Bilgi Güvenliği Yönetim Sistemi

BGYS Proje Ekibinin Oluşturulması 

BGYS’nin  kurulması  ve  yönetilmesini  üstlenecek  bir  proje  ekibi oluşturulmalıdır.  Ekip  yöneticisi  ve  üyeleri,  bilgi  güvenliği  yönetimi  konusunda eğitimli/deneyimli olmalıdır. Çünkü bu ekip, risk yönetimi, politika oluşturma, güvenlik prosedürlerinin  hazırlanması  ve  uygun  kontrollerin  seçilerek  uygulanması  gibi çalışmaları  yapacaktır.  Gerektiğinde  bu  proje  ekibinin  konusunda  uzman danışmanlardan görüş ve öneri alması sağlanmalıdır.

BGYS’nin kurulması ve yönetilmesi 

Bilgi  Güvenliği  Yönetim  Sistemini  kurmayı  ve  yönetmeyi  düşünen  bir kuruluşta izlenmesi gerekenler aşağıda anlatılmıştır.

BGYS’nin Kurulması 

BGYS'nin  kapsamı  ve  sınırlarını  tanımlanır.  BGYS’nin,  kuruluşun hangi  bölümlerinde  uygulanacağı,  hangi  varlıkları  ve  teknolojileri içereceği yani sınırları belirlenmeli, tanımlanmalı, içeriği ve sınırları
tanımlayan belgeler hazırlanmalıdır.Kuruluşun BGYS politikası tanımlanır. BGYS’yi kurmak için öncelikle
Bilgi  Güvenliği  Politikası  oluşturulmalı,  yazılı  hale  getirilmelidir. Oluşturulan  politikalar  yönetim  tarafından  onaylanıp,  kurum çalışanlarına duyurulmalıdır. Kuruluş,yaptığı işin, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre bir BGYS politikası tanımlamalıdır.

Kuruluşun risk değerlendirme yaklaşımı tanımlanır. Uygun bir risk değerlendirme metodolojisi seçilmelidir. Seçilen risk değerlendirme metodolojisi,  risk  değerlendirmelerinin  karşılaştırılabilir  ve  yeniden üretilebilir sonuçlar üretmesini sağlamalıdır. Ayrıca kabul edilebilir risk seviyeleri tanımlanmalıdır.Kuruluşun güvenlik riskleri belirlenir. BGYS kapsamındaki varlıkları ve bu varlıkların sahipleri tanımlanır. Bu varlıklar için var olan tehditler tanımlanır. Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkileri tanımlanır.


Kuruluşun güvenlik riskleri analiz edilir ve değerlendirilir.Risk işleme seçenekleri ve eylemleri belirlenir ve değerlendirilir.Riskleri önlemek için kontrol amaçları ve kontroller seçilir. Seçimlerde ISO/IEC  27002  standardının  karşılık  gelen  bölümlerine başvurulmalıdır. Kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme süreçlerince tanımlanan  gereksinimleri karşılamak için seçilmeli ve gerçekleştirilmelidir.
Yönetimin  tüm  artık  riskleri  formal  olarak  onayladığından  emin olunmalıdır.  Yani  sunulan  artık  risklere  ilişkin  yönetim  onayı edinilmelidir.  (Uygulanan risk giderme kararları sonrası arta  kalan risklere, artık riskler denilir)

Kuruluşun BGYS’ni uygulamadan ve işletmeden önce yönetimden yetki alınır.Kuruluşa özel kontrol amaçları ve kontrolleri içeren Uygulanabilirlik Bildirgesi hazırlanmalıdır. Uygulanabilirlik Bildirgesi, seçilen kontrol amaçları  ve  kontrolleri  içermeli  ve  bunların  seçilme  nedenlerini açıklamalıdır.Kontrol  amaçları  ve  kontrollerden  hangilerinin gerçekleştirilmiş olduğunu, hangilerinin dışarda bırakıldığını ve neden
dışarda bırakıldığını açıklamalıdır.

BGYS'nin Uygulanması ve İşletilmesi 

•  Kuruluşun bilgi güvenlik risklerini yönetmek için risk önleme planı geliştirilir. Risk önleme planı, bilgi güvenlik risklerini yönetmek için gereken yönetim etkinliklerini, kaynakları, sorumlulukları ve öncelikleri içermelidir.
• Hazırlanan risk önleme planı uygulanır.
• Güvenlik  kontrolleri  uygulanır.
• Kontrollerin  etkinliğinin  ölçülmesi, yöneticiler ve personele kontrollerin planlanan kontrol amaçlarını ne kadar iyi düzeyde başardığına karar verme olanağı verir. 
• Kuruluşun bu konuyla ilgili eğitim programları gerçekleştirilir. 
• Kuruluşun BGYS'i yönetilir ve işletilir. 
• Kuruluşun BGYS kaynakları yönetilir. 
• Kuruluşun  güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına  hemen  yanıt  verebilme  yeteneğine  sahip  güvenlik prosedürlerini uygulanır. 

