Bilgi Güvenliği Yönetim Sistemi

ISO 27001 madde 6.3, Değişikliklerin planlanması

Nisan 24, 2025
0 484 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 madde 6.3, Değişikliklerin planlanması konusunu ele alır. Bu madde, Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında yapılacak her türlü değişikliğin, sistematik ve planlı bir şekilde yapılmasını gerektirir. Amaç, BGYS’nin bütünlüğünü ve etkinliğini koruyarak sürekli iyileştirmeyi sağlamak, aynı zamanda herhangi bir değişikliğin güvenlik risklerini yönetilebilir seviyelere indirgemektir.

Temeller

ISO 27001 madde 6.3, BGYS kapsamında yapılacak değişikliklerin planlı bir şekilde uygulanması gerektiğini belirtir. Değişikliklerin etkin bir şekilde yapılabilmesi için aşağıdaki unsurların dikkate alınması gerekir:

  • Risklerin değerlendirilmesi: Değişikliklerin, mevcut risklere nasıl etki edeceği göz önünde bulundurularak değerlendirilmesi gerekir.

  • Güvenlik gereksinimlerinin belirlenmesi: Yeni değişikliklerin güvenlik gereksinimlerini nasıl etkileyeceği belirlenmelidir.

  • Roller ve sorumlulukların tanımlanması: Değişiklikleri planlayan, uygulayan ve denetleyen kişilerin rollerinin net bir şekilde tanımlanması gerekir.

  • Değişikliklerin etkin bir şekilde uygulanması: Yapılacak değişikliklerin başarılı bir şekilde hayata geçirilmesi için gereken adımlar atılmalıdır.

Belgeleme

ISO 27001 madde 6.3, herhangi bir belirli belgenin yazılmasını zorunlu tutmaz. Ancak, bu değişikliklerin kontrol edilmesi ve izlenmesi için madde 6.1’de belirtilen Risk Tedavi Planı kullanılabilir. Ayrıca, bazı şirketler, değişikliklerin yönetimiyle ilgili olarak bir Değişim Yönetimi Politikası oluşturabilir. Bu, zorunlu olmasa da, şirketlerin değişikliklerin nasıl yönetileceği konusunda net bir politika belirlemelerini sağlar.

Uygulama Adımları

Madde 6.3’te belirtilen değişiklik planlaması süreci, kontrolsüz değişikliklerin yapılmasının önüne geçmek amacıyla şu adımlar izlenebilir:

  1. Değişiklik türlerinin belirlenmesi:

    • Daha büyük, önemli değişikliklerin kontrol edilmesi gerektiği tanımlanmalıdır.

    • Küçük değişiklikler için ise belirli bir kontrol gerekmez ve bunlar daha esnek bir şekilde uygulanabilir.

  2. Değişiklikleri onaylama yetkisi:

    • Daha büyük değişiklikler için onay vermekle yetkili kişiler belirlenmelidir. Bu kişiler, değişikliklerin güvenlik etkilerini değerlendirebilecek yetkinliğe sahip olmalıdır.

  3. Değişiklik uygulama sürecinin tanımlanması:

    • Onay verildikten sonra, değişikliklerin nasıl uygulandığı, kimlerin sorumlu olduğu ve yapılması gereken raporlama süreçleri netleştirilmelidir.

    • Ayrıca, yapılan değişikliğin etkinliğinin gözden geçirilmesi için gerekli adımlar atılmalıdır.

Bu Makaleyede Göz Atmalısın!  Dahili Denetim Kontrol Listesi

Denetim Kanıtları

ISO 27001 madde 6.3’ün denetimi sırasında denetçiler aşağıdaki kanıtları arayacaktır:

  1. Değişikliklerin Planlanması:

    • Tüm önemli değişikliklerin planlanıp planlanmadığına bakılacaktır. Örneğin, yeni bir teknoloji tanıtıldığında, güvenlik riskleri değerlendirilip, güvenlik gereksinimleri belirlenmeli ve sorumluluklar tanımlanmalıdır.

  2. Risk Tedavi Planı:

    • Yapılacak değişikliklerin, Risk Tedavi Planına nasıl yansıtıldığı denetlenecektir. Örneğin, büyük bir değişiklik için risklerin nasıl değerlendirildiği ve tedavi planlarının oluşturulup oluşturulmadığı sorgulanacaktır.

  3. Yönetim İncelemesi:

    • BGYS’deki büyük değişikliklerin onayının, Yönetim İncelemesi yoluyla yapılıp yapılmadığı kontrol edilir. Yönetim incelemeleri, değişikliklerin stratejik uyumunu ve güvenlik gereksinimlerini gözden geçirmek için önemlidir.

Önemli Notlar

  • Kontrolsüz Değişiklikler: ISO 27001, herhangi bir değişikliğin yalnızca bir kişiye bağlı olarak veya anlık bir şekilde yapılmasını engeller. Değişikliklerin planlı bir şekilde yapılması, güvenlik ve risk yönetiminin etkinliğini korur.

  • Değişiklik Yönetimi Politikası: Bazı kuruluşlar, değişikliklerin yönetimiyle ilgili özel bir politika oluşturabilir. Bu, BGYS kapsamında değişikliklerin etkin bir şekilde kontrol edilmesini sağlayabilir.

ISO 27001 madde 6.3, Değişikliklerin planlanması, bilgi güvenliği sistemindeki değişikliklerin planlı ve kontrollü bir şekilde yapılmasını zorunlu kılar. Bu, kuruluşların BGYS’lerini sürekli olarak iyileştirirken, güvenlik risklerini de minimize etmelerine yardımcı olur.

ISO 27001 BGYS Nedir? 

Nisan 24, 2025
0 484 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

ISO 27001 Kontrol A.5.20 Tedarikçi Sözleşmeleri Kapsamında Bilgi Güvenliğinin Ele Alınması

Nisan 26, 2025
fotoğrafı

ISO 27001 Madde 7.3 – Farkındalık

Nisan 25, 2025
fotoğrafı

Güvenli Geliştirme Politikası

Nisan 24, 2025
fotoğrafı

ISO 27001:2022 Kontrolü A.5.11 – Varlıkların İadesi

Nisan 26, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu