Anasayfa » ISO 27001 » ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk Kavramı ve Yönetimi
iso-27001-bilgi-guvenligi-yonetim-sistemi-risk-kavrami-ve-yonetimi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk Kavramı ve Yönetimi

ISO 27001 Standardını diğer standartlardan ayıran en temek özelliklerden birisi risk değerlendirmeye yer vermesi ve değerlendirilen risklerin işlenmesi için zorunlu tutmasıydı. Yeni standart da bulunan Annex SL yapısı ile artık bu kılavuzu kullanacak tüm standartlarda risk değerlendirmesi zorunlu hale gelmiştir. Bu makalemde de elimden geldiğince kendi firmanızda uyguladığınız ya da uygulamak istediğiniz risk değerlendirmeler ile ilgili ufakta olsa bir fikir vermeye çalışacağım.

ISO 27001:2013 versiyonu ile ilgili riskin nasıl değerlendirileceği konusunda standart bizi ISO 31000 Risk yönetimi standardına yönlendirmektedir. ISO 27001:2013 versiyonunun Kaynakça kısmında da bu standart ve ISO/IEC 27005 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği risk yönetimi [3] standardına atıfta bulunulmaktadır.

Peki RİSK NEDİR?

Standart bize bu sorunun cevabını “Belirsizlik Etkisi” diye 2 kelimeyle cevaplamaktadır.

ISO 27001 Bilgi Güvenliği Standardı içerisinde risk değerlendirme ile ilgili 6.1.1 maddesinde ” Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz önünde bulundurmalı” [1] ve standart içerisindeki 6.1.1 maddesindeki şartlar için riskleri belirlemeli ve ele almalıdır olarak belirtmektedir. Burada belirttiği 4.1 ve 4.3 deki maddeler iç ve dış bağlam tarafındaki belirlenmiş olan taraflar ve bu taraflar ile ilgili süreçlerdeki risklerin değerlendirilmesi ve kapsam dahilinde ki tüm süreçlerin risklerinin değerlendirilmesini istemektedir. Bu aralar şu tarz sorular ile karşı karşıya kalıyorum genelde… “Eski standartta varlıklar üzerinden risk değerlendirmesi yapıyorduk yeni standartta süreç bazlı olarak mı yapmalıyız? Yine varlıklar üzerinden yapsak olmaz mı?”  Tarzında sorularla karşı karşıya kalıyoruz. Standart bu noktada bize varlık bazlı yada süreç bazlı yapmamız konusunda bir baskı yapmıyor fakat  “Kapsam dahilindeki bilginin; gizlilik, bütünlük ve erişebilirlik kayıpları ile ilgili risklerin tespit edilmesi” ifadesini kullanıyor. Yani süreç veya varlık için belirlediğiniz riskin bu üç değere olan etkisinin farklılık gösterebileceğini ve risk değerlendirme yaparken bu üç değere göre tehdidin değerlendirmesini istemektedir.

Ufak bir örnekle açıklarsak; herhangi bir verinin çalınması ile ilgili bir tehdit olduğunda gizlilik etki değeri yüksek olurken bütünlük ve erişebilirlik etki değerleri kuruluş alt yapısına bağlı olarak değişecektir. Fakat aynı verinin silinmesi durumunda gizlilik etki değeri düşük olarak çıkacaktır. Bu durumda da yine kuruluş yapısına göre erişebilirlik ve bütünlük değerleri farklılık gösterecektir.

Kurum yada kuruluşlar kendileri belirlemiş oldukları risk değerlendirme metodolojilerine göre bu risk değerlendirmeleri yapmalıdırlar. Günümüzde ağırlıklı olarak 3×3, 5×5, 10×10 vb.. matrisler kullanılmaktadır. Risk değerlendirme yapacak kuruluşlar için ise ISO 31010Risk Assessment Techniques [2] yani Risk Değerlendirme Teknikleri standardı içerisindeki 31 adet teknikten kuruluşları için uygun olanı seçerek risk değerlendirme işleminizi gerçekleştirebilirler.

Daha sonra yeni standardımızla karşımıza çıkan RİSK SAHİBİ kavramı devreye girmektedir. Eskiden varlık sahibi dediğimiz kısım yeni risk değerlendirmede RİSK SAHİBİ olarak karşımıza çıkıyor. Standart belirlenen tüm riskler ile ilgili risk sahiplerinin belirlenmesini istiyor. Risk sahibi içinde ISO 27000 standardı içerisinde Risk sahibi bir kişi veya bir departman olabilir olarak belirtiyor.

Risk sahipleri de belirlendikten sonra elde edilen risk değerlendirme sonuçlarının risk işleme planına geçilmeden, önceliklendirilmesi gerekiyor. Bu önceliklendirme işlemi gerçekleşir gerçekleşmez risk işleme planına geçilir. ISO 27001 Standardı Risk işleme işleminde ise riskin işlenmesi için uygulanacak tüm kontrollerin belirlenmesini istemektedir. Bu kontroller ile de EK-A içerisindeki 114 maddenin karşılaştırılmasını ve hiçbir kontrolün gözden kaçırılmadığının doğrulanmasını ister. Bu kontroller de alındıktan sonra belirlenen risk işleme metodolojisine göre yeni risk puanı hesaplanır ve Risk işleme planına ait risk sahiplerinin onayı alınır.

Risk işleme planı bittikten sonra da geriye kalan risk değeri olan artık risklerin kabulü için işlemler gerçekleştirilir. Nedir bu Artık Risk? Diye soracak olursanız da ISO 31000 Risk Yönetimi Standardı [4] içerisinde.  2.27 maddesinde

Artık Risk: Risk iyileştirmesinden sonra geriye kalan risk

Not 1 – Artık risk belirlenemeyen riski içerir.

Not 2 – Artık risk “muhafaza edilen risk” olarak da bilinir.

Yani riski hiçbir zaman SIFIR (0)’a indiremeyeceğimiz için her zaman bir risk barındırıyor oluyoruz. Buna da artık risk diyoruz. (NOT 2). Artık risk, bizim kontrolümüzde olmayan veya müdahale edemediğimiz riskler de olabilir. (NOT 1)

Ufaktan da olsa risk değerlendirme ve risk işleme ile ilgili birşeyler yazmaya çalıştım. Sorularınız olursa bilgi@burakeksi.com veya yazının altına yorum yaparsanız en kısa sürede sizlere dönüş yapacağım.

 

 

Kaynakça

[1] ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı

[2] ISO 31010 Risk Değerlendirme Teknikleri

[3] ISO/IEC 27005 Bilgi güvenliği risk yönetimi

[4] ISO 31000 Risk Yönetimi

 

 

 

Hakkında Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

İlginizi çekebilir...

ic-denetim-nedir-ic-denetim-ne-ise-yarar

İç Denetim Nedir? İç Denetim Ne İşe Yarar?

Yazı İçeriği1 İç denetim nedir?1.1 İç Denetim Ne İşe Yarar?1.1.1 Süreçleri Analiz Eder1.1.2 Uygunluğu İnceler1.1.3 …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir