ISO 31000:2009 Risk Yönetimi – Risk management

Risk Yönetimi Standardı

Risks affecting organizations can have consequences in terms of economic performance and professional reputation, as well as environmental, safety and societal outcomes. Therefore, managing risk effectively helps organizations to perform well in an environment full of uncertainty.

ISO 31000:2009

ISO 31000:2009, Risk management – Principles and guidelines, provides principles, framework and a process for managing risk. It can be used by any organization regardless of its size, activity or sector. Using ISO 31000 can help organizations increase the likelihood of achieving objectives, improve the identification of opportunities and threats and effectively allocate and use resources for risk treatment.
However, ISO 31000 cannot be used for certification purposes, but does provide guidance for internal or external audit programmes. Organizations using it can compare their risk management practices with an internationally recognised benchmark, providing sound principles for effective management and corporate governance.

Related Standards

A number of other standards also relate to risk management.

  • ISO Guide 73:2009, Risk management – Vocabulary complements ISO 31000 by providing a collection of terms and definitions relating to the management of risk.
  • ISO/IEC 31010:2009, Risk management – Risk assessment techniques focuses on risk assessment. Risk assessment helps decision makers understand the risks that could affect the achievement of objectives as well as the adequacy of the controls already in place.  ISO/IEC 31010:2009 focuses on risk assessment concepts, processes and the selection of risk assessment techniques

ISO 31000:2009 RİSK YÖNETİMİ STANDARDI

Uluslararsı kabul görmüş ve her faaliyet alanında uygulanabilecek bir risk yönetimi standardına ihtiyaç duyulması nedeniyele dünyanın en büyük standar geliştiricisi ve yayıncısı ISO, tutarlı ve güvenişlir bir risk yönetimi standardı oluşturmak için çalışmalara başlamıştır. 1990’ların sonunda ISO, önce kendi standarlarında kullanılan risk yönetimi terminolojisi uyumlaştırma çabası başlatmıştır. Bir risk yönetimi standardı geliştirmeye yönelik önemli gelişme ise, 2002 yılında ISO Guide 73: Risk yönetimi – Terimler ve Tarifler kılavuzunun yayınlanması ile olmuştur. ISO Guide 73  Farklı disiplinlere uygun ve geniş bir yelpaze tarafından kullanılabilen, risk yönetimi ve risk yönetimi ile ilgili faaliyetler  ilişkili tanımlar terim ve yaklaşımların açıklandığı bir kılavuzdur.

Risk yönetimi ile ilgil ilk resmi ve yaygınlık kazanmış standart ise Avustralya/Yeni zelanda standardıdır. 1999 yılında yayımlanan standart  AS/NZS 4360,2004 yılında yeniden yapılandırılmıştır.

ISO 31000 Risk Yönetimi Sistemi Paketi

ISO Guide 73:2009: Risk Yönetimi – Terimler ve Tarifler Risk Yönetimi İle ilgili terimlerin ve tariflerin açıklandığı sözlük.

ISO/IEC 31010:2009 Risk Yönetimi – Risk Değerlendirme Teknikleri: Risk Yönetimi Süreçlerinin işletmenin tüm süreçlerine entegre olmasını sağlayacak bir rehber.

ISO 31000:2009 Prensip ve İlkeler Risk Yönetiminde riskleri tanımlamak, analiz etmek, değerlemek ve riskleri iyileştirmek için süreçlerin ve performans kriterlerinin belirtildiği bir kılavuz olarak tanımlanabilir.

ISO 31000:2009 Risk Yönetimi Standardı İçeriği

A- Risk Yönetimi Prensipleri

B-Risk Yönetimi Çerçevesi

Madde 4.2 Veklet ve Taahhüt
Madde 4.3 Risk Yönetimi Çerçevesinin Tasarımı
Madde 4.4 Risk Yönetimi Uygulanması
Madde 4.5 Çerçevenin İzlenmesi ve Gözden Geçirilmesi
Madde 4.6 Çerçevenin Sürekli İyileştirilmesi

C-Risk Yönetimi Süreci

Madde 5.2 İletişim ve İstişare
Madde 5.3 Kapsam Oluşturma
Madde 5.4 Risk Değerlendirme
Madde 5.5 Risk İyileştirme
Madde 5.6 İzleme ve Gözden Geçirme
Madde 5.7 Risk Yönetim Sürecinin kaydı

Kaynak : iso.org, Dr.Duygu Kızıldağ

Reklamlar

BGYS’’nin Gerçekleştirilmesi ve İşletimi

BGYS’nin Gerçekleştirilmesi ve İşletimi

Uygula aşaması için ISO/IEC 27001 Madde 4.2.2’de tanımlanan “-ecek”,”-acak” ifadeleri; kuruluşun Planla aşaması’nda kurulan BGYS’in gerçekleştirilmesi ve işletilmesi için uygun proses kümesine sahip olunmasını temin etmesi amacıyla tasarlanmıştır.

