ISO 27001 Varlık Sahipliği Nasıl Belirlenir? (2025 Rehberiyle Yetki ve Sorumluluklar)
ISO/IEC 27001:2022 sisteminde bilgi varlıklarını sadece listelemek yetmez; her bir varlık sahiplendirilmelidir.
Çünkü sahipliği belli olmayan bir varlığın korunması da, izlenmesi de mümkün değildir.
Bu yazıda “varlık sahipliği nedir”, “nasıl atanır” ve “sistem üzerinde etkisi nedir” gibi soruları 2025 yılı uygulamalarına uygun olarak açıklıyoruz.
Varlık Sahipliği Nedir?
ISO 27001 A.5.9 maddesine göre:
“Bilgi ve diğer ilişkili varlıklar, uygun şekilde tanımlanmalı ve bir sahip atanmalıdır.”
Yani, bilgi varlığı yalnızca “tanımlanmış” değil, aynı zamanda bir birey veya birim tarafından yönetilmekle sorumlu olmalıdır.
Hangi Varlıklar Sahiplik Gerektirir?
Aşağıdaki her kategori bir bilgi varlığıdır ve sahip gerektirir:
| Varlık Türü | Örnekler |
|---|---|
| Donanım | Sunucular, dizüstü bilgisayarlar |
| Yazılım | ERP, CRM, Güvenlik yazılımları |
| Fiziksel Belgeler | Sözleşmeler, çizimler |
| Dijital Veriler | Personel bilgileri, müşteri verileri |
| Süreç ve Politikalar | İş akışları, prosedür belgeleri |
| İnsan Bilgisi | Yetkinlik sahibi çalışanlar |
Varlık Sahibi Ne Yapar?
| Sorumluluk | Açıklama |
|---|---|
| Varlığı güncel tutmak | Envanter, konum, erişim bilgileri |
| Risk değerlendirmesi yapmak | O varlığa özel tehditleri tanımlamak |
| Erişim yetkilerini belirlemek | Kimlerin hangi düzeyde erişeceğine karar vermek |
| Sınıflandırma yapmak | Gizli / Özel / Genel gibi veri etiketleme işlemleri |
| Yedekleme ve kurtarma süreçlerini onaylamak | Verinin kaybolmaması için gerekli işlemleri başlatmak |
Varlık Sahipliği Nasıl Belirlenir?
1. Departman Bazlı Envanter Hazırlayın
Her birim kendi bilgi varlıklarını listelemelidir:
-
BT: Sunucu, yedekleme yazılımı
-
İK: Personel özlük dosyaları
-
Satış: Müşteri sözleşmeleri
2. Rol ve Yetkinliğe Göre Atama Yapın
-
Varlığı kullanan değil, sorumluluk alan kişi sahip olmalıdır.
-
Örnek:
-
CRM yazılımını satış ekibi kullanıyor olabilir, ancak sahibi BT Müdürü’dür.
-
3. Yazılı Olarak Atayın
Varlık sahibinin adı, unvanı ve imzası yer almalıdır.
“Varlık Sahipliği Atama Formu” gibi bir belge ile resmi hale getirilmelidir.
4. Sahiplik Sürekliliğini Sağlayın
-
İşten ayrılma, görev değişikliği gibi durumlarda sahiplik devir protokolü uygulanmalıdır.
-
Envanter periyodik olarak gözden geçirilmelidir.
Örnek: Varlık Sahipliği Kaydı
| Varlık Adı | Türü | Sahip | Sorumluluklar |
|---|---|---|---|
| ERP Yazılımı | Yazılım | BT Müdürü | Erişim yönetimi, güncelleme kontrolü |
| İK Özlük Dosyası | Belge | İK Müdürü | Saklama, gizlilik, erişim düzeni |
| Üretim Resimleri | Dijital | Proje Müdürü | Dosya sınıflandırma, yedekleme kontrolü |
Denetimlerde Dikkat Edilen Hususlar
Sahipsiz varlık olmamalı
Sahiplerin rolü ve sorumluluğu net tanımlanmalı
Değişiklik durumunda güncelleme izleri gösterilebilmeli
Risk değerlendirmesi ve kontroller sahibin bilgisiyle yapılmalı
YYS Danışmanlık ile Sahiplik Sorumluluğu Netleşsin
YYS olarak:
-
Bilgi varlığı envanterini çıkarıyor,
-
Sahiplik atamalarını kurumun yapısına göre yapılandırıyor,
-
Denetimlerde kabul görecek belgeleri hazırlıyoruz.
Sahipsiz varlık, sahipsiz risktir.
Kurumsal sürdürülebilirlik için sorumluluklar netleşmeli.