11 Mart 2019 Pazartesi

Free Will and Determinism




The debate about free will and determinism has been going on for centuries. It affects all our ideas about human actions or human choices in economics. Can we have "science of choice" that does not fall under this scheme ? This is the question that Professor James M. Buchanan fails to analyse in his book "What should economists do ?" in Page 40.  

He says "the old age issue (an old age philosophical dilemma)". "I prefer to think that the subject and discussion itself not illusory". He also says that "I am neither competent nor interested in detailed etymological inquiry".

Is it possible in economic theory to predict what will happen in the future, does this mean that we are not free? 

Determinate World
No Choice (Not Allow Freedom, Coerced Choices): Choice predictable. No Choosing or deciding process. No free will.
Indeterminate World
Choice (Allow Freedom). Choice is not predictable. Free Choice/Free will. Unconstrained/Free Choices (of average or representative person).
Free will: 
Where there is free choice (a) Person is the sole author of the act of choice (b) Person could have chosen otherwise.

Financial Crimes-Forensic Accounting

Fraud generally refers to harms, damages, injury caused by any kind of deception or financial crimes affecting not only what one has but also what one is. Therefore, what is true for financial crimes, it is also true for financial transactions. There are all sort of fraud in market exchanges among human beings. What we have here is a highly sensitive area in between disintegration and systemic fraud and lying all around the world. I'm not going into explanation and evaluation of the classical crime theories. Main questions are the following:

  • We can calculate financial fraud, but how do we measure bad faith in financial transactions ? 
  • How can we evaluate the words of the Hebrew that refers to "fraud" in financial transactions ?
  • Do we need to rethink and reconsider the status of fraud in the modern world ?






7 Mart 2019 Perşembe

ÜÇLÜ SAVUNMA SİSTEMLERİ



Vücudun Savunma Sistemleri-Bankacılık Savunma Modeli

Konuyu dahiliye Uzmanı Dr. açısından da değerlendirmek gerekiyor. Dahiliye uzmanı Dr. devam eder ve aşağıda belirtilen “bağışıklık/savunma sistemleri” hususunda önemli tezler ortaya koyar:

“Dünyadaki tüm canlılar kendilerinden olmayan doku, hücre moleküllere, virüs veya enfeksiyona, karşı savunma sistemlerine sahiptir. Canlılardaki savunma sistemlerine rağmen, insanoğlu hastalık kapabilmekte ve bunlara karşı savunma sistemleri geliştirmektedir. Savunma mekanizması dinamik ve sürekli gelişen bir çerçevede ele alınmakta ve gelişim evrelerinden geçmektedir. İnsan vücudunun her alanında bağışıklık sistemi/savunma sistemi özel işlevlere sahip çok sayıda hücre ve molekül içermektedir. İnsan vücudunda yeni organlar ve savunma sistemleri keşfedilmeye devam edilmektedir. Bu konudaki çalışmalar, bankacılıktaki üçlü savunma mekanizmasından farklı değildir”. Vücudun hastalıklara neden olan mikropları durdurmak için üç savunma hattı bulunmaktadır". 

Vücudun 3’lü savunma sisteminde; 
(1-SH) Mikropların vücuda girmesini durdurmak (Solunum Sistemi, Gözler ve Cildimiz) Bunlar, mikropların vücudumuza girmesini, mikropların akciğerlerimize girmesini engeller. Gözyaşları enzimler adı verilen kimyasalları oluşturarak, gözümüz üzerindeki mikropları öldürürler. Patojenlerin vücuda girmesini engellemek ilk savunma hattının görevidir. 
(2-SH) Özel Beyaz Kan Hücreleri bulunmaktadır. Bu hücreler hücreleri fagositler olarak da adlandırılır. Genellikle birinci savunma hattını aşan “yabancı” herhangi bir şeyi yakalarlar. Mikropları yerler ve sindirirler. Tüm patojenler yok edildikleri zaman antikorlar kan içerisinde hastalık yaratan mikroplarla savaşmak için hazır bulunurlar. Bu şekilde vücut daha önce savaştığı hastalıklara karşı bir bellek oluşturarak daha önce geçirdiğimiz hastalıklara karşı bağışıklık kazanırlar. Eğer patojenler tekrar vücuda saldırırlarsa hazır olan ve çabucak üretilebilen antikorlar enfeksiyon savaşına hazır olurlar. 
(3-SH) Özel olmayan Beyaz Kan Hücreleri bulunmaktadır. Söz konusu hücreler, hangi antikorları üreteceğine karar verdiği zaman, onları çok kısa bir sürede üretirler. Bu antikorlar daha sonra derhal işgalci mikropları yok edilmeleri için işaretlemeye başlarlar. Enfeksiyon sona erdikten sonra kan içinde kalarak, enfeksiyon tekrar geldiğinde savaşmaya hazır olurlar. Bu nedenle vücudun daha evvel geçirdiği hastalıklara karşı bağışıklık kazanırlar. Ve hangi antikorları çabucak üreteceklerini bilirler. Bütün bunlar doğru hücrelerin bölgeye gitmelerini ve enfeksiyonla mücadele etmelerini sağlarlar (risk esaslı savunma). 
Sonuç itibariyle, Bankacılık 3’lü savunma hatları, insan vücudunun üçlü savunma sistemi gibi çalışmaktadır. İkisi arasındaki çok yakın benzerlikler hiç de tesadüfi değildir. İlk önce vücudun savunma sistemleri keşfedildi; daha sonra bunlar, benzer metodoloji ve modeller ile Bankacılık işine entegre edildi. Bunun da adına “üçlü-savunma hattı” diye tanımlama yapıldı: (1-BH) işi yapanlar, (2-BH) İşi yönetenler (3-BH) İşi denetleyenler. Ancak bu modelin çok fazla eksiklikleri ve 4-5 savunma Hattı ile birlikte güncellenmesi ve yenilenmesi gereken konuları vardır.”

18 Ekim 2018 Perşembe

Hile ve Suistimal

NEDENLER, SONUÇLAR VE ÖNLEMLER

Banka hilelerinin en önemli sonucu müşteri güveninin kaybolmasıdır. Banka hileleri, bankaların büyümesini tehlikeye atmakta, fon sahiplerinin mevduatlarını kaçırmakta, bankaların sermaye tabanını eritmekte, sonuçta gelir, müşteri ve itibar kaybı yer almaktadır.

Hilenin neden olduğu kayıplar, Kurum itibarını ve markasını olumsuz yönde etkiler ve Bankacılık mevzuatına uyum gittikçe zorlaşır. Bankacılık hilelerinin temel nedenleri arasında şunlar yer almaktadır:
1. Yetersiz iş eğitimi,
2. Personel üzerinde aşırı iş yükü,
3. Yoğun rekabet ve agresif pazarlama eğilimleri,
4. Yasa ve düzenlemelerine “düşük” uyum düzeyi,
5. Yetersiz iç kontrol ve risk yönetim sistemleri,
6. Kontrol ve risk farkındalığının içselleştirilmesinde yaşanan sorunlar,
7. Görevli personelin yolsuzluğa eğilimli olması,
8. Uygunsuz İK ve istihdam politikaları.


Bankacılık mevzuatı açısından, hilenin yapılmasının ana nedeni, görevli personel tarafından yerleşik (dahili) sistem ve kurallara uyulmasında yaşanan "gevşeklik veya ihmâl" olarak değerlendirilmektedir. Bu konuyu biraz daha detaylandırmak gerekirse:
  • Kayıtsızlık ve bilgi açığı/farkındalığı ise, kurallara uymamanın iki temel nedeni durumundadır. Rekabet etme zorunluluğu ise gelenekselleşmiş ve sınanmış sistem ve kuralların gevşetilmesine neden olmuştur. Yoğun rekabet, görevli banka çalışanlarını gevşetilmiş sistem ve kurallar ile çalışmaya zorlamıştır. Sistemin gevşetilmesine ve kuralların esnetilmesini fark eden "etik dışı" banka içi ve dışı hilekarlar bu durumu kötüye kullanabilmektedir.
  • Yetersiz (niteliksiz ve deneyimsiz) insan gücü (personel) bankaya iş planlaması ve görevlerin dağıtımında sorunlar çıkarmakta ve bu durum bankanın günlük işlemlerinde hilekarlar tarafından kötüye kullanılabilmektedir.
  • Yetersiz iç kontroller banka çalışanı, müşterisi ya da müşterisi olmayanlar tarafından kötüye kullanılabilecek bir zayıflık oluşturmaktadır.
  • Banka çalışanlarının bankacılık faaliyetlerinin hem teorik, hem de teknik yönleri konusunda yeterli biçimde eğitilmemesi ya da sürekli eğitimden geçirilmemesi bankaların genel olarak performansını düşürmekte ve bu da hilekarlar tarafından kolaylıkla kötüye kullanılabilecek bir "kontrol ortamı" yaratmaktadır.
  • Hesapların ve defterlerin düzenli biçimde tutulmaması ve dönemsel hesap mutabakatlarının yapılmaması, özellikle banka çalışanları tarafından kötüye kullanılabilmektedir.
  • Hile risk faktörleri arasında, anne-babalardan çocuklara “kalıtım yoluyla geçen özellikler”,
  • Banka personelinin payına düşen “ücret” ve “benzeri ödemelerin” yetersiz düzeyde olması,
  • Hileli bir şekilde el konulan malların paraya çevrilmesinin hızlı ve kolay olması. 
  • Konulan ilke ve kurallara uyulmamasının cezasız ve yaptırımsız kalması.
  • Banka varlıklarını ve çıkarlarını korumakla görevli olan ilişkili kurumların gizlice anlaşması.
  • Olumsuz çalışma koşulları.
  • Çalışanların yoksul ve sadakatsiz olması gibi diğer önemli nedenler vardır.

Hilenin yol açtığı kayıplar sadece finansal nitelikte olmayıp "itibar" ve "güven" kaybı nedeniyle düşen satışlar ve dahili huzursuzluklar da bu kapsamda değerlendirilmesi gerekmektedir.

