TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı – Kapsama Dair

TS ISO/IEC 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Standardı

Bilgi güvenliği adına ülkemizde ve dünyada kullanılmakta olan en son standart ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılı sürümü ile yayınlanmış idi.  Standardın uygulamasında yaşanan bir takım zorluklar ve yeni gelişen teknolojilere ve ihtiyaçlara göre standart yeniden  gözden geçirilmiş ve revize edilerek 2013 yılında ISO/IEC 27001 :2013 Bilgi Güvenliği Yönetim Sistemi Standardı yayınlanmıştır. Yayımlanan Standart Türk Standartları Enstitüsü tarafından da Türk Standardı olarak yeni versiyon Türkçe olarak yayınlanmıştır.

Yeni versiyon ve Eski versiyon ile ilgili detaylı bilgiyi daha önceki  makalemizde paylaşmıştır. Makaleye buradan ulaşabilirsiniz.

Bu makalemizde Kapsamın tanımlanması ile ilgili  durumu netleştirmeye çalışacağız.

27001 Standardının 2005 versiyonunda kapsam şu şekilde tanımlanmıştı.

1 Kapsam
1.1 Genel
Bu standard, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standard, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir.
BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Not 1 – Bu standardda, “iş” terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamınagelmektedir.
Not 2 – ISO/IEC 17799, kontroller tasarlanırken kullanılabilecek gerçekleştirme kılavuzu sağlar.

1.2 Uygulama

Bu standardla ortaya konulan gereksinimler geneldir ve türü, büyüklüğü ve doğasından bağımsız olarak tüm kuruluşlara uygulanabilir olması amaçlanmaktadır. Bir kuruluş bu standarda uyumluluk iddiasında bulunduğunda, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de belirlenen herhangi bir gereksinimin dışarıda bırakılması kabul edilebilir değildir.

Risk kabul kriterlerini sağlamak için dışarıda bırakılması gerekli bulunan her kontrolün açıklanabilmesi ve ilişkili risklerin sorumlu kişilerce uygun olarak kabul edildiğine ilişkin kanıtın sağlanması gerekir. Herhangi bir kontrol dışarıda bırakıldığında, bu standarda uyumluluk iddiası, hariç tutulan gereksinimlerin, risk değerlendirme ve uygulanabilir yasal ve düzenleyici gereksinimler tarafından belirlenen güvenlik gereksinimlerini karşılayacak bilgi güvenliğini sağlamak için kuruluşun kabiliyetini ve/veya sorumluluğunu etkilemedikçe kabul edilmez.

Not – Bir kuruluş zaten işleyen bir iş proses yönetimi sistemine (örneğin, ISO 9001 veya ISO 14001 ile ilgili) sahipse, birçok durumda bu standardın gereksinimlerinin mevcut yönetim sistemi içinde sağlanması
tercih edilir.

bu açıklamalar ışığında genel olarak kapsam kurumun fiziki adresi ve varsa şubeleri buralarda  sürüdürülen iş ve işlemler şeklinde tanımlanabilmekteydi.

yeni versiyonda ise kapsam kavramı biraz daha genişletilmiş Kurumun hedeflerine ulaşmasını tehdit eden tüm iç ve dış faktörleri kapsam olarak tanımlanması istenmektedir.  yeni versiyon da kapsam ile ilgili madde şu şekilde verilmiştir.

1 Kapsam

Bu standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. Bu standard aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içerir. Bu standardda ortaya konulan şartlar geneldir ve türleri, büyüklükleri ve doğalarından bağımsız olarak tüm kuruluşlara uygulanabilir olması hedeflenmiştir. Bir kuruluşun bu standarda uyumluluk iddiasında bulunması durumda, Madde 4 ila Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul edilebilir değildir.

öte yandan

4 Kuruluşun bağlamı

4.1 Kuruluşun ve bağlamının anlaşılması

Kuruluş, amaçları ile ilgili olan ve bilgi güvenliği yönetim sisteminin hedeflenen çıktılarını başarma kabiliyetini etkileyebilecek iç ve dış hususları belirlemelidir.

Not – Bu hususların belirlenmesi, ISO 31000:2009 [5] Madde 5.3 te ele alınan kuruluşun dış ve iç bağlamının oluşturulmasına atıf yapar.

4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

Kuruluş aşağıdakileri belirleyecektir:

a) Bilgi güvenliği yönetim sistemi ile ilgili taraflar ve
b) Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri.

Not – İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan yükümlülükleri içeriyor olabilir.

Standardın ingilizce versiyonundan Madde 4 “Context of the organization” şeklinde verilmiş ve Türkçeye “Kuruluşun Bağlamı” şeklinde çevrilmiş.  Context kelimesinin tam karşılığı olarak Bağlam kelimesi kullanılmış fakat sözlüklere baktığımız zaman context kelimesine karşılık Sartlar yada Durum kelimelerinin de karşılık geldiğini görmekteyiz. Madde de belirtilen açıklamalara baktığımızda “Kurumun Şartları” yada “Kurumun Durumu”  tanımlarının kullanılmasının daha uygun olacağı görülmektedir.

yukarıda da anlaşılacağı üzere yeni versiyonda kapsamı tanımlamak için ISO 31000:2009 Standardının Madde 5.3 e atıf yapılmıştır. ISO 31000:2009 Risk Yönetimi Standardı olarak bilinmektedir. Standart ile ilgili detaylı bilgiye buradan ulaşabilirsiniz.

ISO 31000:2009 Risk Yönetimi Standardında Madde 5.3 Kapsam Oluşturma olarak verilmiştir.

Kapsam oluşturma, işletmenin özellikleri ve risk tutumu da dikkate alınarak hedeflerin belirlendiği, bu doğrultuda risk yönetimi sürecinin şekillendirildiği ve sürecin sınırlarının çizildiği aşamadır. Bu aşamada işletmelerin çevresindeki sosyal, kültürel, siyasal ve ekonomik dış çevresel faktörler ile işletmenin kültür, yapı, kaynak ve yetenek gibi iç çevresel faktörleri de dikkatte alır. Kapsam oluşturulurken işletmenin risk yönetim politikası, risk yönetim süreçleri, risk yönetim planları, risk kriterleri, risk sorumluları ile iletişim ve raporlama süreçleri gibi risk yönetim sistemi ile ilgili tüm unsurlar belirlenir veya düzenlenir veya gözden geçirilir.

Öte yandan risk yönetimi için temel parametreler tanımlanır, risk yönetimi sürecinin sınırları dışarıda kalan kriterler ve alanlar düzenlenir. Bu nedenle kapsam oluşturma, sadece risk yönetim süreci için değil aynı zamanda risk yönetimi politikası oluşturulurken ve risk kriterleri belirlenirken de ihtiyaç duyulan, işletmenin hedeflerini gerçekleştirmek için gerekli iç ve dış çevre faktörlerinin tanımlanmasını olarak da açıklanabilir.

kapsamDış Kapsam Oluşturma (Madde 5.3.2) : Dış kapsam kurumun hedeflerine ulaşmak için içinde bulunduğu dış ortamdır. Dış kapsamın anlaşılması, risk kriterlerini geliştirirken dış paydaşların hedefleri ve kaygılarını dikkate alabilmeyi sağlar. Kapsam oluşturma kurumun çapındadır ancak yasal düzenleyici şartlara ait özel ayrıntılar, paydaşların algılamaları ve riskin, risk yönetim süreci kapsamına özgü diğer yönleri ile birlikte ele alınır.

İç Kapsam Oluşturma (Madde 5.3.3): İç kapsam işletmenin hedeflerine ulaşmak için içinde bulunduğu iç ortamlardır. Risk yönetim Süreci işletmenin kültürü, süreçleri, yapısı ve stratejisi ile uyumlu olmalıdır. İç kapsam ise işletmenin risk yönetim biçimini etkileyebilen işletme içindeki herhangi bir şeydir. İç kapsam aşağıdaki nedenler için  oluşturulmalıdır.

a) Risk yönetimi kurumun hedeflerini kapsamında yer alır.

b) Özel Proje, süreç veya faaliyetin hedefleri ve kriterleri de bir bütün olarak olarak işletmenin hedefleri ışığında düşünülmelidir. İç kapsamın oluşturulması, hedeflerin ve kriterlerin doğru olarak belirlenmesine yardımcı olur.

c) Bazı işletmeler kendi stratejik, proje veya iş hedeflerini gerçekleştirmek için fırsatları tanımada başarısız olur ve bu durum işletmenin örgütsel bağlılığını, inanılırlığını,güvenini ve değerini etkiler. İç kapsamın oluşturulması işletmelerin fırsatları değerlendirmedeki başarısını artırarak sonrasında yaşanacak olumsuzlukları engeller.

Görüldüğü gibi  27001: 2013 versiyonu Risk Yönetimi konusuna daha da ağırlık vermiştir. Kurumlar için en kıymetli olan bilgiyi sadece kurum içerisindeki riskleri göz önünde bulundurmak yeterli görülmemiş kurum dışındaki çevresel faktörlerde dikkate alınması ve takip edilmesi ifade edilmektedir.

