ISO 27001:2022 Kapsam ve Bağlamın Anlaşılması Nasıl Yapılmalı?
Giriş
ISO/IEC 27001:2022 standardı, bilgi güvenliği yönetim sisteminin temellerini bağlamın anlaşılması ve kapsamın doğru tanımlanması üzerine kurar.
Bir kurum kendi bağlamını ve kapsamını doğru belirlemediğinde, oluşturulan sistem sürdürülebilir olmaz ve denetimlerde başarısız olur.
Bu yazıda, kurumsal bağlam ve kapsam belirleme adımlarını sade ve uygulanabilir şekilde ele alıyoruz.
Bağlam Nedir ve Neden Önemlidir?
Bağlam, kurumun faaliyet gösterdiği iç ve dış çevrenin, bilgi güvenliği üzerindeki etkilerini anlamaktır.
ISO 27001:2022 Madde 4.1’e göre, kurumlar bilgi güvenliğini etkileyen tüm faktörleri tanımlamalıdır.
Bunlara örnek olarak:
- İç faktörler: Kurumsal yapı, mevcut süreçler, çalışan yetkinlikleri, mevcut teknoloji seviyesi.
- Dış faktörler: Yasal gereklilikler, sektörel riskler, tedarik zinciri, müşteri beklentileri, paydaş ilişkileri.
Bu analiz sayesinde kurum, bilgi güvenliği hedeflerini gerçekçi ve ölçülebilir biçimde belirleyebilir.
İlgili Tarafların Belirlenmesi
Bağlamın anlaşılması aşamasında, ilgili taraflar (interested parties) da tanımlanmalıdır.
Bu taraflar bilgi güvenliğiyle doğrudan veya dolaylı şekilde ilgilidir.
Örnek:
- Müşteriler
- Çalışanlar
- Tedarikçiler
- Resmî kurumlar (BTK, KVKK Kurumu vb.)
- Paydaşlar ve iş ortakları
Her ilgili tarafın bilgi güvenliği konusundaki beklentileri, gereklilikleri ve etkileri değerlendirilmelidir.
Kapsam Nasıl Belirlenir?
Bağlam analizinden sonra kurum, bilgi güvenliği yönetim sisteminin kapsamını (scope) netleştirmelidir.
Bu kapsam, BGYS’nin hangi alanlarda uygulanacağını tanımlar.
Kapsam beyanında şu unsurlar bulunmalıdır:
- Dahil edilen süreçler, bölümler ve lokasyonlar,
- Hariç tutulan alanlar (varsa) ve gerekçeleri,
- Bilgi güvenliği yönetim sisteminin sınırları.
Kapsam tanımlanırken risklerin yoğun olduğu alanlar önceliklendirilmelidir.
Bu yaklaşım, sistemi hem sade hem de yönetilebilir hale getirir.
Kapsam ve Bağlam Belirlerken Dikkat Edilmesi Gerekenler
- Kurumun faaliyet alanı, büyüklüğü ve teknolojik altyapısı göz önüne alınmalıdır.
- Kapsam yalnızca bilgi işlemle sınırlı tutulmamalı, tüm kritik süreçleri kapsamalıdır.
- KVKK, BTK ve BİG-RE gibi yasal gereklilikler bağlam analizine dâhil edilmelidir.
- Hariç tutulan alanlar gerekçelendirilmeden bırakılmamalıdır.
Bağlam ve Kapsamın Birlikte Değerlendirilmesi
Bağlam ve kapsam bir bütün olarak ele alınmalıdır:
- Bağlam → Kurumu ve çevresini anlamak,
- Kapsam → Bu çevrede hangi alanların yönetileceğini tanımlamak.
Bu iki adım, BGYS’nin temeli olup, risk analizi, dokümantasyon ve denetim süreçlerinin doğruluğunu doğrudan etkiler.
Sonuç
ISO/IEC 27001:2022’de bağlam ve kapsam belirleme, artık yalnızca formalite değil, bilgi güvenliği stratejisinin çekirdek adımıdır.
Kurum, çevresini doğru analiz eder ve sınırlarını net çizerse; sistem hem uygulanabilir hem de sürdürülebilir hale gelir.
Unutmayın: Doğru kapsam, doğru yönetim sistemidir.
İlgili Yazılar
- ISO/IEC 27001:2022 Nedir, Kurumlar İçin Neden Zorunlu Hale Geldi?
- Bilgi Güvenliği Yönetim Sistemi Kurulurken En Sık Yapılan 7 Hata
- ISO 27001 Risk Analizi: ISO/IEC 31010 Yaklaşımıyla Uygulama Örneği
#ISO27001 #BGYS #BilgiGüvenliği #Kapsam #Bağlam #ISO27001Danışmanlık #BilgiGüvenliğiYönetimSistemi #KVKK #BIGRE