Kredi Hilelerinin Nedenleri

1. Kurumsal yönetim yapısının yetersiz bir düzeyde tasarlanması ve uygulanması,
2. Kurumsal yönetim sistemlerinin doğru düzgün çalışmaması,
3. Kredilerle ilgili entegre sistemin olmaması,
4. Kredi analiz, derecelendirme ve uyarı sistemlerinin yetersiz kalması,
5. Kredilerle ilgili verilerin yetersiz ya da amaca uygun bir düzeyde olmaması,
6. Etkin iç/dış denetim personel yokluğu ya da eksikliği,
7. Üst-orta kademe yöneticilerin sık sık değişmesi (hızlı devir),
8. Önemli denetim ve finans görevlerine niteliksiz/tecrübesiz personel atanması,
9. Müşterilerin istenen bilgi ve finansal tabloları sağlamakta gönülsüz olması ile fiktif veya çelişkili veriler sunması gibi nedenler (faktörler) vardır.

İster anlayın, ister anlamayın; ister uygulayın ister uygulamayın; ister uyuyun, ister uyumayın; ister oynayın, ister oynamayın..... İnsanın doğası hile ve suistimallere çok yakındır.

Hile ve suistimaller, gizlilik ve gizlenme üzerine kuruludur. İç kontrol boşluklarını her zaman suistimaller doldurur düşüncesiyle, hile ve suistimal ile mücadelede Bankalar (Kurumlar) için önerilebilecek en temel reçete aşağıda belirtilmektedir;
  1. Bankacılık kontrol tanım ve uygulamalarını iyice anlamak ve bunları iş süreçlerine yerleştirmek,
  2. Yönetimin hile ve suistimallere karşı tutumu, geri bildirimi ve bu konudaki iletişimi ve kurum içinde politika belgelerini oluşturmak,
  3. Güçlü ve yeterli bir iç kontrol sistemine sahip olmak,
  4. Görevler ayrılığı kuralına göre iç kontrolleri işlevsel faaliyet alanlarına doğru bir şekilde yerleştirmek,
  5. Tüm alan ve faaliyetlerde mutlak suretle, veri girişini yapan, veriyi onaylayan, çıktının sayısını, kalitesini ya da performansını kontrol eden, mutabakatı sağlayan kişileri ayrı ayrı görevlendirmek (Diğer bir ifadeyle, işi baştan sona tek bir kişinin yetki ve sorumluluğuna bırakmamak),
  6. Personel sayısı yetersizliği nedeniyle görevler ayrılığı uygulamasında sorun yaşanmasını engellemek,
  7. Kritik öneme sahip faaliyetleri ve görevleri öncelikli olarak belirlemek ve bu görevlerin ayrıştırılmasına özen göstermek,
  8. Kurum çalışanlarını (kuruma yakın tedarikçileri) yakından tanımak,
  9. Mutabakatlar, habersiz teftişler yine suistimaller için caydırıcı kontrol ve uygulamalar yaratmak,
  10. Tüm işlerin detaylı şekilde tanımlanmış ve dokümante edilmiş olması ve işlerde belirli zamanlarda rotasyonların yapılmasını sağlamak.
  11. Risk değerlendirme, hile ve suistimalle mücadelenin vageçilmez bir unsurudur. Kurum içinde tüm karar ve faaliyetlere ilişkin süreçler üzerinde yapılacak sürekli risk değerlendirme ve izleme çalışmaları ile kontrol boşluklarını kapatmak,
Doğru yer ve zamanda, doğru kontroller, hile ve suistimalleri önemli ölçüde azaltmada veya meydana gelmiş bir suistimali tespit ederek kayıpları azaltmada önemlidir. 

Hiçbir zaman risk ve kayıplar "sıfır" olmaz. İşin de en derin (en kritik) ve en geniş boynuzlu doğası da işte budur.  Hile ve suistimal ile mücadelenin en zor yanı, suistimalin insan davranışından kaynaklanıyor olmasıdır. İster anlayın, ister anlamayın; hile ve suistimalin bir şekli ya da kimliği yoktur. Bunlar değişik yer ve zamanda önünüze çıkabilir...Peki bu konuda ne yapılmalıdır?

BANKACILIK KONTROL STANDARTLARI (KURMAK, İŞLETMEK VE YÖNETMEK, TASARLAMAK VE UYGULAMAK)

İç Kontrol Sisteminin Amacı:
  1. Banka varlıklarının korunması,
  2. Faaliyetlerin etkin ve yeterli bir şekilde Yasa ve ilgili diğer mevzuata, banka içi politika ve kurallara ve bankacılık teamüllerine uygun olarak yürütülmesi,
  3. Muhasebe ve raporlama sisteminin güvenilirliğini, bütünlüğünü ve bilgilerin zamanında elde edilebilirliğini sağlamak,
  4. Hile ve suistimal ile mücadelede yardımcı olmaktır.
KONTROL SİSTEMİ (KONTROL STANDARTLARI)
Kontrol ortamı, iç kontrolün diğer unsurlarına temel teşkil eden genel bir çerçeve olup, kişisel ve mesleki dürüstlük, yönetim ve personelin etik değerleri, iç kontrole yönelik destekleyici tutum, mesleki yeterlilik, organizasyonel yapı, bilgi teknolojileri, insan kaynakları politikaları ve uygulamaları ile yönetim felsefesi ve iş yapma tarzına ilişkin bileşenleri kapsar.

A. KONTROL ORTAMI STANDARTLARI
Standart-1: Etik Değerler ve Dürüstlük
Standart-2: Misyon, Organizasyon Yapısı ve Görevler
Standart-3: Personelin Yeterliliği ve Performansı
Standart-4: Yetki Devri 

B. RİSK DEĞERLENDİRME STANDARTLARI
Standart-5: Planlama, Programlama ve Uygulama
Standart-6: Risklerin Belirlenmesi,Değerlendirilmesi,İzlenmesi ve Raporlanması

C. KONTROL FAALİYETLERİ STANDARTLARI
Standart-7: Kontrol Stratejileri ve Yöntemleri
Standart-8: Prosedürlerin Belirlenmesi,Belgelendirilmesi ve Güncellenmesi
Standart-9: Görevler Ayrılığı
Standart-10: Hiyerarşik Kontroller
Standart-11: Bilgi Sistemleri (BT) Kontrolleri

Ç. BİLGİ VE İLETİŞİM STANDARTLARI
Standart-12: Bilgi Güvenlik ve İletişim
Standart-13: Raporlama
Standart-14: Kayıt ve Dosyalama Sistemi
Standart-15: Hile/Usulsüzlük ve Yolsuzlukların Bildirilmesi

D. İZLEME STANDARTLARI
Standart-16: İç Kontrollerin İzlenmesi ve Değerlendirilmesi
Standart-17: İç Denetim Sistemi ve İç Denetim Faaliyetleri


Hileyi büyük bir orman gibi düşünmek gerekmektedir. Çünkü hilenin içinde ayni zamanda; “kasıt”, “hata”, “yarar sağlama”, “haksız kazanç”, “görev ihmali”, “bilerek görmezden gelme”, “uyumsuzluk”, “anlamsız işlem ve ilişkiler” gibi bileşenler vardır.

Hile en çok tesadüfle ve ihbar sonucu ortaya çıkar. Ancak, hile belirtileri dediğimiz olayları, çalışanların tümünün bilmesi gerekir ki, bir belirti ile karşılaşıldığında tepkisini koyup denetim mekanizmasını harekete geçirsin. Hilenin ortaya çıkmasında herkese görev düşer. Bu nedenle, hileyi ortaya çıkarmak yalnızca hile denetçilerinin görevi değil, kurum içinde çalışan herkesin görevidir. Kurum içinde etkin ve verimli çalışan eğitim ve personel yetkinlik modeli çok önemlidir.

Diğer Önemli Konular:
  1. Hile en çok "tesadüfle" ve "ihbar sonucu" ortaya çıkar.
  2. Ekonomik kriz ortamlarında yapılan hileler normal ekonomik dönemlere kıyasla daha fazladır.
  3. Hilenin özünde güven vardır çünkü güven başladığında (güven pozisyonununa geçildiğinde) hile ile ilgili fırsat en uygun zamanda yakalanır (Güven ver- Fırsat yakala gibi). Yani, güven yoksa, hile de yoktur veya hile çok daha azdır. 
  4. Güvenmek bir işlem değil bir duygudur. Şirketlerde; güven ama kontrol et, güven ama incele denilen bir süreç var ki, bunu şirket yöneticileri pek de iyi beceremiyor.
  5. Fırsat, baskı ve ihtiyaç gibi bileşenler hile eylemi gerçekleştirmede çok önemlidir. Haklı gösterme de bu zincirin önemli bir noktasıdır.
  6. Hile ile ilgili mücadelede "bilinç" ve "farkındalık" konusu çok daha önemli. Bir çürük elma bile sepeti bozabilir.
  7. Son Söz: Dünü Anla, Bugünü Değerlendir, Geleceği Planla ve Denetle. Oku, Anla, Uygula, Geliştir ve Değişkenleri Yakından Takip Et. 
  8. Merak etmeyin. Hile günün birinde orada bir yerde rasgele önünüze çıkacaktır.
  9. Tecrübeler,Teoriye; Teoriler, Eyleme dönüşür.

KEDİYİ BASTILAR



9 Mayıs 2018 Çarşamba

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)

ISO 27001 BİLGİ GÜVENLİK YÖNETİM SİSTEMİ (BGYS)


Genel
27001 BGYS, Firma finansal verilerini, fikri mülkiyetlerini ve hassas müşteri bilgilerini korumalarına yardımcı olan uluslararası bir çerçevedir. Kişi ve kurumları, bilgiye ulaşmasında, saklanmasında, depolanmasında bir yerden bir yere taşınmasında önemli bir rol oynamaktadır. Bu açıdan bilgi, "güvenli ve "sürekli saklanabilir" olmalıdır.

