1. Ana Sayfa
  2. Blog
  3. ISO 27001 Risk Değerlendirme Ve İşleme: Kapsamlı Kılavuz

ISO 27001 Risk Değerlendirme Ve İşleme: Kapsamlı Kılavuz

İÇERİKTE NELER VAR? ISO 27001 Risk Değerlendirmesi ve Risk İşleme Nasıl Yapılır?ISO 27001 Risk Yönetiminin Temel KavramlarıAdım Adım Risk Değerlendirme (Risk Assessment) Süreci1. Adım: Risk Değerlendirme Metodolojisinin Belirlenmesi2. Adım: Bilgi Varlıklarının Tanımlanması3. Adım: Tehdit ve Zafiyetlerin Belirlenmesi4. Adım: Risk Analizi: Etki ve Olasılığın Değerlendirilmesi5. Adım: Riskin Değerlendirilmesi ve ÖnceliklendirilmesiRisk İşleme (Risk Treatment): Stratejilerin BelirlenmesiSürecin Çıktıları: Risk Raporu ve Uygulanabilirlik Bildirgesi (SoA)Profesyonel Yaklaşımın ÖnemiSıkça Sorulan Sorular (SSS)

ISO 27001 Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) sadece kurallar listesi olmadığını, yaşayan ve dinamik bir yapı sunduğunu sıkça duyarız. Dinamizmin ve sistemin etkinliğinin kalbinde ise risk yönetimi süreci yatar. Risk değerlendirmesi ve risk işleme, BGYS'nin temelini oluşturur ve kurumun güvenlik yatırımlarını en doğru alanlara yönlendirmesini sağlar. Reaktif bir yaklaşımdan proaktif bir güvenlik duruşuna geçişin anahtarıdır.

ISO 27001 Risk Değerlendirmesi Nasıl Yapılır?

ISO 27001 Risk Değerlendirmesi ve Risk İşleme Nasıl Yapılır?

Rehberimizde, ISO 27001 standardının en kritik bileşenlerinden olan risk değerlendirme ve işleme sürecini, anlaşılır adımlarla ele alacağız. Amacımız, karmaşık görünen süreci pratik ve uygulanabilir bir yol haritasına dönüştürmektir.

ISO 27001 Risk Yönetiminin Temel Kavramları

Sürece başlamadan önce, dört temel kavramı anlamak oldukça önemlidir:

  • Varlık (Asset): Kurum için değeri olan her şey. Sunucular, veritabanları, müşteri listeleri, ticari sırlar, hatta kurumun itibarı birer bilgi varlığıdır.
  • Zafiyet (Vulnerability): Bir varlığın veya kontrolün, bir tehdit tarafından istismar edilebilecek zayıf noktası. Örneğin, güncellenmemiş bir yazılım veya eğitimsiz personel birer zafiyettir.
  • Tehdit (Threat): Bir zafiyetten faydalanarak bir varlığa zarar verme potansiyeli olan her şey. Kötü amaçlı yazılımlar, siber saldırganlar, doğal afetler veya insan hataları birer tehdittir.
  • Risk: Bir tehdidin, bir zafiyetten yararlanarak varlığa vereceği zararın gerçekleşme olasılığı ve etkisinin birleşimidir.

Adım Adım Risk Değerlendirme (Risk Assessment) Süreci

Risk değerlendirmesi, kurumun karşı karşıya olduğu riskleri sistematik olarak tanımlama, analiz etme ve önceliklendirme işlemidir. Süreç, belgelendirme sürecinin başarısı için hayati önem taşır.

1. Adım: Risk Değerlendirme Metodolojisinin Belirlenmesi

İlk olarak, riskleri nasıl ölçeceğinize ve değerlendireceğinize dair bir metodoloji belirlemeniz gerekir. Metodoloji, riskleri tutarlı bir şekilde analiz etmenizi sağlar. Genellikle nitel (qualitative) (örneğin; Düşük, Orta, Yüksek gibi etiketler) veya nicel (quantitative) (parasal değerler) yaklaşımlar kullanılır. Çoğu kurum, uygulanabilirliği daha kolay olduğu için nitel veya yarı-nitel bir metodoloji tercih eder.

2. Adım: Bilgi Varlıklarının Tanımlanması

Korunması gereken tüm bilgi varlıklarının bir envanteri çıkarılır. Envanter, donanım, yazılım, veri, personel, hizmetler, fiziksel mekanlar ve itibar gibi unsurları içermelidir. Her varlığın bir sahibi ve kritiklik seviyesi belirlenir.

