Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Madde 8 – İşletme

Nisan 25, 2025
0 6.275 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Madde 8 “İşletme (Operation)” bölümü, BGYS’in pratikte nasıl işlediğini, yani bilgi güvenliği yönetiminin günlük hayattaki uygulamasını düzenler. Aşağıda bu maddeyi anlaşılır ve uygulanabilir şekilde özetliyorum:

ISO 27001 Madde 8 – İşletme (Operation)

ISO 27001’in 8. maddesi, bilgi güvenliği yönetim sisteminin operasyonel olarak nasıl hayata geçirileceğini tanımlar. Temel olarak şu sorulara cevap verir:

  • Riskler nasıl değerlendirilir?

  • Güvenlik süreçleri nasıl uygulanır ve kontrol edilir?

  • Güvenlik zafiyetlerine karşı nasıl önlem alınır?

🔹 8.1 – Operasyonel Planlama ve Kontrol

Bu alt madde, BGYS süreçlerinin etkin şekilde yürütülmesi için planlama ve kontrol mekanizmalarının kurulmasını şart koşar.

🔍 Şirketler şunları yapmalıdır:

  • Güvenlik süreçlerinin hedeflerini ve kriterlerini belirlemeli (örneğin: erişim taleplerinin 24 saat içinde karşılanması).

  • Süreçlerin bu kriterlere göre uygun şekilde kontrol edildiğinden emin olmalı.

  • Planlı değişiklikleri (örneğin sistem güncellemeleri) kontrol etmeli, beklenmedik değişiklikler için etki analizi yapmalı.

  • Harici hizmetler ve tedarikçilerin (örneğin bulut hizmet sağlayıcıları) BGYS gerekliliklerine uygun çalışmasını sağlamalı.

📌 Uygulama Örneği:

  • Sunucu taşınması gibi bir değişiklikte, bilgi güvenliği üzerindeki etkiler analiz edilmeli.

  • Tedarikçilerle yapılan sözleşmelerde bilgi güvenliği şartları yer almalı.

🔹 8.2 – Bilgi Güvenliği Risk Değerlendirmesi

Bu alt madde, bilgi güvenliği risklerinin planlı aralıklarla ve değişiklik olduğunda yeniden değerlendirilmesini zorunlu kılar.

📌 Ne yapılmalı?

  • Risk Değerlendirme Metodolojisi’ne göre riskler analiz edilmeli.

  • Yeni tehditler, sistem değişiklikleri, organizasyonel değişiklikler sonrasında yeniden risk analizi yapılmalı.

  • Risk değerlendirmesi çıktıları kayıt altına alınmalı.

Bu Makaleyede Göz Atmalısın!  Yönetim İnceleme Tutanakları

🛠️ Denetçi Ne Bekler?

  • Güncel risk değerlendirme dokümanları

  • Risklerin olasılık ve etki seviyeleriyle birlikte sınıflandırılması

🔹 8.3 – Bilgi Güvenliği Risk Tedavisi

Bu alt madde, tespit edilen risklere karşı Risk Tedavi Planı’nın oluşturulmasını ve uygulanmasını şart koşar.

📌 Yapılması gerekenler:

  • Belirlenen her bir risk için:

    • Kabul mü edilecek?

    • Azaltılacak mı?

    • Ortadan mı kaldırılacak?

    • Paylaştırılacak mı? (örneğin sigorta veya dış hizmet sağlayıcılar yoluyla)

  • Alınacak kontroller (örneğin: firewall kurulumu, MFA kullanımı) açıkça tanımlanmalı.

  • Uygulanan tedbirlerin etkisi takip edilmeli.

📂 Denetim İçin Hazır Olmak İçin:

Denetçi aşağıdaki belgeleri ve kanıtları görmek ister:

  • Risk değerlendirme sonuçları

  • Risk tedavi planı ve uygulama durumu

  • Güvenlik süreçlerinin işletildiğini ve değişikliklerin kontrol edildiğini gösteren kayıtlar

  • Tedarikçi ve dış kaynak yönetimiyle ilgili kontrollerin kanıtı

🧩 Özetle

Alt Madde Açıklama Ne Yapılmalı
8.1 Operasyonel Planlama Süreçler belirlenmeli, değişiklikler kontrol edilmeli, dış hizmetler güvenlik kriterlerine uymalı
8.2 Risk Değerlendirme Belirli aralıklarla ve değişikliklerde risk analizi yapılmalı
8.3 Risk Tedavisi Her risk için uygun aksiyon alınmalı ve takip edilmeli

ISO 27001 BGYS Nedir? 

Nisan 25, 2025
0 6.275 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

Temiz Masa ve Temiz Ekran Politikası

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 8.1 – Operasyonel Planlama ve Kontrol

Nisan 25, 2025
fotoğrafı

Şifre Politikası

Nisan 24, 2025
fotoğrafı

Olay Günlüğü

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu