Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur?

ISO 27001, dünya üzerinde geçerliliği olan ve gitgide birçok alanda zorunlu hale getirilmeye çalışılan bir standarttır. Bu standart, kurumlara genel anlamda bilgi güvenliğini nasıl yapabileceklerini anlatmaktadır. Bilgi güvenliği yönetim sistemi kurmak yani işletmenize ISO 27001 sistemi inşa etmek için standardını uygulayan ve belgesini alan bir şirketin, dünyanın güvenliği en yüksek firması olması gerekmez. Ancak güvenliğin ne seviyede olduğu o kurumun yöneticileri tarafından bilinir ve onların kararı ölçüsünde ortaya konmuş durumda olup zaman içinde artan bir güvenlik seviyesi vardır. Özellikle, elektronik imza servis sağlayıcıları, bankalar, hastaneler, sigorta şirketleri, e-ticaret ile uğraşan şirketlerde BGYS’nin uygulanması önemli bir ihtiyaçtır.

 

Bilgi Güvenliği Yönetim Sistemi’ni uygulamak isteyen bir kurumda yapılması gereken adımlar aşağıdaki şekildedir:

 

Proje Ekibinin Kurulması

BGYS Projesi çalışmalarını düzenleyecek, uygulayacak ve yönetebilecek bir takım oluşturulmalıdır. Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı olacaktır. Böylece BGYS’yi en iyi nasıl uygulayacağı konusunda bağımsız danışmanlardan görüş ve tavsiye alabilir.

 

Kurum içinde stratejinin belirlenmesi

Üst yönetimle birlikte organizasyon strateji hazırlanmalıdır.

 

Kapsamın Belirlenmesi

BGYS’nin kurum içinde uygulanacak ve belgelendirilecek kapsam belirlenmeli. Hangi departmanlarda bu sistemin uygulanacağı planlanarak yazılı ve görsel kapsam dokümanları hazırlanmalıdır.

 

Proje ve İletişim Planının Hazırlanması

Kurum ön proje hazırlıklarını tamamlayıp, proje takımını, kapsamını, stratejisini, danışmanlarını belirledikten sonra artık projede ilerleyeceği adımlar için bir proje planı hazırlamalıdır. Nelerin, ne zaman, kimlerle uygulanacağı proje planında yer alarak çalışmalara başlanır. Yapılan tüm çalışmalar, toplantılar çeşitli rapor ve tutanaklarla kayıt altında tutulurken yine kurum tarafından belirlenen aralıklarda (haftalık, aylık) ilgili yönetimle bilgilendirme ve görüş alışverişi yapılır.

 

Bilgi Güvenliği Politikası

Projeye başlanmasıyla birlikte, öncelikle ilgili kapsam ve yönetim çalışanlarıyla birlikte, standardın gerektirdiği kişi ve birimlerin (hukuk,vs..) görüşleri alınarak Bilgi Güvenliği Politikası yazılarak, yönetim tarafından onaylanıp, kurum çalışanlarına duyurulur.

 

Bilgi Güvenliği Politikaları, tüm kurum çalışanlarının görev ve sorumluluklarını tanımlamaktadırlar. Hedef; bilgi güvenliği konusunda yönetimin bakış açısını, onayını ve desteğini çalışanlara uygun araç ve denetim mekanizmaları eşliğinde iletmektir, amaç ise;  Bilgi Güvenliği hakkında üst yönetimin isteklerini ve kararlarının tüm çalışanlarla paylaşan politika dokümanlarının hazırlanmasıdır.

 

Varlıkların Belirlenmesi

Varlık Yönetimi için, kapsam dahilinde ve kapsama destek veren birimlere yönelik varlıklarla ilgili prosedür, varlık kayıt tablosu gibi dokümanlar hazırlanır. İlgili varlıklar varlık sahipleri tarafından belirtilerek, kayıt altına alınır. Varlıklar, sınıflandırılıp, gizlilik, bütünlük ve kullanılabilirlik kriterlerine göre değerlendirilir.

 

Risklerin Belirlenmesi, Risk Yönetimi

Yapılan yatırımlarda amaç hep en yüksek sonucun alınmasıdır. Risk Analizi, bilgi güvenliğine yapılacak yatırımların öncelikli konulara yöneltilmesi için gerçekleştirilir. Risk Analiz hizmeti sırasında önce bilgi varlıklarının envanteri çıkartılır, yapılan özel bir elemenin ardından tehditler, zayıf noktalar ve bunlara karşılık gelen riskler belirlenir. Risklerin sıralanmasının ardından, öncelikli riskler belirlenir ve alınması gereken önlemlere karar verilir. Amaç, risklerin tanımlanması, gerekli tedbirlerin alınmasını ön plana çıkaran bir risk analizi prosesini başlatmaktır. Bu çalışmalar sırasında oluşturulan risklerin izlenmesi ve ölçülmesi ile ilgili teknikler, alınacak önlemlerin yeterliliğini denetlemek için anahtar görev görmektedir. 