3. Adım: Tehdit ve Zafiyetlerin Belirlenmesi

Tanımlanan her varlık için potansiyel tehditler ve tehditlerin istismar edebileceği zafiyetler listelenir. Örneğin, "müşteri veritabanı" varlığı için "SQL injection saldırısı" bir tehdit, "giriş alanlarında zayıf doğrulama" ise bir zafiyettir.

4. Adım: Risk Analizi: Etki ve Olasılığın Değerlendirilmesi

Belirlenen her risk senaryosu için iki temel soruya cevap verilir:

  • Etki: Risk gerçekleşirse kuruma vereceği zarar ne olur? (Finansal kayıp, itibar kaybı, yasal yaptırım vb.)
  • Olasılık: Riskin gerçekleşme ihtimali nedir?

Etki ve olasılık değerleri, belirlenen metodolojiye göre (örneğin 1-5 arası bir ölçekte) puanlanır. İki puanın çarpımı veya bir risk matrisindeki kesişimi, ham risk puanını verir.

5. Adım: Riskin Değerlendirilmesi ve Önceliklendirilmesi

Hesaplanan ham risk puanları, kurumun önceden belirlediği "risk kabul kriterleri" veya "risk iştahı" ile karşılaştırılır. Kriterleri aşan riskler "kabul edilemez" olarak işaretlenir ve risk işleme aşamasında öncelikli olarak ele alınması gerekir. İlgili adım, kaynakların en önemli risklere odaklanmasını sağlar.

Risk İşleme (Risk Treatment): Stratejilerin Belirlenmesi

Kabul edilemez seviyedeki riskler belirlendikten sonra, bu riskleri yönetmek için bir veya daha fazla stratejinin seçildiği aşamaya geçilir. ISO 27001 dört temel risk işleme seçeneği sunar:

  • Riski Azaltma (Modify / Mitigate): Riskin olasılığını veya etkisini düşürmek için güvenlik kontrolleri uygulanır. En yaygın kullanılan yöntemdir ve ISO 27001 Ek A'da listelenen kontrollerin seçilmesini içerir. Örneğin, zayıf parolalara karşı "Güçlü Parola Politikası" oluşturmak.
  • Riski Kabul Etme (Retain / Accept): Riskin seviyesi, kurumun risk kabul kriterleri dahilindeyse veya riski işlemenin maliyeti potansiyel zarardan daha yüksekse, risk bilinçli olarak kabul edilebilir. Karar mutlaka üst yönetim tarafından onaylanmalıdır.
  • Riskten Kaçınma (Avoid): Riske yol açan faaliyetten, süreçten veya varlıktan vazgeçmektir. Örneğin, çok riskli bulunan bir hizmetin sunumunu durdurmak.
  • Riski Devretme (Share / Transfer): Riskin finansal etkisini başka bir tarafa aktarmaktır. Siber güvenlik sigortası yaptırmak veya belirli bir hizmeti dış kaynak kullanımı (outsourcing) ile başka bir firmaya devretmek bu duruma örnektir.

Sürecin Çıktıları: Risk Raporu ve Uygulanabilirlik Bildirgesi (SoA)

Tüm bu sürecin sonunda iki kritik doküman ortaya çıkar. Risk Değerlendirme Raporu, tanımlanan tüm riskleri, analiz sonuçlarını ve işleme planlarını içerir. Uygulanabilirlik Bildirgesi (SoA) ise Ek A'daki 114 kontrolün hangilerinin neden seçildiğini ve uygulanmayanların neden hariç tutulduğunu gerekçelendirir. Dokümanlar, denetimlerin en önemli kanıtlarıdır.

Profesyonel Yaklaşımın Önemi

Risk yönetimi, Bilgi Güvenliği Yönetim Sistemi'nin başarısı için kritik bir uzmanlık alanıdır. Sürecin doğru kurgulanması, potansiyel tehditlerin gözden kaçırılmaması ve kaynakların verimli kullanılması için profesyonel destek almak önemlidir. Süreçte kullanılan metodolojiler, örneğin NIST SP 800-30 gibi uluslararası çerçevelerle de uyumlu hale getirilebilir.

DIM Danışmanlık olarak, 15 yılı aşan tecrübemizle risk değerlendirme ve işleme sürecinizi en doğru şekilde yapılandırmanıza yardımcı oluyoruz. Uzman ekibimizle tanışmak ve detaylı bilgi almak için hakkımızda sayfamızı inceleyebilir veya bizimle doğrudan iletişime geçebilirsiniz.