Güvenlik Açığı
Güvenli noktalar/Güvenlik açığı olan noktalar.

Bilgi elektronik ortamda nasıl korunmalıdır? Bu günümüzde en yaygın olarak aklımıza gelen sorulardan birisidir. Özel ve Kamu kuruluşlarında elektronik "yedekleme" ve "saklama" gibi güvenlik standartları (BGYS 27001) olmalıdır. Bilginin gizliliğine ve korunmasına karşı, güven ortamı oluşturulmalıdır. Çünkü yaşanan güvenlik sorunlarının bedeli çok ağır ve zahmetli bir süreç içermektedir. Örneğin;
  • Pazar kaybı,
  • Müşterilere karşı güvensizlik,
  • İş süreklilik kesintisi,
  • İdari ve yasal yaptırımlar vb gibi sorunlar ortaya çıkabilmektedir.
Bunların kazanılması, yine bunların yitirilmesi karşısında alınacak önlemlerden daha pahalı olduğu için BGYS ISO 27001 iyice anlaşılması ve buna göre "Bilgi Güvenlik Politikası" oluşturulması gerekmektedir.


1. BİLGİ NEDİR ?
Tüm ticari varlıklar gibi firma için değeri olan ve dolayısıyla korunması gereken bir varlıktır. Kurum ve Kuruluş faaliyetlerinin devamı için büyük bir öneme sahiptir. 
  • Tek başına maddi bir değeri olmamasına rağmen, korunması veya ihlal edilmesi durumunda, maddi kayıplara neden olabilecek bir varlıktır. 
2. BİLGİ GÜVENLİĞİ NEDİR ?
Birçok biçimde kullanılan bir varlıktır. Örneğin bilgi, format ve kullanım türüne göre sınıflandırılabilir. Buna göre bilgi;
  • Kağıt üzerinde olabilir,
  • Elektronik ortamda saklanıyor olabilir,
  • Bir yerden diğer bir yere gönderiliyor olabilir (Posta/E-posta),
  • Sözel bir biçimde olabilir (insanlar arasında olabilir). 
Bilgi bu biçim ve formatlarda nasıl korunmalı ve güvence altına alınmalıdır?
Bilgi güvenliğini nasıl sağlanabilir?

Bu sorulara yanıt "güvenli ortam" ile birlikte BGYS gereksinimlerini yerine getirmekle karşılayabiliriz.

Bilgi güvenliği, bir kurum veya kuruluşun bilgi varlıklarının korunmasıdır. 

Bilgi varlıklarının korunması 3 temel güvenlik unsurundan oluşur. Güvenlik unsurlarından herhangi birinin zarar görmesi güvenlik zafiyetine neden olur. 

Bilgi Güvenlik Unsurları
Güvenlik unsurları aşağıda belirtilmiştir.

(1) Gizlilik (Bilginin sadece yetkili olan kişilerce erişebilmesi özelliğidir).
(2) Bütünlük (Varlıkların doğruluğunun ve eksikliğinin güvence altına alınması özelliğidir).
(3) Kullanabilirlik-Erişebilirlik (Yetkili bir kurum veya kuruluş talebi üzerine bilgiye ve ilişkili kaynaklara erişime sahip olabilme hakkının garanti edilebilmesi özelliğidir).

Müşterilere, bilgilerin güven altında olduğu güvencesi vermektir. Kazanılması, yitirilmesinden daha pahalı olduğu düşünüldüğünde, teknoloji çağında sürekli olarak "bilgi güvenlik ortamı" yaratabilmeliyiz.

3. ISO 27001 KİMİ İLGİLENDİRİR?
Uluslararası ve denetlenebilir "tek standart" olma özelliğine sahiptir.
  • Tüm sektör ve ülkeler, Kamu/Özel Kurum ve Kuruluşları, büyük ve küçük firma ayırt etmeksizin bunların hepsini ilgilendirir.
  • Bilginin korunması gereken tüm alanlarda daha önemlidir. 
  • Bilgiyi başkası açısından yönetenler için de çok önemlidir. 
Örneğin, tedarikçi ve taşeron şirketler.
Risk Sınıflama/Risk Gruplama:

(1) DÜŞÜK
Tarım
İnşaat
Emlak
Gıda ve Tütün
Maden
Endüstriyel Ekipman
(2) ORTA
Otomativ
Kimya
Enerji
Nakliyat
(3) YÜKSEK
Kamu Kuruluşları
Savunma Teknolojileri
Havacılık
Bankacılık
Finans
Elektronik

Bilgi güvenlik açığını (bilgi kaybını) hızlıca 
"engellemek", "önlemek", "korumak" ve "kontrol altına almak" gerekir.

4. BGYS İLE İLGİLİ YANLIŞ BİLİNENLER VE DOĞRULARI
Ülkemizde yasal eksiklik/yasal zorunluluk olmaması sebebiyle kurum ve kuruluşlarda yanlış algılamaya neden olan birçok konu vardır.
  • Bilgi teknolojisi projesidir. Bilgi teknolojileri projesi değildir.
  • Bir bilgi güvenlik projesidir. Kurumun tüm birim ve süreçleri ile ilgisi vardır.
  • Güvenlik teknolojileri ile ilişkisi vardır. Güvenlik teknolojilerinden yararlanılır.
  • Yazılım, donanım ve servis tedarik projesidir. 
  • Yazılım, donanım ve servis tedarikçiye yaptırılabilir, başka bir kuruma yaptırılabilir, başka bir kurum tarafından danışmanlık hizmeti alınabilir. Ancak, BGYS kurması gereken asıl kurumun kendisidir.
  • Kapsamı nihai olarak kurumun tamamıdır, tek olarak bilgi işlem birimi değildir.
  • Kurmak ve yürütmekten sorumlu ÜDY, bilgi işlem başkanıdır.
  • Kurmak ve yürütmekten sorumlu yönetici, kurumun en üst düzey yöneticisidir.
5. ISO 27001 BGYS KURMANIN FAYDALARI (YARARLARI)
BGYS kurmanın faydaları aşağıda belirtilmektedir.
  • Bilgi varlıklarının farkına varılması,
  • İş sürekliliğinin sağlanması,
  • Tedarikçi/müşteri güveni kazanılır,
  • Firma saygınlığı yükselir,
  • Yaşayan bir süreç olduğundan, performans izleme ve geliştirmede yardımcı olur,
  • Felaket durumunda, işe devam edebilme yeterliliği sağlar,
  • Bilgi varlıklarına hedef olan risklere karşı önlemler alır,
  • Yasal takipleri önler,
  • Müşteri değerlendirme işlemini rakiplerine kıyasla daha iyi yapar,
  • Yasal alanda yükümlülüklere uyum kolaylaşır (yasal uyum)
  • Kurum genelinde bilinç ve farkındalık oluşur,
  • Müşteri/çalışan motivasyonu sağlar,
  • Rekabet anlamında avantaj sağlar (rekabet üstünlüğü elde edilmesi).
Özetle BGYS: Kurmak, geliştirmek, uygulamak, takip etmek, ölçmek, sürdürmek ve iyileştirmek ve bir method oluşturmak amacıyla oluşturulmuştur.

6. ISO 27001 STANDARDI VE SÜREÇLERİ
Bilgi güvenlik yönetim standardıdır. 14 Ekim 2004 tarihinde yayınlandı.
Firmalar BGYS,
  • Kurmak
  • Geliştirmek
  • Uygulamak
  • Takip Etmek
  • Ölçmek
  • Sürdürmek
  • İyileştirmek
  • Method oluşturmak, amacıyla oluşturulmuştur.
Bir sürecin çıktısı, bu süreci izleyen başka bir sürecin girdisini oluşturur.

SÜREÇ GİRDİSİ-----SÜREÇ YAKLAŞIMI---SÜREÇ ÇIKTISI 
(Girdi-Oluşum-Çıktı).

Bilgi güvenlik Yönetimi, sürekli devam eden bir gelişim sürecidir. Bu tanımların ve bunların yönetimi ile ilgili oluşan sürecin, sistematik bir şekilde uygulanmasına "süreç yaklaşımı" denir. Bunun için PUKÖ modeli benimsenmiştir. 
Bu konuda BGYS metodu ve süreç yaklaşımı süreklilik arz eden bir konudur. 
Sürekli devam eder;
  • PLANLA
  • UYGULA
  • KONTROL ET
  • ÖNLEM AL
PUKÖ MODELİ İLE İLGİLİ AŞAMALAR

1-AŞAMA: ÖNLEM AL
Yönetimin gözden geçirme sonuçlarına dayanarak, "düzeltici ve önleyici" faaliyetlerin gerçekleştirildiği aşamadır. Standardın 4.2.4-BGYS sürekliliğinin sağlanması ve iyileştirilmesi başlığına karşılık gelir.

2-AŞAMA: KONTROL ET
BGYS politikası, amaçları ve süreç performansının değerlendirildiği, uygulanabilen yerlerde ölçüldüğü ve sonuçların rapor edildiği aşamadır. Standardın 4.2.3 BGYS "izlenmesi ve gözden geçirilmesi" başlığına karşılık gelir.

3-AŞAMA: UYGULA
BGYS politikası, "kontrol süreçleri ve prosedürlerin" gerçekleştirilip işletildiği aşamadır. Standardın 4.2.2-BGYS nin gerçekleştirilmesi ve işletilmesi başlığına karşılık gelir.

4-AŞAMA: PLANLA
BGYS politikası, amaçlar, hedefler, "süreç ve prosedürlerin geliştirildiği" aşamadır. Standardın 4.2.1-BGYS kurulması başlığına karşılık gelir.

