2 Haziran 2017 Cuma

ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı

ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı
Ali Dinçkan, Gizem Göktaş, BTYÖN Danışmanlık

Yönetişim (Governance) kelimesi ilk kez 1980'lerin sonlarında birleşmiş milletler’in bir raporunda kullanılmıştır. Türkçe’ye yönetim ve iletişim kelimelerinin birleştirilmesinden oluşarak yönetişim şeklinde geçmiştir. Yönetişimin asıl amacı tüm paydaşların yönetimde söz sahibi olması ilkesine dayanır. Bu açıdan ‘Paydaşlarla beraber yönetim’  şeklinde de ifade edilebilir. Yönetişim etkilenen tüm tarafların görüşleri ve çıkarları dikkate alınarak doğru kararların alınması amacını güder.

Başarılı işletmeler bilgi teknolojilerinin faydasını anlar ve bu bilgiyi paylaşlara sağladığı katkıyı arttırmakta kullanır. Bu işletmeler, bir çok iş sürecinin bilgi teknolojilerine kritik düzeyde bağımlı olduğunun, regülatif uyumluluğun öneminin ve riskin etkin yönetiminin faydasının farkındadır. Bilgi teknolojileri yönetişimi alanı ile ilgili zaman içerisinde bir çok standart ve çerçeve yayınlanmıştır. Bu standart ve çerçevelerden en çok bilinenleri ISACA ( Bilgi Sistemleri Denetim ve Kontrol Derneği) ve ITGI (Bilgi Teknolojileri Yönetişim Enstitüsü) tarafından yayınlanan COBIT (Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri) çerçevesi ve ISO (Uluslararası Standartlar Organizasyonu) tarafından yayınlanmış ISO/IEC 38500 Bilgi Teknolojilerinin Kurumsal Yönetişimi standardıdır. Bu makalede ISO/IEC 38500 standardının bilgi teknolojilerinin yönetişimi konusuna yaklaşımı ele alınacaktır.

ISO/IEC 38500 standardı İnovasyona önem veren, iş ihtiyaçları ile uyumlu, tanımlanmış sorumluluklar ile hesap verilebilirliğin korunduğu, iş sürekliliği ve sürdürülebilirliğin sağlandığı, efektif kaynak kullanımının olduğu, iyi seviyede paydaş ilişkilerinin bulunduğu ve mevzuata uyumlu BT süreçleri için yönetişim yapısı tarifleyen bir iyi uygulama standardıdır.

Organizasyonların bilgi teknolojilerinden yeterli faydayı elde edememesinin nedenleri aşağıdaki gibi sıralanabilir;
  • Belirsiz sorumluluklar,
  • Şeffaf olmayan yatırımlar,
  • Değerlendirilmeyen gereksinimler,
  • Cezai yaptırımlar,
  • Bağımsız yürütülen yönetim sistemleri,
  • Birçok kez farklı noktalarda tekrar eden işler,
  • Yönetim ile operasyon arasında kopukluk,
  • BT ile iş birimleri arasında iletişimsizlik.

Organizasyonlarda oluşturulacak etkin bir BT yönetişim çerçevesi ile aşağıdaki faydaların elde edilmesi amaçlanmaktadır.
  • İş ihtiyaçlarına yanıt verebilen BT servisleri oluşur,
  • BT servis kalitesi artar,
  • İş ile bilgi teknolojileri daha yakın hale gelir,
  • BT müşteri memnuniyet seviyesi artar,
  • Üretkenlik yüksek seviyelere ulaşır,
  • BT servisleri sürekli iyileşir,
  • BT harcamaları şeffaflaşır ve yatırım geri dönüşü hesap edilebilir,
  • Kullanıcı üretkenliğinin düşmesine sebep olan olay sayıları azalır,
  • Uyum,
  • Sorumluluklar netleşir.

ISO/IEC 38500 standardı içerisinde iyi BT yönetişimi için 6 adet temel ilke açıklanmıştır. Bu ilkeler geneldir ve türlerinden bağımsız olarak bir çok organizasyona uygulanabilir. İlkeler karar almayı desteklemek üzere önerilen davranışları özetler. Standartta her bir ilke için ne yapılması gerektiği açıklanır fakat bu ilkeleri kim, nasıl uygular konusuna işletmeden işletmeye değişebileceği için değinilmez. Organizasyonların yönetim kurullarının bu ilkelerin yerine geirilmesinden sorumlu olduğu belirtilir.

BT Yönetişim İlkeleri
  • İlke 1 – Sorumluluk: Sorumlulukların ve bu sorumlulukların gerektirdiği yetkilerin tanımlı ve atanmış olmasıdır.
  • İlke 2 – Stateji: Kuruluşun stratejisi, iş hedefleri ile BT yeteneklerinin ve planlarının uyumlu olmasıdır.
  • İlke 3 – Edinim: BT edinimlerinin (yatırımlarının) analizler temelinde şeffaf bir şekilde yapılmasıdır. Fayda, maliyet, fırsat ve riskler arasında kısa vadede bir denge tarifler.
  • İlke 4 – Performans: Bilgi teknolojilerinin; iş hedeflerine ulaşmak için yeterli olduğunu, ihtiyaçları karşıladığını ve hizmet kalitesi seviyesini raporlamayı tarifler.
  • İlke 5 – Uyumluluk: Bilgi teknolojileri kullanımının tüm zorunlu mevzuat ve yönetmeliklere uygun olmasıdır. BT politikaları ve uygulamaları açıkça tanımlanmış olmalıdır.
  • İlke 6 – İnsan Davranışı: Süreç dahilindeki bütün bireylerin mevcut ve değişen ihtiyaçlarına, insani davranış ve değerlere uygun politika, prosedür ve uygulamalar oluşturulmasıdır.

 ISO/IEC 38500 standardına göre BT Yönetişim modeli üç ana görev içerir;
  1. Bilgi teknolojilerinin mevcut ve gelecekte ki kullanımını değerlendirme,
  2. İş hedeflerini karşılayan bir bilgi teknolojileri kullanımını sağlamak için gerekli plan ve politikaların hazırlanması ve hayata geçirilmesini yönlendirme,
  3. Politikalara ve planlanan performans seviyelerine uyumu izleme.

Özet olarak BT yönetişim modeli bilgi teknolojilerini değerlendirme (evaluate), yönlendirme (direct) ve izleme (monitor) faaliyetlerinden oluşur.


BT Yönetişimi içerisinde yer alan değerlendirme faaliyeti iş hedefleri, risk iştahı, yetkinlik, ana iş süreçleri, ana BT hizmetleri, düzenleyici taraflar, teknolojik durum, sektör trendleri, dış tehditler, paydaş gereksinimleri gibi konuların değerlendirilmesini içerir. Bu faaliyet kapsamında mevcut durumun tanımı ve iş hedeflerinin analizi gerçekleştirilir.

