Dijitalleşme çağında, her şeyden önce korunması gereken şey değerli bilgilerdir. Şirketler için bu, veri korumasının yanı sıra bilgi güvenliğinin de mutlak bir zorunluluk olduğu anlamına gelir. İyi haber şu ki: ISO 9001 sertifikalı bir kalite yönetim sistemine sahip olan şirketler, tam kapsamlı bilgi güvenliğinin adım adım tanıtımı için zaten iyi bir temel oluşturmuş durumda.
Bilgi güvenliği konusu yeni değil. Kuruluşlardaki kapsamlı bilgi ortamını tehdit eden tehlikeler uzun zamandır bilinmektedir. Nisan 2019 BSI "Siber Güvenlik Anketi"ne göre, büyük şirketlerin %43'ü 2018'de siber güvenlik olaylarından etkilendiğini bildirdi.
Küçük ve orta ölçekli işletmeler için bu rakam %26'ydı. Almanya Federal Bilgi Güvenliği Dairesi'nin (BSI) "Almanya'da BT Güvenliğine İlişkin Durum Raporu 2021"e göre, siber suç vakaları bir kez daha önemli ölçüde arttı. 1 Haziran 2020 ile 31 Mayıs 2021 arasındaki raporlama döneminde, yeni kötü amaçlı yazılım türevlerinde yalnızca yüzde 22'lik bir artış (yaklaşık 144 milyon) olmakla kalmadı, saldırıların kalitesi de önemli ölçüde artmaya devam etti.
Ancak, gizli şirket bilgilerinin güvenliği hala ihmal edilmektedir. Bilgiyi işlerken ve saklarken genellikle dikkat ve öngörü eksikliği vardır. Veri hırsızlığı ve benzerlerinin sonuçlarına ilişkin farkındalık da her yerde yeterince gelişmemiştir. Bazı yerlerde şirketler, hassas bilgilerini etkili bir şekilde korumak için gereken zaman ve çabayı harcama konusunda da isteksizdir.
Adım adım artan bilgi güvenliği
Ancak veri güvenliği için gereken çaba o kadar büyük olmak zorunda değil. İyi haber şu ki, birçok şirket kapsamlı bir bilgi güvenliği yönetim sistemini bir çırpıda uygulamak zorunda değil. Kritik altyapılar (CRITIS) için ise bu, Alman BT Güvenlik Yasası tarafından gereklidir.
Adım adım bir yaklaşım da düşünülebilir. Bu, en azından ISO 9001 kalite yönetim (KY) sistemine sahip şirketler için ilk adımın riske dayalı yaklaşımın bir güncellemesi olabileceği anlamına gelir - ancak bu zaten bilgi güvenliği (BG) standardı ISO 27001'in gereklilikleri için de önemli.
Bilgi güvenliği ve kalite yönetimi
ISO 27001 ve ISO 9001: Nasıl birbirleriyle bağlantılı oluyorlar? İlk olarak, ISO 9001 kalite yönetim standardının, risk temelli bir yaklaşım gerektirdiğini belirtmek gerekir. Ancak bu yönetim sistemi gerekliliğinin uygulanması büyük ölçüde kuruluşunuza bağlıdır. Örneğin kalite yönetimi, risk değerlendirmesi için ayrı bir süreç gerektirmez, bu aynı zamanda bilgi güvenliği açısından da çok azdır. Yine de:
Kalite yönetimi konuları için risk değerlendirmesi, bilgi güvenliğini içerecek şekilde kolayca genişletilebilir.
Bunu yapmak için, ISO 27001'in güvenlik risklerini belirleme ve bunlarla başa çıkma gerekliliklerine bakmak faydalı olacaktır. Çoğu husus, kalite yönetim sisteminin kullanıcıları tarafından makul bir çabayla uygulanabilir. Bunun bütüncül bilgi güvenliğine giden yolda ilk adım olduğunu unutmayın.
Bilgi güvenliği - Riskler ve fırsatlar
Her iki uluslararası standart, bilgi güvenliği için ISO 27001 ve kalite yönetimi için ISO 9001, Bölüm 6.1 "Riskler ve fırsatlarla başa çıkma önlemleri" bölümündeki ilgili konuları ele alır. Özünde amaç, yönetim sisteminde üç temel unsuru sağlamaktır:
- Kuruluşunuzun amaçladığı sonuçlara ulaşmak
- İstenmeyen etkilerin önlenmesi veya azaltılması
- Belirli standartlara uyularak sürekli iyileştirme sağlanması
Bilgi güvenliği ile ilgili olarak, bunlar öncelikle üç temel koruma hedefidir:
- Gizliliğin korunması
- Bilginin bütünlüğü
- Bilginin kullanılabilirliği
BGYS standardı ISO 27001 aşağıdaki gereklilikleri belirtir (bölüm 6.1.1):
- Risklerin ve fırsatların belirlenmesi
- Belirlenen riskler ve fırsatlarla başa çıkmak için planlama önlemleri
- Önlemlerin şirket süreçlerine nasıl entegre edileceğini ve uygulanacağını planlama
Riskleri belirleme ve bunlarla başa çıkma
ISO 27001'in bir sonraki alt bölümü (6.1.2), bilgi güvenliği risk değerlendirme sürecinin oluşturulmasını ve uygulanmasını gerektirir. Süreç, bilgi güvenliği risk kriterlerini oluşturmalı ve sürdürmelidir. Bu, özellikle risk kabulü kriterlerini ve bilgi güvenliği risk değerlendirmelerinin performansını içerir.
Ayrıca süreç, BGYS standardının belirttiği gibi "tekrarlanan bilgi güvenliği risk değerlendirmelerinin tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretmesini" sağlamalıdır. Aşağıdaki ilk akla gelen alt maddeler önemli olabilir:
- Bilgi güvenliği risklerini tanımlayın
- Bilgi güvenliği risklerini analiz edin
- Bilgi güvenliği risklerini değerlendirin
6.1.3'teki gereklilikler, aşağıdakileri başarmak için bilgi güvenliği riskini ele alacak bir süreç oluşturmayı ve uygulamayı gerektirmektedir:
- Risk değerlendirmesinin sonuçlarına göre güvenlik riskini ele almak için uygun seçenekleri seçin
- Güvenlik riskini ele almak için seçilen seçenekleri uygulamaya yönelik gerekli tüm eylemleri belirleyin
- Tanımlanan önlemleri ISO 27001 Ek A'da belirtilen kontrollerle (hedef eylemler) karşılaştırın
- Ek A'daki kontrollerin dahil edilme (veya edilmeme) nedenleriyle ilgili bir uygulanabilirlik beyanı hazırlayın
- Güvenlik risklerinin ele alınması için bir plan oluşturun
- Risk sahiplerinden bu planın onayını ve kabulünü alın
ISO 27001 sertifikasyonu
Bilgi güvenliği yönetim sisteminizi, ISO 27001 ile sertifikalandırmak için ne kadar çaba göstermeniz gerekiyor? Şimdi keşfedin.
ISO 27001 Ek A - Rehberlik sağlar
İyi bilinen yönetim sistemi standardı ISO/IEC 27001'in Ek A'sı açık bir normatif karaktere sahiptir. Hedefleri (kontrolleri) ve önlemleri içeren bir tür kontrol listesi olarak anlaşılabilir. Güvenlik riskleriyle başa çıkmak için ve hiçbir önemli noktanın gözden kaçırılmadığından emin olmak için bu kılavuzu kullanabilirsiniz. Ancak, kapsamlı olduğu iddia edilemez.
BG ve KY - En iyi yaklaşım nedir?
Bu nedenle ISO 27001, bilgi güvenliği risklerini değerlendirmek ve bunlarla başa çıkmak için iki ayrı süreç gerektirir. Ayrıca, ilk adım için bunlar, bilgi güvenliği yönünü içerecek şekilde yukarıda belirtilen gereksinimler boyunca kalite yönetiminin risk değerlendirmesini özel olarak genişleten tek bir süreçte birleştirilebilir. Böylece iki standart, veri koruması ve BT güvenliği için koruyucu önlemlerin uygulanması için iyi bir temel sağlar.
ISO/IEC 27001:2022 - Bilgi güvenliği, siber güvenlik ve kişisel veri koruma - Bilgi güvenliği yönetim sistemleri - Gereklilikler
ISO 9001:2015 - Kalite yönetim sistemleri - Gereklilikler
İki standarda da ISO web sitesinden ulaşılabilir.
ISO 27001 ve ISO 9001: Yukarıda belirtilen sürecin her bir gereksinimi nihai olarak ne kadar derinlemesine ele aldığı, doğrudan kuruluşunuzun bilgi ortamının karmaşıklığına ve koruma gerektiren verilere bağlıdır. Her iki durumda da, etkinliğinin bir dış denetimde doğrulanması tavsiye edilir. Örneğin, zaten planlanmış olan ISO 9001 kalite yönetim sisteminizin belgelendirme denetimi sırasında yapılabilir.
Bilgi güvenliği kalite yönetimiyle buluşuyor - Faydaları neler?
- Bilgi güvenliği risklerine temelden bakan bir süreç, ISO/IEC 27001 bilgi güvenliği için bütünsel bir yönetim sistemine doğru ilk ve önemli adım olarak hizmet edebilir.
- Üst yönetim, böyle bir süreci uygulayarak, her düzeyde bilgi ve veri güvenliği (veri koruma) bilincini güçlendirir.
- Bilgi güvenliği risklerinin hedeflendiği kadar dikkate alınmasıyla, bir şirket, harekete geçme ihtiyacını ortaya çıkarma ve uygun önlemleri alma fırsatına sahip olur (ISO 27001, Ek A doğrultusunda).
- Örneğin kalite yönetiminin bir parçası olarak bilgi güvenliğini içerecek şekilde genişletilen risk değerlendirmesi, bir şirketin genel risk temelli yaklaşımını güçlendirir.
- Uygulama ve etkinlik testi için gereken hem finansal hem de insan kaynakları yönetilebilir.
DQS: Simply leveraging Quality
Değişen dinamikler ve istikrar arasındaki dengeleme eyleminde, sertifikalı yönetim sistemleri giderek daha önemli hale geliyor. Bu DQS'in olumlu bir şekilde hissettiği bir gelişme. Çünkü başarılı şirketler ve kuruluşlar, sonuçlarını sürekli iyileştirmek için denetimlerimizden elde edilen bulguları kullanır. Ve dünya çapında tanınan sertifikalarımız, kalite kapasitelerinin objektif kanıtıdır. Bu, kuruluşunuzun hem içinde hem de dışında güven yaratır.
DQS, 1986'da Almanya'nın ilk kalite yönetimi sertifikasını yayınladı. Ağustos 1986'daki ilk denetim, o zaman için standart taslağına dayanıyordu. 1991 yılında DQS, o zamanki TGA Trägergemeinschaft für Akkreditierung GmbH (bugün: DAkkS) tarafından ISO 9001/2/3 için ilk akreditasyonunu aldı. 2000 yılında ise İngiliz standardı BS 7799-2'ye göre bilgi güvenliği sertifikası akreditasyonu bunu izledi.
Otuz yılı aşkın bilgi birikimi
Metinlerimiz ve kitapçıklarımız, yalnızca standart uzmanlarımız veya uzun yıllara dayanan deneyime sahip denetçilerimiz tarafından yazılmıştır. İçerik veya hizmetlerimiz hakkında yazara herhangi bir sorunuz varsa, lütfen bizimle iletişime geçmekten çekinmeyin.
DQS Haber Bülteni
Gert Krueger
DQS'te bilgi güvenliği, BSI-KritisV ve veri koruması için uzman ve proje yöneticisi. Ayrıca, kalite ve çevre yönetimi alanında uzun yıllardır denetçi.