Bilgi Güvenliği Yönetim Sistemi

ISO 27001:2022 – Madde 9.1 İzleme, Ölçme, Analiz ve Değerlendirme

Nisan 26, 2025
0 116 1 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

1. Temel Gereklilikler

ISO 27001 Madde 9.1, Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında:

  • Bilgileri koruyan süreçlerin, prosedürlerin ve işlevlerin etkinliğini ve verimliliğini izlemeyi, ölçmeyi, analiz etmeyi ve değerlendirmeyi zorunlu kılar.

  • ISMS performansına ilişkin kriterlerin oluşturulmasını ve bu kriterlere göre değerlendirme yapılmasını ister.

2. Zorunlu Belgeler

Belge Zorunluluk Durumu
İzleme ve Ölçüm Raporu Zorunlu
Ölçüm ve İzleme Prosedürü İsteğe Bağlı

3. Uygulama Adımları

Şirketlerin Madde 9.1 gerekliliklerine uyum sağlayabilmesi için izlemesi gereken adımlar:

3.1 Neyin İzleneceği ve Ölçüleceği

  • Tanımlayın: Hangi süreçler ve kontroller izlenecek?

  • Performans Ölçütleri: Ölçüm kriterleri oluşturun.

    • Örnek: Güvenlik olaylarının ortalama çözüm süresi.

3.2 Yöntemleri Tanımlayın

  • İzleme ve Ölçme Yöntemleri belirlenmelidir:

    • İzleme: Olay yönetim yazılımı üzerinden olay raporlarının alınması.

    • Ölçme: Sayısal veriler ve istatistiksel raporların oluşturulması.

3.3 Sıklık ve Zamanlama Belirleyin

  • İzleme ve ölçüm sıklığı tanımlanmalıdır:

    • İzleme: Gerçek zamanlı

    • Ölçüm: Haftalık raporlarla

3.4 Sorumlulukları Tanımlayın

  • İzleme ve ölçme faaliyetlerini kimin gerçekleştireceği belirlenmelidir.

    • Örnek: Sistem Yöneticisi – BT olaylarının izlenmesi

3.5 Sonuçların Analizi ve Değerlendirmesi

  • Sonuçların ne zaman analiz edileceği ve değerlendirileceği tanımlanmalıdır.

    • Örnek: Bilgi Güvenliği Sorumlusu tarafından haftalık analiz, aylık değerlendirme toplantıları.

4. Denetim Kanıtları

Denetim sırasında aşağıdaki kanıtların bulunması beklenir:

✅ İzlenecek ve ölçülecek unsurların tanımlandığı belge
✅ Uygun, karşılaştırılabilir, tekrarlanabilir ve geçerli yöntemler
✅ İzleme ve ölçmenin planlı aralıklarla yapıldığına dair kayıtlar
✅ Görevli ve sorumlu kişilerin açıkça belirlendiği kayıtlar
✅ Elde edilen sonuçların belgelendiği ve raporlandığı dökümanlar

Uyarı: Eksik veya tutarsız belgeler uygunsuzluk (nonconformity) olarak raporlanır.

📋 Özet Akış

flowchart TD
A[Neyin İzleneceği ve Ölçüleceği Tanımlanır] --> B[Yöntemler Belirlenir]
B --> C[Sıklık ve Zamanlama Belirlenir]
C --> D[Sorumluluklar Atanır]
D --> E[Sonuçlar Toplanır ve Analiz Edilir]
E --> F[Raporlama ve Değerlendirme Yapılır]

✨ Ekstra Tavsiyeler

  • Performans kriterleri mutlaka sayısal ölçümlerle desteklenmelidir.

  • İzleme ve ölçüm faaliyetleriyle ilgili dijital log kayıtları ve raporlar düzenli arşivlenmelidir.

  • İç denetim sırasında bu belgeler ve sonuçlar mutlaka hazır bulundurulmalıdır.

  • Uyum, sadece belge oluşturmakla değil, belirlenen süreçlerin gerçekten işletilmesiyle sağlanır.

Bu Makaleyede Göz Atmalısın!  ISO 27001 Kontrolü A.5.16: Kimlik Yönetimi

ISO 27001 BGYS Nedir? 

Nisan 26, 2025
0 116 1 dakika okuma süresi

İlgili Makaleler

fotoğrafı

Dahili Denetim Kontrol Listesi

Nisan 24, 2025
fotoğrafı

Ölçüm Raporu

Nisan 24, 2025
fotoğrafı

İç Denetim Prosedürü

Nisan 24, 2025
fotoğrafı

ISO 27001:2022 Madde 10.1 – Sürekli İyileştirme

Nisan 26, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu