Şirketlere TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri makale serimizin son bölümüne gelmiş bulunuyoruz.
Birinci bölüme http://www.cozumpark.com/blogs/cobit-itil/archive/2015/04/04/sirketlere-ts-_3101_so-_3101_ec-27001-bilgi-guvenligi-yonetim-sistemi-bgys-kurulmasi-ve-sertifiksyon-sureci-bolum1.aspx‘den ve ikinci bölüme https://www.cozumpark.com/blogs/cobit-itil/archive/2015/04/19/sirketlere-ts-_3101_so-_3101_ec-27001-bilgi-guvenligi-yonetim-sistemi-bgys-kurulmasi-ve-sertifikasyon-surecleri-bolum-2.aspx‘den ulaşabilirsiniz.
Bu bölümde Iso 27001 için uygulanabilirlik bildirgesinin hazırlanmasına, iç denetim sürecinin nasıl yürütülmesi gerektiğine ve sertifikasyon sürecine değinip sürecin tamamında ve sonrasında nelere dikkat etmemiz gerektiğini anlatmaya çalışacağım.
BÖLÜM 7. UYGULANABİLİRLİK BİLDİRGESİNİN HAZIRLANMASI
Uygulanabilirlik Bildirgesi, BGYS süreci içerisinde riskler için TS ISO/IEC 27001 EK-A’dan seçilen kontrollerin neler olduğunu ve niçin seçildiğini gösteren bir dokümandır. Ayrıca bu dokümanda TS ISO/IEC 27001 EK-A’dan seçilmeyen kontrollerinde neden seçilmediği detaylıca anlatılmalıdır. Uygulanabilirlik Bildirgesi hazırlandıktan sonra yönetim onayının alınması gerekir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS0013-ISO IEC 27001 Denetim Listesi’na bakabilirsiniz.
BÖLÜM 8. İÇ DENETİM ve YÖNETİM GÖZDEN GEÇİRMESİ
Şekil 8‑1 BGYS Etkinliğinin Ölçülmesi – İç Denetim
İç denetim, üst yönetimin bir kontrol mekanizması olarak BGYS süreçlerine personelinde dahil olduğu ve sürekli gelişmeye olanak sağlayan örneklem bir faaliyettir ve yılda en az bir defa yapılır.
8.1. İç Denetim Ekibinin Oluşturulması ve Eğitimlerinin Alınması
Kurumdaki BGYS süreci işletildikten sonra kurumun kendi iç denetimini gerçekleştirebilmesi için iç denetim ekibi oluşturulmalıdır. İç denetim ekibi oluşturulurken kurum çalışanlarından bir ekip oluşturulması veya dış kaynak kullanılması mümkündür. Ekip içerisinde en azından bir kişinin TS ISO/IEC 27001 baş denetçi eğitimi almış olması denetimin başarı ile gerçekleştirilmesi için faydalı olacaktır.
İç denetim ekibi oluşturulduktan sonra eğitim ihtiyacı doğarsa çeşitli kurumlardan TS ISO/IEC 27001 iç denetçi eğitimi alınabilir.
8.2. İç Denetimin Gerçekleştirilmesi ve Sonuçlarının Raporlanması
İç denetim ekibi tüm kuruluşu denetleyemeyeceği için bir veya birkaç konu belirlenerek denetim bu konular üzerinden gerçekleştirilir. İç denetim ekibinin ve denetime tabi tutulan çalışanların bunun bir örneklem uygulama olduğunu anlamaları denetimin sorunsuz geçmesini sağlar.
Denetim boyunca ilgili tüm personelin iç denetimler esnasında denetçiye yardımcı olması ve iç denetim ekibinin objektif delillere göre denetim sonucunu hazırlaması çıkacak raporun doğru sonuçlar vermesinin önünü açacaktır.
İç denetim boyunca bulunan uygunsuzluklar açık ve anlaşılır şekilde yazılarak bu uygunsuzluğun giderilmesi için gerekli düzenleyici faaliyetlerin ne zaman gerçekleştirileceğiyle birlikte raporlanır.
İç denetim sonrasında çıkan bu sonuç raporundaki uygunsuzlukların kapatılıp kapatılmadığının kontrolleri için bir takip denetim tarihi belirlenir.
8.3. İç Denetimde Bulunan Bulguların Değerlendirilmesi ve Önlemlerin Alınması
Takip denetimi uygunsuzlukların giderilmesi için düzenleyici faaliyetlerin yapılıp yapılmadığını kontrol için gerçekleştirilir.
Takip denetiminden sonra uygunsuzlukların son durumu güncellenir ve iç denetim sonuç raporu hazırlanır.
8.4. Üst Yönetim Gözden Geçirmesi
Üst yönetim, BGYS Yönetim Temsilcisi ve BGYS Sorumlusunun da katılımıyla yılda en az bir defa gözden geçirme toplantısı gerçekleştirir.
Bu toplantıda iç denetim sonuç raporuyla birlikte, BGYS geri bildirimleri, düzenleyici faaliyetlerin durumları, etkinlik ölçüm sonuçları, önceki risk değerlendirmesinde olmayan açıklıkları ve tehditleri değerlendirilir.
Toplantı sonucunda BGYS’nin etkinliğini iyileştirmek için yapılacak çalışmalar bir tutanakla kayda alınır.