“Uygula aşaması”ndaki farklı adımlar aşağıdaki gibidir:

a) Bir risk giderme planının formül edilmesi.

Bu plan, tanımlanmış riskleri yönetmek için hangi yönetim eylemlerine başvurulması gerektiği, bu eylemlerin öncelikleri, sınırlayıcı faktörler, son bildirim tarihleri ve gerekli kaynakların neler olduğunun ana hatlarını ortaya koymalıdır. Bilgi güvenliği risklerini yönetme sürecinde başvurulan eylemlerin sorumluluğunun, BGYS’deki yöneticilerin ve kullanıcıların konuyla ilgili güvenlik sorumluluklarında olduğu kadar açıkça ortaya konulmasına ihtiyaç vardır. Başka iş prosesleri ve planlarının da risk giderme planıyla koordine edilmesine ihtiyaç duyulabilir.

b) Risk giderme planının gerçekleştirilmesi.

Kuruluş, BGYS için gerekli olan fon kaynağını, rollerin ve sorumlulukların paylaşımını göz önüne alan bir risk giderme planı ile seçilen kontrol hedefleri ve önlemleri sisteminin gerçekleştirilmesi amacıyla bir dizi süreç belirlemelidir. Bu proseste tanımlanan eylemler, roller ve sorumluluklar yazıya dökülmelidir.

c) Kontrol hedeflerini karşılaması için seçilen kontrollerin gerçekleştirilmesi.

Kuruluş, risk giderme planında yer alan eylemler, öncelikler, kaynaklar, roller ve sorumluluklarla birlikte seçilen kontrollerin gerçekleştirilmesi için prosedürleri ortaya koymalıdır. Kaynak israfını önlemek için gerçekleştirme derecesi (örneğin; ne kadar eğitim, kayıt veya raporlama),çok dikkatlice karar vermeyi gerektirir. Lüzumsuz gerçekleştirme; tüm kontrol etkinliğinde bir azalmayla sonuçlanan, kontrolden etkilenen personelin rahatsızlık duymasına neden olabilir.

Güvenlik ve kontrol, daima insanların yaşamları ve çalışma pratikleri üzerinde etkilidir; ancak hiçbir zaman sıkıntıya sebep olmamalıdır.

d) Kontrol etkinliğinin ölçülmesi ve değerlendirilmesi.

Seçilen kontrollerin gerçekleştirilmesiyle birlikte kontrol etkinliğinin ölçülmesini ve değerlendirilmesini mümkün kılan anlamların da ortaya konulması gereklidir. Kontroller, seçildiği bilgi güvenliği risk(ler)inin yönetiminde işe yaramalıdır. Bu nedenle kuruluş, kontrollerin öngörülen hedefleri elde etmesini temin için kontrollerin etkinliğini nasıl ölçmek istediğini belirlemelidir. Tüm kontrollerin grup hâlinde etkinliğinin ölçülmesi usulü uygun ve anlamlı olduğu sürece kontrolleri gruplar halinde ayırmak mümkün olduğu gibi, bu kontrol gruplarına uygulanacak olan ölçütleri tanımlamak da mümkündür.

Kontrol etkinliğinin belirlenmesinde kullanılan ölçütler, karşılaştırılabilir ve yeniden elde edilebilir sonuçlar vermelidir. Bu ölçütler, kontrollerin maliyet etkinliğini de ortaya koymalıdır. Genellikle bir kontrol için gerçekleştirmenin birden fazla derecesi vardır ve elde edilen faydalar, ilave edilen güvenliğin elde ettiği gerçek kullanım ile karşılaştırılmalıdır. Kontrollerin etkinliğinin ölçülmesi için tanımlanan anlamlar,kuruluşun kontrol etkinliğinin belirlenmesinde nasıl kullanıldığını göstermek için belgelendirme amacıyla yazıya dökülmelidir.

e) Eğitim ve farkındalık programının gerçekleştirilmesi.

Kuruluş, BGYS sorumlulukları olan personelin verilen görevleri yerine getirme konusunda yeterli olmalarını sağlamak için uygun bir farkındalık ve eğitim programı uygulamalıdır. Program gerekli yeterlikleri belirlemeli, bu gereksinimleri karşılamak için gerekli olan eğitimi sunmalı, eğitimin etkinliğini değerlendirmeli ve kazanılan yetilerin ve niteliklerin kaydını tutmalıdır.

Güvenliğin, insanların yaptıkları işi engellemek için var olmadığı unutulmamalıdır. Güvenlik, insanların yaptıkları işi daha kontrollü yapmalarını sağlamalıdır. Güvenlik, insanların verilen sorumlulukları yerine getirdiğini göstermeli ve kıymetlerini hiçbir şüpheye meydan vermeksizin ortaya koymalı ve niteliklerini geliştirmelidir. Çalışanlar, iyi seviyede gerçekleştirilmiş güvenliğin rahatsızlık kaynağından daha çok faydası olduğunu kısa sürede anlayacaklardır.

f) BGYS’nin işletilmesinin idaresi.

Kuruluş, BGYS’yi tanımlanan kontroller, politikalar ve prosedürlere uygun olarak işletmelidir. BGYS’nin gün gün işletilmesi, kurulan güvenlik düzenlemelerinin tasarlandığı gibi işlevini yerine getirip getirmediğinin değerlendirilmesi amacıyla “Kontrol et aşaması” için gerek duyulan bilgiyi sağlamalıdır. Bu değerlendirmenin yapılabilmesi için BGYS’nin işletimi sırasında gerekli olan tüm belgelerin ve kayıtların toplanması önemlidir.

g) BGYS için kaynakların idaresi.

Kuruluş, BGYS’yi işletmek, izlemek, gözden geçirmek, sürekli kılmak ve geliştirmek için gerekli olan kaynakları tanımlamalı ve sağlamalıdır. Yeterli kaynakların sağlanması,ayrıntıları Madde 3.9’da tanımlanan genel yönetim sorumluluğunun bir parçasıdır.

h) İhlal olaylarını idare etmek için prosedürlerin ve kontrollerin gerçekleştirilmesi.

Kuruluş, bilgi güvenliği olaylarını tanımlamak ve rapor etmek, bu olayları değerlendirmek, olaylara etkili bir biçimde karşılık vermek, bilgi güvenliği ihlal olaylarının vereceği zararı sınırlamak için gerekli olan prosedürleri ve kontrolleri belirlemelidir. Bilgi güvenliği ihlal olaylarının tümünün kaydı çoğaltılabilir olmalı ve kuruluş, ihlal olaylarını değerlendirmek ve bu olaylardan dersler almak için usuller belirlemelidir. İhlal olayı yönetimi tarafından yapılan kayıtlar, uygulama sırasında riski belirlerken ya da riski ortadan kaldırma kararları alınırken anlam ifade edip etmediği ve gerçekleştirilen kontrollerin tasarlandığı şekilde işleyip işlemediği konusunda değerlendirme yapabilmek için çok değerli bir kaynaktır.

kaynak:www.educore.com.tr

BGYS’nin Kurulması

BGYS’nin Kurulması

“Planlama aşaması” için ISO/IEC 27001 Madde 4.2.1’de tanımlanan gereksinimler aşağıdaki gibidir:

a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYS’in kapsamının ve sınırlarının tanımlanması.

BGYS’nin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS’nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki arayüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.

BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen arayüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.

BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.

Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.

BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.

Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.

c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması

Bu BGYS’ye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.

Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.

Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A’sında ya da ISO/IEC
17799‘da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.

Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.

Risk değerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYS’nin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.

d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.

Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.

BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.

e) Yukarıdaki “d” maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması

Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.

Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.

f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi

Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.

Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.

g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi

Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.

Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluşun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.

Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.

Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.

h) Teklif edilen artık risklerin idare onayının alınması.

Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak “Kontrol et aşaması” bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.

i) BGYS’yi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.
“Planlama aşaması”nın sonunda yönetim, BGYS’yi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.

j) Uygulanabilirlik belgesinin hazırlanması.

Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.

Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UB’yi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.

Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.

kaynak:www.educore.com.tr