4.1 Kuruluşu ve bağlamını anlamak / 4.1 Understanding the organization and its context
Kuruluş, amacı ile ilgili olan ve bilgi güvenliği yönetim sisteminin amaçlanan sonuçlarına/çıktılarına ulaşma kabiliyetini etkileyen iç ve dış hususları belirlemelidir.
Bu madde de Bilgi Güvenliği Amaçlarının başarılması için gerekli olan kritik iç ve dış hususları belirlememiz bekleniyor.
İç ve dış hususlar belirlenirken Standardın 6.1 Riskleri ve fırsatları ele almaya yönelik eylemler maddesinde istenen “Kuruluş, bilgi güvenliği yönetim sistemini planlarken, Madde 4.1'de atıfta bulunulan konuları ve Madde 4.2'de atıfta bulunulan gereklilikleri dikkate almalı ve aşağıdaki konulara yönelik olarak ele alınması gereken riskleri ve fırsatları belirlemelidir” maddesi de göz önünde bulundurulmalıdır.
Bu şekilde değerlendirdiğimiz de bu madde için izleyeceğimiz adımlar aşağıdaki gibi olmalıdır.
1- Bilgi Güvenliği Amaçlarının başarılması için gerekli olan kritik iç ve dış hususların belirlenmesi
2- Belirlenen İç ve Dış hususlar için risklerin belirlenmesi (İç ve Dış husus olarak belirlediğimiz hususların barındırdığı Bilgi Güvenliği Riskleri)
NOT: Risklerin belirlenmesi sürecini hazırlayacağım bağlam dokümanı içinde yapabileceğiniz gibi dilerseniz belirlediğiniz her bir iç ve dış hususun barındırdığı riskleri Bilgi Güvenliği Risk değerlendirme ve Fırsat belirleme sürecinin içine entegre edebilir ve ayrı ayrı değerlendirebilirsiniz.
ÖRNEK - EXAMPLE
4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak / 4.2 Understanding the needs and expectations of interested parties
Bu madde de aşağıdaki hususların belirlenmesi gerekmektedir.
a) Bilgi güvenliği yönetim sistemi ile ilgili olan ilgili taraflar,
Kurulacak olan ISO 27001:2022 Bilgi Güvenliği Yönetim Sisteminin İç taraflarını (Şirket / Kurum içi – Kapsam dahilindeki süreçler, birimler, Çalışanlar vb) ve Dış Taraflarını (Müşteriler, Tedarikçiler, Otoriteler vb) belirlememiz gerekmektedir.
İç tarafların belirlenmesi; Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi süreçleri ile ilgili olacak İç Taraflar belirlenir. Başka bir deyişle Bilgi Güvenliği Amaçlarının başarılması ile ilgili süreçlerde yer alacak ilgili iç taraflar belirlenir.
İÇ TARAFLAR- Örnek
1- Birimler – Süreçler (Bilgi Güvenliği Kapsamı dahilindeki)
2- Çalışanlar
Dış tarafların belirlenmesi; Bilgi Güvenliği Yönetim Sistemi ile ilgili olacak Dış taraflar belirlenir. Dış tarafların belirlenmesi sürecinde Bilgi Güvenliği Amaçları ve bu amaçlara ait gereklilikler de dikkate alınmalıdır.
Örnek
a) Bilgi güvenliği yönetim sistemi kurmanın amaçlarından bir tanesi Müşteri ile yapılan sözleşmelerde istenen bilgi güvenliği ile ilgili gerekliliklerin karşılanma gerekliliği,
b) Bilgi güvenliği yönetim sistemi kurmanın amaçlarından bir tanesi Tedarik Yönetim Süreci içinde şirket bilgilerinin güvenliğinin sağlanması
c) Bilgi güvenliği yönetim sistemi kurmanın amaçlarından bir tanesi yürürlükte olan bir kanuna uyum için bilgi güvenliği gereksinimlerinin karşılanma gerekliliği (6698 Sayılı Kişisel Verilerin Korunması Kanununa Uyum, Gümrük İşlerinin Kolaylaştırılması Yönetmeliğine Uyum, Sektörel Regülasyonlara Uyum vb)
DIŞ TARAFLAR- Örnek
1- Müşteriler
2- Tedarikçiler
3- Otoriteler
İlgili tarafların ilgili gerekliliklerinin belirlenmesi; İlgili tarafların bilgi güvenliği gereklilikleri belirlenirken Yasal gereklilikler, Sözleşmelere bağlı gereksinimler göz önünde bulundurulmalıdır.
Örnek
Dış Taraf – Müşteriler; Müşteriler ile yapılan sözleşmeler de istenen bilgi güvenliği gereklilikleri
İç Taraf – Birimler, Süreçler; Bilgi Güvenliği Süreçlerinin tüm iş süreçlerine entegre edilmesi
Belirlenen ilgili taraflara ait gerekliliklerin hangisinin bilgi güvenliği yönetim sisteminde ele alınacağının belirlenmesi; Belirlenen ilgili taraflara ait bilgi güvenliği gerekliliklerinin hangilerinin kurulacak olan Bilgi Güvenliği Yönetim Sistemi Süreçleri içinde ele alınacağı belirlenmelidir.
Örnek
İlgili Taraf: Müşteriler
İlgili tarafa ait Bilgi Güvenliği Gereklilikleri: XXX Sözleşmesinde istenen x, y, z bilgi güvenliği gereklilikleri
Bilgi Güvenliği Yönetim Sistemi içinde Ele alınacak mı? Tanımlanan her bir gereklilik için (X.Y.Z) Evet-Hayır
Evet ise her bir gerekliliğin (X.Y.Z) hangi süreç veya süreçlerde ele alınacağı (Açıklama)
Faydalı olması dileğiyle,
ISO 27001 & ISO 27701
Baş Denetçi Eğitmeni / Danışman
Whatsapp Hattı