Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Madde 6.1 – Riskleri ve Fırsatları Ele Almaya Yönelik Eylemler

Nisan 24, 2025
0 984 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 madde 6.1, kuruluşların bilgi güvenliği hedeflerine ulaşmasını ve istenmeyen sonuçları önlemesini sağlamak amacıyla, riskleri ve fırsatları ele almayı gerektirir. Bu, kuruluşun bağlamı ve ilgili tarafların ihtiyaç ve beklentileriyle uyumlu olarak risk yönetimi süreçlerini tanımlar.

Alt Maddeler:

6.1.1 – Genel

Bu alt madde, risklerin ve fırsatların belirlenmesi için genel gereklilikleri sağlar. Kuruluşlar, BGYS’nin hedeflerine ulaşmasını sağlamak için, her türlü riskin ve fırsatın sistematik olarak belirlenmesi ve ele alınması gerektiğini ifade eder.

6.1.2 – Bilgi Güvenliği Risk Değerlendirmesi

Bu alt madde, kuruluşların bilgi güvenliği risklerini analiz edebilmek için bir risk değerlendirme süreci tanımlamaları gerektiğini belirtir. Bu süreç, risklerin kabul edilme kriterlerini ve risk değerlendirmelerinin tutarlı olmasını sağlamak için metodolojik bir yaklaşım içerir.

Uygulama:

  • Riskler tanımlanır ve değerlendirilir.

  • Her riskin etki, olasılık ve risk seviyesi hesaplanır.

  • Kabul edilebilir olmayan riskler belirlenir.

  • Risk değerlendirme süreci her zaman tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretir.

6.1.3 – Bilgi Güvenliği Risk Tedavisi

Bu alt madde, riskleri tedavi etmek için uygun risk tedavi süreçleri oluşturulmasını gerektirir. Risk tedavisi, riskleri kabul edilebilir seviyeye getirmek için alınacak önlemleri içerir.

Uygulama:

  • Kabul edilemez riskler için risk tedavi seçenekleri belirlenir.

  • Risk tedavi planları oluşturulur.

  • Seçilen tedavi yöntemleri, Ek A‘da belirtilen güvenlik kontrollerini içermeli, ancak kuruluşun özel ihtiyaçlarına göre başka kontroller de eklenebilir.

Belgeleme Gereklilikleri

ISO 27001 madde 6.1 ile uyumlu olmak için aşağıdaki belgelerin oluşturulması gerekmektedir:

  • Risk Değerlendirmesi ve Tedavi Metodolojisi: Risklerin nasıl değerlendirileceği ve tedavi edileceği açıkça tanımlanmalıdır.

  • Risklerin Listesi: Kuruluşun karşı karşıya olduğu tüm riskler yazılı olarak belirtilmelidir.

  • Kabul Edilemez Riskler için Tedavi Seçenekleri: Her bir kabul edilemez risk için alınacak önlemler ve güvenlik kontrolleri tanımlanmalıdır.

  • Uygulanabilirlik Beyanı (SoA): Uygulanan güvenlik kontrolleri ve risk tedavi seçenekleri listelenmelidir.

  • Risk Tedavi Planı: Risklerin tedavi edilmesi için bir plan hazırlanmalı ve hangi kontrollerin ne zaman ve kim tarafından uygulanacağı belirtilmelidir.

  • Risk Sahiplerinden Onay: Risk tedavi planları ve kalan riskler, risk sahipleri tarafından onaylanmalıdır.

Bu Makaleyede Göz Atmalısın!  ISO 27001 Madde 6.2 - Bilgi Güvenliği Hedefleri ve Bunlara Ulaşmak İçin Planlama

Uygulama Adımları

ISO 27001 madde 6.1’e uyum sağlamak için şu adımları takip etmek en iyi uygulama olacaktır:

  1. Risk Değerlendirme Metodolojisi Oluşturun: Risk değerlendirmesinin nasıl yapılacağı belirlenmeli.

  2. Risk Değerlendirmesini Yapın: Mevcut riskler tespit edilmeli ve her birinin ciddiyeti değerlendirilmelidir.

  3. Risk Tedavisini Gerçekleştirin: Kabul edilemez riskler için hangi tedavi seçeneklerinin uygulanacağı belirlenmelidir.

  4. Uygulanabilirlik Beyanını (SoA) Hazırlayın: Hangi kontrollerin uygulanacağı ve hangi risklerin kabul edilebileceği açıkça belirtilmelidir.

  5. Risk Tedavi Planı Oluşturun: Tedavi edilecek her risk için detaylı bir plan hazırlanmalı, uygulama zamanı ve sorumlular belirlenmelidir.

Denetim Kanıtları

Denetim sırasında ISO 27001 madde 6.1 ile uyumlu olunduğunu kanıtlayacak belgeler ve uygulamalar şunlardır:

  • Risk Değerlendirme Metodolojisi: Risklerin nasıl değerlendirileceğini gösteren yazılı prosedürler.

  • Risk Değerlendirme ve Tedavi Raporları: Risklerin listesi ve her birinin etkisi, olasılığı ve kabul edilebilirliği ile ilgili bilgiler.

  • Kabul Edilemez Risklerin Ele Alınması: Kabul edilemez riskler için seçilen tedavi seçeneklerinin belgelenmesi.

  • Uygulanabilirlik Beyanı (SoA): Risk tedavi kontrollerinin uygulanabilir olduğunun belirtildiği belge.

  • Risk Tedavi Planı: Kontrollerin kim tarafından ve ne zaman uygulanacağına dair plan.

  • Risk Sahiplerinden Onay: Risk tedavi planı ve kalan riskler, ilgili risk sahipleri tarafından onaylanmış olmalıdır.

ISO 27001 madde 6.1’in uygulamaya konması, organizasyonun risk yönetimi konusunda sistematik ve proaktif bir yaklaşım benimsemesini sağlar. Bu sayede, kuruluşların bilgi güvenliği hedeflerine ulaşmaları ve karşılaştıkları olumsuz sonuçları önlemeleri mümkün olur.

ISO 27001 BGYS Nedir? 

Nisan 24, 2025
0 984 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

Yönetim İnceleme Tutanakları

Nisan 24, 2025
fotoğrafı

Tedarikçi Güvenlik Politikası

Nisan 24, 2025
fotoğrafı

Risk Tedavi Tablosu

Nisan 24, 2025
fotoğrafı

BT Departmanı için Güvenlik Prosedürleri

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu