ISO 27001 – Bilgi Güvenliği Yönetim Sisteminin Kurulması

Bu yazımda 2019’da gerçekleştirdiğimiz ISO 27001- Bilgi Güvenliği Yönetim Sistemi’nin kurulması projesi kapsamında dikkate almanız gereken temel kilometre taşlarını paylaşmak istedim.

Bu standardı kurup, sertifika sürecine girmeniz ne gibi katkılar sağlar diye sorabilirsiniz. Bunları şöyle özetleyebiliriz;

• Kuruluşunuzdaki hangi bilgi varlıklarının olduğunun ve değerini öğrenme açısından değer katacağını söylemek faydalı olur.
• Belirlediğiniz bu bilgi varlıklarını koruma metotlarınızı belirleyebilirsiniz.
• Risk bazlı değerlendirme ile iş sürekliliği yapınızı gözden geçirebilirsiniz.
• Birlikte çalıştığınız tedarikçilerinizin güven duygusunu kazanmada size fayda sağlar.
• Bilginin korunmasını bir sisteme bağlar.
• Kurumunuz için yüksek prestij sağlar.
• Hem kurulum hem de kurulum sonrasında çalışanlarınıza vereceğiniz Bilgi Güvenliği Farkındalık eğitimleri ile farkındalığı artırarak, olası bilgi güvenliği olaylarını azaltmanıza fayda sağlar.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilgili temel bilgiler sağladıktan sonra proje ile ilgili takip ettiğimiz adımları ve dikkat çekici noktaları paylaşabiliriz.

ISO 27001 Bilgi Güvenliği Sistemi Projesi Aşamaları

• Proje Kapsamı ve Paydaşlarınızın Belirlenmesi: Projeniz ile ilgili kapsamı belirlemeniz çok önemli, bu kapsam çerçevesinde denetime tabi olacağınızı belirtmekte fayda var. Sadece bir Bilgi Teknolojileri binasını fiziksel olarak belirtebilirsiniz, fakat bu çerçevede bile Bilgi Teknolojileri departmanınız dışında İnsan Kaynakları, Güvenlik Yönetimi – İdari İşler, Satın Alma gibi merkezi birimlerin de paydaşlar arasında yer alması gerekmektedir.
• Proje Başlangıç Toplantısı: Standart projelerinizde olduğu gibi bütün proje paydaşlarınızla birlikte projenin hedeflerini, planını vb. bu toplantıda anlatıp bütün paydaşlarınızı aynı noktaya toplamanız önemli.
• Üst Yönetim Bilgilendirme: Bilgi Güvenliği gibi önemli projelerde yönetimin desteğinin olması önemli ve bunu gelen denetçiye hissettirmeniz de önemli. Üst Yönetimi bu proje ile ilgili beklentiler noktasında ve Bilgi Güvenliği ile ilgili Farkındalık Oluşturma anlamında bilgilendirmeniz gerekmekte. Bilgi Güvenliği olaylarının bir kısmının üst yönetim kadrosundan çıktığını belirtmekte fayda var. Örnek bir sebep, üst yöneticinin bilgi güvenliği kural kısıtlamalarına dahil edilmemeleri sonrasında bilgisayarlarının saldırıya uğraması diye düşünebilirsiniz.
• Mevcut Durum Analizi: Mevcut durumu değerlendirmeniz, olası açık noktaları belirlemeniz sizin için o noktalar üzerine çalışmanız açısından fayda sağlayacaktır.
• Varlık Envanteri ve Risk Dokümanının Oluşturulması: Bu doküman sizin en merkezde yer alan dokümanınız. Bütün varlıklarınızı, değerini ve risklerinizi tek elden ele almanız açısından önemlidir. Varlıklarınızın Gizlilik, Bütünlük ve Erişebilirlik kriterlerine göre değerlendirilmesi gerekmektedir. Bu dokümanın yaşayan doküman olmasını sağlamak en önemli konulardandır. Zira proje kapsamında hazırlanıp bir kenara konulması daha sonra ayrı eforlara sebep olacaktır. Yeni varlıklarınızı bu doküman üzerinde takip etmeniz gerekecektir. Çıkan risk değerlerine bağlı aksiyonlar oluşturup bunlara yönelik çalışmalar yapmanız da gerekecektir.
• Politika, Prosedür ve Diğer Dokümanların Hazırlanması: ISO 27001 standardı gereği oluşturmanız gereken doküman setini belirleyip bunlara yönelik bir mapping faaliyeti yürütmeniz fayda sağlayacaktır. Kuruluşunuz özelinde Bilgi Güvenliği Politikanızda kurum özelinde neyi taahhüt ettiğiniz belirtmeniz gerekecektir. Oluşturduğunuz dokümanların kurumda yayınlanması, yayınlanma için gerekli onay tarihlerinin denetim için önemli olduğunu belirtmekte fayda var.
• Uygulanabilirlik Bildirgesinin Hazırlanması: Projenizin ISO 27001 standardına göre yapıldığını bu bildirgeyi hazırlayarak ve kontrol ederek gerçekleştirebilirsiniz. O yüzden sizin için önemli değerlerden biri olacaktır.
• Risk Aksiyon Planlarının Oluşturulması: Varlık Envanteri ve Risk Dokümanınızda belirlediğiniz risk değerinin üzerinde kalanlar için risk aksiyon planlarınızı belirlemeniz gerekecektir.
• Düzeltici ve İyileştirici Kayıtlarının Oluşturulması: Denetim Faaliyeti öncesinde gerçekleştireceğiniz iç tetkik esnasında kurumunuzda saptayacağınız durumlar olacaktır. Bunları Düzeltici ve İyileştirici Kayıtlar ile tek tek değerlendirip kapatmanız faydalı olacaktır.
• Farkındalık Eğitimleri ve Değerlendirme: Farkındalık eğitimlerini yapmanız kullanıcıların bilgi güvenliğini anlamaları açısından çok değerli. Bu eğitimlere kimlerin katıldığını ve ne zaman gerçekleştirdiğinizi kayıt altına almanız gerekmektedir. Eğitimleri tamamladıktan sonra kullanıcılara farkındalık testi yapmanız ve sonuçları da kayıt altına almanız gerekmektedir. Hatta eğitim öncesi bir değerlendirme ve eğitim sonrası bir değerlendirme de faydalı olabilir.
• Yönetim Gözden Geçirme Toplantısı: Üst Yönetimin desteğinin proje için değerli olduğunu belirtmiştim. Proje kapsamında Bilgi Güvenliği Komitesi kurarak (üst yönetimden kesinlikle bir kişi yer almalıdır) gerçekleştirdiğiniz iç tetkik sonuçlarını, düzeltici ve iyileştirici formları paylaşarak toplantının kayıt altına alınması gerekmektedir.

