ISO 27001 Risk Analizi: ISO/IEC 31010 Yaklaşımıyla Uygulama Örneği

26.01.2025
Özgür ÇİFTCİ
7 dk okuma
Bilgi Güvenliği

Giriş

Bilgi güvenliği yönetim sisteminin (BGYS) kalbi risk yönetimidir.
Bir kurum risklerini doğru analiz etmeden ISO/IEC 27001 belgesi alsa bile, sistem sürdürülebilir olamaz.
Bu yazıda, ISO 27001’in risk analizi yaklaşımını, ISO/IEC 31010 standardıyla nasıl bütünleştiğini ve örnek bir uygulama üzerinden nasıl yapılacağını anlatıyoruz.

ISO 27001 ve ISO 31010 İlişkisi

ISO/IEC 27001:2022, risk temelli bir standarttır.
Risk analizi yaparken ISO/IEC 31000 (Risk Yönetimi Prensipleri) ve ISO/IEC 31010 (Risk Değerlendirme Teknikleri) standartlarına referans verir.

ISO 27001 → Ne yapılacağını söyler (risk yönetimi zorunluluğu)
ISO 31010 → Nasıl yapılacağını açıklar (uygulanabilir teknikler)

Bu sayede kurumlar, hem sistematik hem de ölçülebilir bir risk yönetimi yaklaşımı kurabilir.

Risk Yönetimi Süreci

ISO 27001’e göre risk yönetimi şu temel adımlardan oluşur:

Varlıkların Belirlenmesi
- Donanım, yazılım, veri, insan, tedarikçi ve fiziksel unsurlar tanımlanır.
- Her varlık için gizlilik, bütünlük ve erişilebilirlik (CIA) etkileri değerlendirilir.
Tehdit ve Zafiyetlerin Tanımlanması
- Tehdit: Sisteme zarar verebilecek dış veya iç olay (ör. siber saldırı, yetkisiz erişim).
- Zafiyet: Bu tehdidin gerçekleşmesini kolaylaştıran eksiklik (ör. zayıf parola, açık port).
Riskin Hesaplanması
- Risk = Olasılık × Etki formülüyle değerlendirilir.
- Her iki kriter 1–5 arası puanlanabilir (düşük, orta, yüksek).
Riskin Değerlendirilmesi
- Elde edilen skor, risk kabul kriterleriyle karşılaştırılır.
- Kabul edilebilir değilse, aksiyon planı hazırlanır.
Riskin İşlenmesi (Tedavi)
- Risk azaltılabilir, devredilebilir, kabul edilebilir veya ortadan kaldırılabilir.
- Her risk için sorumlu kişi ve tarih belirlenmelidir.

ISO/IEC 31010’a Göre Kullanılabilecek Yöntemler

ISO/IEC 31010, risk değerlendirmesinde kullanılabilecek 30’dan fazla teknik önerir.
BGYS süreçlerinde en sık kullanılan yöntemler:

| Teknik | Açıklama | Uygun Olduğu Durum | |--------|-----------|--------------------| | Nitel Değerlendirme (Qualitative) | Riskleri düşük-orta-yüksek olarak sınıflandırır | KOBİ’ler ve hızlı analiz gereken durumlar | | Olasılık – Etki Matrisi | Sayısal skorlarla değerlendirme yapılır | ISO 27001 uyumlu risk matrisi için ideal | | FTA (Fault Tree Analysis) | Arıza nedenlerini kök analiziyle bulur | Teknik altyapı arızalarında | | FMEA (Failure Mode and Effects Analysis) | Hata türlerini ve etkilerini analiz eder | Üretim ve enerji sektörlerinde | | Bow-Tie Analizi | Tehdit–kontrol–etki ilişkisini görselleştirir | Karmaşık sistemlerde |

Örnek Uygulama

Bir yazılım şirketinde risk analizi örneği:

| Varlık | Tehdit | Zafiyet | Olasılık | Etki | Risk Skoru | Eylem | |--------|---------|----------|-----------|------|-------------|-------| | Müşteri Veritabanı | Yetkisiz erişim | Zayıf parola politikası | 4 | 5 | 20 | MFA zorunlu hale getirildi | | E-posta Sunucusu | Kimlik avı saldırısı | Kullanıcı farkındalığı düşük | 3 | 4 | 12 | Farkındalık eğitimi planlandı | | Yedekleme Sistemi | Veri kaybı | Yedek test edilmemiş | 2 | 5 | 10 | Haftalık restore testi eklendi |

Bu tür tablolar, ISO 27001 kapsamında risklerin ölçülebilir ve izlenebilir hale gelmesini sağlar.

Risk Analizi Sonuçlarının Takibi

Riskler yalnızca tespit edilip belgelenmemeli, aksiyonlarla ilişkilendirilmeli ve düzenli aralıklarla güncellenmelidir.
En iyi uygulama:

Yıllık risk gözden geçirmesi,
BGYS performans toplantılarında risk durumu raporlanması,
bgys.app gibi dijital platformlar aracılığıyla risk–aksiyon ilişkisinin izlenmesi.

Sonuç

Risk analizi, ISO/IEC 27001’in en dinamik bölümüdür.
Doğru yöntemle yapıldığında sadece denetim için değil, kurumun gerçek güvenlik seviyesini ölçmek için güçlü bir araçtır.
Unutmayın: “Ölçemediğin riski yönetemezsin.”

İlgili Yazılar

#ISO27001 #ISO31010 #RiskAnalizi #BilgiGüvenliği #BGYS #ISO27001Danışmanlık #BilgiGüvenliğiYönetimSistemi #KVKK #BIGRE

Blog'a Dön