Sıkça Sorulan Sorular (SSS)

1. Tehdit ve Zafiyet arasındaki fark nedir?

Zafiyet, sistemdeki bir zayıflıktır (örn: güncel olmayan antivirüs). Tehdit ise bu zayıflıktan faydalanabilecek potansiyel bir tehlikedir (örn: bir virüs). Tehdit, zafiyetten yararlanarak riski oluşturur.

2. Risk değerlendirmesi için özel bir yazılım kullanmak zorunlu mu?

Hayır, zorunlu değildir. Küçük ve orta ölçekli kurumlar için iyi yapılandırılmış Excel tabloları yeterli olabilir. Ancak büyük ve karmaşık yapılar için süreci otomatize eden GRC (Governance, Risk, Compliance) yazılımları verimliliği artırır.

3. Risk iştahı (Risk Appetite) ne demektir?

Risk iştahı, bir kurumun hedeflerine ulaşmak için bilinçli olarak üstlenmeye istekli olduğu riskin türü ve miktarıdır. Seviyenin üzerindeki riskler kabul edilemez olarak görülür ve işlenmesi gerekir.

4. Risk değerlendirmesi ne sıklıkla yapılmalıdır?

ISO 27001, planlanmış aralıklarla ve önemli değişiklikler olduğunda (örn: yeni bir teknolojiye geçiş, büyük bir siber saldırı sonrası) risk değerlendirmesinin tekrarlanmasını ister. Genellikle yılda en az bir kez gözden geçirilmesi en iyi uygulama olarak kabul edilir.

5. Risk Kayıt Listesi (Risk Register) nedir?

Risk Kayıt Listesi, risk yönetimi sürecinde tanımlanan tüm riskleri, analiz sonuçlarını, risk puanlarını, risk sahiplerini ve uygulanan veya planlanan risk işleme faaliyetlerini içeren merkezi bir dokümandır.

6. Kalan Risk (Residual Risk) nedir?

Risk işleme faaliyetleri (örneğin bir kontrolün uygulanması) sonrasında geriye kalan risk seviyesine "Kalan Risk" denir. Hedef, kalan riskin kurumun risk kabul kriterleri içinde olmasını sağlamaktır.

7. Risk değerlendirme ekibinde kimler olmalıdır?

Ekip, IT, insan kaynakları, hukuk, finans ve operasyon gibi farklı departmanlardan temsilciler içermelidir. Zira bu, risklerin kurumun farklı açılarından ve bütünsel bir bakış açısıyla değerlendirilmesini sağlar.

8. Nitel ve Nicel risk analizi arasındaki temel fark nedir?

Nitel analiz, riskleri "Düşük, Orta, Yüksek" gibi tanımlayıcı ölçekler kullanarak değerlendirir ve daha özneldir. Nicel analiz ise risklerin potansiyel etkisini parasal değerler ve gerçekleşme olasılıklarını istatistiksel yüzdelerle ifade ederek daha somut ve objektif sonuçlar üretir.

9. Risk değerlendirme sürecinin Uygulanabilirlik Bildirgesi (SoA) ile ilişkisi nedir?

Risk değerlendirmesi, hangi risklerin hangi kontrollerle azaltılması gerektiğini belirler. SoA, bu kararların resmi kaydıdır. Yani, risk işleme planında "Riski Azalt" kararı verilen her risk, SoA'da ilgili Ek A kontrollerinin neden seçildiğini açıklar.

10. Bir riski "kabul etme" kararı zayıflık göstergesi midir?

Hayır. Eğer riskin potansiyel etkisi düşükse ve/veya riski azaltma maliyeti orantısız şekilde yüksekse, riski bilinçli olarak kabul etmek geçerli bir stratejidir. Önemli olan bu kararın gerekçelendirilmesi ve üst yönetim tarafından onaylanmasıdır.

İlginizi Çekebilecek Diğer Yazılarımız

FDA Kayıt Ücretini Belirleyen 3 Temel Faktör ve 2025 Fiyatları
FDA Kayıt Ücretini Belirleyen 3 Temel Faktör Ve 2025 Fiyatları
Rusya İhracatında EAC Belgesi Fiyatı 2025: Sertifika ve Deklarasyon Maliyetleri
Rusya İhracatında EAC Belgesi Fiyatı 2025: Sertifika Ve Deklarasyon Maliyetleri
ISO 27001 Belgesi Maliyetini Artıran (veya Azaltan) Faktörler
ISO 27001 Belgesi Maliyetini Artıran (veya Azaltan) Faktörler
ISO 9001 Fiyatını Belirleyen 4 Temel Değişken ve 2025 Maliyetleri
ISO 9001 Fiyatını Belirleyen 4 Temel Değişken Ve 2025 Maliyetleri