ISO 27001:2022 – Madde 4.3: Bilgi Güvenliği Yönetim Sisteminin (BGYS) Kapsamının Belirlenmesi

📌 Temel Tanım

Bu madde, kuruluşun Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) kapsamını açık bir şekilde tanımlamasını zorunlu kılar. Bu kapsam, aşağıdaki unsurlar dikkate alınarak belirlenmelidir:

• Kuruluşun iç ve dış bağlamı (iş faaliyetleri, sektör, teknolojik altyapı vb.)

• İlgili tarafların bilgi güvenliğiyle ilgili gereksinimleri ve beklentileri

• Kuruluş içindeki ve dışındaki bağımlılıklar ve arayüzler

• Hangi birimlerin, süreçlerin, lokasyonların veya bilgi varlıklarının BGYS’ye dahil veya hariç tutulduğu

📄 Belgeleme Gerekliliği

Zorunlu Belge:

• ✅BGYS Kapsam Belgesi

Bu belge, BGYS’nin uygulanacağı organizasyonel sınırları, iş birimlerini, fiziksel lokasyonları ve süreçleri açıkça tanımlamalıdır. Hariç tutulan alanlar da net bir şekilde belirtilmelidir.

🛠️ Uygulama Adımları

ISO 27001:2022 Madde 4.3’e uygunluk sağlamak için şu adımları izleyin:

1. BGYS’nin Kapsamının Belirlenmesi:

   • Tüm kuruluş mu dahil edilecek, yoksa yalnızca belirli bölümler mi?

   • Kapsam sınırlıysa nedenleri açıklayın (örneğin sadece müşteri verilerinin işlendiği sistemler)

2. İç Bağlamın Analizi:

   • Hassas verilerin işlendiği alanlar

   • Kritik süreçler, kullanılan teknolojiler

   • Kuruluşun içindeki organizasyonel yapı

3. Dış Bağlamın Analizi:

   • Yasal düzenlemeler, sektörel zorunluluklar

   • Paydaşlarla etkileşimler (müşteri, tedarikçi, denetleyici otoriteler)

4. Bağımlılıkların ve Arayüzlerin Değerlendirilmesi:

   • Dış kaynaklı hizmetler, üçüncü parti sistemler

   • BGYS’nin entegre çalıştığı diğer yönetim sistemleri

5. Hariç Tutulacak Alanların Belirlenmesi:

   • Neden kapsam dışında bırakıldıkları açıkça belirtilmeli

   • Bu alanların BGYS üzerinde olumsuz etkisi olmayacak şekilde yönetilmesi sağlanmalı

6. BGYS Kapsam Belgesinin Hazırlanması:

   • Açık, net ve denetlenebilir formatta olmalı

   • Kuruluşun faaliyetlerini yansıtmalı

   • BGYS kapsamında olan ve olmayan alanları göstermeli

🕵️‍♂️ Denetim Kanıtı

Denetim sırasında denetçi aşağıdakileri sorgular:

• 📄 BGYS kapsam belgesi mevcut mu?

• 🔍 Kapsam belirlenirken iç ve dış konular, ilgili taraflar, bağımlılıklar dikkate alınmış mı?

• 🧩 Hariç tutulan alanlar net bir şekilde gerekçelendirilmiş mi?

• 🛡️ BGYS, tanımlanan kapsamda etkin biçimde uygulanıyor mu?

• ✅ Tüm unsurlar belgeye yansıtılmış mı ve sürdürülebilirliği sağlanmış mı?

Unutmayın: Belge eksikse veya kapsam gerekçelendirilmemişse denetçi uygunsuzluk bildirimi yapabilir.

✅ Sonuç olarak, Madde 4.3 BGYS’nin hangi sınırlar içinde kurulup işletileceğini netleştirir. Belirsiz bırakılan bir kapsam, sistemin güvenirliğini ve denetlenebilirliğini doğrudan etkiler.

ISO 27001 BGYS Nedir?