BÖLÜM 9. TS ISO/IEC 27001 BGYS SERTİFİKASYON SÜRECİ
Kurumun yasal olarak TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası alma zorunluluğu bulunmuyorsa sadece kurum içerisinde BGYS’yi uygulayıp sürdürerek bilgi güvenliği sağlanabilir. Ancak tavsiye edilen uluslararası akreditasyon kuruluşları tarafından akredite olmuş belgelendirme kuruluşları vasıtasıyla denetlenerek TS ISO/IEC 27001 BGYS sertifikası alınması yönündedir.
Sertifikanın süresi üç yıldır ve her üç yılda bir süreç tekrarlanır. Birinci yıl belgelendirme denetimi, ikinci ve üçüncü yıllar takip, izleme denetimi gerçekleştirilir.
Denetim süreci birinci ve ikinci aşama denetim olmak üzere iki kısımdan oluşur ancak kurum isterse birinci aşama denetimi istemeyebilir.
9.1. TS ISO/IEC 27001 BGYS Sertifikasyonu için Belgelendirme Kurumu ile Anlaşılması
Uluslararası akreditasyon kuruluşlarının akredite etmediği belgelendirme kurumlarından alınan sertifikaların yasal olarak bir geçerliliği bulunmadığından belgelendirme kurumu seçilirken akredite olmuş, BGYS sertifikasyonu konusunda uzman denetçilere sahip kuruluşların tercih edilmesi gereklidir.
Kurumlar denetim için belgelendirme kuruluşlarından istediklerini tercih etme hakkına sahiptir ancak etik açıdan BGYS kurulum sürecinde danışmanlık aldıkları belgelendirme kuruluşları tarafından denetlenemezler.
Kurum bu süreçte birinci aşama denetimi isteyip istemediğini belirterek adam/gün şeklinde fiyat teklifleri toplayabilir.
Kurum, belgelendirme kuruluşunu belirlendikten sonra gerekli sözleşmeleri ve gizlilik anlaşmalarını imzalar ve birinci aşama denetim için tarih belirlenir.
9.2. TS ISO/IEC 270001 Birinci Aşama Denetim
Birinci aşama denetimde BGYS belgelerinin incelenmesi ve gözden geçirilmesi gerçekleştirilir. Bu aşamada kurumun BGYS belgeleri üzerinden denetime hazır olup olmadığı kontrol edilir. Belgelerde denetimde sorun oluşturabilecek herhangi bir bulgu tespit edilirse rapor halinde kuruma sunulur.
Bu rapora istinaden kurum yapması gereken düzenleyici faaliyetleri gerçekleştirerek olumsuzlukları ortadan kaldırır.
9.3. TS ISO/IEC 270001 İkinci Aşama Denetim
İkinci aşama denetimi, birinci aşama denetiminden en erken on beş gün en geç üç ay içinde yapılmalıdır. Bu süre birince aşama denetimden sonra kurum ve belgelendirme kuruluşu arasında ortaklaşa belirlenir.
Denetim üç yılda bir tekrarlanan bir süreç olduğu için denetimin hangi yılda olduğuna göre ya BGYS belgelerine ya da kurum içinde BGYS uygulamalarına daha çok ağırlık verilir.
Denetim boyunca denetçi veya denetçilerin sorularına açık ve somut göstergelerle cevap verilmesi denetimin daha hızlı ve sağlıklı gerçekleşmesine olanak tanıyacaktır. Somut göstergeler bazen bir belge bazen de sistemler üzerinde gerçekleştirilmiş bir uygulamanın ekran görüntüleri şeklinde olabilir.
Denetçi veya denetçiler tarafından denetim sonunda kurumdaki Bilgi Güvenli Yönetim Sisteminin yeterlilikleri, eksiklikleri ve önerilerini de içeren denetim sonuç raporu düzenlenerek kuruma verilir.
9.4. TS ISO/IEC 27001 Sertifikasyon Sürecinin Tamamlanması
Belgelendirme kuruluşu tarafından denetimde BGYS’yi etkileyen ciddi bir olumsuz durum görülmemişse akredite olduğu uluslararası belgelendirme kuruluşuna, ilgili kurumun TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası alabileceği yönünde tavsiyede bulunur.
Uluslararası belgelendirme kuruluşu denetimde toplanan verileri ve denetim sonuç raporunu inceledikten sonra aksi bir bulgu bulmadıysa kuruma BGYS Sertifikasının verilmesini onaylar.
BÖLÜM 10. SONUÇLAR
En baştan beri hem üst yönetimin hem kurum personelinin BGYS’nin bir süreç olduğunu ve kurumsal kültürün bir parçası olarak görülmesi gerektiğini iyi anlamaları BGYS’nin başarılı olarak kurulması, sürdürülmesi, gözden geçirilmesi ve iyileştirilmesi için gereklidir.
Bu yüzden TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası alan kurumlarda sadece bilgi güvenliğinin sağlanması için TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulduğu, sürdürüldüğü, belirli aralıklarla gözden geçirildiği ve gerektiğinde iyileştirmelerin yapıldığı resmi olarak belgelenmiş olur. Bu kurumlarda bilgi güvenliği kurum kültürünün bir parçası değilse kurulup kendi haline bırakılan Bilgi Güvenliği Yönetim Sistemi bir süre sonra güncelliğini yitirecek ve etkisi azalarak bilgi güvenliği ihlal olaylarının yaşanmasına sebep olacaktır.
BGYS sertifikası alındıktan sonra da BGYS’nin etkinliğinin canlı tutulması için hem üst yönetimin desteği hem de komitelerin çalışmaları devam ettirilmeli ve güncel tehlikeler riskler için BGYS canlı tutulmalıdır.
Faydalı olması dileğiyle.
Sonraki makalelerimizde görüşmek üzere.
Murat CAN