ISO 27001:2022 Kontrolü A.5.9 – Bilgi ve Diğer İlişkili Varlıkların Envanteri
ISO 27001 kontrolü A.5.9, şirketlerin bilgi ve diğer ilişkili varlıklarını envanterlemesini gerektirir. Bu, bir organizasyonun sahip olduğu varlıkların bir listesini çıkarması ve her bir varlığın sahibini tanımlaması gerektiğini ifade eder. Envanter oluşturulması, kimin hangi varlıktan sorumlu olduğunu ve her varlık türü için hangi güvenlik önlemlerinin alınması gerektiğini daha net bir şekilde belirlemeyi sağlar. Bu kontrol, varlık yönetimi süreçlerinin düzenlenmesine yardımcı olur ve organizasyonların güvenlik gereksinimlerini daha etkili bir şekilde karşılamalarını sağlar.
Temeller
A.5.9 kontrolü, organizasyonların sahip oldukları varlıkları sınıflandırmalarını ve bu varlıkların güvenliğini sağlamak için gerekli olan önlemleri belirlemelerini sağlar. Bu kontrol sayesinde, her bir varlığın kim tarafından yönetildiği ve hangi güvenlik önlemlerine ihtiyaç duyduğu net bir şekilde tanımlanır. Varlıkların envanteri, organizasyonun güvenlik seviyesini iyileştirmek için hayati bir araçtır.
Belgeleme
ISO 27001 kontrolü A.5.9 için uygun belgeler, varlıkların yönetimi ve güvenliği ile ilgili prosedürleri tanımlar.
-
Küçük Şirketler için: Risk Kaydı aracılığıyla bilgi ve varlıkların envanteri belgelendirilebilir. Bu belge, varlıkların mevcut durumunu ve güvenlik risklerini içerir.
-
Orta Ölçekli ve Büyük Şirketler için: Varlık Envanteri, varlıkların kapsamlı bir listesini oluşturmak ve bu varlıkların güvenlik gereksinimlerini belirlemek için kullanılır.
Bunlar zorunlu belgeler değildir, ancak her iki durumda da tavsiye edilir. Bu belgeler, şirketin bilgi güvenliği yönetimi açısından önemli bir rol oynar ve denetimlerde yardımcı olabilir.
Aşağıdaki ek belgeler de A.5.9 kontrolü ile ilişkilidir:
-
Varlıkların İadesine İlişkin Prosedür
-
Depolama Ortamının Güvenli Şekilde İşlenmesine İlişkin Prosedür
Uygulama
A.5.9 Bilgi ve diğer ilişkili varlıkların envanteri kontrolüne uymak için aşağıdaki adımlar uygulanabilir:
-
Teknoloji:
-
Küçük şirketler, basit elektronik tablolardan (örneğin Excel) faydalanarak varlıklarının envanterini tutabilirler.
-
Daha büyük şirketler, varlık yönetimi sistemleri gibi daha karmaşık yazılımlar kullanarak varlık envanterlerini yönetebilirler. Bu sistemler, varlıkların takibini ve güncellenmesini daha kolay hale getirebilir.
-
-
Organizasyon/İşlemler:
-
Bilgi ve varlıkların envanterini kimlerin yöneteceği ve envanter bilgilerinin nasıl güncel tutulacağı konusunda bir süreç oluşturulmalıdır. Bu süreçler, Bilgi Sınıflandırma Politikası veya BT Departmanı için Güvenlik Prosedürleri aracılığıyla belgelendirilebilir.
-
Süreçlerin belgelendirilmesi, varlık yönetimi ile ilgili en iyi uygulamaların izlenmesini ve bu varlıkların güvenli bir şekilde yönetilmesini sağlar.
-
-
İnsanlar:
-
Çalışanlar, varlık envanterinin neden tutulması gerektiği konusunda bilinçlendirilmelidir. Bu, organizasyonun güvenlik ihtiyaçlarını karşılamak için önemli bir adımdır.
-
Varlık sahiplerine, envanteri nasıl dolduracakları ve güncel tutacakları konusunda eğitimler verilmelidir. Bu eğitimler, varlıkların düzgün bir şekilde izlenmesini ve güvenlik risklerinin minimize edilmesini sağlar.
-
Denetim Kanıtı
Sertifika denetimi sırasında denetçiler, A.5.9 kontrolüne ilişkin aşağıdaki kanıtları arayabilirler:
-
Varlıkların ve sahiplerinin bir listesinin tanımlanıp tanımlanmadığı,
-
Varlıkların doğru bir şekilde sınıflandırılıp envanterlendiği,
-
Varlık yönetimi süreçlerinin etkin bir şekilde belgelendiği ve uygulandığı.
Eğer bu kanıtlar sağlanamıyorsa, bu durum bir uygunsuzluk olarak değerlendirilir.
ISO 27001 A.5.9 kontrolü, bir organizasyonun sahip olduğu varlıkların güvenliğini sağlamak için önemli bir adımdır. Varlıkların envanteri, kimin neyi yönettiğini ve hangi güvenlik önlemlerine ihtiyaç duyulduğunu belirlemeye yardımcı olur. Bu kontrol, şirketlerin varlık yönetimini daha etkili hale getirmelerini sağlar ve bilgi güvenliği süreçlerinin düzgün işlemesine katkı sunar. Organizasyonlar, varlık envanterini düzenli olarak güncelleyerek güvenlik seviyelerini iyileştirebilirler.
