Skip to main content 
ISO 27001 Risk Assessment Guide
Bilgi güvenliği yönetimi, yalnızca teknik kontrollerin uygulanmasıyla sağlanamaz. Etkili bir Bilgi Güvenliği Yönetim Sistemi, risklerin sistematik olarak tanımlanması ve yönetilmesiyle mümkün olur. ISO/IEC 27001 standardı, bu yaklaşımı risk temelli bir çerçeve üzerine kurar. Bu ISO 27001 risk assessment guide, risk değerlendirme sürecinin nasıl yapılandırılması gerektiğini teknik ve kurumsal bir bakış açısıyla açıklar. Böylece kuruluşlar, güvenlik kararlarını ölçülebilir ve denetlenebilir temellere oturtabilir.
ISO 27001’de Risk Değerlendirmenin Amacı
ISO 27001 kapsamında risk değerlendirme, bilgi varlıklarını tehdit eden belirsizlikleri kontrol altına almayı hedefler. Amaç, hangi risklerin kabul edilebilir olduğunu ve hangilerinin azaltılması gerektiğini belirlemektir.
Risk değerlendirme şu sorulara yanıt verir:
- Hangi bilgi varlıkları korunmalıdır
- Bu varlıkları etkileyebilecek tehditler nelerdir
- Zayıflıklar hangi noktalarda ortaya çıkar
- Olası etkiler ne kadar büyüktür
Bu yaklaşım sayesinde güvenlik yatırımları rastgele yapılmaz. Dolayısıyla kaynaklar, gerçek risklere odaklanır.
Bölüm özeti:
ISO 27001 risk değerlendirme süreci, belirsizlikleri yönetilebilir hale getirir ve güvenlik kararlarının temelini oluşturur.
ISO 27001 Risk Assessment Guide Kapsamı
Bu ISO 27001 risk assessment guide, standardın belirlediği asgari gereksinimlere dayanır. ISO 27001, belirli bir metodoloji zorunlu kılmaz. Ancak sürecin tutarlı, tekrarlanabilir ve belgelenmiş olmasını şart koşar.
Risk değerlendirme kapsamı şunları içermelidir:
- Organizasyonel bağlam
- İlgili tarafların beklentileri
- Bilgi varlıklarının sınırları
- Yasal ve düzenleyici yükümlülükler
Bu kapsam netleşmeden yapılan analizler eksik kalır. Bu nedenle ilk adım, değerlendirme sınırlarının doğru tanımlanmasıdır.
Bölüm özeti:
Risk değerlendirme, açıkça tanımlanmış bir kapsam üzerinde yürütülmelidir. Aksi halde sonuçlar güvenilir olmaz.
Bilgi Varlıklarının Tanımlanması
Risk değerlendirme sürecinin temel girdisi bilgi varlıklarıdır. Bilgi yalnızca dijital verilerle sınırlı değildir.
Bilgi varlıklarına örnekler:
- Elektronik veri setleri
- Fiziksel dokümanlar
- Yazılım uygulamaları
- Donanım sistemleri
- İnsan bilgisi ve uzmanlık
Her varlık için sahiplik belirlenmelidir. Ayrıca varlığın iş süreçlerine olan katkısı net şekilde tanımlanmalıdır.
Varlık değeri genellikle şu kriterlerle değerlendirilir:
- Gizlilik
- Bütünlük
- Erişilebilirlik
Bölüm özeti:
Bilgi varlıklarının doğru tanımlanması, risk analizinin doğruluğunu doğrudan etkiler.
Tehdit ve Zafiyet Analizi
Risk, tek başına tehditten oluşmaz. Tehdit, bir zafiyetle birleştiğinde risk haline gelir. Bu nedenle her iki unsur birlikte değerlendirilmelidir.
Yaygın tehdit örnekleri:
- Yetkisiz erişim
- Kötü amaçlı yazılım
- İnsan hatası
- Fiziksel hasar
- Hizmet kesintileri
Zafiyetler ise şu alanlarda ortaya çıkar:
- Eksik süreçler
- Yetersiz eğitim
- Yanlış yapılandırmalar
- Güncel olmayan sistemler
Bu aşamada amaç, tüm olasılıkları teknik gerçekçilikle ele almaktır.
