Bugünkü yazımda; sertifikasyon sürecini başarıyla tamamladığım ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Baş Denetçi maceramın detaylarını sizlerle paylaşacağım ve uluslararası kabul görmüş en önemli standartlardan olan ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardı hakkında genel hatlarıyla kısaca bilgi vereceğim.
Teknoloji, artık kurumlar için destekleyici unsur olmaktan giderek çıkmakta ve iş süreçlerinin bir parçası haline gelmektedir. Bilgi teknolojilerinin öneminin artması, son zamanlarda bilginin korunması ve bilgi güvenliğinin önemini artırmıştır.
Bilgi; insan aklının alabileceği gerçek, olgu ve ilkelerin tümüne verilen ad olarak tanımlanmaktadır. Bunun yanı sıra bilgiyi; bir konu ya da iş konusunda öğrenilen ya da öğretilen şeyler olarak da tanımlayabiliriz. Bilgi her yerde mevcut ancak bilginin günümüzde yaygın olarak yer aldığı ortam bilişim sistemlerinde yer aldığını söyleyebiliriz. Bilişim sistemleri bilginin; işlendiği, depolandığı, iletildiği, değiştirildiği, silindiği veya anonim hale getirildiği en önemli yerdir.
Bilginin gizliliği, bütünlüğü ve erişilebilirliğini, kısaca bilgi güvenliğini hedefleyen tehditlerle mücadele için bilgi güvenliğinin sağlanmış olması gerekmektedir. Bilgi güvenliği; karşılaşılabilecek tehditlerin farkında olunması, işlerin devamlılığını sağlama, yaşanabilecek her türlü problemlerde kayıpları en aza indirme, firmaların varlıklarının her koşulda gizliliği, erişebilirliği ve bütünlüğünü korunma amaçları taşımaktadır. Bir başka deyişle bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır. Bu kapsamda ortaya çıkartılan ve sürekli geliştirilmekte olan bir süreç de “Bilgi Güvenliği Yönetim Sistemi (BGYS)”dir. Bilgi Güvenliği Yönetim Sistemi; bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları konulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, yönetimce kabul edilmiş ve desteklenmiş, uluslararası güvenlik standartlarının temel alındığı faaliyetler bütününe denilmektedir.
Kurumlarda bilgi güvenliğinin sağlanması sadece teknoloji ve teknolojik yatırımlarla mümkün değildir. Teknolojik çözümlerin bilgi güvenliğini sağlayacağında yeterli olacağı düşüncesi tamamen yanlış bir algıdır. Bilgi güvenliği; teknoloji, süreç ve insan faktörlerinin beraber değerlendirilmesi gereken ve bu üç faktöre göre oluşturulması gereken bir kavramdır. Bilgi güvenliği yönetim sistemi bu noktada teknoloji – süreç – insan faktörlerine göre oluşturulmuş bir sistemdir.
BGYS, sadece Bilgi Teknolojileri bölümlerinin sorumluluğunda olan bir sistem değildir. BGYS; kurumun en alt kademesindeki personelinden en üst kademedeki yöneticisine kadar tüm kurum çalışanlarının aktif katılımını gerektiren, yönetimin desteğinin alan ve oluşturulan güvenlik politikalarına tüm kurumun uyması gerektiren bir sistemdir. BGYS sistemine sahip olmanın faydalarını aşağıda belirttiğim gibi sıralayabiliriz.

  • BGYS, kuruma yönelik bilgi güvenliği tehditlerinin ve risklerinin belirlenerek, etkin ve iyi bir risk yönetim anlayışının ortaya konmasını sağlar.
  • Güvenlik standartlarına, düzenlemelere, yasa ve yönetmeliklere uyum sağlanmasını sağlar.
  • Kurumun itibarının korunmasını sağlar.
  • Rekabet konusunda kuruma güvenlik açısından geride kalmamasını ve yeni değişimlere ayak uydurmasını sağlar.
  • İş sürekliliğini sağlar.
  • Bilgi varlıklarının bütünlüğünün korunmasını sağlar.
  • Çalışanların, tedarikçilerin ve üst düzey yönetimin bilgi güvenliği konusunda farkındalık seviyesinin eğitimler ve farklı yöntemlerle artırılmasına olanak tanır.
  • Kurumu tehdit eden risklerin yaşayan bir döngü içerisinde sürekli değerlendirilmesini sağlar.
  • Bilgi kaynaklarına yapılan erişimlerin kontrolü ve denetimini sağlar.
  • Bilgi güvenliliğinin temel prensipleri olan; gizlilik, bütünlük ve erişilebilirlik perspektifli bir bakış açısı sağlar.
  • Denetim izlerinin oluşturulması ve kontrol edilmesi, böylece hesap verilebilirlik ilkesini sağlar.
  • Bilgi sistemleri varlıklarının ve süreçlerin belirlenmesini sağlar.

İlk aşamada ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Baş Denetçi eğitimi talebi için TÜRKAK’ın web sitesinde yayınlanan akredite belgelendirme firmalarına müracaat ediyorsunuz. Müracaatınıza göre belgelendirme firması tarafından size Eğitim günü ve saati ile ilgili bilgiler paylaşılıyor. ISO/IEC 27001:2013 BGYS Baş denetçi Eğitimi; (40 saat) 5 gün sürmektedir. Eğitim süresince baştan sona tüm süreçlerin role-play yaparak irdelendiği bir denetim faaliyeti gerçekleştiriyorsunuz ve genel kavramları, tanımları, baş denetçinin özelliklerini öğreniyorsunuz. 5 günlük eğitimin sonrasında yapılan sınavda uzun uzun yaz yaz bitmeyen bir sınava giriyorsunuz (Verilen 2 saatlik süre içerisinde sınavı tamamlamak için hiç ara vermeden yazıyorsunuz, sınav bittiğinde kolunuzun ağrıdığını hissedeceksiniz).
Bu sınavın ilk bölümünde standardın iyi anlaşılıp anlaşılmadığını irdeleyen tanım ve farklarlar ilgili soruları yanıtlıyorsunuz. Bir diğer bölümde kurumu denetlemeye gittiğinizde ISO 27001 ve EK-A maddelerinden yararlanarak bulgu ve delillere yönelik sorular hazırlıyorsunuz. Son bölümde 3 farklı denetleme senaryosu veriliyor ve bu senaryolara göre uygunsuzluk varsa hangi maddeye dayandırıldığını ve uygunsuzluğu yazıyorsunuz. Eğer senaryo da tam bir uygunsuzluk tespiti yoksa ve elimizdeki deliller yetersiz ise daha fazla bilgi edinilmesi gerekli ve delil toplamak için hangi ek bilgilere ihtiyacınız olduğunu ek bilgi talep kısmına yazıyorsunuz. Uygunsuzluk olmayan bir durumda uygunsuzluk olduğunu belirtirseniz o sorudan malesef sıfır puan alıyorsunuz. Bu sebepten dolayı senaryoları dikkatli okumak ve irdelemek gerekiyor.
Sınav sorularının cevapları istanbul’a iletiliyor ve aracı bir kurum tarafından ingilizce’ye çevrilerek yurtdışına gönderiliyor. Bu sebeple sınav sonucunuzun değerlendirilmesi biraz zaman alıyor. Sınav sürecini tamamladıktan yaklaşık 2 hafta içerisinde sınav sonucunuz ve sertifikanız elinize ulaşıyor. Bundan sonraki aşamada bir akredite belgelendirme firmasına başvurarak baş denetçi adaylık süreciniz başlıyor. Toplamda 20 adam/günlük bir denetime katılmanız ve denetleme ile ilgili tecrübe edinmeniz gerekiyor. Aday denetçilik sürecini tamamladıktan sonra artık anlaşacağınız belgelendirme firmaları tarafından baş denetçi olarak denetimlere katılabiliyorsunuz. Eğitmenlerimizden Akif Uzun ve Mehmet Yılmaz hocalarımıza eğitim sürecindeki destekleri için ayrıca teşekkür etmek istiyorum. Baş denetçi olarak ilerleyen zamandaki denetleme sürecindeki maceralarınız daha şimdi yeni başlıyor… Umarım paylaştığım bilgiler sizlere faydalı olmuştur, sertifikasyon sürecine başvuracak arkadaşlar için şimdiden başarılar dilerim…
Saygılarımla,
Özden ERÇİN