ISO 27001 Belgeler, Politikalar, Prosedürler ve Daha Fazlası

Dijitalleşme, kurumlara sınırsız fırsatlar sunarken aynı zamanda bilgi güvenliği açısından büyük riskler de barındırıyor. Müşteri verilerinden ticari sırlarınıza, çalışan bilgilerinden altyapı sistemlerine kadar her bilgi varlığı, hem içeriden hem dışarıdan gelebilecek tehditlere karşı savunmasız kalabiliyor.

İşte tam da bu nedenle ISO/IEC 27001, bilgi güvenliğini sadece teknik bir uygulama değil, kurumsal bir yönetim sistemi haline getirerek riski kontrol altına almayı amaçlıyor. Bu yazı dizisinde ISO 27001 standardının yapı taşlarını oluşturan beş temel başlık üzerinden, sizi sertifikasyon sürecine adım adım hazırlayacağız:

1. 📘 YÖNETİM SİSTEMİ (BGYS)

ISO 27001’in bel kemiğini Bilgi Güvenliği Yönetim Sistemi (BGYS) oluşturur. Bu sistem; bilgi güvenliği süreçlerinin planlandığı, uygulandığı, izlendiği ve sürekli iyileştirildiği bütünsel bir yapıdır.

Bu bölümde şu konular ele alınacaktır:

• Belge ve Kayıt Kontrol Prosedürü
• Gereksinimlerin Belirlenmesine İlişkin Prosedür
• Yasal, Düzenleyici, Sözleşmesel ve Diğer Gereklilikler Listesi
• BGYS Kapsam Belgesi
• Bilgi Güvenliği Politikası
• Eğitim ve Farkındalık Planı
• Ölçüm Raporu
• Yönetim İnceleme Tutanakları
• Düzeltici Eylem Prosedürü
• Düzeltme Eylem Formu

2. ⚠️ RİSK YÖNETİMİ

ISO 27001’in merkezinde risk temelli düşünce yer alır. Kurumun bilgi varlıkları üzerindeki tehditler sistematik olarak belirlenmeli, analiz edilmeli ve kontrol altına alınmalıdır.

Bu bölümde şu içerikler sunulacaktır:

• Risk Değerlendirmesi ve Risk Tedavi Metodolojisi
• Risk Değerlendirme Tablosu
• Risk Tedavi Tablosu
• Risk Değerlendirmesi ve Tedavi Raporu
• Uygulanabilirlik Beyanı
• Risk Tedavi Planı

3. 🔐 BİLGİ GÜVENLİĞİ KONTROLLERİ

Bilgi güvenliğini sağlamak için ISO 27001 Annex A altında belirtilen 93 kontrol maddesi (2022 güncellemesiyle) kurumlara rehberlik eder. Ancak bu kontrollerin hepsi uygulanmak zorunda değildir; uygulanabilirlik beyanı (SoA) ile belirlenir.

Bu başlık altında şu belgeler ele alınacaktır:

• BT Güvenlik Politikası
• Temiz Masa ve Temiz Ekran Politikası
• Mobil Cihaz, Uzaktan Çalışma ve Evden Çalışma Politikası
• Kendi Cihazınızı Getirin (BYOD) Politikası
• Güvenli Alanlarda Çalışma Prosedürleri
• Bilgi Sınıflandırma Politikası
• Varlık Envanteri
• BT Departmanı için Güvenlik Prosedürleri
• Değişim Yönetimi Politikası
• Yedekleme Politikası
• Bilgi Aktarım Politikası
• Bertaraf ve İmha Politikası
• Şifreleme Kullanımına İlişkin Politikası
• Erişim Kontrol Politikası
• Şifre Politikası
• Güvenli Geliştirme Politikası
• Bilgi Sistemi Gereksinimlerinin Belirtilmesi
• Tedarikçi Güvenlik Politikası
• Tedarikçiler ve Ortaklar için Güvenlik Maddeleri
• Olay Yönetim Prosedürü
• Olay Günlüğü
• Gizlilik Beyanı
• BGYS Belgelerinin Kabul Beyanı

4. 🔄 İŞ SÜREKLİLİĞİ

Bilgi güvenliği sadece verinin gizliliğini değil; erişilebilirliğini ve bütünlüğünü de kapsar. Felaket senaryoları, sistem kesintileri veya veri ihlallerine karşı organizasyonun dirençli olması, iş sürekliliği planlaması ile mümkündür.

Bu bölümde şunlara odaklanacağız:

• Felaket kurtarma planı (DRP)

5. 🔍 İÇ DENETİM

ISO 27001 sürekli bir uyum ve gelişim sürecidir. Bunun teminatı ise düzenli olarak yapılan iç denetimlerdir. Denetimler, sistemin zayıf noktalarını ortaya çıkarır ve düzeltici önlemlerle BGYS’nin olgunlaşmasını sağlar.

Bu bölümde ele alınacak içerikler:

• İç Denetim Prosedürü
• Yıllık İç Denetim Programı
• İç Denetim Raporu
• Dahili Denetim Kontrol Listesi

ISO 27001 yalnızca bir sertifika değil; kurumunuzun bilgi güvenliği kültürünü tüm yapıya entegre etmenin bir yoludur. Bu süreç, sadece BT departmanının değil, tüm organizasyonun dahil olduğu, sürekli gelişimi hedefleyen bir yönetim anlayışıdır.

Unutmayın, bilgi güvenliği bir varış noktası değil, devam eden bir yolculuktur.

Bu yazı dizisinin ilerleyen bölümlerinde her başlığı ayrıntılı şekilde ele alarak, sizi ISO 27001 sertifikasyonuna adım adım hazırlayacağız. Her belgeyi, her süreci ve her kontrolü açıklayıp, uygulamaya nasıl geçirileceğini göstereceğiz.