4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi / 4.3 Determining The Scope Of The ISMS
Kuruluş, kapsamını oluşturmak için bilgi güvenliği yönetim sisteminin sınırlarını ve uygulanabilirliğini belirlemelidir. Kapsam, dokümante edilmiş bilgi olarak mevcut olmalıdır.
Bilgi Güvenliği Yönetim Sistemi kapsamını Madde 4.1 Kuruluşu ve bağlamını anlamak, Madde 4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak maddeleri ile Kuruluş tarafından gerçekleştirilen faaliyetler arasındaki ara yüzler, bağımlılıklar ve diğer kuruluşlar tarafından gerçekleştirilen faaliyetleri dikkate alarak aşağıdaki adımları takip ederek belirleyebilir ve yazılı bilgi (Dokümante) haline getirebiliriz.
1- Bilgi Güvenliği Yönetim Sisteminin Sınırları
Kurulumunu yapacağımız ISO 27001:2022 Bilgi Güvenliği Yönetim sisteminin fiziki sınırları nereleri olacak?
Örnek
Merkeze bağlı iki farklı şube/fabrika var. ISO 27001:2022 bu üç farklı lokasyondan hangilerinde belgelendirme kapsamında BGYS kurulumu yapılacak ve sonrasında Belgelendirme denetimi geçirecek bunu net bir şekilde belirlememiz gerekiyor.
a) Xxxx mahallesi sanayi caddesi NO:12 İstanbul (Merkez)
b) Yyyyy mahallesi sanayi caddesi No:35 (Şube)
c) Zzzzzz mahallesi sanayi caddesi No:11 (Şube)
Sınırlar belirlenirken İklim değişikliği ile ilgili hususların göz önünde bulundurulması gerekmektedir;
Kuruluş fiziki sınırlarını (mevcut konumları) iklim değişikliğine bağlı risklere karşı (Seller, Fırtınalar, Kasırgalar, Tayfunlar, Depremler, Isı dalgaları, Yangınlar vb) değerlendirmelidir.
2- Bilgi Güvenliği Yönetim Sisteminin Uygulanabilirliği
Bilgi Güvenliği Yönetim Sisteminin fiziki sınırlarını belirledikten sonra aşağıdaki hususları içeren BGYS uygulanabilirliği için Belgelendirme kapsamı belirlenmelidir.
a) Firma/kuruluşun hangi faaliyetleri ve hedefleri içinde hangi süreçler/departmanlar
b) Fiziki lokasyonlar ve bu lokasyonlardaki Hangi süreçler / Departmanlar,
Kuruluş BGYS Uygulanabilirliğini belirlerken de fiziki sınırları belirlerken gerçekleştirdiği iklim değişikliğine bağlı risk değerlendirmelerine ait sonuçları (Seller, Fırtınalar, Kasırgalar, Tayfunlar, Depremler, Isı dalgaları, Yangınlar vb) göz önünde bulundurmalıdır.
a) Firma/kuruluşun hangi faaliyetleri ve hedefleri içinde hangi süreçler/departmanlar
Örnek
Firma/kuruluşun faaliyet belgesinde yazan faaliyetler ve bu faaliyetlerin gerçekleştirildiği ve Bilgi Güvenliği Yönetim Sisteminin uygulanacağı Süreçler / Departmanları içerecek şekilde bir tanımlama yapılabilir. Burada yapılacak tanımlama aynı zamanda alınacak olan ISO 27001 Belgesi üzerine de yazılmaktadır.
BGYS kapsamı; xxxxxxxxxx ürünlerin imalat ve satışına ilişkin gerçekleştirilen X, Y, Z (Süreçler/departmanlar) süreçlerine ait bilgi varlıkları ve ilişkili diğer varlıkların Gizlilik, Bütünlük, Erişilebilirlik kayıplarından korunmasının sağlanması olarak belirlenmiştir. (Belgelendirme kuruluşu tarafından basılacak ISO 27001 Belgesi üzerinde de yer alacak tanım)
b) Fiziki lokasyonlar & Süreçler / Departmanlar
Örnek
Xxxx mahallesi sanayi caddesi NO:12 İstanbul (Merkez) Fiziki lokasyonu için
a) Üst Yönetim
b) Bilgi İşlem
c) İnsan Kaynakları
d) Satınalma
e) Bakım
f) Muhasebe
Yyyyy mahallesi sanayi caddesi No:35 (Şube) Fiziki lokasyonu için
a) Lojistik Depo
b) Bilgi İşlem
c) İnsan Kaynakları
3- Belirlenen kapsamın dokümante bilgi olarak oluşturulması
Genel anlamda standartta melidir – malıdır diye biten cümleler için istenen gereksinim ile ilgili mutlaka yazılı bilgi olarak sürecin kayıt altına olması beklenir.
Oluşturduğumuz Bilgi Güvenliği Yönetim Sistemi kapsamımızı mutlaka yazılı olarak bir doküman içinde muhafaza etmeliyiz.
Bununla birlikte aslında standardın her bir maddesine ait gereksinimlerinin karşılanması ve EK-A Kontrollerinde ihtiyacımız olan kontrollerin uygulanması ile ilgili süreçlerin tasarımı yapılırken mutlaka o kontrol maddesinin uygulandığına dair Objektif delilleri üretebileceğimiz yöntemleri tercih etmemiz ve bu yöntemleri tanımlayarak yazılı hale yani dokümante edilmiş bilgi haline getiriyor olmamız Bilgi Güvenliği Yönetim Sisteminin sürdürülebilir hale getirilmesine büyük katkı sağlayacaktır.
Dikkat edilmesi gerekenler
1) Kapsam oluştururken standart 4.1 ve 4.2 maddesini dikkate alarak oluşturulmasını istiyor bizden. Mutlaka bu maddeleri dikkate almamız gerekiyor. Peki nasıl dikkate alacağız?
Örnekler
a) Kuruluş/şirket ISO 27001:2022 Belgelendirmesini bir kanun ile yararlanacağı bazı imtiyazlardan ve fırsatlardan yararlanmak için istenen şartlardan-gereksinimlerden biri olduğu için alacak. Bunun adı da Ülkemizdeki Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği içinde geçen Yetkilendirilmiş Yükümlü Statüsü olsun.
Bu durumda Yönetmelik içinde Yetkilendirilmiş Yükümlü statüsü başvurusu ve kapsamı içinde belirlenen şartlar, Bilgi Güvenliği Yönetim Sisteminin Fiziki Sınırları ve Uygulanabilirliği belirlenirken mutlaka göz önüne alınmalıdır.
b) Bir başka durumda 6698 Sayılı Kişisel Verilerin Korunması Kanununa Uyum için yapılan çalışmalar kapsamında ISO 27001:2022 kurulumu ve sonrasında belgelendirmesi hedeflenmiştir.
Bu durumda 6698 Sayılı kanuna uyumun kurumun/şirketin tüm iş süreçleri içerisinde ele alınması gerekliliği göz önünde bulundurduğumuzda Bilgi Güvenliği Yönetim Sisteminin Fiziki Sınırları ve Uygulanabilirliği belirlenirken 6698 Sayılı kanuna Uyum kapsamı mutlaka göz önüne alınmalıdır.
c) Bir başka durumda Müşteri ile yapılan iş sözleşmesine bağlı Müşteri Özel isteği kapsamında TISAX belgesinin alınması istenmektedir.
Bu durumda TISAX belgesi gereklilikleri Bilgi Güvenliği Yönetim Sisteminin Fiziki Sınırları ve Uygulanabilirliği belirlenirken mutlaka göz önüne alınmalıdır.
2) Kapsam ve Uygulanabilirlik tarafında Belgelendirme denetimlerinde sıklıkla karşılaşılan “D lokasyonumuz kapsam içinde değildir. Ya da x lokasyonda Üretim birimi kapsamımızda değildir” diye verilen cevaplar.
Evet doğru ama aşağıdaki hususları aklınızdan çıkarmayın
D Lokasyonunuz kapsamda olmamasına rağmen kapsam içinde bulunan Merkez lokasyon ve diğer lokasyonlar ile fiziksel ve sanal ağlar ile birbirine network bağlantısı var. Bu ilişkiden kaynaklı oluşabilecek Bilgi Güvenliği risklerine ait Risk değerlendirmelerinin ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Risk Yönetimi süreçlerinde mutlaka değerlendirmelidir.