Yönlendirme faaliyeti kapsamında ise risk, uyum, karar destek mekanizmaları ve iş stratejilerinin çıktılarına dayalı BT stratejilerinin tanımı yapılır. Bu kapsamda değişimin başlatılması için bütçe, yetkinlik gelişim, paydaşların katılımı, standart işler ile projelerin ayrıştırılması, fırsatların değerlendirilmesi, önceliklendirmeleri yapılması gibi işlemler gerçekleştirilir. Son olarak risk, denetim ve yönlendirme komiteleri tanımlanır ve 6 BT yönetişim ilkesi çerçevesinde destek sağlanır.

İzleme faaliyeti kapsamında başarı kriterlerinin tanımı yapılır ve izleme sistemlerinin hayata geçirilmesi sağlanır. Bu kapsamda “Doğru şeyi yapıyor muyuz? İlerliyor muyuz? Nasıl iyileştirebiliriz?” gibi soruların cevapları aranır. Son olarak yönetimin BT hakkında düzenleyici mevzuat ve sözleşme yükümlülükleri ve iç çalışma uygulamaları ile uyumlu olduğundan emin olmak üzere gerekli faaliyetler yerine getirilir.

BT yönetişim modeli içerisinde bulunan değerlendir, yönlendir ve izle yaklaşımı ISO/IEC 38500 standardına her bir BT yönetişim ilkesi için ayrı ayrı tanımlanmıştır.


İlke 1 – Sorumluluk

Değerlendir
BT kabiliyetlerinin bugünkü ve gelecekteki kullanımı konusunda sorumlular atanır.
Sorumluluk, yetki ve yetkinliklerin yeterlilikleri göz önünde bulundurulur.
Genellikle sorumluluk sahipleri, kuruluşun iş hedefleri ve performansından sorumlu iş birimi yöneticileri olurken; bilgi teknolojileri uzmanları tarafından desteklenir

Yönlendir
Yönetişim sorumlusu tarafından, BT stratejilerinin sorumluluk sahiplerince takip edilmesi ve hayata geçirilmesi desteklenir.
Sorumluluk sahiplerinin ihtiyaç duydukları bilgilere ulaşabilir olması sağlanır.

İzle
İlgili süreçlere dair izleme metotları geliştirilir.
Sorumluluklar onaylanır, bildirilir ve tanımlanır.
Sorumluluk sahiplerinin performansları izlenir. (Örneğin; yönlendirme komitelerine sunulanlar)

İlke 2 – Stateji

Değerlendir
Gelecekteki iş ihtiyaçlarının karşılanması için BT ve iş süreçlerinde gerekli geliştirmeler sağlanır.
Kurum hedefleri, paydaş beklentileri ve iyi uygulamalar dikkate alınarak stratejiler belirlenir.
Risk yönetimi stratejilerin belirlenmesinde göz önünde bulundurulur.

Yönlendir
BT geliştirmeleri ile kurum strateji ve politikalarına uyum sağlanması garanti edilir.
Fırsatlar ve iyileştirmeleri değerlendirebilmek için yenilikçi girişimler desteklenir.

İzle
Hedeflerin başarımı izlenir.
Elde edilen faydalar değerlendirilir.


İlke 3 – Edinim

Değerlendir
Risk ve maliyet dengesine uygun olarak yatırım seçenekleri değerlendirilir.

Yönlendir
BT sistem ve altyapı varlıkları gerekli kabiliyetler ve servislerle birlikte dokümante edilir.
İş gereksinimlerine uygun olarak uygulamalar desteklenir.

İzle
Gereken kabiliyetler dikkate alınarak BT yatırımları izlenir.
Yatırımlarda paydaşlarla aynı yaklaşımda olup olmadıkları izlenir.



İlke 4 – Performans

Değerlendir
İş gereksinimlerinin karşılanması için gerekli kabiliyet ve kapasite değerlendirilir.
Sürdürülen BT operasyonlarında risk değerlendirmesi yapılır.
Bilgi bütünlüğü ve kurumsal bilgi ve yetenekler dahil BT varlıklarının korunması için risk değerlendirmesi yapılır.
BT hedefleri ve yönetişim hedefleri değerlendirilir.

Yönlendir
BT stratejilerinin başarılması için gerekli kaynaklar atanır.
BT’yi yönlendiren iş hedeflerinin güncel ve geçerli olması sağlanır.

İzle
BT’nin etkin kullanımı ve hedeflere uyumu izlenir.



İlke 5 – Uyumluluk

Değerlendir
İç prosedürler, standartlar, profesyonel rehberler ve düzenleyici kuruluşlarca tariflenen gereklilikler takip edilir.
Uyum durumu takip edilir.

Yönlendir
Uyum izleme mekanizmaları geliştirilir.
Kaynakların takibi için atamalar, görevlendirmeler yapılır.
Tüm uygulamaların etik ve yasal olduğu garanti edilir.

İzle
Belirli aralıklarla denetimler ve gözden geçirmeler aracılığıyla uyum izlenir.
Dataların imhası da dahil olmak üzere tüm BT uygulamalarının mevzuata uyumu takip edilir.



İlke 6 – İnsan Davranışı

Değerlendir
BT uygulamalarının birey davranışlarına uyumu değerlendirilir.

Yönlendir
Risk ve fırsatlar da göz önüne alınarak birey davranışlarına uygun BT uygulamaları desteklenir. Uyumun sağlanması ve korunması için çalışmalar yürütülür.

İzle
Çalışma pratikleri ile BT uygulamalarının uyumu izlenir.


Sonuç olarak ISO/IEC 38500 standardı bilgi teknolojilerinin etkin, verimli ve kabul edilebilir kullanımı için ilkeleri ve BT yönetişim modelini tanımlamaktadır. Tanımlanan ilkelerin ve modelin takip edilmesi, organizasyonun üst yönetimine risklerin dengelenmesi ve bilgi teknolojilerinin oluşturduğu fırsatlardan istifade edilmesi için imkan sağlar. BT yönetişimi, organizasyonun tabi olduğu regülatif ve sözleşmelerden doğan yükümlülüklerin karşılanması konusunda güvence verir. Etkin BT yönetişimi iş hedeflerinin başarılması ve iş hedefleri ile uyumlu BT süreçlerinin oluşması, maliyet şeffaflığı, paydaşlarla etkin iş birliği, maliyetlerin düşmesi ve yapılan yatırımların değere dönüşmesi, iş sürekliliğinin  sağlanması, hizmetlerde ve pazarda yenilikçi bir yaklaşımın ortaya çıkmasına imkan sağlar.