 

Yapılan Risk Analizini gerçekçi kılan en önemli faktör ise, bu çalışmanın her aşamasında fayda/maliyet dengesini gözetmek ve bu konuda yapılacak optimizasyondur. Adım, varlıkların belirlenmesiyle birlikte standartında oluşturulması ve uygulanmasındaki en önemli nedenlerden biri olan Risk Yönetiminin uygulanmasıdır. Bilgi Güvenliği Yönetim Sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.

 

Değişim Yönetimi

Bilgi işleme olanakları ve sistemlerinde olan değişiklikler kontrol edilmeli, değişimle ilgili prosedür ve diğer dokümanlar hazırlanmalıdır. Rol ve Sorumluluklar ile ilgili hazırlanan dokümanda kurumdaki değişim yöneticisinin kim olduğu belirtilmelidir.

 

Olay Yönetimi

Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilmek için olay yönetimine yönelik planlar, prosedür ve diğer dokümanlar hazırlanmalıdır. Rol ve Sorumluluklar ile ilgili hazırlanan dokümanda kurumdaki olay yöneticisinin kim olduğu belirtilmelidir.

 

Uygulanabilirlik Bildirgesi

Uygulanabilirlik bildirgesi, risk işlemeyi ilgilendiren kararların bir özetini sağlar. Standarttaki seçilen kontrol amaçları ve kontroller ve bunların seçilme nedenleri, mevcut gerçekleştirilmiş kontrol amaçları ve kontroller ile standart Ek A’da ki kontrol amaçları ve kontrollerden herhangi birinin dışarıda bırakılması ve bunların dışarıda bırakılmasının açıklaması, uygulanabilirlik bildirgesinde ele alınır. Uygulanabilirlik bildirgesinin ardından, kurumdaki yapılacak bazı işlerle ilgili ilgili bölümlerle yapılacağına dair mutabakat zabıtları hazırlanır.

 

Doküman ve Kayıt Yönetimi

Belirtilen politikalara bağlı olarak tüm şirket standart, kural ve prosedürleri gözden geçirilir ve bunun şirket içi işleyişe nasıl yansıyacağı belirlenir. Hizmet, güvenlik ile ilgili prosedürlerin geliştirilmesi ve dokümante edilmesi ile tamamlanır. Politika, prosedür, talimatlar ve ilgili formlar hazırlanır. Dokümanlarda belirtilen şartlara göre hareket etmeyecek ve istisna durumların olduğu kullanıcılar için, bu kuralların dışında kullanacağı ve bununla ilgili riskleri kabul ettiği, yönetici onayını alacağı, istisna ile ilgili dokümanlar hazırlanır. Kayıtlara yönelik doküman ve prosedürler hazırlanarak, kayıtlar tutulur.

 

Eğitim ve Farkındalık Çalışmaları

Bir bilgi güvenliği sistemi kurulurken ve kurulduktan sonra, bunla ilgili tüm çalışanlarını, şirketine düzenli olarak dışarıdan gelip giden ama şirketinin bordrosunda yer almayabilir kontratla çalıştırdığın kişilerde dâhil olmak üzere bilgilendirme ve farkındalık eğitimi verir. Politika, prosedür ve ilgili diğer dokümanları duyurur. Kapsam dâhilinde, varlıkları listeleyip, sınıflandıracak kişilere bunları nasıl yapacaklarına yönelik eğitimler verir. Ve kurumda bilgi güvenliğinin bir yaşam tarzı olması gerektiğini, kurum kültürüne yerleşmesi ve benimsenmesi için çalışmalar yapar.

 

İç denetim

Kuruluş BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin standarda göre gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirmelidir:

 

Yönetimin Gözen Geçirme

Yönetim tarafından BGYS denetimleri be gözden geçirmelerinin sonuçları, ilgili taraflardan edinilen geribildirimler alınarak sistem gözden geçirilmelidir. Yönetim, kuruluşun BGYS’sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenliği politikası ve bilgi güvenliği amaçları dâhil BGYS’nin iyileştirilmesi ve gereken değişikliklerin yapılması için fırsatların değerlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır.

 

Düzenleyici Önleyici Faaliyetler (DÖF)

Kuruluş tekrar ortaya çıkmalarını önlemek için, BGYS şartlarıyla olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekleştirilen düzeltici, önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. Önleyici faaliyetler için dokümante edilmiş prosedürler bulunmalıdır.

 

Belgelendirme

Belgelendirme tetkiki Sistem Kalite Belgelendirme Ve Test Danışmanlığı Kuruluşumuzu tarafından yapılacaktır. Bu noktada, belgelendirme kurumu BGYS’nizi gözden geçirecek ve belgelenme için önerilip önerilemeyeceğinizi tespit edecektir. Piyasada faaliyet gösteren bir çok belgelendirme kurumu olmasından dolayı bir tanesinin seçilmesi oldukça zor bir konu olabilir. Göz önünde bulundurulması gereken faktörler arasında endüstriyel deneyim, coğrafik kapsam, fiyat ve sunulan hizmet kalitesi yer almaktadır. Anahtar önem taşıyan husus, sizin gerekliliklerinize en iyi yanıt verecek belgelendirme kurumunu bulmaktır.