Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Madde 5.3 Kurumsal Roller, Sorumluluklar ve Yetkiler

Nisan 24, 2025
0 87.687 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Temeller
ISO 27001 alt maddesi 5.3, “Kurumsal roller, sorumluluklar ve yetkiler” olarak adlandırılır ve üst yönetimin, güvenlik sorumluluklarının etkin bir şekilde devredilmesini ve iletilmesini sağlamasını gerektirir. BGYS‘nin standarda tam olarak uyumlu olmasını ve BGYS performansının üst yönetime doğru bir şekilde raporlanabilmesini sağlamak için sorumlulukların belirlenmesi önemlidir. Bu madde, kurum içindeki her bireyin bilgi güvenliği için belirli bir sorumluluk taşımasını ve tüm süreçlerin uyumlu bir şekilde işlemesini amaçlar.

Belgeleme
ISO 27001 madde 5.3, kurumsal rollerin, sorumlulukların ve yetkilerin yazılı hale getirilmesini zorunlu tutmaz. Ancak, bu roller genellikle çeşitli politikalarda, prosedürlerde ve diğer organizasyonel belgelerde belirtilir. Şirketler, aşağıdaki belgeleri hazırlayıp hazırlamama konusunda karar verebilirler:

  • İş Tanımları

  • Organizasyon Şeması

Bu belgeler, kurumun bilgi güvenliği ile ilgili rollerin, sorumlulukların ve yetkilerin açıkça tanımlanmasını sağlar. İlgili rollerin ve sorumlulukların tanımlanması, BGYS‘nin etkin bir şekilde yönetilmesi için kritik öneme sahiptir.

Uygulama
Madde 5.3’e uyum sağlamak için aşağıdaki rolleri ve sorumlulukları tanımlamanız gerekmektedir:

  1. BGYS’nin ISO 27001 ile Uyumlu Olarak Koordinasyonu:
    Bu rol genellikle bir güvenlik yöneticisi (örneğin CISO) tarafından üstlenilir. Güvenlik yöneticisi, BGYS‘nin ISO 27001 standardına uygun bir şekilde uygulanmasını ve sürekli olarak iyileştirilmesini sağlar.

  2. BGYS Performansının İzlenmesi ve Üst Yönetime Raporlanması:
    Bu görev de genellikle güvenlik yöneticisi tarafından yerine getirilir. Güvenlik yöneticisi, BGYS‘nin etkinliğini izler ve üst yönetime düzenli raporlamalar yapar.

  3. İç Denetimin Gerçekleştirilmesi:
    İç denetçi, BGYS‘nin etkinliğini ve uyumunu denetler. İç denetim, organizasyonun güvenlik hedeflerine ulaşıp ulaşmadığını değerlendirir.

  4. Üst Düzey Güvenlik Politikası ve Hedeflerinin Yayınlanması ve Yönetim İncelemesi:
    Üst yönetim, organizasyonun güvenlik politikasını belirler ve güvenlik hedeflerini oluşturur. Bu hedefler, BGYS‘nin temelini oluşturur ve düzenli aralıklarla gözden geçirilir.

  5. Risklerin Değerlendirilmesi ve Risklere Yönelik Muamelenin Tanımlanması:
    Güvenlik yöneticisi ve diğer orta düzey yöneticiler (örneğin, departman başkanları) tarafından gerçekleştirilen bu süreç, organizasyonun karşılaştığı güvenlik risklerinin değerlendirilmesi ve bu risklere yönelik uygun tedbirlerin tanımlanmasını içerir.

  6. Düzenli Güvenlik Faaliyetlerinin Gerçekleştirilmesi:
    Güvenlik faaliyetleri, tüm çalışanlar tarafından yerine getirilir. Bu faaliyetler, yedekleme işlemleri, güvenlik güncellemeleri ve diğer düzenli güvenlik önlemleri gibi işlemleri içerir.

Bu Makaleyede Göz Atmalısın!  ISO 27001 BGYS Nedir? Kurumlar İçin Bilgi Güvenliğinde Altın Standart!

Denetim Kanıtı
Denetim sırasında, denetçiler aşağıdaki kanıtları talep edebilir:

  1. Güvenlik Rolleri ve Sorumluluklarının Belirtilmesi:
    Şirketteki güvenlik rolleri ve sorumluluklarının ne şekilde tanımlandığına dair kanıtlar talep edilir.

  2. Rollerin Yerine Getirilmesi:
    Denetçi, şirketteki herkesin belirtilen güvenlik rollerini ve sorumluluklarını yerine getirip getirmediğini kontrol eder.

Sertifika denetçisi ayrıca şu soruları soracaktır:

  1. BGYS’nin Uyumlu Hale Getirilmesi İçin Koordinasyon Sağlanması:
    BGYS‘nin ISO 27001’e uyumlu olarak koordinasyonu sağlanmış mı?

  2. BGYS Performansının İzlenmesi ve Üst Yönetime Raporlanması:
    BGYS‘nin performansı düzenli olarak izlenip üst yönetime raporlanıyor mu?

  3. İç Denetim Süreci:
    İç denetimler düzenli olarak gerçekleştirilmiş mi?

Üst Yönetimle İlgili Sorular:

  1. Üst Yönetim Bilgi Güvenliği Politikası ve Hedeflerini Belirlemiş Mi?
    Üst yönetim, BGYS için gerekli güvenlik politikalarını ve hedefleri oluşturmuş mu?

  2. Üst Yönetim Kaynakları Sağlıyor Mu?
    Üst yönetim, BGYS‘nin etkinliği için gerekli kaynakları, insan kaynağını, zaman dilimlerini ve finansal kaynakları sağlamış mı?

  3. Üst Yönetim, Bilgi Güvenliği Önceliğini İletmiş Mi?
    Üst yönetim, bilgi güvenliğinin önemini tüm organizasyona iletmiş ve bu konuda bir liderlik örneği sunmuş mu?

  4. Üst Yönetim, BGYS’yi Günlük Faaliyetlerde Uyguluyor Mu?
    Üst yönetim, BGYS‘yi günlük faaliyetlerinde aktif olarak uygulayarak diğer çalışanlara örnek oluyor mu?

  5. Üst Yönetim, BGYS’nin Sürekli İyileştirilmesini Teşvik Ediyor Mu?
    Üst yönetim, BGYS‘nin sürekli iyileştirilmesi için gerekli adımları atıyor mu ve bu süreçleri destekliyor mu?

Denetim sırasında bu kanıtlar, organizasyonun BGYS‘nin etkinliğini ve yönetim süreçlerine uyumunu sağlama konusunda ne kadar başarılı olduğunu ortaya koyacaktır.

ISO 27001 BGYS Nedir? 

Nisan 24, 2025
0 87.687 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

BGYS Kapsam Belgesi

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 8.1 – Operasyonel Planlama ve Kontrol

Nisan 25, 2025
fotoğrafı

Yedekleme Politikası

Nisan 24, 2025
fotoğrafı

ISO 27001:2022 – Madde 4.1: Kuruluşu ve Bağlamını Anlamak

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu