- ISO 27001:2013 standardı genel yapısı
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının 25.09.2013 tarihinde yayımlanan yeni sürümüyle standardın yapısında önemli değişiklikler yapıldı.
Ortak Teknik Komite ISO/IEC JTC 1, Bilgi teknolojisi Alt komitesi SC 27, BT Güvenlik teknikleri tarafından hazırlanan ISO 27001 standardının yeni sürümü, değişik sektörlerdeki ve büyüklükteki kuruluşlarda belirledikleri bağlamda (context) bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları belirtmektedir. ISO/IEC 27001 ile birlikte „Code of Practice“ ISO/IEC 27002 güncelleştirilmiş ve her iki standart aynı zamanda revize edilmiştir.
Güncellenen BGYS standardı, 2005 yılında yayımlanan ilk içeriğiyle karşılaştırıldığında standart maddelerinde radikal değişiklikler yapıldığı izlenimi edinilmesine karşın yakından bakıldığında bu değişikliklerin göreceli olduğu anlaşılmaktadır.
Bu makalede özellikle standardın 4. Maddesi “Kuruluşun bağlamı” konusu ele alınmıştır. Benzer bir madde ISO 22301:2012 İş Sürekliliği Yönetim Sistemi (Business Continuity Management System-BCMS) standardında “kuruluşun bağlamı” (Context of the organization) başlığına karşı gelmektedir. Ve her iki standart yapı olarak aynı başlıklara sahiptir.
ISO’dan yapılan açıklamaya göre bundan böyle yönetim sistemi standartlarının daha iyi, kolay ve anlaşılabilir şekilde algılanmasını sağlamak amacıyla ISO/IEC direktifleri, Bölüm-1’deki Annex SL [1] yapısı dikkate alınarak diğer yönetim sistemi standartlarının revizyonlarında da bu formata uyum dikkate alınacaktır. Bu tür bir yapı değişikliğinin yönetim sistemlerinin entegrasyonu yönünden de önemli kolaylıklar sağlayacağı açıktır.
Değişik sektör ve büyüklükteki kuruluşların bilgi güvenliği ihtiyaçlarını karşılayacak şekilde elden geçirilen BGYS standardının yeni versiyonu aşağıdaki başlıklar altında toplanmıştır;
- Kapsam
- Atıf yapılan Standart ve/veya dokümanlar
- Terimler ve Tarifler
- Kuruluşun Bağlamı
- Liderlik
- Planlama
- Destek
- İşletim (Operasyon)
- Performans değerlendirme
- İyileştirme
2. Yöntem
Standardın, Kapsam (Md.1) bölümünde belirtildiği gibi; Bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları belirten ISO 27001:2013 aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içermektedir. Bünyesinde BGYS kurmayı hedefleyen firmalar, standardın 4-10. maddelerinde belirtilen şartların tümüne ait yapacakları çalışmaları dikkate almak zorundadır. Başka bir ifadeyle bu maddelerin herhangi birinin dışarıda bırakılması kabul edilmeyecektir.
Standardın “Atıf yapılan Standard ve/veya dokümanlar” başlığı (Md.2) altında; ISO/IEC 27000 [2], Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemi – Genel Bakış ve Terimler Sözlüğü’ne atıfta bulunulmuş ve bu standarttaki terimlere ve tariflere (46 adet) uyulması öngörülmüştür.
Kuruluşun bağlamı (Md.4); “kuruluş, amaçları ile ilgili olan ve bilgi güvenliği yönetim sisteminin hedeflenen çıktılarını başarma kabiliyetini etkileyebilecek iç ve dış hususları belirlemelidir.” şeklinde ifade edilmiştir.
Bu hususların belirlenmesinde, ISO 31000:2009 [3] Madde 5.3’de (Establishing the context) ele alınan, kuruluşun dış ve iç bağlamının oluşturulmasına atıf yapılmıştır. Atıfta bulunulan risk yönetimi standardının ilgili maddesi incelendiğinde, risk yönetiminin çerçevesini oluşturmadan önce iç ve dış etkenleri (hususları) tanımlayabilmek, risk yönetim sisteminin uygulama alanını ve risk kriterlerini belirleyebilmek için söz konusu etkenlerin kuruluş için ne derece önem taşıdıkları dikkate alınarak ilişkilendirme yapılmalıdır. Bu etkenlerin birçoğu risk yönetim sisteminin oluşum sürecinde göz önünde bulundurulan unsurlarla benzerlik göstermektedir. Risk yönetim süreci ile ilgili olarak yapılacak ilişkilendirmede ise ayrıntılı bir gözlem yapılmalı ve risk yönetim sürecinin her aşaması bağımsız olarak şekillendirilmelidir.
Şimdi bu iç ve dış etkenleri ISO 31000:2009 şartlarında inceleyelim.
Dışsal İlişkilendirme (Dış hususlar)
Dışsal ilişkilendirme, kuruluşun amaçlarına ulaşabilmesinde içinde bulunduğu dış çevreyi (dış hususlar) kapsamaktadır.
Dışsal ilişkilendirme anlayışıyla, risk kriterlerinin gelişiminde kuruluş dışı hissedarların beklentilerinin ve isteklerinin göz önünde bulundurulması sağlanır. İşletme ekseninde bir ilişkilendirme söz konusu olduğunda ise, uygulama alanında risk yönetim süreci için önemli olan farklı risk görüşleri kadar, paydaşların bu konudaki yaklaşımları ve özellikle de kimi yasal ve düzenleyici yaptırımlar belirleyici unsurlardır.