7. ISO 27001 BGYS KURMA AŞAMALARI
Bu aşamada firma gereksinimlerinin yanısıra, tüm bilgi varlıkları değerlendirilmelidir.
  • Bu varlıkların sahip olduğu zayıflıklar ve karşı karşıya oldukları tehditleri göz önünde olan bir risk analizi yapılmalıdır.
  • Firma kendisine bir risk yönetim şekli seçmelidir. 
  • Risk işleme için bir plan hazırlanmalıdır.
  • Risk işleme için standartlarda belirtilen kontrol ve kontrol hedeflerinden seçimler yapılmalı ve uygulanmalıdır.
Varlıkların risk seviyesi "kabul edilebilir" bir düzeye gelene kadar çalışmalar devam ettirilmelidir.
ISO 27001 İle İlgili Gereklilikler
Firmaların öncelikle gereksinimleri aşağıda belirlenmektedir.
  • Risk Yönetimi ve Risk İşleme Planları
  • Görev ve Sorumluluklar,
  • İş Devamlılık Planları,
  • Acil Durum ve Olay Yönetim prosedürleri hazırlama,
  • Uygulamada veya başlangıçta seçilen kontrollerin/kontrol hedeflerinin ölçülebilir olması gerekmektedir.
  • Belirli dönemlerde amaca uygunluğu ve performansı kontrol edilmelidir.
  • Yaşayan bir süreç olarak BGY, yönetimin aktif desteği ve personelin katılımcığıyla başarılabilir.
  • Firma içerisinde bu çalışmaları yürütecek bir ekip kurulmalı ve bu ekip üyelerinin BGY konusunda "eğitimli" olmaları gerekmektedir.
Kurma Aşamasında,
  • Başlangıçta seçilen kontrollerin/kontrol hedeflerinin ölçülebilir olması gerekmektedir.
  • Belirli dönemlerde amaca uygunluğu ve performansı kontrol edilmelidir.
  • Firma içerisinde bu çalışmaları yürütecek bir ekip kurulmalı ve
  • Ekip üyelerinin BGYS konusunda iyi eğitimli olması beklenmektedir.
  • Risk yönetimi, politika oluşturma, güvenlik süreçlerinin hazırlanması, uygun kontrollerin seçilip uygulanması aşamalarında "uzman desteği" (danışmanlık) alınabilir.
Yaşayan bir süreç olarak kabul edilen BGYS, yönetimin aktif desteği ve  personelin katılımcılığı ile başarılabilir.
ISO 27001 asıl görevi yönetim sistemi ön görmesidir. ISO 27001 size nasıl virüs bulaşmayacağı anlamına gelmez. Network ağına saldırıların nasıl engel olunacağını söylemez. Bilgi güvenliğini ve bilgi güvenliğinin nasıl yönetileceğini anlatır.

AŞAMA-1: VARLIKLARIN BELİRLENMESİ  VE KAPSAM BELİRLEME
Firmanın sahip olduğu tüm varlıklar için bir envanter tutulmalıdır.
  • Varlık envanteri, olası herhangi bir afetten sonra normal bir standarda dönmek için gereken tüm bilgileri kapsamalıdır (varlığın türü, varlığın değeri, varlığın konumu vbg).
Varlık Envanterinde bilgi türlerine göre ayrıştırılmalıdır.
(1) BİLGİ VARLIKLARI 
Veri tabanı, sözleşmeler, sistem dokümantasyonu, vb. varlıklar.
(2) YAZILIM VARLIKLARI 
Uygulama, Sistem yazılımları ve buna bağlı yazılım araçlarını kapsar.
(3) FİZİKSEL VARLIKLAR 
Bilgisayar ve iletişim için kullanılan araçları kapsar.
(4) PERSONAL VARLIKLARI 
Nitelikleri ve tecrübeleri ile çalışan kaynağıdır.
(5) SOYUT VARLIKLAR 
Kurumun piyasadaki konumu, itibarı gibi varlıkları kapsar.
(6) HİZMETE YÖNELİK VARLIKLAR 
Bilgisayar ve iletişim hizmetleri, ısıtma-aydınlatma, enerji kaynağı gibi varlıkları kapsar.

AŞAMA-2: BGYS POLİTİKASI
Bu aşamada firmalar kendine özel politika belirlerler. BGYS Politikasının formatı ise aşağıda belirtildiği şekilde olmalıdır. Firma,
  1. Hedeflerini ortaya koyan,
  2. Kurulacak yönetim sistemine yön veren ve harekete geçiren,
  3. Hangi risklerin değerlendirmeye alınacağını analiz eden,
  4. Risk yönetim kapsamını ve kriterlerini belirleyen,
  5. Yapılan işin, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerini belirten, bir formatta hazırlanmalıdır.
Bilgi Politikası oluşturduktan sonra söz konusu politika;
  • Dokümante edilmelidir,
  • Yönetim tarafından onaylanmasının ardından kurum çalışanlarına duyurulmalıdır.
  • Yönetim, politikada belirtilen maddelerin uygulamaya geçilmesinde kararlı ve istekli olmalıdır.
  • Bunu da çalışanlara hissettirecek bir yapı oluşturulmalıdır.
BGYS Kapsamındaki Verilerinin Temel Özellikleri
Bu konuda aşağıda temel veri özellikleri ve bunlara bağlı temel ilkeler yer almaktadır.
(1) Doğru olma (Doğruluk)
(2) Tam olma (Tamlık)
(3) Zamanında Erişebilir olma (Erişebilirlik)
(4) Tutarlı olma (Tutarlılık)
(5) Detaylı olma (Detaylılık)
(6) Elverişli olma (Elverişlilik) inceleme ve analize elverişli olmak gibi veri özelliklerine uygun olmalıdır.

Verilerin uygun ve doğru temel üzerine inşa edilmesi için "planlama ve ön hazırlık" aşamaları çok önemlidir. 

Riskin ölçümü ve yönetimi sürecinin temel unsurlarından birisi riskle ilgili verilerdir. Bu verilerin her türlü güvenlik riskinin ölçümünde ve yönetiminde öncelikli koşuldur.

AŞAMA-3: RİSK DEĞERLENDİRME
Bu aşamada, Bilgi Güvenlik Politikası baz alınarak sistematik bir "risk değerlendirme yaklaşımı" belirlenir. Risk değerlendirme metodolojisi,
  1. Uygun,
  2. Karşılaştırılabilir,
  3. Tekrarlanabilir, olmalıdır.
  4. Kabul edilebilir riskler belirlenir ve bunlar için kıstaslar geliştirilir.
Her kurum kendine uygun bir yöntem seçebilir (belirleyebilir). Standardın bu konuda herhangi bir sınırlaması yoktur.

AŞAMA-4: RİSK BELİRLEME
Korunması gereken varlıklara karşı tehdit unsuru içeren riskler, risk değerlendirme yaklaşımında belirlenen metodlar kullanılarak belirlenir. Bu aşamada yapılacak işin temeli,
  1. BGYS içerisindeki tüm varlıkların tanımlanması,
  2. Varlık dökümünün listesi (varlıkların detayları, tür ve önem seviyesini belirten bir liste halinde) çıkarılır.
  3. Bir varlığın önem seviyesini belirlemek için bu varlığın 
(G)GİZLİLİĞİNE, 
(K)KULLANILABİLİRLİĞİNE, 
(B)BÜTÜNLÜĞÜNE, gelebilecek zararın kurum üzerinde "etki derecesi" önceden belirlenmesi gerekmektedir. 

ACİL-KRİTİK-YÜKSEK-ORTA-DÜŞÜK şeklinde 5 aşamalı olarak sınıflama ve ölçüm yapılabilir. Sonrasında,
Örneğin:
G, K, B kapsamında, stratejik öneme sahip gizli bir bilginin açığa çıkması mı, yoksa önemli ayni bir bilginin kullanılamaz olması mı kuruma daha fazla zarar verir. Bu süreç içerisinde belirlenmelidir.

AŞAMA-5: RİSK ANALİZİ VE RİSK DERECELENDİRME
Firmalar, BGYS analizi yaparken birçok risk ile karşılaşırlar. Örneğin,

  • Raporlama süreçlerinin olmaması (Güvenlik olaylarını, zayıflıklarını ve yazılım arızalarını bildiren),
  • Bilgi güvenlik ile ilgili görev ve sorumluluklarının belirlenmemiş olması,
  • Varlık envanteri ile ilgili eksiklikler olması,
  • Yazılımlar için geliştirme ve test ortamlarının ayrı olmaması, direkt canlı sistemle uygulanıyor  olması,
  • Personel eksikliği,
  • Görev ayrımlarının düzgün yapılmaması ve bunların düzgün bir şekilde işletilmemesi.
AŞAMA-6: RİSK İŞLEME
Bu aşamda risk değerlendirme raporu esas alınarak, belirlenen risk karşısında dört farklı yöntem uygulanabilir.
  1. Düzeltici/Önleyici Kontroller uygulanarak riskin yok edilmesi ya da kabul edilebilir bir seviyeye indirgenmesi (RİSK AZALTMA)
  2. Riskin olmasına neden olabilecek faktörlerin ortadan kaldırılmasını sağlayacak riskten kaçınılması (RİSKTEN KAÇINMA)
  3. Riskin dış kurumlara aktarılması (RİSK TRANFER ETME)
  4. Riskin bilerek kabul edilmesi (kurum politika ve risk kabul kıstaslarına uyulması şartıyla- RİSK ÜSTLENME/RİSK KABUL ETME).
Yine ayni şekilde, varlıkların risk seviyesi "kabul edilebilir" bir düzeye gelene kadar çalışmalar devam ettirilmelidir.
AŞAMA-7: KONTROL SEÇİMİ VE KONTROL UYGULAMA
Bir önceki risk işleme sonuçlarına göre uygun "kontrol ve kontrol hedefleri" seçilmelidir.
  • Firma isterse ek olarak başka kontroller de seçmekte serbesttir.
  • Kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme süreçlerinde tanımlanan gereksinimleri karşılamak için seçilmelidir. Ve bunlara uygun olarak gerçekleştirilmelidir.
  • Kontrol seçimi ve uygulama, firma seçimine bırakılmıştır. Bu konuda sınırlama (zorunluluk) yoktur.
AŞAMA-8: ARTIK RİSK ONAYI
Risk işleme aşamasından sonra, alınan kararların uygulanmasından sonra "arta kalan riskler" olarak tanımlanır. Tamamen ortadan kaldırılamayan riskler için 
Yönetimin onayı alınmalıdır. 
Sonrasında,
  • Artık risk belgesi hazırlanıp dokümante edilmelidir.
  • Artık risk azaltmaya yönelik bir süreç işletilmelidir. 
Bu adımlar ile ilgili "iş akış şeması" aşağıda belirtilmektedir.
  1. Kontrol Seçimi
  2. Kontrolün Uygulanması
  3. Risk Azaltma
  4. Risk Tekrar Değerlendirme
  5. Artık Risk
  6. Artık risk (kabul/ret)
  7. Risk İşleme Raporu.
AŞAMA-9: YÖNETİM GÖZDEN GEÇİRME VE ONAY
Risk yönetim adımları gerçekleştirdikten sonra, BGYS işletim ve uygulaması konusunda, 
  • Tüm raporlar yönetime gözden geçirme için sunulur.
  • Gözden geçirmeden sonra, "onay belgesi" hazırlanır ve saklanır.
AŞAMA-10: UYGULANABİLİRLİK BİLDİRGESİ VE BELGELENDİRME
BGYS kurulumunun son aşaması olan bu maddede, risklere karşı seçilen firmaya özel kontrollerin belirtildiği bir "Uygulanabilirlik Bildirgesi" (UB) hazırlanır.

