TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı – Kapsama Dair

TS ISO/IEC 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Standardı

Bilgi güvenliği adına ülkemizde ve dünyada kullanılmakta olan en son standart ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılı sürümü ile yayınlanmış idi.  Standardın uygulamasında yaşanan bir takım zorluklar ve yeni gelişen teknolojilere ve ihtiyaçlara göre standart yeniden  gözden geçirilmiş ve revize edilerek 2013 yılında ISO/IEC 27001 :2013 Bilgi Güvenliği Yönetim Sistemi Standardı yayınlanmıştır. Yayımlanan Standart Türk Standartları Enstitüsü tarafından da Türk Standardı olarak yeni versiyon Türkçe olarak yayınlanmıştır.

Yeni versiyon ve Eski versiyon ile ilgili detaylı bilgiyi daha önceki  makalemizde paylaşmıştır. Makaleye buradan ulaşabilirsiniz.

Bu makalemizde Kapsamın tanımlanması ile ilgili  durumu netleştirmeye çalışacağız.

27001 Standardının 2005 versiyonunda kapsam şu şekilde tanımlanmıştı.

1 Kapsam
1.1 Genel
Bu standard, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standard, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir.
BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Not 1 – Bu standardda, “iş” terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamınagelmektedir.
Not 2 – ISO/IEC 17799, kontroller tasarlanırken kullanılabilecek gerçekleştirme kılavuzu sağlar.

1.2 Uygulama

Bu standardla ortaya konulan gereksinimler geneldir ve türü, büyüklüğü ve doğasından bağımsız olarak tüm kuruluşlara uygulanabilir olması amaçlanmaktadır. Bir kuruluş bu standarda uyumluluk iddiasında bulunduğunda, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de belirlenen herhangi bir gereksinimin dışarıda bırakılması kabul edilebilir değildir.

Risk kabul kriterlerini sağlamak için dışarıda bırakılması gerekli bulunan her kontrolün açıklanabilmesi ve ilişkili risklerin sorumlu kişilerce uygun olarak kabul edildiğine ilişkin kanıtın sağlanması gerekir. Herhangi bir kontrol dışarıda bırakıldığında, bu standarda uyumluluk iddiası, hariç tutulan gereksinimlerin, risk değerlendirme ve uygulanabilir yasal ve düzenleyici gereksinimler tarafından belirlenen güvenlik gereksinimlerini karşılayacak bilgi güvenliğini sağlamak için kuruluşun kabiliyetini ve/veya sorumluluğunu etkilemedikçe kabul edilmez.

Not – Bir kuruluş zaten işleyen bir iş proses yönetimi sistemine (örneğin, ISO 9001 veya ISO 14001 ile ilgili) sahipse, birçok durumda bu standardın gereksinimlerinin mevcut yönetim sistemi içinde sağlanması
tercih edilir.

bu açıklamalar ışığında genel olarak kapsam kurumun fiziki adresi ve varsa şubeleri buralarda  sürüdürülen iş ve işlemler şeklinde tanımlanabilmekteydi.

yeni versiyonda ise kapsam kavramı biraz daha genişletilmiş Kurumun hedeflerine ulaşmasını tehdit eden tüm iç ve dış faktörleri kapsam olarak tanımlanması istenmektedir.  yeni versiyon da kapsam ile ilgili madde şu şekilde verilmiştir.

1 Kapsam

Bu standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. Bu standard aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içerir. Bu standardda ortaya konulan şartlar geneldir ve türleri, büyüklükleri ve doğalarından bağımsız olarak tüm kuruluşlara uygulanabilir olması hedeflenmiştir. Bir kuruluşun bu standarda uyumluluk iddiasında bulunması durumda, Madde 4 ila Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul edilebilir değildir.

öte yandan

4 Kuruluşun bağlamı

4.1 Kuruluşun ve bağlamının anlaşılması

Kuruluş, amaçları ile ilgili olan ve bilgi güvenliği yönetim sisteminin hedeflenen çıktılarını başarma kabiliyetini etkileyebilecek iç ve dış hususları belirlemelidir.

Not – Bu hususların belirlenmesi, ISO 31000:2009 [5] Madde 5.3 te ele alınan kuruluşun dış ve iç bağlamının oluşturulmasına atıf yapar.

4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

Kuruluş aşağıdakileri belirleyecektir:

a) Bilgi güvenliği yönetim sistemi ile ilgili taraflar ve
b) Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri.

Not – İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan yükümlülükleri içeriyor olabilir.

