27001 iç tetkik

İç tetkik, kuruluşun ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardına uygun olup olmadığını – yapılan çalışmaların yeterli olup olmadığını kendisinin belirlediği bir çalışmadır.

İç tetkik işlemi belirlenen sorular üzerinde yapılan saha çalışmasıyla gerçekleşir. İç tetkikçi ziyaret ettiği departmanı inceleyerek – sorular sorarak ve değerlendirerek denetim yapar. İç tetkik sürecinde dokümanları inceler, kullanıcıların “farkındalığını” değerlendirir ve işlemlerin ilgili prosedürlere (BGYS prosedürlerine) uygunluğu belirlemeye çalışır. Bu sırada standarda göre bulduğu “uygunsuzluk”ları raporlar. 

Unutmayın: Denetlenen insan değil, sistemdir. 

ISO 27001 örnek uygunsuzluklar

St no	Açıklama
6.1.2, 6.1.3	Risk değerlendirme sürecinde yüksek risklerin aksiyonların alınması, sorumlusu (FÇ) ve terminleri belirtilmelidir.
A.8.1.1	Varlıkların envanteri bilgi gizliği temelleri (gizlilik, bütünlük, erişilebilirlik) sayısal değeri temelinde yapılmamıştır. Örneğin danışman FÇ bilgi varlığı olarak belirtilmemiştir.
A.16.1.1	İhlal olaylarının yönetiminde olay türleri detaylı tanımlanmalı, sorumluları (FÇ şu işi yapar) derecelendirilmeli ve ona göre takip edilmelidir.

A.13.1.2	Ağ güvenliği kuralları belirlenmiş politika ve prosedürlerle tanımlanmalıdır.
A.13.1.2	Misafir interneti, kişi kimlik bilgisi temelinde ve 5651 yasasına göre loglanmalıdır.
A.18.1.3	Kayıtların ve evrakların korunması hangi varlıkların hangi sürelerde ve nasıl yapılacağı açıklanmamıştır.

A.6.2.1

Mobil cihaz güvenliği için belli bir politika tanımlanmamıştır. Personele (FÇ) verilen laptop bilgisayarlar bu anlamda kayıt altına alınmalıdır.  Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için bir politika, prosedür vs geliştirilmelidir

A.7.2.2

Bilgi güvenliği farkındalığı, eğitim ve öğretimi kapsam dahili tüm çalışanlara düzenli olarak yapılmadığı görülmüştür. Çalışan FÇ farkındalık eğitimi almamıştır. Kendisinin beyanı: ...

A.17.11

Bilgi güvenliği sürekliliğinin planlanması yapılmamıştır. İş süreçlerinin kritikliğine göre iş sürekliliği planları oluşturulmamıştır. Sorumlular (FÇ) belirtilmemiş. İş etki analizleri (rto/rpo tanımlamaları) yapılmamıştır.

A.17.1.3

Bilgi güvenliği sürekliliği’nin doğrulanması, gözden geçirilmesi ve Değerlendirilmesi yapılmamaktır. Tatbikat raporları ve planları mevcut değildir.

ISO 27001 - Örnek GÖZLEM bulguları

GÖZLEM: BGYS başlı başına ele alınmalı. IT olarak düşünülmemeli. BGYS şirket kültürü

GÖZLEM: Bilgilendirme posterleri ve çalışmaları artırılmalı.

GÖZLEM: A.6.1.2-Görevlerin ayrılığı bütün ağ politika ve prosedürlerinde bulunması iyi olur.

GÖZLEM: Diploma ve referans kontrolü daha sistemli yapılması.

GÖZLEM: İŞ YERİ PERSONEL YÖNETMELİĞİ’den bilgi güvenliği ihlalleri (izinsiz login, izinsiz ağa erişim, bilgi varlıklarına erişim vb bilgi güvenliği ihlalleri eklenebilir.

GÖZLEM: BGYS komite toplantılarının düzenli olarak yapılması ve tutanak altına alınması iyi olur.

GÖZLEM: YGG gündem maddeleri BGYS temelinde daha fazla geliştirilmelidir.

GÖZLEM: Ağ erişimini için yetki matrisi oluşturulmalı ve düzenli olarak gözden geçirilmeli.

GÖZLEM: “Değişiklik yönetimi “  prosedüre bağlanmalı.

GÖZLEM: Ağ güvenliği için detaylı bir dokümantasyon iyi olur.

GÖZLEM: İş sürekliliği daha detaylı olay türlerine göre tepki verecek şekilde revize edilebilir.