(1)UB kapsamında seçilen kontrol amaçları, kontrol nedenleri açıklanmalıdır.
(2)Kontrol amaçları ve kontroller'den hangilerinin gerçekleştirilmiş olduğu, hangilerinin kapsama dahil edilmediği ve nedenleri açıklanmalıdır.

8. BGYS GERÇEKLEŞTİRME VE İŞLETİLME
Firmanın BGYS kapsamında bilgi güvenliği risklerini yönetebilmesi için "risk önleme planı" geliştirmesi gerekir. 
Risk Önleme Planı ile ilgili Kapsam
Risk önleme planı bilgi güvenlik risklerini yönetmek için
(1)Yönetim faaliyetlerini,
(2) Kaynakları,
(3) Sorumlulukları,
(4) Öncelikleri, kapsar.
Hazırlanan "risk önleme planı" çerçevesinde uygulamaya geçilir. Daha sonra, bu aşamada için yapılması gerekenler aşağıda yer almaktadır.
  • BGYS yönetilir ve işletilir.
  • Güvenlik kontrolleri uygulanır.
  • Kontrollerin verimliliği ve etkinliği ölçülürBu ölçümler planlanan kontrol amaçlarının ne kadar iyi düzeyde başarıldığına karar vermek olanağı sağlar.
  • Bu konuyla ilgili "eğitim programları" gerçekleştirilir.
  • Firmanın güvenlik olaylarını anında belirlemeye ve güvenlik ihlaline hemen yanıt verebilme yeteneğine sahip "güvenlik prosedürleri" uygulanır.
  • BGYS kaynakları etkin bir şekilde yönetilir.
9. BGYS METODU VE SÜREÇ YAKLAŞIMI
BGYS'nin oluşturulmasında süreç yaklaşımından faydalanılır.

Bilgi Güvenlik ile ilgili Süreç Yaklaşımı

Her faaliyet bir süreç olarak düşünülebilir. 
  • Ölçme, 
  • Tasarlama, 
  • Yönetme, 
  • İzleme, 
  • Uygulama, aşamalarından oluşur. 
Firma, görevlerini bu şekilde yapabilmesi için faaliyetlerini doğru olarak tanımlaması ve bunları iyi bir şekilde yönetmesi ve bilgi açıklarını engellemesi gerekir.

PUKÖ Modeli Nedir?
  • Ne yapılacağına karar verilmesi, 
  • Kararların gerçekleştirilmesi, 
  • Kararların çalıştığının kontrol edilmesi, 
  • Hedeflere uygun çalışmayan kararların kontrolleridir.
ISO 27001 Kurma aşamasında aşağıda belirtilen konular dikkate alınır.
(1) Tüm bilgi varlıkları değerlendirilmelidir.
(2) Bu varlıkların sahip olduğu zayıflıkları ve karşı karşıya oldukları tehditleri göz önünde olan bir risk analizi yapılmalıdır.
(3) Kurum, kendine bir risk yönetim şekli seçmelidir. 
(4) Risk işleme için bir plan hazırlanmalıdır.
(5) Risk işleme için standartta belirtilen kontrol ve kontrol hedeflerinin seçimleri yapılmalı ve uygulanmalıdır.
(6) PUKÖ modeli çerçevesinde risk yönetim faaliyetleri yürütülmelidir.

BGYS kurma aşamasında, varlıkların risk seviyesi "kabul edilebilir" bir düzeye gelene kadar, çalışmalar devam ettirilmelidir.

RİSK: (1) DÜŞÜK- (2) ORTA- (3) YÜKSEK
10. BGYS KURULMASININ PLANLANMASI (PLANLAMA SÜRECİ)
Organizasyon altyapısında bilgi toplanması aşamasıdır.
  • Yapılan işin niteliği,
  • Misyon,
  • Yerleşim noktaları,
  • Görev alacak kritik oyuncular,
  • Risk Yönetim sorumluları,
  • Kurulum nedenleri,
  • Operasyonel güvenlik durumu,
  • Kapsam belirleyecek Bilgiler (lokasyon, çalışma programı, süreç, iş fonksiyonları, işlemler, bilgi teknolojileri gibi bilgiler) belirlenir.
  • BGYS hedefi 
Süreç belirleme aşamasında, tüm çalışmalar belirli sürelerde gözden geçirilmeli ve tekrarlanmalıdır.
Elektronik Tehditler

Bilgisayar Kullanıcısı:
---> İnsan---> Hacker-----> (Tablet, Cep Tel, Bilgisayar, WWW)
  1. Yetkisiz olarak veya süresi dolmuş bir yetkiyle güvenlik hassasiyeti olan alanlara girilmesi,
  2. Yasal olmayan bir şekilde elektronik haberleşmenin izlenmesi ve dinlenmesi,
  3. Doğruluğu olmayan bir bilginin yayılmaya çalışılması, bu bilginin üçüncü şahıslardan alındığının iddia edilmesi,
  4. Elektronik haberleşme ortamı ile ilgili alt yapının bozulması,hizmet veremez hale getirilmesi veya aksatılması,
  5. Donanım ve yazılım unsurlarının ulusal düzenleme ile standartlar uyarınca belirtilen gereksinimlerin yerine getirilmesinin "kısmen" veya "tamamen" engellenmesi,
  6. Kullanıcıyı yanıltarak doğru tarafla iletişimde bulunduğu izleniminin verilmesi.
  7. Yetkisi olarak veya süresi dolmuş bir yetkiyle, örneğin: 
  • SİLME, 
  • EKLEME, 
  • GÜNCELLEME, 
  • ORTAM DEĞİŞTİRME, 
  • TAŞIMA VEYA VERİ GİZLİLİĞİ, BÜTÜNLÜĞÜ, DEVAMLILIĞI bozacak şekilde açığa çıkarmak.
11. BGYS KAPSAMI

Yaklaşım-Risk Esaslı Yönetim
Yönetsel ve teknik seviyeden, operasyonel seviyeye doğru risk esaslı bir yaklaşım izlemektedir (Yukarıdan-Aşağıya doğru). BGYS kapsamı aşağıda belirtilen konulardan oluşmaktadır.
  • Güvenlik Politikası
  • Organizasyonel Güvenlik
  • Varlık Sınıflandırma ve Denetim
  • Personel Güvenlik
  • Fiziksel Çevresel Güvenlik
  • İletişim ve Operasyonel Yönetim
  • Erişim Kontrolleri
  • Sistemlerin Geliştirilmesi ve Sürekliliği
  • Olay Yönetimi
  • İş Sürekliliği Yönetimi
  • Uygunluk
Erişim hakları verilirken; 
"yasaklanmayan her şey serbesttir" ilkesi değil, "izin verilmeyen herşey yasaktır" ilkesine göre verilmelidir.

Güvenlik Politikası (GP)
Güvenlik politikası aşağıda sıralanan unsurlardan oluşmaktadır.
  1. Organizasyonel güvenlik,
  2. Varlık Sınıflama ve Denetim, Erişim kontrolleri,
  3. Uygunluk,
  4. Personel güvenliği, 
  5. Fiziksel ve Çevresel güvenlik,
  6. Sistem geliştirilmesi ve sürekliliği, İletişim ve operasyonel yönetim,
  7. İş sürekliliği yönetimi.
12. BGYS İÇ DENETİMLERİ (İÇ DENETİM SÜRECİ)
Tetkik sürecinin, planlama ve faaliyet şekli bakımından sistematik olması ve kurum politikasına uygun olması gerekir. 

Tetkik edildiğinin sözcük anlamı
"Bir işin doğru ve yönetim kapsamında uygun olarak yapılıp yapılmadığını incelemek, teftiş etmek, murâkebe etmek, kontrol etmektir".
  • BGYS kapsamında yapılan denetimlerde, istenilen verimin ve faydanın elde edilmesi için "yönetimin desteği" şarttır.
  • BGYS iç denetiminin yapılması ISO/IEC 27001 (6'ncı maddesi) gereğince bir zorunluluktur.
Denetimlerin temel amacı;
  1. Firma kontrol hedeflerinin, prosedürlerinin ve süreçlerinin belirlenen güvenlik gereksinimlerini karşılayıp karşılamadığını kontrol etmek,
  2. Yürürlükteki yasal mevzuata uyumlu olup olmadığını tespit etmek,
  3. Kontrol hedeflerinin, kontrollerin, prosedürlerin ve süreçlerin beklendiği gibi işleyip işlemediğini (işe yarayıp yaramadığını) tespit etmektir. Bunun için 
  4. İç denetim prosedürü oluşturulmalı ve dokümante edilmelidir.
  5. Planlanan aralıklarla yapılacak iç denetimlerin çizelgesi oluşturulmalıdır.
  6. BGYS iç denetim kapsamı açıkça belirtilmelidir.
  7. İç denetimlerin hangi periyotlarda ve ne sıklıkla yapılacağı belirlenmelidir.
  8. BGYS için iç denetim yönetmelikleri tanımlanmalıdır.
  9. BGYS için iç denetçiler seçilmeli ve İç denetimler uygulanmalıdır.
Sonrasında,
(1) İç denetimlerin hangi periyotlarda ve ne sıklıkla yapılacağı belirlenir.
(2) Planlanan aralıklarda yapılacak iç denetimlerin çizelgesi oluşturulur.
(3) Her bir BGYS nin, denetim kapsamı netleştirilir.
(4) İç denetimlerin hangi periyotlarda ve ne sıklıkla yapılacağı belirlenir.
(5) BGYS için iç denetim yöntemleri tanımlanır.
Ardından,
(1) BGYS nin iç denetimleri uygulanır.
(2) Uygulamada aşağıda belirtilen konular denetlenir.
(3) Uygulama sürecinde;
  • Kurumun BGYS kontrol amaçları ve hedefleri
  • Kurumun BGYS kontyrolleri
  • Kurumun BGYS süreçleri
  • Kurumun BGYS kontrol prosedürleri, denetlenir.
13. BGYS DENETİMLERİ 
Denetim dört (4) aşamada gerçekleştirilir. Bunlar aşağıda belirtilmektedir.

(1) Açılış Toplantısı
  • Birim/Bölüm yönetimi katılır.
  • Max. 30 dk sürer.
  • Denetim amacı ve nedenleri belirtilir.
  • İç tetkik/güvenlik şartları belirtilir.
  • Uygunsuzlukların tanımlanması yapılır.
  • İç tetkik planı özetle açıklanır.
  • Güvenlik şartları belirlenir. Gizlilik ilkesine sadık kalınır.
  • Ara toplantıların zamanı belirlenir.
  • Sorular cevaplanır.
(2) Bilgi Toplama
  • Denetçilerin, çalışanlarla girdiği (oluşturduğu) süreçtir.
  • Evet/hayır cevaplarını imkansız kılan sorular kullanılmalıdır.
  • Kim/neden/ nerede/ne zaman/ neden gibi sorular denetlenen kişiyi bilgi vermeye zorlar.Yanlış anlaşılmaları önler.
  • Mümkün olduğunca çok kişi tarafından görüşülmelidir.
  • Doğru kişilere doğru sorular sorulmalıdır.
  • İyi gözlem yapılmalıdır. Ve her ayrıntı kayıt edilmelidir.
(3) Ara Toplantı
  • Eğer varsa açılış toplantısında belirlenir.
(4) Kapanış Toplantısı
  • Max. 35-45 dk sürer.
  • Yöneticiler katılır
  • Güvenlik ve sır tutma konusunda teyit alınır.
  • İyi notlar ve bulgular belirtilir.
  • İyileştirme odaklı konular ve tavsiyeler belirtilir.
  • Varsa, uygunsuzluklar belirtilir.
  • Bulunan uygunsuzluklarda ve düzeltici faaliyetlerde mutabakat sağlanır.
  • Varsa, mutabakata varılamayan konular nedenleri ile birlikte açıklanır.
Raporda Yapılması Gerekenler
  1. Bulunan uygunsuzluklar açık ve anlaşılır bir dilde belirtilir.
  2. Uygunsuzlukların/eksikliklerin temel kaynağına yönelik yapılacak düzeltici faaliyetler belirlenir.
  3. Düzeltici faaliyetlerin ne zaman kapatılacağı ve takip için "denetim zamanı" belirlenir. (Takip denetimi tekrardan denetim anlamına gelmez).
  4. Doğrulama ve rapor kapama sonuçaları kayıt altına alınır ve saklanır.
İç denetim ile ilgili bilinmesi gereken terimler
  • Denetçi ( Seçilmiş/atanmış kişiye denir).
  • Baş Denetçi (Denetim ekibini, belirli bir amaç için yönetmek üzere seçilmiş kişiye denir).
  • Uygunsuzluk (Bir şartın veya kuralın gereklerinin /gereksinimlerinin yerine getirilmemiş olmasıdır).
  • Tetkik Kriteri (TK) referans olarak belirlenen politika, prosedür, süreç ve standart ve bunların gereklerine verilen genel addır.
  • Tetkik Delili (TD) tetkik kriterlerini doğrulayabilecek nitelikte olan kayıt veya bilgidir.
  • Tetkik Bulguları (TB) tetkik sırasında toplanan delillerin değerlendirme sonucuna denir.
  • Tetkik Yorumu (TY)  tetkik bittiğinde, tetkik ekibinin hedeflerini ve bulgularını düşünerek yapılan değerlendirme ve aldıkları kararlardır.
14. BGYS İZLEME VE GÖZDEN GEÇİRME SÜRECİ
İzleme için prosedürler ve kontroller kullanılmalıdır. İzleme aşağıda tanımlanan standart gereksinimlerini ortaya koymalıdır.
  1. En az yılda bir defa yapılmalıdır,
  2. BGYS izlemek için prosedürler ve kontroller kullanılmalıdır. Bu izleme sonuçlarındaki hataların belirlenmesini sağlar, ihlal olaylarını anında tanımlar.
İhlal Olayları:
Yapılan işi tehlikeye atma ve bilgi güvenliğini tehdit etme ihtimali yüksek olan istenmeyen ya da beklenmeyen bilgi güvenliği olayına denir. Yönetimin, güvenlik etkinliklerinin istenilen şekilde çalışıp çalışmadığını belirleyebilmesini sağlar.
Standardın Gereksinimleri:
  1. BGYS gözden geçirmek için prosedürler ve kontroller kullanılır.
  2. BGYS düzenli olarak gözden geçirilmelidir. Gözden geçirmeler; güvenlik denetimlerinin sonuçları, ihlal olayları, faaliyet ölçüm sonuçları, öneriler ve geri bildirimler değerlendirilir.
  3. Güvenlik gereksinimlerinin yerine getirildiği doğrulanmalıdır. Bunun için kontrollerin etkinliği ve verimliliği ölçülmelidir.
  4. BGYS İç denetimleri planlanan sürelerde düzenli olarak yapılmalıdır.
  5. BGYS yönetim gözden geçirmeleri düzenli olarak yapılmalıdır. Böylelikle kapsamın sürekli ve geliştirilebilir kalması, BGYS süreçlerindeki iyileştirmelerin tanımlanması, sağlanır.
  6. İzleme ve gözden geçirme faaliyetlerindeki sonuçlar incelenerek bilgi güvenlik planları güncellenir.
  7. BGYS etkileyen olaylar ile ilgili tüm kayıtlar tutulmalı, dokümante edilmeli ve saklanmalıdır.
  8. Risk analizi ve risk değerlendirmelerini sıklıkla gözden geçirilmelidir. 
  9. Firma, aşağıda sıralanan unsurları göz önüne alarak planlanan sıklık veya aralıklarla "kabul edilebilir" risk düzeyini gözden geçirmelidir.
  • Teknoloji,
  • İş amaçları ve süreçleri,
  • Tanımlanmış tehditler,
  • Gerçekleştirilen kontrollerin etkinliği,
  • Yasa ve düzenleyici ortamındaki değişiklikler,
  • Değiştirilmiş anlaşma/sözleşme yükümlülükleri,
  • Sosyal iklimdeki değişiklikler vb. gibi dış olaylardan meydana gelen değişiklikler
  • Artık risklerin düzenli olarak kontrol edilmelidir.
BGYS Yönetim Gözden Geçirmeleri
Yılda bir defa gözden geçirme yapılmalıdır. 
(1) BGYS nin "uygun" olup olmadığı,
(2) BGYS nin "yeterli" olup olmadığı,
(3) BGYS nin "etkin" olup olmadığı, konularında değerlendirme yapılmalıdır.
  • Bilgi güvenlik politikasının değiştirilmesi mi yoksa iyileştirilmesi mi gerekir ?
  • Bilgi güvenlik amaçlarının değiştirilmesi mi yoksa iyileştirilmesi mi gerekir ?
Yönetim Gözden Geçirme Girdileri
Toplantı kağıtları (girdi kağıtları) daha önce yapılmış varsa.
  • BGYS denetim sonuçları, ölçüm sonuçları, düzeltici faaliyetlerin durumu gözden geçirilir.
  • BGYS geliştirme fırsatları gözden geçirilir.
  • BGYS etkileyebileceği düşünülen değişiklikler gözden geçirilir.
Yönetim Gözden Geçirme Çıktıları
Kurumun,
  1. BGYS iyileştirme
  2. BGYS Kapsamındaki risk değerlendirme ve risk işleme planı güncelleme,
  3. BGYS Etkileyebilecek olaylara karşılık vermek için ilgili prosedürler ve kontrol değişkenleri,
  4. BGYS kaynak gereksinimleri, belirlenir.
Standardın gereksinimleri aşağıda belirtilmektedir.

(1) BGYS nin; çalışması sırasında ve işletilirken ortaya çıkan hatalar tespit edilmelidir.
  • Başarısız ve başarılı olan güvenlik açıkları tanımlanmalıdır.
  • Bilgi Güvenlik olayları belirlenmelidir.
  • Bilgi Güvenlik (BG) ihlal olayları önlenmelidir.
  • Alınan önlemlerin güvenlik açıklarını giderip gidermediği ya da verimli olup olmadığı tespit edilmelidir.
  • Ayrıca, izleme ve gözden geçirme prosedürleri, gerçekleştirilen kontrollerin verimli çalışıp çalışmadığının ve sorumlu kişilerin risk giderme planında tasarlandığı biçimde görevlerini yapıp yapmadıklarının tespit edilmesine imkan sağlamalıdır.
Bunlar, BGYS nin çalışmasının sürdürülmesini ve geliştirilmesini sağlar.