Kapsamda olmasa da D lokasyonundan kaynaklı olabilecek bilgi güvenliği riskleri olabilir. Böyle bir durumda denetim esnasında kapsamınızda olmasa bile D lokasyonunuzun aradaki network bağlantısından dolayı kapsam içindeki lokasyon üzerindeki sistemler için (Bilgi ve diğer ilişkili varlıklar) oluşturabileceği risklere ait Risk değerlendirme kayıtlarının denetçi tarafından sorgulanabileceğini unutmayın.
3) Uygulanabilirliğin belirlenmesinde sürecin doğası gereği uygulanabilirlik kapsamı içinde olması gereken süreçler/birimler olabilir.
Örnekler
a) Üst Yönetim; Yönetim sistemleri üst yönetim talebi ve desteği ile kurulur.
b) Bilgi İşlem; ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı diğer standartlara göre daha geniş ve teknik kontrolleri fazla olan bir standarttır. IT Sürecin doğası gereği mutlaka kapsamda olmalıdır.
c) İnsan Kaynakları; ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı içinde birden çok kontrol maddesi ve BGYS Organizasyonu içindeki rollerinden dolayı işin doğası gereği mutlaka kapsamda olmalıdır.
d) Satınalma- Tedarik Yönetimi; ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı içinde Satınalma-Tedarik Yönetimi süreçleri içerisinde yürütülen, yürütülecek birden çok kontrol maddesi bulunmaktadır. İşin doğası gereği mutlaka kapsamda olmalıdır.
e) Bakım; ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı içinde Ekipman bakımı, Kablolama Alt yapı, Destekleyici alt yapı hizmetleri gibi Bakım süreçleri içerisinde yürütülen, yürütülecek birden çok kontrol maddesi bulunmaktadır. İşin doğası gereği mutlaka kapsamda olmalıdır.
4.4 Bilgi güvenliği yönetim sistemi / 4.4 Establish, implement and maintain an ISMS
Kuruluş, bu dokümanın gerekliliklerine uygun olarak, ihtiyaç duyulan prosesler ve etkileşimleri de dahil olmak üzere bir bilgi güvenliği yönetim sistemi kurmalı, uygulamalı, sürdürmeli ve sürekli olarak iyileştirmelidir.
Bilgi Güvenliği Yönetim Sistemi Standart gereksinimlerini karşılamak için gerekli olan süreçler ve bu süreçlerin etkileşimleri de dahil olmak üzere Bilgi Güvenliği Yönetim Sistemi için süreç yapısının kurulması ve bu süreç yapısına bağlı BGYS dokümantasyonunu oluşturmamız gerekiyor.
1- Bilgi Güvenliği Yönetim Sistemi Süreçlerinin Oluşturulması
Süreçleri iki farklı yöntem uygulayarak oluşturabilirsiniz.
a) Bölümlerin iş süreçlerinin içerisine BGYS Süreçleri olarak entegre edilebilir.
b) Standart gereklilikleri karşılayacak BGYS Süreçleri ve bu süreçlere bağlı alt süreçler oluşturulabilir.
Örnek
Oluşturacağınız Süreç kartları minumumda aşağıdaki hususları içerebilir
a) Süreç adı
b) Süreç tipi
c) Süreç sahibi
d) Süreç sorumluları
e) Sürecin girdileri
f) Sürecin çıktıları
g) Sürecin kaynakları
h) İlişkili süreçler
i) Referans dokümanlar
2- Bilgi Güvenliği Yönetim Sistemi Süreçlerine bağlı Dokümanların Oluşturulması
Standardın gereksinimlerinin karşılanması için gerekli olduğu belirlenen süreçlerin gerçekleştirilmesi ile ilgili yöntem ve uygulamaların tanımlanması gerekiyor. Bu tanımlamalar Standardın 7.5 Dokümante edilmiş (Yazılı) bilgi maddesi doğrudan ilişkilidir.
Her hafta önce ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standart maddeleri ve standart maddeler tamamlandıktan sonra da EK-A Kontrol Maddelerinin uygulanması ile ilgili 1 veya 2 Maddenin uygulanması ile ilgili yazım olacak. Takip etmek isterseniz Right Team Danışmanlık firmamızı takibe alabilirsiniz.
Faydalı olması dileğiyle,
Tuncay SÖZERİ
ISO 27001 & ISO 27701
Baş Denetçi Eğitmeni / Danışman
Whatsapp Hattı