12 Mayıs 2017 Cuma

ISO 27001 SİSTEM KURULUMU AŞAMASINDA KARŞILAŞILAN ZORLUKLAR VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR

ISO 27001 Bilgi Güvenliği Yönetim Sistemi son yıllarda kurumlar tarafından oldukça talep gören bir standart haline geldi. Bu talebin altında yasal gereklilikler, müşteri talepleri ve kurumun stratejik hedefleri gibi çeşitli nedenler yatabilmekte. Ancak standarda uygunluğun başarısında motivasyon ne olursa olsun bu sistemin uygulanması ve işletiminde üst yönetim desteği en büyük payı almaktadır. Standart son revizyonunda dahi yönetim desteğini ifade edebilmek için “Liderlik” maddesi ortaya çıkmıştır. “Yönetime rağmen” yönetim sistemi kurmak ve işletmek sistemin ömrünün kısa olmasına neden olacaktır.

Yönetim desteği ifadesi her zaman maddi destek olarak algılanmamalıdır. Kurum bütçesine göre maddi destek ve kaynağın önemi yadsınamaz ve olmazsa olmazdır ancak yönetimin kurum çalışanları için motivasyon sağlayıcı davranışlar sergilemesi de başarı için oldukça önemlidir. Proje başında yönetimin kurum çalışanlarından projeye destek göstermelerini isteyen bilgilendirme mesajı paylaşması, sorumluluk ataması, bazı toplantı ve eğitimlere katılım gösterip projenin önemini ifade etmesi gibi hususlar çalışanlarda bu sistemin uygulanması konusunda motivasyon sağlamaktadır. Belgelendirme amacı taşıyan kurumlar da bu ve benzeri durumları kayıt altına alarak liderlik maddesi için kanıt oluşturmalıdırlar. Aynı zamanda yönetime düzenli olarak raporlama yapılması, yönetimin sistemin içinde tutularak güncel bilgilere sahip olmasını sağlayacaktır.

Kurumlar yatırım kararlarını belirlerken bütçe planlamasına bilgi güvenliği ile ilgili konuları da dâhil etmesi önemli olacaktır.

Yönetimden beklenen destek sağlanmazsa çalışanlar üzerlerine düşen görevleri sahiplenmeyip sorumluluklarını gerçekleştiremeyebilirler. Bu da yönetim sisteminin etkin şekilde işletilmesine engel olabilecek sonuçlar doğurabilmektedir.

Yönetim sisteminin içerisinde yapılması veya dikkat edilmesi gereken bir diğer husus; rol ve sorumlulukların doğru ve tam olarak belirlenmesidir. Bu rol ve sorumluluklar gerek proje yöneticileri gerekse de son kullanıcılar açısından doğru belirlenmelidir. Tanımlanmış olan rol ve sorumlulukların yerine getirilmemesi başarıyı büyük ölçüde etkileyecektir. Bu noktada tanımlanmış olan sorumlulukların yerine getirilmemesi ve yerine getirmemenin doğuracağı sonuçlar için tanımlı bir süreç oluşturulması ile eskalasyon yapısının işletilerek takip edilmesi, gereken işlerin zamanında yapılması konusunda fayda sağlayacaktır.


  
ISO 27001 Bilgi Güvenliği Yönetim Sistemi risk temelli bir yönetim sistemidir. Kurum için uygulanabilir bir risk metodolojisinin oluşturulması kurumdaki herkes tarafından anlaşılıp sürdürülebilirliğinin sağlanması adına büyük önem taşımaktadır.

Risk değerlendirmeleri sonucu risk işleme kararlarına bağlı olarak aksiyon planlarında belirlenmiş olan aksiyonların zamanında yapılması ve takip edilmesi, aynı zamanda bu aksiyonlar için kaynak ayrılması risk yönetiminin başarısını sağlayacaktır. Risk değerlendirme sonrasında alınacak risk işleme kararları için yönetim risk kabul kriterleri doğrultusunda kabul edilebilir risk seviyesine karar vermelidir. Bu seviyenin gelecek dönemlerde giderek düşürülmesi de sistemin daha iyi seviyelere gelmesi açısından önemli olacaktır.

Risk değerlendirme ve işleme karalarının sonucunda oluşturulması gereken sistemin daha iyi bir noktaya gelmesini sağlayacak bilgi güvenliği amaçlarının sadece bilgi teknolojilerini ilgilendiren amaçlar olmaması, her departman ile ilgili olabilecek amaçların da belirlenmesi bilgi güvenliğinin sadece bilgi teknolojileri departmanına özel bir uygulama olduğu düşüncesinin ortadan kaldırılmasını sağlayacaktır. Bilgi güvenliği amaçlarının ölçülebilir ve gerçekleştirilebilir amaçlar olarak seçilmesi sisteme faydalı olacaktır.

Bilgi güvenliği yönetim sisteminin uygulanması ve işletilmesi konusunda proje yöneticileri ile birlikte her çalışan için görev ve sorumlulukların belirlenmesi standart tarafından istenmektedir. Bunun sağlanabilmesi için ihtiyaç olan yetkinliklerin doğru belirlenerek iyi analiz edilmesi gerekmektedir. Eğitim takvimlerinin oluşturularak yetkinliklerin arttırılması sağlanmalıdır. Ancak alınan eğitimlerin veya diğer yetkinlik tanımlarının istenilen seviyeye gelip gelmediğinin kontrolü birçok firmada göz ardı edilmektedir. Gerçekleştirilmiş olan işlemlerin ihtiyacı ve beklentiyi karşılayıp karşılamadığının ilgili ve yetkili kişilerce değerlendirmesinin yapılması gerekir.

Son kullanıcıların dikkat etmesi gereken konular ile sorumluluklarının anlatıldığı farkındalık eğitimlerinin ilgili taraf analizi sırasında ortaya çıkmış olan kapsam dâhilindeki her çalışan ile birlikte kapsam dışında kalan çalışanlara da verilmesi oldukça önemlidir. Farkındalık eğitimlerinin hedef kitlesi belirlenirken kurumların genellikle gözden kaçırdığı stajyerler ve kurum içindeki ve dışındaki taşeronların da eğitimlere dâhil edilmesi gerekmektedir.

