Bilgi Güvenliği Yönetim Sistemi Dokümanları
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümanları
Birinci aşama denetimi genellikle kısa sürmektedir. Denetçi dokümanları uzaktan dahi kontrol etmek isteyebilecektir. Ancak tüm dokümanı yerinde görmek istediği zaman onlara temel gereksinimler arasında yer alan bu dokümanları sunmanız gerekmektedir.
- Madde 1 ve Madde 4.3 – Bilgi Güvenliği Yönetim Sisteminin Kapsamı
- ISO 27001 standardının bu maddeleri kapsamı belirtir ve bir denetçi belgenizdeki her iki bölüm arasındaki tutarlılığı kontrol eder. Bu belge kuruluşunuz ve ilgilendiğiniz taraflarla ilgili tüm iç ve dış sorunları belirtmelidir.
- ISO 27001 standardının bu maddeleri kapsamı belirtir ve bir denetçi belgenizdeki her iki bölüm arasındaki tutarlılığı kontrol eder. Bu belge kuruluşunuz ve ilgilendiğiniz taraflarla ilgili tüm iç ve dış sorunları belirtmelidir.
- Madde 5.2 ve Madde 6.2 – Bilgi Güvenliği Politikası
- Bu politikanın temel amacı üst yönetiminizin bilgi güvenliği yönetim sistemine olan bağlılığını kanıtlamasıdır. Kuruluşunuzun bilgi güvenliğini sağlama hedeflerini, amaçlarını, ilkelerini ve kararlaştırılan stratejisi belirleyerek bilgi güvenliği yönetim sisteminin uygun şekilde uygulanmasını sağlamak için izlenebilecek kolay ve anlaşılır bir belge oluşturulmalıdır.
- Madde 6.1.2 – Risk Değerlendirmesi
- ISO 27001, bilgi güvenliği yönetim sisteminizin uygulanmasında çok önemli bir ilk adım olan riski nasıl değerlendireceğinizi ve onu nasıl işleyecek olduğunuzu belgelemenizi gerektirir.
- ISO 27001, bilgi güvenliği yönetim sisteminizin uygulanmasında çok önemli bir ilk adım olan riski nasıl değerlendireceğinizi ve onu nasıl işleyecek olduğunuzu belgelemenizi gerektirir.
- Madde 6.1.3 – Uygulanabilirlik Beyanı
- Uygulanabilirlik beyanınızda ISO 27001 standardının A ekinde listelenen 114 bilgi güvenliği kontrolünden hangisini uygulayacağınızı ve nedeninin belirlersiniz. Bu gösterilmesi gereken risk değerlendirme dokümanından farklıdır.
- Madde 6.1.3(e) ve Madde 6.2 – Risk İşleme Planı
- Risk işleme planınız uygulanabilirlik beyanında tanımlanmış olan kontrolleri ele alır. Hem kabul edilebilir hem de kabul edilemez riskleri tespit etmiş olursunuz. Risk işleme planınız temel olarak kabul edilemez risklerle ilgilidir. Kabul edilemez bulduğunuz riskleri nasıl ele alacağınıza karar vermeniz gerekecektir.
- Madde 8.2 – Risk Değerlendirme Raporu
- ISO 27001 risk değerlendirme raporunuzun neleri içermesi gerektiğine dair çok az yön sunar. Ancak raporunuzu oluşturmaya çalıştığınız zaman muhtemelen birçok bilgiyi derlemiş olursunuz. Risk değerlendirme metodolojisi, risk sahipleri, risklerin kabul edilebilirlik düzeyi, kabul edilemez risklerin ele alınışı ve kontroller risk değerlendirme raporunda yer almalıdır.
- ISO 27001 risk değerlendirme raporunuzun neleri içermesi gerektiğine dair çok az yön sunar. Ancak raporunuzu oluşturmaya çalıştığınız zaman muhtemelen birçok bilgiyi derlemiş olursunuz. Risk değerlendirme metodolojisi, risk sahipleri, risklerin kabul edilebilirlik düzeyi, kabul edilemez risklerin ele alınışı ve kontroller risk değerlendirme raporunda yer almalıdır.
- A Eki 7.1.12 ve A Eki 13.2.4 – Bilgi Güvenliği Rollerinin ve Sorumlulukların Tanımı
- Bilgi güvenliğinizi yönetmede yer alan çalışanların rol ve sorumluklarını yazılı olarak kaydetmeniz gerekir. Bu bilgileri belgeleyecek olduğunuz yer size bağlıdır. Ancak iş tanımları, organizasyon şeması veya bilgi güvenliği politikası gibi mantıklı ve kolay bulunabilir bir yerde olmalıdır.
- A Eki 8.1.1 – Varlıklar Envanteri
- Standart varlıklar kuruluşunuz için değerli şeyler anlamına gelmektedir. Bu, dizüstü bilgisayarlar, bilgisayarlar, yazıcılar, cep telefonları gibi donanımlardan elektronik veya kağıt gibi verilere kadar her şeyi kapsar.
- Risklerin belirlenmesinde ve bilgilerinizin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunmasında yardımcı oldukları için varlıklar ISO 27001 standardı için önemlidir.
- A Eki 8.1.3 – Varlık Politikasının Kabul Edilebilir Kullanımı
- Bu dokümanda bilgi sisteminizin ve diğer bilgi varlıklarının nasıl kullanılması gerektiği konusunda açık kurallar koyarsınız.