(2) BGYS nin etkinliğinin belli periyotlarla gözden geçirme faaliyetlerinin yapılması.
  • BGYS nin ne kadar verimli çalışıp çalışmadığı belirlenmelidir.
  • Tüm faktörlerin göz önüne alındığını temin etmek için güvenlik gözden geçirmeleri (GGG) ve denetimlerinin sonuçları dikkate alınmalıdır.
  • Etkinlik ve verimlilik hususunda belirlenmiş herhangi bir uyumsuzluk/yetersizlik için düzeltici önlemlerin alınması gerekmektedir.
(3) Kontrol etkinliğinin ölçülmesi
Gerçekleştirilen kontrollerin verimliliğini saptanması için belli başlı konular tanımlanmalıdır.
  • Kontrollerin ne kadar etkin çalışıp çalışmadığı,
  • Hedeflere ulaşılıp ulaşılamadığı,
  • Tanımlanan gereksinimlerin karşılanıp karşılanmadığı gibi unsurların ölçülmesi için kullanılmalıdır. 
Bu konuda uygulanacak kontroller, firmaya göre değişiklik gösterebilir. Standardın belirlediği bir zorunluluk yoktur.

(4) Planlanan sürelerde risk belirlemelerin gözden geçirilmesi
Bilgi güvenlik risklerinin yönetiminde etkin ve verimli olmak için BGYS etkileyecek değişkenlerin izlenmesi ve bunların kaydını tutmak gereklidir. Bu gözden geçirme aşağıda sıralanan tehditlerde ve etkiler de meydana gelen değişiklikleri tanımlamaktadır.

RİSK İLE İLGİLİ DEĞİŞKENLER
Risk ile ilgili değişkenler sürekli olarak kontrol edilmeli ve kontrol sonuçlarına göre önlem alınmalıdır.

DEĞİŞKEN-1: İş ortamında ya da kapsamında meydana gelebilecek değişkenler

(Yeni iş ortakları, değişen müşteri tabanı, değişik pazarlara açılma, pazar koşulları, üçüncü taraf düzenlemeleri, dış kaynaklı düzenlemeler).
DEĞİŞKEN-2: İş politikası ve hedeflerde meydana gelebilecek değişkenler
(Değiştirilen iş politikası, değişen hedefler varlık yönetim ve risk kararlarına etki edebilir).
DEĞİŞKEN-3: İş gücü, kurum yapısı, çalışma ortamında meydana gelebilecek değişkenler,
DEĞİŞKEN-4: Gerçekleştirilen kontrollerin etkinliğinde ve verimliliğinde meydana gelebilecek değişkenler,
DEĞİŞKEN-5: Teknolojinin kullanımı ve yayılmasında meydana gelebilecek değişkenler,
(Yeni sistemler ve uygulamalar, güncellemeler, genişleyen iş ağları, uzaktan erişimin artan oranda kullanımı).
DEĞİŞKEN-6:Yasal ve düzenleyici ortamda meydana gelebilecek değişkenler.
  • Söz konusu  değişkenlerin hemen hemen hepsinin risklerin (risk yönetim sisteminin) üzerinde etkisi vardır. 
Kurum, yapılan tüm değişiklikleri ve uygulanan faaliyetleri dokümante edebilir ve sonrasında ne kadar ilerlediğini tespit etmek için risk değerlendirme sonuçlarını karşılaştırabilir.
BGYS Denetimlerinin Yapılması
Denetimler gözden geçirme faaliyetinin önemli bir parçasıdır. BGYS nin, kontrol hedeflerinin, kontrollerinin, politikalarının ve prosedürlerinin belirlenen gereksinimlere uyumluluğunu sağlamak için denetim yapılmalıdır.
BGYS İzleme ve Gözden Geçirme
  1. Kurum içinde BGYS denetimlerinin yapılması,
  2. Prosedürlerin izlenmesi ve gözden geçirilmesi işleminin yapılması,
  3. BGYS nin ne kadar verimli çalışıp çalışmadığının belirlenmesi, gibi konularda güvenlik gözden geçirme denetimlerinin sonuçları dikkate alınmalıdır.
  4. BGYS nin çalışması sırasında ve işletilirken ortaya çıkan hatalar tespit edilmeli, başarısız ve başarılı olan güvenlik açıkları ayrı ayrı tanımlanmalıdır.
  5. BGYS etkinliğinin belli periyotlarda gözden geçirilmesi faaliyetleri yapılmalıdır.
  6. Kontrollerin etkinliği ölçülmeli ve yönetime raporlanmalıdır.
Verimliliği konusunda belirlenmiş herhangi bir uyumsuzluk ya da eksiklik, düzeltici önlemlerin alınmasını, BGYS nin çalışmasını, sürdürülmesini ve geliştirilmesini sağlar.

Yönetim Gözden Geçirme Toplantıları
Gündem maddeleri azaltılıp/arttırılabilir.
  1. BGYS Denetimleri ve gözden geçirme sonuçları,
  2. İlgili kişilerden alınan geri bildirimler,
  3. BGYS Performans ve verimliliğini arttırmak için kullanılabilecek teknik prosedürler,
  4. Önleyici faaliyetlerin durumu,
  5. Faaliyetlerin ölçüm sonuçları,
  6. BGYS etkileyebilecek değişiklik ya da iyileştirme önerileri,
  7. Risk değerlendirme ve risk işleme planının güncellenmesi,
  8. BGYS faaliyetlerini iyileştirme gibi konular toplantılarda ele alınır.
Yönetim gözden geçirme toplantısı yapılması yönünde bir gereksinim vardır. Fakat, bu toplantıların hangi konuları kapsadığı konusunda kısıtlama yoktur.

Gözden Geçirme Süreci
Gözden geçirme süreci PUKÖ modelindeki "Kontrol Et" aşamasında BGYS nin izlenmesi ve gözden geçirilmesi için uygun süreçlerin uygulanması amacıyla tasarlanmıştır.

Yönetim Gözden Geçirmeleri
Dinamik ve sürekli devam eden bir süreç içerisinde belirlenen "temel unsurlar" aşağıda tanımlanmaktadır.
  1. İş süreklilik planları,
  2. BGYS kontrol ve kontrol sistemi,
  3. Prosedürlerin geçerli olup olmadığı,
  4. Prosedürlerin doğru şekilde mevcut iş kapsamında kullanıldığı,
  5. Rol ve sorumlulukların paylaşımı,
  6. Güvenlik faaliyetlerinin beklentileri karşıladığı, gözden geçirme faaliyetinin temel bileşenleridir.
15. BGYS SÜREKLİLİĞİNİN SAĞLANMASI VE İYİLEŞTİRİLMESİ
Bu aşamada standartta yapılması gerekenler aşağıda tanımlanmaktadır.
  • BGYS kapsamında tanımlı olan iyileştirmeler uygulanır.
  • Uygun düzeltici faaliyetler uygulanır.
  • Uygun önleyici faaliyetler uygulanır.
  • Öğrenilen güvenlik deneyimlerinden alınan dersler uygulanır.
  • BGYS değişiklikleri ve iyileştirmeleri tüm ayrıntılarıyla ilgili gruplarla paylaşılır.
Firma, BGYS değişikliklerinin tasarlanan amaçları karşıladığından emin olmalıdır.


16. BGYS İYİLEŞTİRME SÜRECİ
Standarda göre, firma/kurum BGYS nin etkinliğini arttırmak ve devamlılığını sağlamakla yükümlüdür. Bunun için firma, etkinliği sürekli olarak iyileştirmek ve bunlara yönelik faaliyetlerde bulunmalıdır.

BGYS İyileştirme Sürecinde Bulunması Gerekenler:
  1. Bilgi güvenlik politikası
  2. Bilgi güvenlik hedefleri ve amaçları
  3. Denetim Sonuçları
  4. İzlenen Olayların Analizi
  5. Düzeltici ve Önleyici faaliyetler
  6. Yönetim gözden geçirmesi.
Düzeltici Faaliyet
  1. Standarda göre düzeltici faaliyet prosedürü olmalıdır. Bu süreçlerde tespit edilen bir sorunun ortadan kaldırılması için tanımlanan işleri de kapsamalıdır. 
  2. Düzeltici faaliyet prosedürleri, yazılı doküman ve doküman güncellemesi gibi faaliyetleri de kapsamalıdır.
  3. Uyumsuzlukların tekrarlanmasını engellemek için "düzeltici faaliyet" prosedürü oluşturulmalıdır.
Örnek-1:
Sistem odasını su basması sonucu, tabanın yükseltilmesi ve serverin yükseltilmiş taban (zemin) üzerine konulması, düzeltici bir faaliyet örneğidir.

Düzeltici Faaliyet (DF) Kapsamı
Standart kapsamında yapılması gerekenler aşağıda tanımlanmaktadır.
  1. Gerçek uyumsuzluklar tanımlama,
  2. Uyumsuzluk nedenleri belirleme,
  3. Faaliyete geçmeye gerek olup olmadığını değerlendirme,
  4. Gerektiğinde düzeltici faaliyet geliştirmeyi belirleme,
  5. Uyumsuzlukların tekrar edilmesini önleme
  6. Uyumsuzlukların nedenlerini yok etmeyi belirleme,
  7. Uygulanan düzeltici faaliyetlerin sonuçlarını kaydetme,
  8. Uygulanan düzeltici eylem sonuçlarını gözden geçirme
  9. Düzeltici faaliyet prosedürleri belirleme.
Düzeltici Faaliyet Prosedürü
  1. Uygunsuzlukları belirlemek
  2. Uygunsuzluk nedenlerini belirlemek
  3. Düzeltici eylemin gerekip gerekmediğinin değerlendirilmesi içindir.
  4. Düzeltici faaliyet gereken durumlarda,
  • Düzeltici faaliyet uygulamak,
  • Düzeltici faaliyet geliştirmek,
  • Uygunsuzlukların tekrarlanmasını önlemek,
  • Uygunsuzlukların nedenlerini ortadan kaldırmak,
  • Uygulanan düzeltici faaliyetlerin sonuçlarını kaydetmek ,
  • Uygulanan düzeltici faaliyetleri gözden geçirmek,
  • Düzeltici faaliyetleri  belgelendirmek, bunlar muhafaza ve ibraz edilmelidir.
Önleyici Faaliyet (ÖF)
Bir sorunun henüz meydana gelmeden öngörülmesi durumunda, bu sorunun oluşumunu engellemek için gerçekleştirilen faaliyettir. 