Farkındalık eğitimleri sadece sınıf eğitimi olarak değerlendirilmemelidir. Kişilere atanacak online eğitimler, verilecek broşürler, düzenlenecek etkinlikler, ödül sistemleri gibi çözümler ile farklı şekillerde farkındalık sağlanabilir. Farkındalık çalışmaları sonrasında bu çalışmaların etkinliğinin değerlendirilmesi unutulmamalıdır. Bu değerlendirme sınav olarak yapılabileceği gibi karşılıklı mülakatlar ile de yapılabilir. Önemli olan çalışanların bir konu ile ilgili aynı ve doğru fikre sahip olmasının sağlanmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı diğer ISO standartlarından farklı olarak 2 bölümden oluşmaktadır. Standart ana maddelerine ek olarak hazırlanmış olan EK-A kontrol maddeleri belirlenmiş kapsam ile ilgili olan kontrollerin seçilerek ilgisiz olanların hariç bırakılmasını mümkün kılmaktadır. Örneğin kurum içinde BGYS kapsamı dahilinde yazılım geliştirme yapılmıyorsa yazılım geliştirme ile ilgili kontrol maddeleri hariç bırakılabilir.

Yönetim sisteminin başında kurum ile ilgili olabilecek tüm tarafların doğru analiz edilmesi gerekmektedir. Bu analize hem kurum içi hem de kurum dışındaki tüm tarafların dâhil edilmesi önemlidir. Müşteriler, tedarikçiler, devlet ve düzenleyici kuruluşlar, çalışanlar, paydaşlar, iş ortakları vb. ilgili tüm tarafların BGYS açısından ihtiyaç ve beklentilerinin doğru analizi yönetim sisteminin kapsamının doğru belirlenmesine ve işletilmesine fayda sağlayacaktır.

Yönetim sisteminin kapsamına karar verilirken ilgili taraf analizinde ortaya çıkan tedarikçiler iş ihtiyacına bağlı olarak hizmet sürekliliği açısından kritik olanlar için Hizmet Seviye Anlaşmaları (SLA), bilgi paylaşımı konusunda kritik tedarikçiler için Gizlilik Sözleşmeleri yada gizlilik maddeleri içeren Hizmet Sözleşmeleri yapılması gerekmektedir. Sözleşme yapılma ihtiyacı doğru belirlenmelidir. Örneğin kurum ofis sarf malzemeleri alımı yaptığı bir firma ile sözleşme imzalama ihtiyacı duymayabilir. Gizli bilgi paylaşımı yapılmamakta ve alternatif tedarikçiler bulunabildiği için kritik tedarikçi sınıfında olmayabilir. Ancak kurum içinde tedarikçiler tarafından sağlanan yemek, servis, temizlik gibi hizmetler için mutlaka gizlilik sözleşmeleri yada gizlilik maddeleri içeren hizmet sözleşmeleri yapılmalıdır.

Tedarikçi sözleşmelerinin yapılması her zaman kurumun inisiyatifinde olamayabilir. Tedarikçiler sözleşme koşullarından ötürü sözleşmenin düzenlenmesi taraftarı olmayabilirler.  Kurum bu noktada sözleşme şartlarını değiştirerek sözleşme yapılmasını teşvik edebilir. Ancak yine de sözleşmenin düzenlenmesi mümkün olamayabilir. Sözleşmelerde dikkat edilmesi gereken tedarikçi ile gizli bilgi paylaşımının yapılıp yapılmadığı, hizmet sürekliliği açısından kritikliği, alternatif tedarikçi mevcudiyeti gibi konulardır.

Tedarikçilerden alınan hizmetlere göre ihtiyaçlar doğrultusunda kriterler belirlenmeli ve periyodik olarak hizmet değerlendirmelerinin yapılması gerekmektedir.


Bilgi güvenliğinin sağlanabilmesi için uygulanacak olan teknik kontrollerin yürütülmesi için büyük yatırımların gerçekleştirilmesi standart tarafından şart koşulmamaktadır. Teknik kontrol uygulamaları hususunda birçok kurum için akla gelen ilk soru ciddi maddi kaynak yatırımının gerekli olup olmadığıdır. Bu konu tamamen üst yönetimin risk iştahına ve süreçlerin işletilebilmesi ve iyileştirilebilmesi için ihtiyaç duyulan hizmet ve kaynaklara bağlıdır. Standart hiçbir zaman bir ürün ya da hizmetin kullanımını zorunlu tutmamaktadır. Piyasa içerisinde ihtiyaç duyulan hizmetler için hem ücretli hem de ücretsiz uygulamalar ile farklı çözüm yolları bulunabilmektedir. Dikkat edilmesi gereken şey iş süreçlerinin yönetiminin etkin ve verimli olmasını sağlayacak çözümün bulunmasıdır. İhtiyaçların doğru belirlenerek karar verilmesi bu süreçte büyük önem taşımaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, standart gereklilikleri doğrultusunda “yaptığını yaz, yazdığını yap mantığı” ile işletilebilir. Yönetim sisteminin ilk kurulduğu dönemlerde dirençle karşılaşılabilmektedir. Gerçekleştirilecek olan aksiyonlar ve alınan kararlar çalışanların motivasyonunu etkileyebilmektedir. Bu noktada ihtiyaç doğru belirlenerek çalışanlara doğru aktarılmalıdır. Çok sıkı kontroller ile tasarlanan süreçler yönetim sisteminin başarısına engel olabilir. Bu şekilde yönetilen sistemler bir süre sonra işletilemez hale gelebilmektedir. 

2 Mayıs 2017 Salı

İş Etki Analizi Rehberi

İş Etki Analizi Nedir?

İş Sürekliliği Yönetiminin ne olduğu ve süreklilik ile sık karıştırılan bir terim olan “sürdürülebilirlik” kavramı ile ilişkilerini önceki yazılarımızda açıklamıştık. Bu yazımızda ise, iş sürekliliği yönetiminin temelini oluşturan İş Etki Analizi’ni ele almak istedik.

İş Etki Analizi’nde temel amacımız; olası bir felaket sonrasında yaşanan hizmet kesintisinin zaman içerisindeki etki dağılımını tespit ederek; hangi kurumsal süreçlerimizi, hangi kapsamda, hangi kritik kaynaklarla ve ne kadar süre içerisinde hayata geçirmemiz gerektiğini, dolayısıyla da hangi ürün ve hizmetlerimizi yeniden sunulabilir hale getirmemiz gerektiğini tespit etmektir.

Genellikle iş etki analizi ile ilgili; nereden başlanacağı, ne kadar detaya inileceği veya kapsamının nasıl belirleneceği konuları soru işaretleri oluşturmaktadır. Takip ettiğimiz kaynaklar ve tecrübelerimize dayanarak nasıl bir yol izlenebileceği ve nelere dikkat edilmesi gerektiğine dair yorumlarımızı ilerleyen satırlarda inceleyebilirsiniz.

İş Etki Analizi’ni aşamalara bölerek incelemek daha düzenli ilerlememizi sağlayacaktır.


Öncelikle bir ön analiz ile, çalışmanın kapsamı netleştirilmelidir;


İş sürekliliği yönetimi çalışmalarının kapsamının belirlenmesi, iş etki analizinin de kapsamı için belirleyici olacaktır. Bir kurumun kaç tip müşterisinin olduğu ve kaç çeşit hizmet alanı olduğu tanımlandıktan sonra; hangi tip müşterilere sunulan hangi tür hizmetler için bu yapının kurulacağı kararlaştırılmalıdır. Burada dikkat edilmesi gereken bir nokta ise, kurumun varlığını sürdürmesi için sunması gereken ana iş alanlarının ve yasal olarak sorumlu olduğu hizmetlerin mutlaka kapsam dahilinde olduğundan emin olunması gerektiğidir.
Ayrıca, gerçekleştirilecek iş etki analizi, tanımlanan iş sürekliliği yönetimi kapsamının tümünü içermelidir.

Stratejik iş etki analizi ise, tahminlerin yapıldığı ve kurumsal kararların alındığı kritik bir aşamadır;


Kapsam kararı alındıktan sonra, öncelikle söz konusu ürün ve hizmetlerin önceliklendirilmesi yapılabilir. Özellikle karmaşık yapıya sahip ve ürün/hizmet portföyü geniş kurumlar için bu önceliklendirmenin yapılması önerilmektedir. Aksi durumda ilerleyen aşamalarda analiz, kontrol edilemeyecek kadar geniş bir kapsama ulaşabilir. Daha somut olarak açıklamak gerekirse; kurum ön analiz aşamasında belirlediği müşteri grubuna sunduğu tüm ürün ve hizmetleri tek tek değerlendirmelidir. Bu değerlendirme aşamasında; olası bir kesinti sonrasında zaman içinde artarak devam edecek finansal kayıplar, müşteri kayıpları, itibari etkileri ve yasal gereksinimler gibi tahminler göz önünde bulundurularak; belirlenen ürün/hizmetler ön değerlendirmeye alınır ve kesintinin zaman içindeki dağılımı ortaya konularak zaman kritik hizmetler belirlenir.

Bu noktada bir de “zaman kritik” kavramını açıklamak faydalı olacaktır.

İş Sürekliliği Yönetimi’nde en önemli kavramlarımızdan biri “zaman”dır ve olası bir felaket sonucu; öncelikli olarak (aciliyetle) sunulması gereken ürün ve hizmetlere yönelik çalışmalar bir sistem kapsamında ele alınır. Bu “zaman kritik” ürün ve hizmetler her zaman kurumun en çok gelir getiren veya en çok müşterisine sahip hizmetlerine tekabül etmeyebilir.

Bu aşamada beklenen çıktılar;

  • Hangi ürün ve hizmetlerin “zaman kritik” olduğu,
  • Bu ürün ve hizmetler için bir kesinti sonucunda “maksimum kabul edilebilir kesinti süresi”nin (maximum acceptable outage-MAO veya maximum tolerable period of disruption-MTPD) ne olduğu, 
  • Zaman kritik ürün ve hizmetler için bir kesinti sonucunda “hedeflenen kurtarma süresi”nin (recovery time objective-RTO) ne olduğu,
  • Bir felaket sonrasında bu ürün ve hizmetlerin en azından hangi seviyede (yaşanan bir TV yayını kesintisi sonucu, içeriği HD yerine SD de olsa sunabilmek; bir şebekede ses hizmetinin LTE yerine 2G şebekesinden sunulması vb..) sunulması gerektiği (minimum business continuity objective-MBCO).

Stratejik analiz ardından gerçekleştirilecek haritalama ve zaman kritik aktivite belirleme çalışması, operasyonel analiz aşaması;


Belirlenen zaman kritik ürün ve hizmetlerden hangilerinin operasyonel analiz aşamasına taşınacağı da yine kurumsal bir karar olacaktır. Tümü için teknik analiz aşaması başlatılabileceği gibi; yalnızca kurumsal risk iştahına bağlı olarak belirlenebilecek “kritiklik eşiği”ni aşan ürün ve hizmetler için de bu aşamaya geçilebilir. Bu nokta, kurum yapısının karmaşıklığına göre kararlaştırılabilmektedir. Teknik analizde öncelikli amaç; hangi ürün ve hizmetlerin, hangi kurumsal süreçlerin desteği ile sunulduğunun tespiti ve dolayısıyla, kurumun zaman kritik aktivitelerinin ne olacağının tespit edilmesidir. Kritik aktivitelerin tespitinde ise, kurumsal süreçler ile ürün/hizmetlerin haritalandırılması ve ürün/hizmetlerin zamana bağlı kritiklik seviyelerinin doğru orantılı olarak ilgili aktivitelere aktarılması gerekmektedir. Dikkat edilmesi gereken önemli bir husus; bu kurumsal süreçlerin birbirlerine veya dış taraflarca gerçekleştirilen süreçlere olan bağımlılıklarını da göz önünde bulundurmaktır.

Göz önüne alınması gereken bir konu da; ürün ve hizmetleri sunmak için yürütülen kurumsal süreçlerin yalnızca departmanlarca, kişiler tarafından değil; altyapılar üzerinden otomatize bir şekilde de sürdürülüyor olabileceğidir.

Bu aşamada beklenen çıktılar; ürün ve hizmetlerin RTO, MAO, MBCO gibi değerlerinin; uygun bir şekilde kurumsal süreçlere de yansıtılabilmesi ve bu kurumsal süreçleri sürdürebilmek ve felaket sonrası kurtarabilmek için ihtiyaç duyulacak minimum kaynak gereksinimi ile dış taraflar veya diğer süreçlerce yürütülen bağımlı faaliyetlerin tespitidir.

Risk değerlendirmelerin yapılması, planların hazırlanması, tatbikatların gerçekleştirilmesi, olay yönetimi yapılarının kurulması ve diğer tüm iş sürekliliği faaliyetleri, İş Etki Sonuçları'na uygun olarak sürdürülmelidir.

İş Etki Analizi'nde Dikkat Edilmesi Gereken Noktalar!


  • İş etki analizi kurumsal bir çalışma olmalıdır ve bu süreçte üst yönetimin katkısı ve kurum adına kapsayıcı kararlara varılması önemlidir.
  • Analiz metodunun tekrar edilebilir ve tutarlı olması en önemli noktadır.
  • Analize konu olacak verilerin objektif ve geçerli olması, varılacak sonuçların doğruluğunu ciddi derecede etkileyebilecektir. Bu nedenle mutlaka danışılan kişilerin “işinin uzmanı” olması önemlidir.
  • “Bu analiz sonucunda belirlenecek “zaman kritik” aktiviteler, aynı zamanda kurumun en önemli aktiviteleridir” şeklinde bir yargı oluşmaması için, analizi koordine edecek tarafların her an açıklayıcı ve yönlendirici olması önemlidir.
  • İlk çalışma sonucunda tam ve eksiksiz sonuçlara varılması çoğu zaman mümkün olmamaktadır. Bu sürecin sürekli gözden geçirilmesi ve tecrübeler sonucu yapılacak müdahalelerle zaman içinde olgunlaşması beklenmektedir.
  • Bir felaket sonucunda ortaya çıkacak ve zaman içinde artarak sürecek etkiler tahmin edilen etkilerdir. Tecrübeler ile desteklenmelidir ancak özellikle katastrofik seviyelerdeki etkilere daha önce ulaşılmamış olması muhtemel olacağı için, bu etkilerin tahminlerden ibaret olduğu unutulmamalıdır.


Yazımızı oluştururken ve çalışmalarımızı yürütürken her daim başvurduğumuz kaynaklarımızı da aşağıda paylaşmaktayız. Soru, görüş ve katkılarınızı yorum olarak iletmeniz bizi memnun eder.


Faydalı kaynaklar;
A Practical Approach to Business Impact Analysis – Ian Charters  
Good Practice Guidelines – BCI
ISO 22301
ISO 22313




27 Nisan 2017 Perşembe

Elektrik Piyasası Lisans Yönetmeliği-ISO 27019 Değişikliği


Bildiğiniz üzere Elektrik Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde yayınlanan 29217 sayılı yönetmelik ile 100MW ve üzeri üretim yapan üretim lisansı sahipleri (OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu getirilmişti.
Geçtiğimiz yıl 22 Ekim 2016 tarihli 29865 sayılı yayınlanan bir yönetmelik ile Üretim Lisansı sahiplerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasyonu zorunluluğunun kaldırıldığı yayınlanmıştı.


Elektrik Piyasası Lisans Yönetmeliğine ilişkin 24 Şubat 2017 tarihinde yayınlanan son değişiklik yönetmeliği ile Üretim Lisansı sahiplerinde ISO 27001 zorunluluğu yeniden gündeme getirilmiştir. Aynı zamanda bu yönetmelik değişikliği ile elektrik üretim, iletim ve dağıtım lisansı sahipleri ISO 27001 çalışmalarında ISO 27019 standardını dikkate almaları gerektiği belirtilmektedir.



Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

Peki ISO 27019 standardı nedir?

27000 standart ailesinde Olay Yönetimi, Siber Güvenlik, Denetim gibi konu özelinde rehber standartlar olduğu gibi, sağlık, telekom, bulut bilişim gibi sektörel uygulama rehberleri de yer almaktadır. ISO 27019 standardı da, 27000 ailesinin sektör spesifik standartlarından biri olup, enerji sektöründe kontrol sistemlerine yönelik bilgi güvenliği konularını ele almaktadır.

Enerji sektöründe hali hazırda ISO 27001 düzenlemelerinin bulunması, ISO 27019 standardına uyumluluğu da kolaylaştırmaktadır. ISO 27019 standardı ISO 27001 EK-A kontrollerinde enerji sektörüne özel rehber açıklamalara ek olarak, enerji altyapılarına ilişkin kontrol süreçlerinde ek güvenlik kontrolü hedefleri sunmaktadır.



25 Nisan 2017 Salı

Web Uygulama Testlerinde Burp İle Farklı Bir Port Adresi İçin Kimlik Doğrulamanın Düzenlemesi

Bu yazıda web uygulama sızma testlerinde Burp aracılığı ile platform otantikasyonunun öntanımlı port yerine özel bir port üzerinden gerçekleştirmesi anlatılmaktadır. 

Burp, öntanımlı olarak 80 ve 443 portlarında  "platform authentication"'ı desteklemektedir; fakat başka bir port ile otantikasyon yapılmak istenirse “localhost:9001” gibi “Destination host is not valid hatası” dönmektedir.

Bu sorun,  port yönlendirme yapılarak çözülebilir.
Bu çözümde bağlanılmak istenen sunucu ve port değeri 192.168.1.10 ve 9001 şeklindedir. Burp ile ön tanımlı olarak bu portu kullanan IP adreslerinin kullanımında sıkıntı yaşanmaktadır. Aşağıda bu sorunun aşımı için kullanılabilecek bir port yönlendirme yöntemi Windows işletim sistemi için açıklanmıştır.

"netsh interface portproxy add v4tov4 listenport=80 listenaddress=127.0.0.1 connectport=9001 connectaddress=192.168.1.10"

Not: CMD komut satırının yönetici modunda çalıştırılması gerekmektedir.


Komut satırı üzerinden uygulanan komutları açıklamak gerekirse; 127.0.0.1:80 URL'ine istek yapıldığında mevcut istek 192.168.1.10:9001 portuna yönlendiriliyor, burp tarafında ise ilgili credentials'lar ile login işlemi sağlıklı bir şekilde gerçekleştirilebiliyor.

Burp tarafındaki yapılandırma ise aşağıda belirtildiği şekilde gerçekleştirilmelidir.


Bu sorunun çözümü için kullanılabilecek farklı yöntemlerin bulunması halinde yorum eklemekten çekinmeyiniz. 

14 Nisan 2017 Cuma

İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğe Göre Yükümlülükler

Giriş

11 Nisan 2017 tarihli 30035 sayılı Resmi Gazete’de 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunu ile ilişkili Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından oluşturulan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik yayınlanarak yürürlüğe girdi.

Kanuna göre İnternet Toplu Kullanım Sağlayıcıları, kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayanlar olarak tanımlanmaktadır. Örneklerle somutlaştıracak olursak bu kategorideki internet sağlayıcılar kafe, otel, işyeri vb. kuruluşlarda kullanıcılarına internet ortamı sağlayanlardır. Bir diğer toplu kullanım sağlayıcı ise yönetmelikte; Ticari Amaçlarla İnternet Toplu Kullanım Sağlayıcıları olarak belirtilmiş olup, internet salonu gibi umuma açık yerlerde belirli bir ücret karşılığında internet kullanım hizmeti veren kuruluşlar olarak tanımlanmaktadır.

Yönetmeliğe Göre Yükümlülükler

İnternet Toplu Kullanım Sağlayıcıları;
  • Ağları üzerinden sağladıkları internet hizmetinde kullanıcıların konusu suç oluşturan içeriklere erişimini önleyici tedbir almak amacıyla içerik filtreleme sistemi kullanmak,
  • Kullanıcıların erişim kayıtlarını elektronik ortamda kendi sistemlerinde kaydederek 2 yıl süreyle saklamak,
  • Kullanıcıları tanımlamak için kısa mesaj servisi (SMS) gibi yöntemleri kurmakla yükümlüdür.

Ticari Amaçla İnternet Toplu Kullanım Sağlayıcılar;
  • Mülki idari amirden izin belgesi almak,
  • Erişim sağlayıcılardan sabit IP adresi almak, kullanmak ve IP adresi değişikliklerini 15 gün içerisinde mülki amire bildirmek,
  • Ailenin, çocukların korunması ve konusu suç oluşturan içeriklere erişimi önlemek amacıyla aktif halde, güncel tutulan, devre dışı bırakılamayan içerik filtreleme sistemi ve güvenli internet hizmeti kullanmak,
  • Erişim kayıtlarını elektronik ortamda kendi sistemlerinde kaydetmek ve 2 yıl süreyle saklamak, bu erişim kayıtlarının doğruluğunu, bütünlüğünü ve gizliliğini doğrulayan değeri günlük olarak kaydederek ve bu verileri 2 yıl süreyle saklamak
  • İşyerinin kapatılması veya devrini 15 gün içinde yetkili mülki amire bildirmek ve izin belgesini teslim etmekle yükümlüdür.


Yönetmeliğe buradan ulaşabilirsiniz.

6 Aralık 2016 Salı

COBIT VE ISO 27001’DE RİSK YÖNETİMİ

Giriş
Risk, bir olayın gerçekleşme olasılığıyla yaratacağı etkinin kombinasyonu olarak tanımlanmaktadır. Risk kavramı insanların aklında genellikle olumsuz bir izlenim oluşturmakla birlikte olumlu riskler ise fırsat olarak adlandırılmaktadır. Bu duruma bir örnek verecek olursak; bir kurumun ödemelerini döviz kurları üzerinden yapmasını bir risk olarak değerlendirebiliriz. Kurların artması durumunda kurumun yapacağı ödemeler TL bazında artış gösterecektir. Bir diğer taraftan ise bu durum bir fırsat oluşturmaktadır çünkü kurların gerilemesi halinde ise kurumun TL bazında yapacağı ödemeler azalacak ve kurum dolaylı yoldan kara geçecektir. Risklerin olumsuz etkilerinden zarar görmemek için risk yönetimi disiplini ortaya çıkmıştır. Risk yönetimini ele alan için çeşitli standartlar, çerçeveler bulunmaktadır; ISO 31000:2009, COSO, ISO 27001:2013, ISO 27005:2011, COBIT bunlara verebileceğimiz örneklerdir. Bu makalemizde COBIT 4.1 ve ISO 27001:2013 kapsamında Risk Yönetimini değerlendireceğiz.

Risk Yönetimi Yaklaşımı
COBIT (Control Objectives for Information and Related Technologies) çerçevesi risk yönetim sürecini PO (Planlama ve Organizasyon) başlığı altında Assess and Manage Risks (Risk Değerlendirme ve Yönetimi) sürecinde ele almaktadır. Diğer yandan ISO 27001 de COBIT’e paralel olarak risk yönetimiyle ilgili maddelerini 6 numaralı maddesi olan Planlama ve 8 numaralı maddesi olan İşletim başlıkları altında açıklamaktadır. Bu gözlemimize bağlı olarak ISO 27001 standardının ve COBIT çerçevesinin risk yönetim süreçlerini planlama başlıkları altında açıkladıklarını söyleyerek söze başlayabiliriz.

COBIT, 4 bölüm (Plan and Organise, Acquire and Implement, Deliver and Support, Monitor and Evaluate) 34 süreçten oluşan kontrol esaslı bir çerçevedir. Bu yüzden kurumların neler yapmaları gerektiğiyle ilgilenirken bunları nasıl yapmaları gerektiğiyle ilgilenmez. Bu sebeple risk yönetimi konusunda da ne yapılması gerektiği hakkında kontrol hedeflerinde bilgilendirme yapar. Buna ek olarak Risk Değerlendirme ve Yönetimi sürecinde bulunan faaliyetlerdeki sorumlulukları RACI matrisiyle (Responsible, Accountable, Consulted, Informed) atamaktadır ve süreçte ölçülecek hedeflerle birlikte performans kriterlerini de belirtmektedir.  Diğer tarafta, ISO 27001 standardı risk yönetim metodolojisini bilgi güvenliği risk değerlendirmesi ve bilgi güvenliği risk işleme olarak iki bölümde açıklamaktadır. Özellikle belirtmek gerekir ki; ISO 27001 standardında riskleri belirlemenin yanı sıra fırsatların da ele alınması gerektiği aktarılmaktadır

COBIT, BT Risk yönetim çerçevesinin kurumun risk yönetim çerçevesiyle aynı doğrultuda olmasını söyler ve risk bağlamının (context) belirlenmesi konusunda iç ve dış hususların risk yönetim sürecine dahil edilmesinden bahseder. ISO 27001 standardı risk yönetimi konusunda ISO 31000:2009 standardını referans göstermektedir. Dolayısıyla ISO 27001 de risk kapsamının belirlenmesi konusunda tıpkı COBIT’te olduğu gibi iç ve dış hususları ele almaktadır.  Bu hususlar ISO 31000 standardının 5.3 maddesine atıf yapmakla birlikte şu konu başlıklarını içermektedir; sosyal, kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam, organizasyon kültürü, süreçler, bilgi sistemleri ve altyapı vs.

COBIT PO9 Risk Değerlendirme ve Yönetimi süreci açıklamasında risk yönetim çerçevesinin yaratılmış ve sürdürülüyor olmasını; bu çerçevenin ortak ve üzerine anlaşılmış BT risklerini, indirgeme stratejilerini, artık riskleri dokümante etmesini tarif etmektedir. Ayrıca organizasyonun hedeflerine etki edebilecek herhangi bir planlanmamış olay (risk olayı) tanımlanmış, analiz edilmiş, değerlendirilmiş olmalıdır. Bununla birlikte risk indirgeme stratejilerinin artık riski kabul edilebilir düzeye indirgeyebilecek olması ve risk değerlendirme sonuçlarının paydaşlar tarafından anlaşılabilir ve finansal terimlerle ifade ediliyor olması gerektiğini belirtilmiştir. Kontrol hedefleri 6 başlıkta açıklanmaktadır bunlar; PO9.1 BT Risk Yönetim Çerçevesi, PO9.2 Risk Bağlamının Belirlenmesi, PO9.3 Olay Tespiti, PO9.4 Risk Değerlendirmesi, PO9.5 Risk Yanıtlanması, PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesidir. ISO 27001’de risk yönetimi, Madde 6.1.2 bilgi güvenliği risk değerlendirme ve Madde 6.1.3 bilgi güvenliği risk işleme olmak üzere iki aşamadan oluşmaktadır.

Risk Yönetimi Kapsamı
COBIT PO9.1 BT Risk Yönetim Çerçevesinde, bu çerçevenin kurumun risk yönetim çerçevesiyle uyumlu olması beklemektedir. PO9.2 Risk Bağlamının Belirlenmesi aşamasında uygun sonuçların elde edilmesi için risk değerlendirme çerçevesinin uygulama kapsamı belirlenmelidir. Bu kapsam belirlenirken risk değerlendirmede iç ve dış hususlar, değerlendirmenin hedefi ve hangi risklerin değerlendirileceği kriterleri göz önünde bulundurulmalıdır. ISO 27001, Madde 6.1.1 Risk ve fırsatları ele alan faaliyetlerde bilgi güvenliği yönetim sistemi planlaması yapılırken Madde 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi konusuna atıfta bulunarak; risk yönetimi kapsamının oluşturması için gereksinimleri tanımlamaktadır.

Risk Tespiti Yaklaşımı
COBIT PO9.3 Olay Tespiti yaklaşımına göre; kurumun hedeflerine ya da operasyonuna olumsuz etki edebilecek olaylar (iş, yasal, hukuki, teknolojik, iş ortağı, insan kaynakları ve operasyonel yönden) bulunmalıdır ve bir kütüğe kaydedilerek ve yönetilmelidir. ISO 27001 Madde 6.1.2 Bilgi güvenliği risk değerlendirme fazındaki yaklaşıma göre; bilgi güvenliği risk kriterlerinin oluşturulması, bilgi güvenliği risklerinin tespit edilmesi, bilgi güvenliği risklerinin analiz edilmesi ve son olarak bilgi güvenliği risklerinin değerlendirilmesinin yapılması beklenmektedir. Bilgi güvenliği risk kriterlerini detaylandıracak olursak risklerin değerlendirilmesinin yapılabilmesi için kriterlerin belirlenmesi ve ayrıca kurumun risk iştahını tanımlayan risk kabul kriterlerinin belirlenmesi istenmektedir.

Risk Değerlendirme Yaklaşımı
PO9.4 Risk Değerlendirme yaklaşımına göre, belirlenen risklerin etkisinin ve olasılığının nitel ve nicel yöntemlerle düzenli olarak değerlendirilmesi, dokümante edilmesi ve artık risklerin tanımlanması gerekmektedir.  ISO 27001 Madde 6.1.2 Bilgi güvenliği risk değerlendirme fazında bilgi güvenliği risklerinin tespit edilmesi aşamasında bilgi varlıkları ve süreçler üzerindeki gizlilik, bütünlük, erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi ve risk değerlendirme sürecinin uygulanmasıyla risklere sahipliklerin atanması ifade edilmiştir. Bilgi güvenliğinin risklerinin analiz edilmesinde belirtilen riskin gerçekleşmesi halinde oluşabilecek sonuçlar (etki) ile riskin gerçekleşmesi ihtimalinin (olasılık) belirlenmesi ve bu değerler kullanılarak risk seviyesinin belirlenmesi gerekmektedir. Risk seviyesinin belirlenmesinde endüstride yaygın olarak etki X olasılık formülü kabul görmektedir. Risklerinin değerlendirilmesine risk analiz aşamasında ortaya çıkan risk seviyesi sonuçlarının risk değerlendirmelerinin yapılması için belirlenen kriterlerle karşılaştırılarak risk düzeylerinin belirlenmesi ve analiz edilen risklerin kritikliğine göre risk işleme için önceliklendirilmesine dikkat çekilmiştir.

Risk İşleme Yaklaşımı
COBIT PO9.5 Riskin Yanıtlanmasında; risklerin oluşumunu azaltan maliyet etkin kontroller sağlamak için tasarlanmış bir risk yanıtlama sürecinin geliştirilmesi ve yönetilmesi amaçlanmaktadır. Bu risk yanıt süreci; indirgeme, kabul, paylaşma, kaçınma risk stratejilerini tanımlamalıdır. ISO 27001’de risk yönetimi için ikinci faz olan Madde 6.1.3 bilgi güvenliği risk işlemesinde, risk değerlendirme çalışmalarının sonuçlarını dikkate alarak uygun risk işleme seçeneklerinin seçilmesi (indirge, kabul, transfer, kaçın), risklerin ISO 27001 Ek A maddeleriyle eşleştirilmesi, risk değerlendirme çalışması sonucu kurumun kapsam dahilindeki süreçlerinin işleyişi için ISO 27001 Ek A maddelerinin nasıl karşılandığını bildiren bir Uygulanabilirlik Bildirgesi oluşturulması gerekmektedir.

Risk İşleme Aksiyon Planlaması
PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesi süreci; gerekli olarak tanımlanan risk yanıtlarını yerine getirmek için her düzeyde kontrol faaliyetlerinin maliyet, fayda ve icra edilebilmesi için sorumlulukların atanması dahil olmak üzere önceliklendirilmesi ve planlanmanın yapılmasını tavsiye eder. Önerilen aksiyonlar ve artık risklerin kabulü için onayların alınması, alınacak aksiyonların etkilenen süreç sahipleri tarafından sahipliklerinin bulunması ve son olarak aksiyon planının işleyişinin izlenmesi; eğer bir değişiklik olursa üst yönetime raporlanmasını talep eder.  ISO 27001 Madde 6.1.3 bilgi güvenliği risk işlemesinde riskin işlenmesi sorumluluğunun kime verildiği, tamamlanma tarihi, ayırılan kaynaklar gibi hususların belirtildiği bir risk işleme planının oluşturulması, bu risk işleme planına ilişkin risk sahiplerinin onaylarının alınması ve risk işleme sonucunda oluşan artık risklerin kabulü adımları da diğer adımlardır. Diğer taraftan değinmemizin doğru olacağı bir diğer husus da risk değerlendirme sonuçları sonrasında risk kabul kriteri değerinin altında kalan risklerin risk işleme fazında doğrudan risk kabul edilebileceğidir. Ancak kurum kabul kriterinin altında bir değere sahip bir riski de kabul etmek dışında isteği doğrultusunda diğer risk işleme seçeneklerini (indirge, transfer, kaçın) tercih edebilir.