Yukarıdaki çalışmaları tamamladıktan sonra Belgelendirme Başvurusunu gerçekleştirdik. Denetim sürecinde 2 denetçi katılım sağlayıp ISO 27001 standardında belirtilen durumların kontrolünü gerçekleştirdiler. Burada Uygulanabilirlik Bildirgesi sizin için baya yol gösterici oluyor. Saha ziyareti ile denetçiler durumu değerlendirip notlarını alıyor. Kapanış toplantısında bulgularını paylaşıyor. Major bir bulgunun olmaması önemli. Minor bulgular sorun olmayacaktır fakat bunu kapatmaktan sorumlusunuz.

Denetçiler örnek olarak nelere dikkat eder?

• ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardında olan gerekli dokümanlar ve yapılan faaliyetlerin gösterilmesi (YGG, Farkındalık Eğitimleri, Varlık ve Risk Envanteri, Politika, Prosedürler vb.)
• Fiziksel Güvenlik anlamında kuruluşunuza giriş yaptığında X kişisine geldim dediğinde ya da el sallayıp hemen içeri girebiliyor mu 🙂
• Kurum bünyesinde yer alan kameralarınız fiziksel güvenliği ne kadar sağlayabiliyor? Kör noktalar var mı?
• Kurumunuza enerji veren hatlarınız ile ilgili olası sıkıntı olabilecek durumlar? Kabloların açıkta olması, afet durumları vb.
• Çalışanların masalarında gizli evrak vb. yer alıyor mu? Temiz Masa Temiz Ekran prosedürüne uygun hareket ediliyor mu?
• Sistem, Sunucu odasına erişim durumları ve kontrollerin yapılması.
• Herhangi bir ağ kablosunu kendi bilgisayarına taktığında erişim sağlayabiliyor mu? Erişim sağlayabiliyorsa nerelere erişim sağlayabiliyor.

Anahatlarıyla ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kurulması esnasındaki kilometre taşlarına ve örneklere değinmeye çalıştım. Umarım faydalı olmuştur 🙂