ISO/IEC 27001:2022 – Madde 9.2: İç Denetim

Temel Prensipler

ISO/IEC 27001:2022 standardının 9.2 numaralı maddesi, “İç Denetim” başlığı altında, Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin etkinliğini ve sürekliliğini sağlamak amacıyla düzenli aralıklarla iç denetimlerin gerçekleştirilmesini zorunlu kılar. Bu denetimler; sistemin standarda, kurum içi bilgi güvenliği politikalarına, prosedürlere ve yasal/regülasyonel gerekliliklere uygunluğunu değerlendirmek için yapılır.

🔹 Belgelendirme Gereksinimleri

Zorunlu Belgeler:

• İç Denetim Programı

• İç Denetim Raporları

Opsiyonel, ancak önerilen belgeler:

• İç Denetim Kontrol Listesi

• İç Denetim Planı

• İç Denetim Prosedürü

Not: Yukarıdaki opsiyonel belgeler zorunlu olmasa da denetim sürecinin sistematik ve izlenebilir olmasını sağlamak adına şiddetle tavsiye edilir.

🔹 Uygulama Adımları

BGYS kapsamında iç denetim faaliyetini yerine getirmek için aşağıdaki adımlar izlenmelidir:

1. İç Denetim Sürecinin Planlanması

• İç Denetim Prosedürü: Denetimlerin nasıl, kim tarafından, hangi kriterlere göre ve hangi yöntemlerle yapılacağını tanımlar.

• İç Denetim Programı: Genellikle yıllık ya da üç yıllık plan şeklinde hazırlanır. Denetimlerin kapsamı, zamanı, sıklığı ve hedeflenen alanları içerir.

2. Denetimin Gerçekleştirilmesi

• Dokümantasyon İncelemesi: BGYS ile ilgili mevcut belgelerin, ISO/IEC 27001:2022 standardı ve kurum içi gerekliliklerle uyumluluğu analiz edilir.

• Kontrol Listesi Hazırlama: Denetlenecek alanlara ilişkin sorular ve kontrol noktaları oluşturulur.

• Saha Denetimi (Ana Denetim): Belirlenen kriterlere göre fiziksel ve dijital ortamda kontroller gerçekleştirilir, uygunluk kanıtları toplanır.

• İç Denetim Raporunun Hazırlanması: Tespit edilen uygunsuzluklar, bulgular, olumlu gözlemler ve iyileştirme önerileri raporlanır.

• Düzeltici Faaliyet ve Takip: Raporlanan uygunsuzluklar için düzeltici aksiyonlar planlanır ve bu aksiyonların etkin şekilde tamamlanıp tamamlanmadığı gözden geçirilir.

🔹 Denetim Kanıtları ve Değerlendirme Kriterleri

Bir iç denetim sırasında aşağıdaki hususların kanıtlanabilir olması beklenir:

• Zorunlu Belgeler:

  • Güncel iç denetim programı

  • Gerçekleştirilen iç denetim raporları

  • Uygunsuzluk kayıtları ve düzeltici faaliyetler

• Tarafsızlık ve Yetkinlik:

  • İç denetçilerin BGYS kapsamındaki faaliyetleri denetleyecek bilgi ve yetkinliğe sahip olması

  • Denetlenen faaliyetlerden bağımsız kişilerce denetimin gerçekleştirilmesi (çıkar çatışması olmamalı)

• Denetim Programının Kapsayıcılığı:

  • Sorumluluklar, denetim sıklığı, kullanılacak yöntemler ve denetim kriterlerinin açıkça tanımlanmış olması

• Üst Yönetim Katılımı:

  • İç denetim raporlarının üst yönetime iletilmesi ve yönetimin gözden geçirmesi sürecine entegre edilmesi

• Kapsamlı Denetim:

  • Denetçinin BGYS’nin tamamını, tüm ilgili bilgi varlıklarını ve süreçlerini kapsayıcı şekilde denetlemiş olması

• Güvenlik Gerekliliklerinin Ele Alınması:

  • Denetim sırasında ISO/IEC 27001:2022 gereklilikleri, iç politikalar, prosedürler ve ilgili tarafların taleplerinin dikkate alınmış olması

ISO/IEC 27001:2022 Madde 9.2, sadece formalite bir kontrol maddesi değil; BGYS’nin canlı, sürekli iyileşen ve sürdürülebilir bir yapıya sahip olmasının temel taşlarından biridir. Etkin iç denetimler, hem olası bilgi güvenliği açıklarını önceden tespit etmenizi sağlar hem de sistemin gerçekten çalışıp çalışmadığını üst yönetime şeffaf şekilde gösterir.

ISO 27001 BGYS Nedir?