ISO 27001 Madde 8.1 – Operasyonel Planlama ve Kontrol
ISO 27001 Madde 8.1 “Operasyonel Planlama ve Kontrol” için hem temelleri hem de uygulama adımlarını net şekilde özetlemişsin. Bunu bir dokümantasyon örneği, denetime hazırlık rehberi ve uygulama kılavuzu haline getirmek istersen, aşağıda bölümlere ayrılmış şekilde sana düzenli bir yapı sunuyorum:
📘 ISO 27001 Madde 8.1 – Operasyonel Planlama ve Kontrol
🎯 Amaç ve Kapsam
BGYS’nin günlük hayatta işletilebilmesi için gerekli güvenlik süreçlerinin planlanması, uygulanması, kontrol edilmesi ve sürekli iyileştirilmesini kapsar. Aynı zamanda iç ve dış değişikliklerin kontrol altına alınması ve güvenlik üzerinde etkisi olan dış kaynakların izlenmesini gerektirir.
🧱 Temel Gereksinimler
-
Güvenlik süreçleri için kriterlerin tanımlanması
-
Bu süreçlerin planlanan kriterlere göre izlenmesi ve kontrolü
-
Planlı değişikliklerin kontrol edilmesi,
-
Beklenmeyen değişiklikler için etki analizi yapılması
-
Gerekirse düzeltici önlemlerin alınması
-
Güvenliğe etkisi olan harici ürün ve hizmetlerin kontrolü
📄 Belgeleme Gereksinimleri
📌 Zorunlu Belgeler:
-
Güvenlik süreçlerini yöneten veya etkileyen politikalar, talimatlar ve süreç belgeleri
📎 Önerilen (ancak zorunlu olmayan) Belgeler:
-
Güvenlik Süreç Kriterleri Belgesi
🛠️ Uygulama Adımları
-
Kontrol Gereksinimlerini Belirle
→ Uygulanabilirlik Beyanı’ndan kontrol ihtiyaçlarını saptayın. -
Kontrollerin Nasıl Uygulanacağını Tanımla
→ İnsan, süreç ve teknoloji boyutunda uygulamaları netleştirin.
→ Süreçlerin nasıl işleyeceğini tanımlayan bir prosedür hazırlayın. -
Süreç ve Kriter Belgelerini Oluştur
→ Örnek: Erişim taleplerine 24 saat içinde dönüş, log takibinin haftalık gözden geçirilmesi vb. -
Operasyonu Başlat
→ Tanımlanan süreçleri hayata geçirin, uygulamaya başlayın. -
Süreçleri İzle ve Kriterlere Göre Değerlendir
→ Süreçlerin tanımlı kriterlere uygun çalıştığını kayıtlarla kanıtlayın. -
Değişiklikleri Yönet
→ Her planlı değişiklik bir kontrol sürecine tabi tutulmalı.
→ Beklenmeyen değişiklikler için etki analizi yapılmalı. -
Harici Hizmetleri Değerlendir ve İzle
→ Tedarikçilerle yapılan sözleşmelerde güvenlik kriterleri belirtin.
→ Bu hizmetleri periyodik olarak gözden geçirin.
🔍 Denetim Kanıtı Olarak Gerekli Olabilecekler
| Kanıt Türü | Açıklama |
|---|---|
| 📁 İç dokümantasyon | Güvenlik politikaları, prosedürler, kontrol planları |
| 🗂️ Kayıtlar | İşlenen günlükler (loglar), değişiklik kayıtları, kontrol checklist’leri |
| 🧾 Gözlem raporları | Denetçiler tarafından yapılan yerinde gözlemler |
| 🤝 Sözleşmeler / SLA’lar | Harici sağlayıcılarla yapılan sözleşmelerdeki güvenlik hükümleri |
| 🧪 Uygulama örnekleri | Planlı ve beklenmeyen değişiklik senaryolarında alınan aksiyonlar ve analizler |
📌 Pratik Örnek – Değişim Yönetimi Süreci (Basit Şablon)
Değişiklik Türü: Yazılım Güncellemesi
Tarih: 25.04.2025
Beklenen Etki: Sunucu yeniden başlatma – 30 dakikalık kesinti
Risk Değerlendirmesi: Orta
Onaylayan: Bilgi Güvenliği Yöneticisi
Uygulama: Gece 02:00’de yapılacak, yedekleme alınacak
Sonuç: Başarıyla tamamlandı, sistem normal çalışıyor
Kayıt No: CHG-20250425-01
