Bu Yazıda Neyi Konuşacağız?

ISO 27001 bir sistem kurmanızı ister, ama bu sistemin bir dili vardır. Bu dili anlamadan sistemi inşa etmek, tarifini bilmeden yemek yapmaya benzer. İşte bu yüzden Madde 3, ISO 27001’in “sözlüğü”dür. Hangi terim ne anlama gelir? Hangi kavram nasıl kullanılmalıdır? Bu madde, bu soruların cevabını verir.

Neden Bu Kadar Önemli?

Çünkü bilgi güvenliğinde bir kelime bile çok şey ifade eder.

“Tehdit” başka şeydir, “risk” başka. “İhlal” ile “uygunsuzluk” aynı şey değildir. Bir kavramı yanlış anlarsan, risk değerlendirmesini de, düzeltici faaliyeti de yanlış yaparsın.

Bu madde, bu karışıklığın önüne geçmek için vardır. ISO, burada kullanılan tüm terimleri ISO/IEC 27000:2018 standardına referansla açıklar. Yani detaylı tanımlar oradadır.

Sık Karıştırılan Terimler:

- Varlık (Asset): Korunması gereken her şey. Bir belge, sunucu, çalışan, hatta fikir bile olabilir.

- Tehdit (Threat): Varlıklara zarar verebilecek her türlü durum, kişi ya da olay.

- Zafiyet (Vulnerability): Tehditlerin sisteme zarar vermesini kolaylaştıran açıklık.

- Risk: Tehdit + zafiyet + etki. En çok yanlış anlaşılan kavramlardan biri.

- Uygunsuzluk: Standartta tanımlı bir gerekliliğin yerine getirilmemesi.

- Düzeltici Faaliyet: Bir uygunsuzluğun nedenini ortadan kaldırmak için yapılan şey.

Uygunsuzluk Çeşitlerinden bahsedelim biraz;

1. Büyük Uygunsuzluk (Majör)

Bu, sistemin temel taşlarından birinin eksik ya da hatalı olduğu anlamına gelir.

Belgele alınması riske girebilir. Bu uygunsuzlukta standartın maddelerinden birinin yapılmaması gibi düşünebiliriz.

Örnek: Risk değerlendirmesi hiç yapılmamış.

Bu, “ben güvenlik yönetiyorum” demenin hiçbir temele dayanmadığını gösterir.

2. Küçük Uygunsuzluk (Minör)

Bir şey yapılmış ama eksik bırakılmıştır. Sistem çalışır ama biraz aksar. Düzeltici faaliyet ile düzeltilebilir. BElgelendirme için sorun teşkil etmez. Minör uygunsuzluk yazıldığında, düzeltici faaliyet ile aksiyon alınması beklenir.

Örnek: Risk değerlendirmesi yapılmış ama kayıt altına alınmamış.

Yani bilgi var ama iz yok. Denetçiye göre “güzel ama yetersiz”.

3. İyileştirme Fırsatı (Observation)

Bu, teknik olarak uygunsuzluk değil. Ama sistemin daha iyi olabileceğini gösteren bir sinyaldir.

Örnek: Bilgi güvenliği farkındalık eğitimi yapılıyor ama etkinliği ölçülmüyor.

Denetçi der ki: “Güzel başlamışsınız, ama bir adım ötesi daha iyi olur.”Bir firmada, “uygunsuzluk” tanımını herkes farklı anlıyordu. Biri belge eksikliğini uygunsuzluk sayarken, diğeri sadece dış denetimlerde tespit edilen sorunları uygunsuzluk kabul ediyordu. Sonuç: İç denetimler tutarsız, iyileştirme aksak, güvenlik yönetimi ise kaotik. Bu sorun, sadece tanımlar netleşince çözülebilir.

Tavsiye:

ISO/IEC 27000:2018 belgesini indirip baştan sona okumak zorunda değilsiniz. Ama en azından anahtar terimlere göz atmak, sistem kurarken sağlam bir temel atmanızı sağlar.

Kendi bilgi güvenliği politika dokümanınızda da bu tanımları yerleştirin. Tüm ekibin aynı dili konuşması, sistemin en büyük garantisidir.

Son Söz:

ISO 27001, teknik gibi görünse de aslında bir iletişim ve anlayış işidir. Ve bu anlayışın ilk adımı, kelimelerde başlar. Çünkü doğru terim, doğru aksiyonu getirir.