Asgari koşullarda dışsal ilişkilendirme (dış hususlar) aşağıdakileri kapsar ;
- bölgesel, ulusal ya da uluslararası farklılıkların kültürel, politik, hukuksal, düzenleyici, finansal, teknolojik, ekonomik, çevresel ve rekabetçi koşulları,
- kuruluşun hedeflerini etkileyen tetikleyici unsurları ve eğilimleri,
- harici (kuruluş dışı) paydaşların yaklaşımları ve değerleri
İçsel İlişkilendirme (İç hususlar)
İçsel ilişkilendirme; kuruluşun, hedeflerini gerçekleştirmeye çalıştığı süreçte içinde bulunduğu mevcut koşulları kapsamaktadır.
Risk yönetim sürecinin, kültürel, işlemsel ve yapısal koşullara uyumluluk göstermesi gerekmektedir. İçsel ilişkilendirme, kuruluşun kendi bünyesinde yer alan ve bertaraf etmek istediği bütün risk türlerine herhangi biçimde etki eden her türlü unsuru kapsamaktadır.
İçsel ilişkilendirmenin yapılandırılmasında şu gerekçelerden yararlanılmalıdır:
- Risk yönetimi kuruluşun hedefleri doğrultusunda uygulanır.
- Belirli bir projenin, sürecin ya da faaliyetin hedeflerinin ve risk kriterlerinin belirlenmesinde, kuruluşun genel hedefleri göz önünde bulundurulmalıdır.
- Kuruluşların birçoğu için, stratejik hedeflere, proje hedeflerine ya da iş hedeflerine ulaşamama ihtimali büyük ölçüde bir risk teşkil etmektedir. Bu risk, kuruluşun süregelen yükümlülüğünü, itibarını, güvenilirliliğini ve değerini etkilemektedir.
İçsel ilişkilendirmenin yapılandırılmasına ilişkin boyutlar:
- Kaynaklar ve faaliyetler için gerekli unsurlar (ör: sermaye, zaman, insan, süreçler, sistemler ve teknolojiler),
- Bilgi işletim sistemleri, bilgi akışı ve karar süreci (resmi ya da gayri resmi),
- Dahili (kuruluş içi) paydaşlar,
- Tanımlanmış hedeflere ve geçerli stratejilere ulaşmak için yapılacak eylemler,
- Temel prensipler, değerler ve kültür,
- Kuruluşun üstlendiği standartlar, kılavuzlar ve referans modeller
- Organizasyon (ör. yönetim, görev ve sorumluluklar)
olarak açıklanmaktadır.
- Risk yönetimi bağlamında ilişkilendirme
Kuruluşun hedefleri, stratejileri, faaliyet alanı ve özelliklerine etki eden diğer unsurlar ya da kuruluş bünyesinde risk yönetiminin uygulanacağı tüm bölümler belirlenmelidir. Risklerin yönetiminde, risk yönetimi için gerekli olan kaynakların ihtiyaç ve gerekliliklerine göre hareket edilmelidir.
Gerekli araçların (kaynakların), sorumlulukların ve yetkilerin yanı sıra bunlara dair bilgi ve belgelerin de ayrı ayrı belirtilmesi gerekmektedir.
Risk yönetimi süreci bağlamında yapılacak ilişkilendirme, kuruluşun ihtiyaçlarına göre değişkenlik gösterebilir. Söz konusu ilişkilendirme ile ilgili asgari koşullarda göz önünde bulundurulacak hususlar:
- Risk yönetim sürecindeki sorumlulukların belirlenmesi,
- Gerçekleştirilecek dahili ve harici risk yönetimi faaliyetlerinin boyutunun, derinliğinin ve genişliğinin en ince ayrıntısına kadar tanımlanması,
- Faaliyetin, sürecin, işlevin, projenin, ürünün, hizmetin ya da varlık değerinin
- zamana, mekana, hedefe ve amaca göre tanımlanması,
- Risk yönetimi projesi ve kuruluşun diğer projeleri ya da faaliyetleri arasındaki bağlantının açıklanması,
- Risk değerlendirme yönteminin (metodolojisinin) belirlenmesi,
- Risk yönetimi değerlendirme metodunun performansı ve ne derece etkili olduğu,
- Zorunlu olarak alınması gereken kararların belirlenmesi ve tanımlanması,
- Kapsamın, hedeflerin ve gerekli kaynakların sağlanabilmesi için yapılacak ön çalışmaların belirlenmesi
olarak açıklanmaktadır.
Kuruluşun içinde bulunduğu durumla ve hedeflerine ulaşabilmesine engel olan risklerle uyumlu bir risk yönetimi sistemi anlayışı oluşturabilmek için bu ve ilgili diğer unsurların dikkate alınması gerekmektedir.
- Tartışma ve Sonuç
Görüldüğü gibi ISO/IEC 27001 standardının güncellenen 2013 versiyonunda kurum bağlamı, ISO 31000 standardı referans alınarak kuruluşlara risk yönetimi sürecinin daha etkin bir şekilde ele alınmasını ve bu yönde önleyici bir yaklaşım sergilenmesini, bunun sonucunda riskleri ve fırsatları ele alacak aksiyonların yapılmasını gerektiren bir dizi çalışmayı öngörmektedir. Tüm bu çalışmaların sürekli iyileştirme döngüsü içinde yürütülmesi de unutulmamalıdır.
- Kaynaklar
[1] ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 2012
[2] ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
[3] ISO 31000, Risk Management — Principles and Guidelines