- Bu dokümanda bilgi sisteminizin ve diğer bilgi varlıklarının nasıl kullanılması gerektiği konusunda açık kurallar koyarsınız.
- A Eki 9.1.1 – Erişim Kontrolü Politikası
- Erişim kontrolü politikanız varlıkları ve onları sağlama biçiminizi yöneterek riski nasıl azaltacağınızı gösterir.
- Bazı ağları ve servisleri kilitlemek isteyebilirsiniz. Böylece yalnızca belirli çalışanlar bunlara erişebilir. Belirlediğiniz kurallar çeşitli faktörlere, varlığa olan duyarlılığa, varlığa erişen çalışanların dayandığı yere ve uygulanabilecek yasalara veya düzenlemelere dayalı olmalıdır.
- A Eki 9.1.1 – Bilgi Teknolojileri İçin Çalışma Prosedürleri
- Bu belge tüm yönetim prosedürleri için doğru ve güvenli bilgilerin alınmasını sağlamak için bir çalışma planı sunmaktadır. Bu, bilgi güvenliği yönetim sistemini planlamak, işletmek ve kontrol etmek için gerekli yönetim süreçli ve faaliyetlerin yazılı açıklamalarını içerir.
- Bu belge tüm yönetim prosedürleri için doğru ve güvenli bilgilerin alınmasını sağlamak için bir çalışma planı sunmaktadır. Bu, bilgi güvenliği yönetim sistemini planlamak, işletmek ve kontrol etmek için gerekli yönetim süreçli ve faaliyetlerin yazılı açıklamalarını içerir.
- A Eki 14.2.5 – Güvenli Sistem Mühendisliği İlkeleri
- Güvenli mühendisliği bilgi teknolojileri sisteminizi geliştirirken güvenlik önlemleri uygular. Bu durum yangın ve doğal afetlerden teröre, saldırıya ve sanayi casusluğuna kadar bir dizi tehdit ve güvenlik açığına karşı güvenlik anlamına gelir.
- İlkeler bu güvenliği uygulamak için belirlediğiniz üst düzey kurallardır. Bunların takip edilmelerini sağlamak için her biri için ayrıntılı bir prosedür oluşturmanız gerekir. İlkeler geliştirme projelerinizin her aşamasına ve nihai ürünlerinizin tüm mimari katmanlarına uygulanacaktır.
- A Eki 15.1.1 – Tedarikçi Güvenlik Politikası
- Kuruluşunuzun kullandığı bilgilerin bir kısmı doğrudan kontrolünüz altında olmayabilir. Ancak üçüncü taraflarca ele alınabilir. Tedarikçiler, ortaklar, müşteriler, bulut hizmetleri gibi tüm taraflar şirketiniz hakkında hassas verilere erişebilir.
- Sonuç olarak bu tür üçüncü taraflarla nasıl çalışacağınızı belirleyen bir politikaya ihtiyacınız vardır. Bilgilerinizi ele alma şekillerini yönetmek için hangi sistemleri kullanacağınıza karar vermelisiniz.
- A Eki 16.1.5 – Olay Yönetimi Prosedürü
- Bir bilgisayar korsanının veya çalışanın prosedürü ihlal etmesine karşı yapabileceğiniz çok az şey vardır. Ancak güvenlik ihlallerini ve zayıflıklarını hızlı bir şekilde tespit edip daha çabuk tepki vererek itibarınıza zarar gelmesini önleyebilirsiniz. Olay yönetim prosedürü bu tür olayları yönetme prosedürlerini özetlediğiniz yerdir.
- Bir bilgisayar korsanının veya çalışanın prosedürü ihlal etmesine karşı yapabileceğiniz çok az şey vardır. Ancak güvenlik ihlallerini ve zayıflıklarını hızlı bir şekilde tespit edip daha çabuk tepki vererek itibarınıza zarar gelmesini önleyebilirsiniz. Olay yönetim prosedürü bu tür olayları yönetme prosedürlerini özetlediğiniz yerdir.
- A Eki 17.1.2 – İş Sürekliliği Prosedürü
- Bir kriz çıktığında her dakika önemlidir. Bu nedenle işinizin normal şekilde devam etmesini sağlamak için yönetilen paydaşları tam olarak nasıl yöneteceğinizi tanımlayan bir iş sürekliliği prosedürü oluşturmak çok önemlidir. Prosedürün, belirli bir zaman diliminde kritik faaliyetlerden nasıl kurtulacağınızı özetlemesi gerekir.
- Bir kriz çıktığında her dakika önemlidir. Bu nedenle işinizin normal şekilde devam etmesini sağlamak için yönetilen paydaşları tam olarak nasıl yöneteceğinizi tanımlayan bir iş sürekliliği prosedürü oluşturmak çok önemlidir. Prosedürün, belirli bir zaman diliminde kritik faaliyetlerden nasıl kurtulacağınızı özetlemesi gerekir.
- A Eki 18.1.1 – Yasal Gereklilikler
- ISO 27001 standardının bu bölümü yasal gereklilikler hakkında bilgi sağlama ihtiyacını ortaya koyar. Bu yasal gerekliliklere nasıl uyduğunuzu göstermenize yardımcı olacaktır.