risk tedavi süreci, risklerin azaltılmasına yönelik stratejilerin uygulanması aşamasıdır. Risk tedavisi şunları içerebilir:

• Riskten kaçınma: Tehditleri ortadan kaldırmak veya zayıflıkları düzeltmek

• Riskin azaltılması: Riskin etkisini veya olasılığını azaltmak

• Riskin paylaşılması: Riskin başka bir tarafa aktarılması (sigorta, dış kaynak kullanımı vb.)

• Riskin kabul edilmesi: Riskin yönetilebilir seviyeye indirilmiş kabul edilmesi

3.4. RİSK DEĞERLENDİRME VE RİSK TEDAVİ SÜREÇLERİNİN DÜZENLİ İNCELENMESİ

Risk değerlendirme ve tedavi süreçleri, belirli aralıklarla gözden geçirilmeli ve güncellenmelidir. Bu süreçlerin etkinliği izlenmeli ve gereken iyileştirmeler yapılmalıdır.

3.5. UYGULANABİLİRLİK BEYANI VE RİSK TEDAVİ PLANLARI

Her risk için uygulanabilirlik beyanı ve tedavi planları oluşturulmalıdır. Bu planlar, riskin nasıl yönetileceği ve hangi adımların atılacağına dair yol haritası sunar.

3.6. RAPORLAMA

Risk değerlendirme sonuçları ve tedavi süreçleri düzenli olarak üst yönetime raporlanmalıdır. Bu raporlar, karar vericilerin risk yönetimi stratejilerini oluşturmasına yardımcı olacaktır.

4. BU BELGEYE DAYALI OLAN KAYITLARIN YÖNETİMİ

Risk değerlendirme ve tedavi süreçleri ile ilgili kayıtlara, şirketin kayıt yönetim politikalarına uygun olarak erişim sağlanmalı ve korunmalıdır.

5. GEÇERLİLİK VE BELGE YÖNETİMİ

Bu doküman, şirketin bilgi güvenliği yönetim sistemi için geçerlidir ve düzenli olarak gözden geçirilmesi gerekmektedir. Revizyonlar ve güncellemeler gerektiğinde yapılacaktır.

6. EKLER

• Risk Değerlendirme Formu

• Risk Tedavi Planı

• Kök Neden Analizi Örneği

Bu belge, organizasyonun risk yönetimi sürecinde kullanılan metodolojiyi sistematik bir şekilde açıklamakta olup, risklerin etkili bir şekilde değerlendirilmesi ve tedavi edilmesine yardımcı olacaktır. Bu sayede, şirketin bilgi güvenliği seviyesi artırılacak ve potansiyel tehditlere karşı daha hazırlıklı olunacaktır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi