ISO 27001 Yazılı Bilgi – Hangi bilgiler yazılı hale getirilmeli?

46
iso-27001-yazili-bilgi

ISO 27001 Yazılı Bilgi – Hangi bilgiler yazılı hale getirilmeli?

Son zamanlarda gerek müşterilerim gerekse eğitimlerde gelen sorularda “ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile alakalı hangi kayıtları saklamalıyız?”, “Hangi dokümanları yada prosedürleri oluşturmalıyız?” gibi sorular gelmekte. Gelen bu sorulara istinaden bu makalede soruları kısmen cevaplamış olmayı umuyorum. Öncelikle ilk soruya cevap verelim.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile alakalı hangi kayıtları saklamalıyız?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının 2013 versiyonu içerisinde oluşturulması gereken zorunlu kayıtlar ile ilgili standart içerisinde “yazılı bilgi” şeklinde ibare geçmektedir. “Yazılı Bilgi” geçen yerler için kuruluşların kayıt oluşturma zorunluluğu vardır. Kayıtlar herhangi bir ortam biçiminde bulunabilir. (elektronik, şema, tablo, pano, prosedürler, formlar vb.) Aşağıda standart içerisinde yazılı bilgi ifadesi geçen maddeler ve açıklamaları bulunmaktadır.

MADDE YAZILI BİLGİ İLE İLGİLİ AÇIKLAMA
4.3 Kapsam yazılı bilgi olarak mevcut olmalıdır..
5.2 Bilgi güvenliği politikası: e) Yazılı bilgi olarak mevcut olmalı;
6.1.2 Kuruluş bilgi güvenliği risk değerlendirme süreci ile ilgili olarak yazılı bilgileri muhafaza etmelidir
6.1.3 Kuruluş, bilgi güvenliği risk işleme süreci ile ilgili yazılı bilgileri muhafaza etmelidir.
6.2 Kuruluş bilgi güvenliği amaçları ile ilgili yazılı bilgileri muhafaza etmelidir.
7.2 d) Yeterliliğin delili olarak uygun yazılı bilgilerin muhafaza edilmesi.
8.1 Kuruluş, süreçlerin planlandığı gibi yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri saklamalıdır.
8.2 Kuruluş, bilgi güvenliği risk değerlendirmesinin sonuçlarına dair yazılı bilgileri muhafaza etmelidir.
8.3 Kuruluş, bilgi güvenliği risk işlemesinin sonuçlarına ait yazılı bilgileri muhafaza etmelidir.
9.1 Kuruluş, izleme ve ölçme sonuçlarına dair delil olarak uygun yazılı bilgileri muhafaza etmelidir.
9.2 g) Tetkik programı/programları ve tetkik sonuçlarının delil teşkil eden yazılı bilgilerinin muhafaza edilmesi.
9.3 Kuruluş, yönetimin gözden geçirmesinin sonuçlarının delili olarak yazılı bilgileri muhafaza etmelidir.
10.1 Kuruluş aşağıdakilerin delili olarak yazılı bilgileri muhafaza etmelidir:

f ) Uygunsuzlukların doğası ve gerçekleştirilen müteakip eylemler ve

g) Herhangi bir düzeltici faaliyetin sonuçları.

A.8.1.3 Bilgi ve bilgi işleme tesisleri ile ilgili bilgi ve varlıkların kabul edilebilir kullanımına dair kurallar belirlenmeli, yazılı hale getirilmeli ve uygulanmalıdır.
A.9.1.1 Bir erişim kontrol politikası, iş ve bilgi güvenliği şartları temelinde oluşturulmalı, yazılı hale getirilmeli ve gözden geçirilmelidir.
A.12.1.1 İşletim prosedürleri yazılı hale getirilmeli ve ihtiyacı olan tüm kullanıcılara sağlanmalıdır.
A.13.2.4 Bilginin korunması için kuruluşun ihtiyaçlarını yansıtan gizlilik ya da ifşa etmeme anlaşmalarının gereksinimleri tanımlanmalı, düzenli olarak gözden geçirilmeli ve yazılı hale getirilmelidir.
A.14.2.5 Güvenli sistem mühendisliği prensipleri belirlenmeli, yazılı hale getirilmeli ve tüm bilgi sistemi uygulama çalışmalarına uygulanmalıdır.
A.15.1.1 Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir.
A.16.1.5 Bilgi güvenliği ihlal olaylarına, yazılı prosedürlere uygun olarak yanıt verilmelidir.
A.17.1.2 Kuruluş, olumsuz bir olay süresince bilgi güvenliği için istenen düzeyde sürekliliğin sağlanması için prosesleri, prosedürleri ve kontrolleri kurmalı, yazılı hale getirmeli, uygulamalı ve sürdürmelidir.
A.18.1.1 İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartları ve kuruluşun bu gereksinimleri karşılama yaklaşımı her bilgi sistemi ve kuruluşu için açıkça tanımlanmalı, yazılı hale getirilmeli ve güncel tutulmalıdır.

Toplam 22 yerde yazılı bilgi ifadesi bulunmaktadır. Diğer soruya gelecek olursak,

Hangi dokümanları yada prosedürleri oluşturmalıyız?

Standardın son versiyonu ile prosedür zorunluluğu kaldırılmıştı. Annex SL yapısıyla oluşturulan yeni standartta artık herhangi bir prosedür oluşturma zorunluluğu bulunmamakla beraber hazırlayacağınız dokümantasyon size yalnızca yol göstericilik konusunda rahatlık sağlayacaktır.

ISO 27001 Yazılı Bilgi ve dokümantasyon ile ilgili ufakta olsa bilgilendirme yapmaya çalıştım. Umarım işinize yarar. Bu aralar fırsat buldukça daha çok makale yazmaya çalışacağım. Görüşmek üzere.

Değerlendirme
ISO 27001 Yazılı Bilgi - Hangi bilgiler yazılı hale getirilmeli?
PAYLAŞ
Önceki İçerikA 12.6.1 e göre teknik açıklıklar nasıl yönetilir ISO 27001
Sonraki İçerikSivil Havacılık Genel Müdürlüğü – ISO 27001 ve SOME Zorunluluğu
ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

CEVAP VER

Please enter your comment!
Please enter your name here