Bölüm özeti:
Tehditler ve zafiyetler birlikte ele alınmadan risk doğru tanımlanamaz.
Riskin Olasılık ve Etki Açısından Değerlendirilmesi
ISO 27001 risk assessment guide kapsamında riskler, olasılık ve etki kriterleriyle analiz edilir. Bu değerlendirme nitel veya nicel olabilir.
Olasılık değerlendirmesi şunlara dayanır:
- Geçmiş olaylar
- Mevcut kontrollerin gücü
- Tehdit aktörlerinin kapasitesi
Etki değerlendirmesi ise:
- İş sürekliliği
- Yasal sonuçlar
- Finansal kayıplar
- İtibar etkisi
Bu iki kriterin birleşimi, risk seviyesini ortaya çıkarır. Böylece önceliklendirme yapılabilir.
Bölüm özeti:
Risk seviyeleri, olasılık ve etkinin sistematik değerlendirilmesiyle belirlenir.
Risk Kabul Kriterlerinin Tanımlanması
Her risk mutlaka azaltılmak zorunda değildir. ISO 27001, risk kabul kavramını açıkça tanımlar. Bu nedenle kuruluşlar kabul edilebilir risk seviyelerini önceden belirlemelidir.
Risk kabul kriterleri:
- Yönetim onayı ile tanımlanır
- Ölçülebilir olmalıdır
- Tutarlı şekilde uygulanmalıdır
Bu kriterler olmadan yapılan değerlendirmeler subjektif hale gelir. Dolayısıyla kararların savunulabilirliği azalır.
Bölüm özeti:
Risk kabul kriterleri, objektif ve tutarlı kararlar alınmasını sağlar.
Risk İşleme Seçenekleri
Değerlendirilen her risk için bir işleme kararı verilmelidir. ISO 27001 dört temel risk işleme seçeneği tanımlar.
Bu seçenekler:
- Riski azaltmak
- Riski kabul etmek
- Riski transfer etmek
- Riski ortadan kaldırmak
Risk azaltma genellikle Annex A kontrolleriyle sağlanır. Bu noktada ISO/IEC 27002 referans alınabilir.
Bölüm özeti:
Risk işleme kararları, risk seviyesine ve iş hedeflerine göre belirlenir.
Statement of Applicability ve Dokümantasyon
Risk değerlendirme sürecinin çıktıları belgelenmelidir. En kritik dokümanlardan biri Statement of Applicability’dir.
Bu doküman:
- Seçilen kontrolleri listeler
- Hariç tutulan kontrolleri gerekçelendirir
- Risk işleme kararlarıyla ilişkilidir
Ayrıca risk kayıtları, metodoloji açıklamaları ve değerlendirme sonuçları da saklanmalıdır. Denetimler bu belgeler üzerinden yürütülür.
Bölüm özeti:
Dokümantasyon, risk değerlendirme sürecinin izlenebilirliğini ve denetlenebilirliğini sağlar.
Sürekli Gözden Geçirme ve İyileştirme
Riskler statik değildir. İş süreçleri, tehditler ve teknolojiler değiştikçe risk profili de değişir. Bu nedenle risk değerlendirme periyodik olarak güncellenmelidir.
Gözden geçirme tetikleyicileri:
- Organizasyonel değişiklikler
- Güvenlik olayları
- Yeni yasal gereksinimler
- Sistem mimarisi değişiklikleri
Bu yaklaşım, ISO 27001’in sürekli iyileştirme prensibiyle uyumludur.
Bölüm özeti:
Risk değerlendirme yaşayan bir süreçtir ve düzenli olarak güncellenmelidir.
Sonuç
Bu ISO 27001 risk assessment guide, bilgi güvenliği risklerinin nasıl yapılandırılmış ve denetlenebilir şekilde yönetileceğini açıklamaktadır. Risk temelli yaklaşım, kontrol seçimlerinin temelini oluşturur. Doğru tanımlanmış varlıklar, tutarlı değerlendirme kriterleri ve güçlü dokümantasyon, etkin bir Bilgi Güvenliği Yönetim Sistemi’nin vazgeçilmez bileşenleridir. ISO 27001, riskleri ortadan kaldırmayı değil, bilinçli şekilde yönetmeyi hedefler.