Kaynakça :

TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı
TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı
ISO/IEC 31000:2009 Risk Yönetimi Standardı
Dr.Duygu Kızıldağ, Yönetsel Açıdan Risk Yönetimine Bir Bakış, ISO 31000 Risk Yönetimi

ISO 31000:2009 Risk Yönetimi – Risk management

Risk Yönetimi Standardı

Risks affecting organizations can have consequences in terms of economic performance and professional reputation, as well as environmental, safety and societal outcomes. Therefore, managing risk effectively helps organizations to perform well in an environment full of uncertainty.

ISO 31000:2009

ISO 31000:2009, Risk management – Principles and guidelines, provides principles, framework and a process for managing risk. It can be used by any organization regardless of its size, activity or sector. Using ISO 31000 can help organizations increase the likelihood of achieving objectives, improve the identification of opportunities and threats and effectively allocate and use resources for risk treatment.
However, ISO 31000 cannot be used for certification purposes, but does provide guidance for internal or external audit programmes. Organizations using it can compare their risk management practices with an internationally recognised benchmark, providing sound principles for effective management and corporate governance.

Related Standards

A number of other standards also relate to risk management.

  • ISO Guide 73:2009, Risk management – Vocabulary complements ISO 31000 by providing a collection of terms and definitions relating to the management of risk.
  • ISO/IEC 31010:2009, Risk management – Risk assessment techniques focuses on risk assessment. Risk assessment helps decision makers understand the risks that could affect the achievement of objectives as well as the adequacy of the controls already in place.  ISO/IEC 31010:2009 focuses on risk assessment concepts, processes and the selection of risk assessment techniques

ISO 31000:2009 RİSK YÖNETİMİ STANDARDI

Uluslararsı kabul görmüş ve her faaliyet alanında uygulanabilecek bir risk yönetimi standardına ihtiyaç duyulması nedeniyele dünyanın en büyük standar geliştiricisi ve yayıncısı ISO, tutarlı ve güvenişlir bir risk yönetimi standardı oluşturmak için çalışmalara başlamıştır. 1990’ların sonunda ISO, önce kendi standarlarında kullanılan risk yönetimi terminolojisi uyumlaştırma çabası başlatmıştır. Bir risk yönetimi standardı geliştirmeye yönelik önemli gelişme ise, 2002 yılında ISO Guide 73: Risk yönetimi – Terimler ve Tarifler kılavuzunun yayınlanması ile olmuştur. ISO Guide 73  Farklı disiplinlere uygun ve geniş bir yelpaze tarafından kullanılabilen, risk yönetimi ve risk yönetimi ile ilgili faaliyetler  ilişkili tanımlar terim ve yaklaşımların açıklandığı bir kılavuzdur.

Risk yönetimi ile ilgil ilk resmi ve yaygınlık kazanmış standart ise Avustralya/Yeni zelanda standardıdır. 1999 yılında yayımlanan standart  AS/NZS 4360,2004 yılında yeniden yapılandırılmıştır.

ISO 31000 Risk Yönetimi Sistemi Paketi

ISO Guide 73:2009: Risk Yönetimi – Terimler ve Tarifler Risk Yönetimi İle ilgili terimlerin ve tariflerin açıklandığı sözlük.

ISO/IEC 31010:2009 Risk Yönetimi – Risk Değerlendirme Teknikleri: Risk Yönetimi Süreçlerinin işletmenin tüm süreçlerine entegre olmasını sağlayacak bir rehber.

ISO 31000:2009 Prensip ve İlkeler Risk Yönetiminde riskleri tanımlamak, analiz etmek, değerlemek ve riskleri iyileştirmek için süreçlerin ve performans kriterlerinin belirtildiği bir kılavuz olarak tanımlanabilir.

ISO 31000:2009 Risk Yönetimi Standardı İçeriği

A- Risk Yönetimi Prensipleri

B-Risk Yönetimi Çerçevesi

Madde 4.2 Veklet ve Taahhüt
Madde 4.3 Risk Yönetimi Çerçevesinin Tasarımı
Madde 4.4 Risk Yönetimi Uygulanması
Madde 4.5 Çerçevenin İzlenmesi ve Gözden Geçirilmesi
Madde 4.6 Çerçevenin Sürekli İyileştirilmesi

C-Risk Yönetimi Süreci

Madde 5.2 İletişim ve İstişare
Madde 5.3 Kapsam Oluşturma
Madde 5.4 Risk Değerlendirme
Madde 5.5 Risk İyileştirme
Madde 5.6 İzleme ve Gözden Geçirme
Madde 5.7 Risk Yönetim Sürecinin kaydı

Kaynak : iso.org, Dr.Duygu Kızıldağ