Örnek-2:
Daha önce hiç yaşanmamışken, bir yıldırım düşmesine karşı, bina çatısına paratoner yerleştirilmesi, önleyici faaliyet (ÖF) örneğidir.
Yapılması Gerekenler:
  1. Önleyici Faaliyet prosedürü belirlenmelidir.
  2. Önleyici Faaliyet prosedürleri uygulanmalıdır.
  3. Önleyici Faaliyet prosedürleri oluşturulmalıdır.
Bunlar için,
  1. Muhtemel uyumsuzlukları tanımlama,
  2. Muhtemel uyumsuzluk nedenlerini belirleme,
  3. Önleyici eyleme geçip geçmemenin gereklerini değerlendirme,
  4. Gerektiğinde önleyici eylemleri geliştirme,
  5. Muhtemel uygunsuzlukların oluşmasını önleme,
  6. Uygulanan önleyici faaliyet kayıtlarını kaydetme,
  7. Uygulanan koruyucu önlem sonuçlarını gözden geçirme.
17. ISO 27001 BELGELENDİRME SÜRECİ
Öncelikle, kurum içinden seçilmiş kişilerle bilgi güvenliği koordinasyon grubu (BGKG) ekibi kurulur. Sonrasında,
  • Yine kurumun seçeceği bir danışman ile bu ekip birleşerek, kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacak bir platform oluşturulur.
  • Eğitimler bu çalışma içinde karşılaştırılarak takvime bağlanır.
ISO 9001
Önceden, ISO 9001 kurulmuş değilde, öncelikle ISO 9001 tarafından sağlanması gereken prosedür ve prosesler düzenlenir. ISO 9001 için uygulanan bu süreç, ISO 27001 BGYS temel taşlarını oluşturur.
Eğer firmada, ISO 9001 (kalite yönetim sistemi) kurulmuşsa,
  • ISO 27001 standardının gerektirdiği bazı prosedür ve prosesleri karşılayıp karşılamadığı kontrol edilir. Eğer varsa eksiklikler belirlenir.
Kapsam ve Sınırlar
(1) ISO 9001 Kalite Yönetim Sistemi ile ilgili yapılandırmalardan sonra, kuruma ait ISO 27001 BGYS kapsam ve sınırları belirlenir.
(2) Belgelendirme sürecinde kapsam ve sınırlar, denetimin en önemli faktörleri olarak değerlendirilir.
(3) Belirlenen kapsama bağlı olarak, firmanın temel BGYS Politikası hazırlanır.
(4) BGKG ekibi ve danışmanlardan oluşan bir grup tarafından karara bağlanır.
(5) Üst yönetim bu politikayı onaylayarak tüm çalışanlara duyurulur.
(6) Diğer Politikalar, sistem kurulum sürecinde yapılandırılır.
Sonrasında, BGYS Kurulum sürecindeki tüm adımlar uygulanır. ISO 27001 BGYS Belgelendirme süreci firma içinden oluşan "üst düzey kurul" tarafından yerine getirilir.
  • Geliştirmek
  • Uygulamak
  • Takip etmek
  • Ölçmek
  • Sürdürmek
  • İyileştirmek, amacıyla hazırlanır.
18. BGYS KURULUM SÜRECİ
Varlıkların belirlenmesi ve kapsam belirleme aşamalarından oluşur. Bu süreçte;
  1. Risk Değerlendirme Yaklaşımı
  2. Risk Belirleme
  3. Risk Analiz ve Risk Derecelendirme
  4. Risk İşleme
  5. Kontrol seçimi ve uygulama gibi faktörler yer alır.
Kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesi aşamasından sonra standardın istediği "Uygulanabilirlik Bildirgesi" hazırlanır.
  • Minimum 30 günlük bir uygulama sürecinden sonra sistemin iç tetkikleri gerçekleştirilir.
  • İç tetkik raporları yönetim tarafından gözden geçirilir ve bunlar karara bağlanır.
  • Sistem istenilen seviyede çalışıyorsa belgelendirme amacı (AŞAMA-1) sürecine girilmiş olur. Bu aşamada akredite bir kuruluş tarafından (AŞAMA-1) denetimi gerçekleştirilir.
  • Birinci aşamada olan belgelendirme denetimi, belgelendirme kuruluşu tarafından yapılır. Eksiklikler ve uygunsuzluklar varsa tespit edilir.
  • Yapılan başvuru sonucu belgelendirme kuruluşunun tespit ettiği eksikliklerin ve uygunsuzlukların tamamlanması için bir süre verilir.
  • Eksiklik ve uygunsuzlukların tamamlanmasından sonra (veya hiçbir bulgu bulunmamasından sonra) 2-AŞAMA Belgelendirme Denetimine geçilir. 
  • Bu aşamadaki belgelendirme denetimi asıl denetimdir.
  • Sistem tüm yönleriyle ve uygulamalarıyla incelenir.
  • Belgelendirme Denetçileri tarafından, ISO 27001 standardına göre
  1. Mevcut Durum
  2. Gözlem
  3. Tavsiye
  4. Uygunsuzluklar, tespit edilir.
  • Danışmanlık firması, (1-AŞAMADA) olduğu gibi eksiklik ve uygunsuzlukları giderir. 
  • Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.
  • Denetimin başarıyla geçmesi durumunda, Belgelendirme Kuruluşu IS0 27001 BGYS belgesi için çıkış kararı verir. 
  • Belge veya sertifikasyon süreci 3-yıldır.
19. ISO/IEC 27001 İLE İLGİLİ TERİM VE KAVRAMLAR


Bilgi Güvenliği
BG kurmak, geliştirmek, işletmek ve gözden geçirmek için kurulan bir sistemdir.
Risk Analizi
Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik bir şekilde değerlendirilmesi ve çözümlenmesidir.
Risk Değerlendirme
Risk analiz ve risk derecelendirilmesini kapsayan, risk ile ilgili tüm süreçleri içeren, işlerin genel adıdır.
Risk Derecelendirme
Riskin önemini belirtmek maksadıyla, tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması sürecidir.
Risk Yönetim
Bir kurum veya kuruluşu risk ile ilgili kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetlerin bütünüdür. 

ISO 27001, bilgi güvenlik yönetim standardıdır. ISO 27001; 27000 serisi altına eklenmiştir:
  • ISO/IEC 27000 BGYS- GENEL BİLGİLER VE TANIMLAR
  • ISO/IEC 27001 BGYS- GEREKSİNİMLERİ
  • ISO/IEC 27002 BGYS- UYGULAMA PRATİKLERİ VE KONTROLLERİ
  • ISO/IEC 27003 BGYS- RİSK YÖNETİMİ UYGULAMA REHBERİ
  • ISO/IEC 27004 BGYS- ETKİNLİK ÖLÇÜM REHBERİ
  • ISO/IEC 27005 BGYS- RİSK YÖNETİM REHBERİ
  • ISO/IEC 27006 BGYS- BELGELENDİRME REHBERİ
  • ISO/IEC 27007 BGYS- DENETİM REHBERİ
  • ISO/IEC 270011 BGYS-TELEKOMÜNİKASYON KURUMLARI İÇİN REHBER
  • ISO/IEC 270099 BGYS-SAĞLIK KURUMLARI İÇİN REHBER.
ISO/IEC 27002:2005 “Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” en yaygın olarak kullanılan standardıdırISO/IEC 27001 ve ISO/IEC 27002 standartları BGYS konusunda en temel başvuru kaynaklarıdır. 

Ancak bu kaynaklar, teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Bilgi teknolojileri güvenliği dahi bu standartların içerisinde yer almaz. Tek ilgi alanı vardır, o da bilgi güvenliğidir.

İş risklerini karşılamak amacıyla ISO/IEC 27002:2005’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001:2005’te belirlenmektedir.
20. BGYS ÖZET
Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar. Bu standart ayrıca dokümante edilmiş bir BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

21. BGYS İLE İLGİLİ ÖNEMLİ BAŞLIKLAR

ISO 27001 STANDARDI VE SÜREÇLERİ
BGYS Metodu ve Süreç Yaklaşımı 
PUKÖ modeli
ISO 27001 KURMA AŞAMALARI
Varlıkların Belirlenmesi ve Kapsam Belirleme
BGYS Politikası
Risk Değerlendirme Yaklaşımı
Risk Belirleme
Risk Analiz ve Derecelendirme
Risk İşleme
Kontrol Seçimi ve Uygulama
ARTIK RİSK ONAYI
Yönetim Gözden Geçirme ve Onayı
UYGULANABİLİRLİK BİLDİRGESİ VE BELGELENDİRME
BGYS Gerçekleştirme ve İşletilmesi
BGYS İzleme ve Gözden Geçirme
BGYS Süreklilik Sağlama ve İyileştirme
BGYS Kurmanın faydaları (Yararları)
BGYS Kurulmasının Planlanması
BGYS KAPSAMI

BGYS İÇ DENETİMLERİ

BGYS İZLEME VE GÖZDEN GEÇİRME SÜRECİ

BGYS İYİLEŞTİRME SÜRECİ

BGYS BELGELENDİRME SÜRECİ