Standardın ingilizce versiyonundan Madde 4 “Context of the organization” şeklinde verilmiş ve Türkçeye “Kuruluşun Bağlamı” şeklinde çevrilmiş.  Context kelimesinin tam karşılığı olarak Bağlam kelimesi kullanılmış fakat sözlüklere baktığımız zaman context kelimesine karşılık Sartlar yada Durum kelimelerinin de karşılık geldiğini görmekteyiz. Madde de belirtilen açıklamalara baktığımızda “Kurumun Şartları” yada “Kurumun Durumu”  tanımlarının kullanılmasının daha uygun olacağı görülmektedir.

yukarıda da anlaşılacağı üzere yeni versiyonda kapsamı tanımlamak için ISO 31000:2009 Standardının Madde 5.3 e atıf yapılmıştır. ISO 31000:2009 Risk Yönetimi Standardı olarak bilinmektedir. Standart ile ilgili detaylı bilgiye buradan ulaşabilirsiniz.

ISO 31000:2009 Risk Yönetimi Standardında Madde 5.3 Kapsam Oluşturma olarak verilmiştir.

Kapsam oluşturma, işletmenin özellikleri ve risk tutumu da dikkate alınarak hedeflerin belirlendiği, bu doğrultuda risk yönetimi sürecinin şekillendirildiği ve sürecin sınırlarının çizildiği aşamadır. Bu aşamada işletmelerin çevresindeki sosyal, kültürel, siyasal ve ekonomik dış çevresel faktörler ile işletmenin kültür, yapı, kaynak ve yetenek gibi iç çevresel faktörleri de dikkatte alır. Kapsam oluşturulurken işletmenin risk yönetim politikası, risk yönetim süreçleri, risk yönetim planları, risk kriterleri, risk sorumluları ile iletişim ve raporlama süreçleri gibi risk yönetim sistemi ile ilgili tüm unsurlar belirlenir veya düzenlenir veya gözden geçirilir.

Öte yandan risk yönetimi için temel parametreler tanımlanır, risk yönetimi sürecinin sınırları dışarıda kalan kriterler ve alanlar düzenlenir. Bu nedenle kapsam oluşturma, sadece risk yönetim süreci için değil aynı zamanda risk yönetimi politikası oluşturulurken ve risk kriterleri belirlenirken de ihtiyaç duyulan, işletmenin hedeflerini gerçekleştirmek için gerekli iç ve dış çevre faktörlerinin tanımlanmasını olarak da açıklanabilir.

kapsamDış Kapsam Oluşturma (Madde 5.3.2) : Dış kapsam kurumun hedeflerine ulaşmak için içinde bulunduğu dış ortamdır. Dış kapsamın anlaşılması, risk kriterlerini geliştirirken dış paydaşların hedefleri ve kaygılarını dikkate alabilmeyi sağlar. Kapsam oluşturma kurumun çapındadır ancak yasal düzenleyici şartlara ait özel ayrıntılar, paydaşların algılamaları ve riskin, risk yönetim süreci kapsamına özgü diğer yönleri ile birlikte ele alınır.

İç Kapsam Oluşturma (Madde 5.3.3): İç kapsam işletmenin hedeflerine ulaşmak için içinde bulunduğu iç ortamlardır. Risk yönetim Süreci işletmenin kültürü, süreçleri, yapısı ve stratejisi ile uyumlu olmalıdır. İç kapsam ise işletmenin risk yönetim biçimini etkileyebilen işletme içindeki herhangi bir şeydir. İç kapsam aşağıdaki nedenler için  oluşturulmalıdır.

a) Risk yönetimi kurumun hedeflerini kapsamında yer alır.

b) Özel Proje, süreç veya faaliyetin hedefleri ve kriterleri de bir bütün olarak olarak işletmenin hedefleri ışığında düşünülmelidir. İç kapsamın oluşturulması, hedeflerin ve kriterlerin doğru olarak belirlenmesine yardımcı olur.

c) Bazı işletmeler kendi stratejik, proje veya iş hedeflerini gerçekleştirmek için fırsatları tanımada başarısız olur ve bu durum işletmenin örgütsel bağlılığını, inanılırlığını,güvenini ve değerini etkiler. İç kapsamın oluşturulması işletmelerin fırsatları değerlendirmedeki başarısını artırarak sonrasında yaşanacak olumsuzlukları engeller.

Görüldüğü gibi  27001: 2013 versiyonu Risk Yönetimi konusuna daha da ağırlık vermiştir. Kurumlar için en kıymetli olan bilgiyi sadece kurum içerisindeki riskleri göz önünde bulundurmak yeterli görülmemiş kurum dışındaki çevresel faktörlerde dikkate alınması ve takip edilmesi ifade edilmektedir.

Kaynakça :

TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı
TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı
ISO/IEC 31000:2009 Risk Yönetimi Standardı
Dr.Duygu Kızıldağ, Yönetsel Açıdan Risk Yönetimine Bir Bakış, ISO 31000 Risk Yönetimi

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s