ISO 27001 Madde 8.2 – Bilgi Güvenliği Risk Değerlendirmesi
ISO 27001 Madde 8.2 “Bilgi Güvenliği Risk Değerlendirmesi” için verdiğin bilgiler oldukça net. Bu alt maddeyi, uygulanabilir bir rehber ve denetim sırasında kullanılabilecek belge örnekleriyle destekleyerek aşağıda daha yapılandırılmış bir formatta sunuyorum:
🛡️ ISO 27001 Madde 8.2 – Bilgi Güvenliği Risk Değerlendirmesi
🎯 Amaç ve Kapsam
Bu madde, bilgi güvenliği ile ilgili risklerin belirli aralıklarla veya tanımlı olaylar neticesinde değerlendirilmesini zorunlu kılar. Amaç, organizasyonun karşı karşıya olduğu bilgi güvenliği risklerini sistematik bir şekilde belirlemek ve bunları yönetilebilir hale getirmektir.
🧱 Temel Gereksinimler
-
Planlı aralıklarla risk değerlendirmesi yapılması
-
Risk değerlendirmesinin, Risk Değerlendirme Metodolojisinde tanımlanan kriterlere göre yapılması
-
Yeni veya büyük değişiklikler olduğunda yeniden risk değerlendirmesi yapılması
📄 Belgeleme Gereksinimleri
| Belge Adı | Açıklama |
|---|---|
| 📋 Risk Listesi | Tüm tanımlanmış bilgi güvenliği risklerini içeren liste |
| 🛠️ Risk Tedavi Seçenekleri | Kabul edilemeyen her risk için alınacak önlemler ve kontroller |
| 📑 Risk Değerlendirme ve Tedavi Raporu | Değerlendirme sürecinin, sonuçlarının ve tedavi planlarının detaylandırıldığı nihai belge |
🛠️ Uygulama Adımları
-
Risk Değerlendirme Metodolojisini Belirleyin
→ Kriterler, risk skalası, kabul edilebilirlik seviyesi ve olasılık/etki matrisleri netleştirilmelidir. -
Varlıkları ve Varlıklara Yönelik Tehditleri Tanımlayın
→ Örneğin: müşteri verisi, sunucular, yazılımlar vb. -
Riskleri Değerlendirin
→ Her varlık için tehdit ve zafiyet kombinasyonlarıyla risk skoru hesaplanır. -
Riskleri Sıralayın ve Sınıflandırın
→ Kabul edilebilir ve kabul edilemez riskleri belirleyin. -
Risk Tedavi Planı Oluşturun
→ Kabul edilemeyen riskler için uygun kontroller (ör. şifreleme, erişim kontrolü) ve eylemler belirlenir. -
Belgeleyin ve Onay Alın
→ Tüm değerlendirme süreci ve tedavi planları dokümante edilir. Yönetim onayı alınır. -
Düzenli Gözden Geçirme
→ Değerlendirmeler planlı aralıklarla veya büyük değişikliklerde tekrarlanır.
🔍 Denetim Kanıtı Olarak Gerekli Olabilecekler
| Kanıt Türü | Açıklama |
|---|---|
| 📁 Risk Listesi | Güncel ve geçmiş risk listeleri |
| 📄 Risk Değerlendirme ve Tedavi Raporları | Her değerlendirme dönemi için oluşturulan raporlar |
| 🧾 Yönetim Onayları | Risk değerlendirmesi ve tedavi planına ilişkin imzalı onay belgeleri |
| 📅 Takvim ve Kayıtlar | Planlı değerlendirme takvimi ve uygulama kayıtları |
| 🔄 Değişiklik Sonrası Değerlendirme Kayıtları | Önemli sistem veya iş değişiklikleri sonrası yapılan yeniden değerlendirme belgeleri |
📌 Pratik Örnek – Basitleştirilmiş Risk Listesi (Tablo Şablonu)
| Varlık | Tehdit | Zafiyet | Olasılık | Etki | Risk Seviyesi | Kabul Edilebilir mi? | Tedavi |
|---|---|---|---|---|---|---|---|
| Sunucu | Siber saldırı | Zayıf parola | Yüksek | Yüksek | Çok Yüksek | Hayır | MFA uygulanacak, parola politikası güncellenecek |
| CRM Sistemi | Yetkisiz erişim | Eksik erişim kontrolü | Orta | Yüksek | Yüksek | Hayır | Rol bazlı erişim kontrolü eklenecek |
