Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur?
Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) kurulması, uluslararası ISO 27001 standardına uygun olarak gerçekleştirilen, sürekli bir planlama, uygulama, izleme, gözden geçirme ve iyileştirme döngüsüdür. Bu süreç, temelde PUKÖ (Planla, Uygula, Kontrol Et, Önlem Al / İyileştir) döngüsünü takip eder.
İşte BGYS'nin (ISO 27001) temel adımları:
1. Planlama Aşaması (PLAN) 🗓️
Bu aşama, BGYS'nin kapsamını ve hedeflerini belirler.
| Adım | Açıklama |
| Kapsam ve Bağlamı Belirleme | Kuruluşun iç ve dış meselelerini (yasal, düzenleyici, sektörel gereklilikler), ilgili tarafların ihtiyaçlarını ve BGYS'nin sınırlarını (hangi departmanlar, lokasyonlar, sistemler) resmi olarak tanımlayın. |
| Bilgi Güvenliği Politikası Oluşturma | Üst yönetim tarafından imzalanan, BGYS'nin amaçlarını ve taahhüdünü gösteren bir üst düzey politika belgesi hazırlayın. |
| Risk Değerlendirmesi Yapma | Kuruluşun bilgi varlıklarını (donanım, yazılım, veri, personel vb.) belirleyin. Bu varlıklara yönelik tehditleri ve mevcut zayıflıkları (açıklıkları) analiz ederek bilgi güvenliği risklerini değerlendirin. |
| Risk İşleme Planı Hazırlama | Kabul edilebilir risk seviyesinin üzerindeki riskler için risk işleme seçeneklerini (ortadan kaldırma, azaltma, transfer etme, kabul etme) belirleyin. Riskleri azaltmak için uygulanacak güvenlik kontrollerini (ISO 27002’den seçilen) içeren bir plan oluşturun. |
| Uygulanabilirlik Bildirgesi (SoA) | Seçilen güvenlik kontrollerinin gerekçesini ve kuruluşun bağlamına uygunluğunu açıklayan nihai bir belge hazırlayın. |
2. Uygulama Aşaması (UYGULA) 🛠️
Planlanan güvenlik kontrollerinin hayata geçirildiği aşamadır.
| Adım | Açıklama |
| Kaynak Sağlama | BGYS'nin sürdürülmesi için gerekli mali kaynakları, altyapıyı, teknolojiyi ve insan kaynaklarını tahsis edin. |
| Kontrolleri Uygulama | Risk İşleme Planında belirlenen (teknik, fiziksel ve yönetimsel) tüm güvenlik kontrollerini (örneğin; erişim kontrol sistemleri, yedekleme prosedürleri, siber güvenlik yazılımları, parola politikaları) uygulamaya koyun. |
| Eğitim ve Farkındalık | Tüm çalışanlara bilgi güvenliği politikaları, prosedürleri ve kendi sorumlulukları hakkında zorunlu eğitimler verin. Bilgi güvenliği farkındalık seviyesini yükseltin. |
| Dokümantasyon | Standardın gerektirdiği tüm kayıtları ve prosedürleri (güvenlik politikaları, prosedürler, talimatlar vb.) oluşturun, yayımlayın ve güncel tutun. |
3. Kontrol Aşaması (KONTROL ET) 🔎
Sistemin etkinliğini ölçme ve izleme aşamasıdır.
| Adım | Açıklama |
| İzleme ve Ölçme | Güvenlik kontrollerinin performansını düzenli olarak izleyin ve ölçün. Kritik performans göstergelerini (KPI) ve güvenlik olaylarını takip edin. |
| İç Denetimler | BGYS'nin ISO 27001 standardına, kuruluşun kendi gerekliliklerine ve belirlenen kontrollere uygun olup olmadığını bağımsız olarak değerlendirmek için planlı iç denetimler yapın. |
| Yönetimin Gözden Geçirmesi | Üst yönetim, BGYS'nin uygunluğunu, yeterliliğini ve etkinliğini (iç denetim sonuçları, risk durumu, önceki aksiyonlar vb. girdilerle) belli aralıklarla resmi toplantılarla gözden geçirir. |
4. İyileştirme Aşaması (ÖNLEM AL / İYİLEŞTİR) 📈
Bulgulara dayanarak sistemin sürekli iyileştirildiği aşamadır.
| Adım | Açıklama |
| Uygunsuzluk ve Düzeltici Faaliyet | Kontrol aşamasında veya güvenlik olayları sonucunda tespit edilen uygunsuzlukları (eksiklikleri) analiz edin. Bu uygunsuzlukların temel nedenlerini bularak tekrarını önlemek için düzeltici faaliyetleri planlayın ve uygulayın. |
| Sürekli İyileştirme | BGYS'nin genel etkinliğini düzenli olarak gözden geçirin ve sürekli iyileştirme fırsatlarını belirleyerek sistemi daha olgun bir seviyeye taşıyın. |
Bu döngü, bilgi güvenliği tehditlerinin sürekli değişmesi nedeniyle kesintisiz bir şekilde devam ettirilmelidir. Sistemi başarılı bir şekilde kurup çalıştırdıktan sonra, uluslararası geçerliliğe sahip bir belgelendirme kuruluşu aracılığıyla ISO 27001 belgesi alınabilir.