ISO 27001, bilgi güvenliği yönetim sistemlerinin (BGYS) uluslararası standardıdır. Bu standardın en kritik bileşenlerinden biri, bilgi güvenliği olaylarına etkili müdahale kapasitesinin oluşturulması ve düzenli olarak test edilmesidir.
ISO 27001'de Olay Müdahale Gereksinimleri
ISO 27001:2022 standardı, Annex A kontrolleri arasında olay yönetimine özel bir bölüm ayırmaktadır. Temel gereksinimler şunlardır:
A.5.24 — Bilgi Güvenliği Olay Yönetimi Planlaması ve Hazırlığı
Kurumlar, bilgi güvenliği olaylarını yönetmek için sorumlulukları ve prosedürleri tanımlamalıdır. Bu kapsamda:
- Olay müdahale planı dokümante edilmeli
- Roller ve sorumluluklar net olarak tanımlanmalı
- Olay sınıflandırma ve önceliklendirme kriterleri belirlenmeli
- İletişim prosedürleri (iç ve dış) oluşturulmalı
A.5.25 — Bilgi Güvenliği Olaylarının Değerlendirilmesi ve Karar Verme
Olayların ciddiyetinin değerlendirilmesi ve uygun müdahale kararlarının alınması için kriterler belirlenmelidir.
A.5.26 — Bilgi Güvenliği Olaylarına Müdahale
Olaylara belirlenmiş prosedürlere uygun şekilde müdahale edilmeli ve tüm müdahale süreçleri kayıt altına alınmalıdır.
A.5.27 — Bilgi Güvenliği Olaylarından Öğrenme
Olaylardan elde edilen bilgiler, gelecekteki olayların olasılığını veya etkisini azaltmak için kullanılmalıdır.
Tatbikat Gereksinimleri
ISO 27001, olay müdahale planlarının düzenli olarak test edilmesini gerektirir. Denetçiler özellikle şu kanıtları arar:
- Planlı tatbikat takvimi ve gerçekleştirme kayıtları
- Tatbikat sonuç raporları ve bulgular
- Bulgulara dayalı iyileştirme aksiyonları
- İyileştirmelerin uygulandığına dair kanıtlar
- Sürekli iyileştirme döngüsünün (PUKÖ) çalıştığına dair kanıtlar
Sertifikasyon Denetiminde Dikkat Edilecek Noktalar
Denetçilerin Aradığı Kanıtlar
ISO 27001 denetimlerinde olay müdahale konusunda en sık sorulan sorular ve beklenen kanıtlar:
- Plan güncelliği: Olay müdahale planı güncel mi? Son ne zaman revize edildi?
- Tatbikat sıklığı: Yılda kaç tatbikat gerçekleştirildi? Farklı senaryolar kullanıldı mı?
- Katılımcılar: Tatbikatlara kimler katıldı? Üst yönetim dahil mi?
- Bulgular: Tatbikatlardan ne gibi bulgular elde edildi?
- İyileştirmeler: Bulgulara dayalı hangi iyileştirmeler yapıldı?
Yaygın Uygunsuzluklar
- Olay müdahale planının hiç test edilmemiş olması
- Tatbikat kayıtlarının yetersiz veya eksik olması
- Tatbikat bulgularına dayalı aksiyonların alınmamış olması
- İletişim prosedürlerinin test edilmemiş olması
- Üst yönetimin tatbikat süreçlerine dahil olmaması
Etkili Tatbikat Programı Oluşturma
ISO 27001 uyumluluğu için önerilen tatbikat programı:
- Q1: Masa başı tatbikatı — Veri ihlali senaryosu
- Q2: Fonksiyonel tatbikat — Ransomware müdahale
- Q3: İletişim tatbikatı — Kriz iletişim planı testi
- Q4: Tam ölçekli simülasyon — Kapsamlı kriz senaryosu
ISO 27001 tatbikat gereksinimlerinizi karşılayın
Simurge ile ISO 27001 uyumlu tatbikat senaryoları oluşturun, yürütün ve denetim kanıtı niteliğinde raporlar üretin.
Ücretsiz Demo Talep Edin