BGYS’nin İzlenmesi ve Gözden Geçirilmesi 

• BGYS'ni  izlemek  için  prosedürler  ve  kontroller  kullanılmalıdır.  Bu sayede  izleme  sonuçlarındaki  hatalar  saptanır,  ihlal  olayları  (iş operasyonlarını  tehlikeye  atma  ve  bilgi  güvenliğini  tehdit  etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi  güvenliği  olayı)  anında  tanımlanır.  Yönetimin,  güvenlik etkinliklerinin beklenen biçimde çalışıp çalışmadığını belirleyebilmesi sağlanır. Güvenlik olaylarını saptama ve kriterler kullanarak güvenlik ihlal  olaylarını  önlemeye  yardım  etme  ve  bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadığına karar verme olanakları ortaya çıkar. 
• BGYS'ni  gözden  geçirmek  için  prosedürler  ve  kontroller kullanılmalıdır.  
• BGYS düzenli olarak gözden geçirilir. Gözden geçirmelerde, güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları, öneriler ve geri bildirimleri dikkate alınır. 
• Güvenlik  gereksinimlerinin  sağlandığı  doğrulanmalıdır.  Bunun  için kontrollerin etkinliği ölçülmelidir. 
• Risk  analizi  ve  risk  değerlendirmeleri  düzenli  olarak  gözden geçirilmelidir. Kuruluş, teknoloji, İş amaçları ve süreçleri, tanımlanmış tehditler, gerçekleştirilen kontrollerin etkinliği, yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler gibi dış olaylarda meydana gelen değişiklikler dikkate alınarak planlanan aralıklarda kabul edilebilir risk düzeyleri gözden geçirilmelidir. 
• Artık riskler (risk işlemeden sonra kalan riskler) düzenli olarak gözden geçirilmelidir. 
• BGYS iç denetimleri planlanan aralıklarda düzenli olarak yapılmalıdır. 
• BGYS yönetim gözden geçirmeleri düzenli olarak yapılmalıdır. Bu sayede  kapsamın  uygun  kalması  ve  BGYS  sürecindeki iyileştirmelerin tanımlanmasını sağlanır. 
• İzleme ve gözden geçirme etkinliklerindeki sonuçlar irdelenerek bilgi güvenlik planları günlenir. 
• BGYS’i  etkileyen  olay  ve  eylemler  ile  ilgili  kayıtlar  tutulmalı  ve saklanmalıdır. 

BGYS'nin Sürdürülmesi ve İyileştirilmesi 

•   BGYS’de tanımlı olan iyileştirmeler uygulanır. 
•   Uygun düzeltici eylemler uygulanır. 
•   Uygun  önleyici  eylemler  uygulanır.Öğrenilen  güvenlik deneyimlerinden alınan  dersler uygulanır. 
•   BGYS değişiklikleri yani eylem ve iyileştirmeler tüm ayrıntısıyla ilgili gruplarla paylaşılır. 
•   Kuruluşun,  BGYS  değişikliklerinin,  tasarlanan  amaçları gerçekleştirdiğinden emin olunmalıdır. 

Bu çalışmalar belirli aralıklarla yerine getirilmelidir.

Belgeleme gereksinimleri 

BGYS Belgeleri ve Kayıtları Geliştirilmelidir 

• Kararları  belgeleyen  kayıtlar  oluşturulur.  Yönetim  kararları belgelenmeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sağlamalıdır. 
• Kuruluşun BGYS belgelenir. BGYS belgesinde BGYS politikası ve kontrol amaçları, BGYS kapsamı, BGYS’yi destekleyen prosedürler, risk değerlendirme metodolojisi tanımı, risk değerlendirme raporu,risk işleme planı, prosedür ve kontrollerin etkinliğini ölçme tanımı, bu standart için tutulması gereken kayıtlar ve uygulanabilirlik bildirgesi yer almalıdır. 
• Belgeler ve kayıtlar herhangi bir biçimde ve ortam türünde olabilir. 

 BGYS Belgelerinin Kontrolü 

•   BGYS belgeleri korunmalı ve kontrol edilmelidir. 
•   BGYS  belgelerini  kontrol  etmede  kullanılacak  bir  prosedür oluşturulmalıdır.   

Bu prosedür, aşağıdakilere gereksinim duyan yönetim eylemlerini belirtmek için kurulmalıdır:

a)  Yayınlanmadan önce belgeleri uygunluk açısından onaylama,
b)  Gerektiğinde belgeleri gözden geçirme, günleme ve tekrar onaylama,
c)  Belge değişikliklerinin ve mevcut revizyon durumunun tanınmasını sağlama,
d)  Uygulanabilir  belgelerin  ilgili  sürümlerinin  kullanım  noktalarında kullanılabilir olmasını sağlama,
e)  Belgelerin okunaklı ve hazır olarak tanınabilir olmasını sağlama,
f)  Belgelerin  gereksinim  duyanlar  için  kullanılabilir  olmasını,aktarılmasını,  saklanmasını  ve  sınıflandırılmasına  uygun prosedürlerle tamamen yok edilmelerini sağlama,
g)  Dış kaynaklı belgelerin tanınmasını sağlama,
h)  Belge dağıtımının kontrol edilmesini sağlama,
i)  Yürürlükte olmayan belgelerin istenmeden kullanımını engelleme ve
j)  Herhangi  bir  amaç  için  tutuluyorsa,  bu  belgelere  uygun  kimlik uygulama.

BGYS Kayıtların Kontrolü 

Kuruluşun BGYS için kayıtlar oluşturulmalıdır. Bu kayıtlar, BGYS’nin gereksinimlere  uygun  olduğuna  ve  etkin  işlediğine  ilişkin  kanıtlar oluşturmalı ve sürekliliği sağlanmalıdır.

Bu  kayıtlar  muhafaza  edilmeli  ve  kontrol  edilmelidir.  Kayıtlar okunabilir, hemen erişilebilir ve yedekli olarak tutulmalıdır. Kayıtların tutulması, korunması, düzenleme zamanları için gerekli denetimler belgelenmelidir.  Kayıtlara  örnek  olarak  giriş/çıkış  kontrol sistemlerinde oluşan bilgiler, denetim kayıtları, erişim yetkilendirme formları verilebilir.