ISO/IEC 27001 sık sık bir teknoloji kontrol listesi sanılır. Değildir. Standart bir yönetim sistemini sertifikalar — bir ISMS: kurumun bilgi güvenliği risklerini tanımladığı, onlar hakkında ne yapacağına karar verdiği ve bu kararların gerçekten uygulandığını gösterdiği süregiden süreç. Güvenlik duvarları ve şifreleme içinde geçer, ama yalnızca o sürecin çıktıları olarak. Bunu anlamak hazırlık işini yeniden çerçeveler: denetçinin sorusu nadiren "X var mı?"dır; neredeyse her zaman "X'in çalıştığını nereden biliyorsunuz?"dur.

ISMS Kapsamını Bilinçli Belirleyin

İlk gerçek karar kapsamdır: ISMS organizasyonun hangi bölümlerini, hangi hizmetleri, hangi lokasyonları ve hangi bilgi varlıklarını kapsayacak? Çok geniş kapsarsanız, müşteri verisi olmayan ve sürece iştahı bulunmayan köşeler dahil işin her yanını denetletmeyi taahhüt edersiniz. Çok dar kapsarsanız sertifika yanıltıcı olur — müşteriler "ISO 27001 sertifikalı" yazısını okurken gerçekte kullandıkları hizmet sınırın dışında kalır. Savunulabilir kapsam veriyi izler: müşterilerinizin önemsediği bilgiyi saklayan veya işleyen sistemler, artı onlara yönetimsel erişimi olan her şey. Kapsam bildirimini erken yazın; sonraki her karar ona asılıdır.

Motor, Risk Değerlendirmesidir

ISMS'teki her şey risk değerlendirmesine döner. Mekanik basittir: bilgi varlıklarınızın envanterini çıkarın, her biri için neyin ters gidebileceğini belirleyin — gizlilik, bütünlük veya erişilebilirlik kaybı — ve her riski kendi tanımladığınız olasılık ve etki kriterlerine göre puanlayın. Önemli olan değerlendirmenin sizin olmasıdır: şablondan kopyalanmış genel bir risk kaydı, fidye yazılımının bir SaaS şirketi ile bir fabrika için neden aynı puanı aldığını soran denetçiye dayanmaz.

Sonra her risk bir işlem kararı alır — kontrollerle azalt, devret, kaçın ya da kabul etmeye yetkili birinin onayıyla kabul et. Bu kararlar Uygulanabilirlik Bildirimi'ni (SoA) besler: seçtiğiniz kontrolleri standardın referans setine eşleyen ve her dahil etme ile hariç tutmayı gerekçelendiren doküman. SoA denetimde en çok okunan tek dokümandır; ona göre davranın.

2022 Revizyonunda Annex A

Güncel standart ISO/IEC 27001:2022, referans kontrolleri dört tema altında 93 kontrole yeniden yapılandırdı: organizasyonel (37 kontrol — politikalar, tedarikçi yönetimi, olay yönetimi, yasal uyum), insan (8 — özgeçmiş taraması, eğitim, disiplin süreci, uzaktan çalışma), fiziksel (14 — tesisler, ekipman, medya) ve teknolojik (34 — erişim kontrolü, kriptografi, loglama, yedekleme, güvenli geliştirme). 2022 revizyonu modern operasyona doğrudan oturan kontroller de ekledi: tehdit istihbaratı, bulut hizmet güvenliği, yapılandırma yönetimi, veri sızıntısı önleme ve web filtreleme bunlardan.

Burada ekipleri iki şey düşürür. Annex A bir referans settir, yapılacaklar listesi değil — risk değerlendirmenizin gerektirdiği kontrolleri uygular, kalanını SoA'da uygulanamaz diye gerekçelendirirsiniz. Ve çoğu mühendislik organizasyonu teknolojik kontrollerin birçoğunu zaten işlettiğini keşfeder; eksik olan üstlerindeki yazılı politika ve altlarındaki kanıt izidir.

Kanıt Bir Kültürdür, Panik Koşusu Değil

Rahat bir denetimle sefil bir denetim arasındaki fark, kanıtın normal işin yan ürünü olarak var olup olmamasıdır. Erişim gözden geçirmeleri ticket'larda kayıtlı. İşe alış ve çıkış kontrol listeleri gerçekten işaretlenmiş. Değişiklik yönetimi pull request'lerde ve pipeline loglarında görünür. Yedek geri dönüşleri takvimle test edilmiş, test çıktısı saklanmış. Log saklama ve alarm izleme yığınınızda gösterilebilir — SIEM sisteminin üzerine kurulduğu altyapı, denetim kanıtı olarak da çifte görev yapar.

Kanıtı üç ayda bir toplama sprintine çeviren ekipler, denetimden bir hafta önce ekran görüntüsü imal ederken bulur kendini — denetçiler bunu anında tanır. Kanıtı araçlarına bağlayan ekipler — ticket'lar, CI, IaC, kimlik sağlayıcı çıktıları — istek listesini zar zor fark eder. İkinci duruş, tesadüf değil, kontrollerin gerçekten çalıştığı duruştur.

Denetim Döngüsü

Sertifikasyon tek bir olay değildir. İlk denetim iki aşamada gelir: Aşama 1 dokümantasyonunuzu inceler — kapsam, risk değerlendirmesi, SoA, zorunlu politikalar — ve denetlenmeye hazır olduğunuzu doğrular; Aşama 2, ISMS'in gerçekten işleyip işlemediğini görüşmeler, örneklenmiş kayıtlar ve adım adım incelemelerle test eder. Sertifika üç yıl geçerlidir; aradaki yılların her birinde gözetim denetimi, döngü sonunda tam yeniden sertifikasyon yapılır. İçeride ise standart, en az yılda bir kendi denetim programınızı ve yönetim gözden geçirmenizi çalıştırmanızı ister — bunlar formalite değildir; dürüst bir organizasyonun kendi uygunsuzluklarını dış denetçiden önce bulduğu yerdir.

Sıfırdan başlıyorsanız gerçekçi takvim ayırın: ISMS'i kurmak ve işleyen kanıt üretmesine izin vermek tipik olarak birkaç ay sürer — çünkü denetçilerin niyete değil, geçmişe ihtiyacı vardır.

Biz Neredeyiz?

Graf Clouds, ISO/IEC 27001 ile hizalı bir ISMS'i kendisi işletiyor — ISO 27001 dokümantasyonumuz herkese açık — dolayısıyla yukarıdaki rehberlik teori değil, kendi operasyonumuza uyguladığımız pratiklerdir. Sertifikasyona hazırlanıyorsanız ve kapsam, risk değerlendirmesi ya da Annex A'nın arkasındaki teknik kontrolleri ve kanıt hatlarını kurmakta destek istiyorsanız, SecOps ekibimiz hazırlık işini uçtan uca destekler.

Bunun hesaplarınıza karşı denetlenmesini ister misiniz? AWS güvenlik denetimimiz ISO 27001, SOC 2, NIS2 ve DORA'ya eşlenmiş 98 maddeyi kapsar — sabit fiyat, kanıtlar dahil.