ISO 27001 Risk İştahı ve Kabul Edilebilir Risk Seviyesi Nasıl Belirlenir? (2025 Rehberi)
ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi’nde risk analizi yapılmadan önce cevaplanması gereken en temel soru şudur:
Kuruluş olarak hangi riskleri tolere edebiliriz? Hangileri mutlaka kontrol altına alınmalıdır?
Bu soruların yanıtı, doğrudan risk iştahı (risk appetite) ve kabul edilebilir risk seviyesi (risk acceptance criteria) kavramlarına dayanır.
Bu yazıda bu iki kavramı sadeleştiriyor, ISO 27001 kapsamında uygulanabilir ve denetimden geçer bir yaklaşımı adım adım aktarıyoruz.
Risk İştahı Nedir?
Risk iştahı, bir kuruluşun bilgi varlıkları üzerinde göze alabileceği maksimum risk düzeyini tanımlar.
Yani: “Bu riski farkındayız, ama bu düzeyde bizim için kabul edilebilir” diyebilme cesaretidir.
Her kuruluşun risk iştahı:
-
Sektöre
-
Yasal düzenlemelere
-
Kurumsal kültüre
-
Veri türüne
-
Müşteri beklentilerine göre değişir.
Kabul Edilebilir Risk Seviyesi Nedir?
Kabul edilebilir risk seviyesi, risk analizinde ortaya çıkan her bir risk için, müdahale gerektirmeyen eşik seviyesidir.
Bu seviye aşıldığında, kontrol önlemleri planlanmalıdır. Aşılmayanlar, kayda alınarak tolere edilebilir.
Risk İştahı Nasıl Belirlenir? (Adım Adım)
1. Üst Yönetimden Onay Alın
Risk iştahı, ISO 27001’in 5.1 maddesine uygun olarak yönetim tarafından tanımlanmalıdır.
Kurumun stratejik hedefleri ve iş yapış şekli bu değeri etkiler.
2. Risk Skorlaması Sistemi Kurun
Genellikle risk şu formülle hesaplanır:
Risk Skoru = Olasılık x Etki
Örnek tablo:
| Skor | Anlamı | Aksiyon |
|---|---|---|
| 1–4 | Düşük risk | Kabul edilebilir |
| 5–9 | Orta risk | İzlenmeli, gerekirse azaltılmalı |
| 10–15 | Yüksek risk | Kontrol alınmalı |
| 16–25 | Kabul edilemez risk | Derhal müdahale edilmeli |
3. Kabul Eşiğini Yazılı Hale Getirin
Dokümante edilmesi gereken kriterler:
-
Kabul edilebilir maksimum skor
-
Hangi skorun nasıl yönetileceği
-
Risk işleme yöntemleri (azalt, transfer et, kabul et, ortadan kaldır)
4. Risk Kategorilerine Ayrı Tolerans Uygulayın
Bazı kurumlar farklı varlık türlerine farklı eşikler koyar:
| Varlık Türü | Kabul Edilen Maksimum Skor |
|---|---|
| Kişisel veri | 6 (Düşük tolerans) |
| Genel finansal bilgi | 9 (Orta tolerans) |
| İç yazışma dökümanı | 12 (Yüksek tolerans) |
ISO 27001’e Göre Uygulama Önerileri
-
Politikalarda risk iştahı açıkça ifade edilmelidir
(örnek: “Kurumumuz, 10 ve üzeri skorlanan riskleri kabul etmemektedir.”) -
Risk kayıtlarında her bir riskin skoru ile birlikte 'kabul edildi' ya da 'işlenecek' ifadesi olmalıdır
-
Yönetimin Gözden Geçirme (YGG) toplantılarında risk iştahı yıllık olarak yeniden değerlendirilmelidir
Risk İştahı Düşük Kurumlar Ne Kazanır?
-
Daha sıkı kontrol
-
Daha yüksek müşteri güveni
-
Daha düşük yasal ve maddi kayıp riski
-
Ancak: daha yüksek operasyonel yük ve maliyet
Risk iştahı dengeli tanımlanmalıdır.
YYS Danışmanlık ile Riskinizi Yönetin, Sürprizleri Önleyin
YYS olarak:
-
Risk iştahınızı sektörünüze ve kurum yapınıza özel belirliyoruz
-
Kabul eşiğinizi hesaplamalı sistemle kuruyoruz
-
Risk analizinizin denetimden geçmesini sağlıyoruz
Risk almamak imkânsızdır, ama bilinçli yönetilen riskler başarı getirir.