ISO 27001 Olay Kayıtları Nasıl Tutulmalı? (2025 Denetim Uyum Rehberi)
ISO 27001 sisteminizde bilgi güvenliği olayları yaşanabilir. Bu kaçınılmazdır.
Ancak bu olayları doğru şekilde kayıt altına almak, sistemin canlı çalıştığını ve sürekli iyileştirme uygulandığını kanıtlar.
Bu yazıda 2025 yılı için geçerli olacak şekilde, ISO 27001 kapsamında olay kayıtlarının nasıl tutulması gerektiğini, hangi bilgileri içermesi gerektiğini ve denetimlerde neye dikkat edildiğini açıklıyoruz.
Olay Kaydı Nedir?
Bir bilgi güvenliği olayı gerçekleştiğinde, olayla ilgili tüm detayların yazılı olarak kayıt altına alındığı sistematik dokümandır.
ISO/IEC 27001:2022'nin şu maddeleri doğrudan olay kaydı tutmayı zorunlu kılar:
-
A.5.24 – Olayların Raporlanması
-
A.5.25 – Olaylara Müdahale
-
A.5.26 – Deneyimlerden Ders Alma
Neden Olay Kayıtları Tutulmalı?
-
Denetimlerde ilk kontrol edilen kayıtlardandır
-
Sistem takibi, performans ölçümü ve iyileştirme için temel veridir
-
Hukuki süreçlerde delil niteliği taşır
-
Olay tekrarını önleyecek kök neden analizi için zorunludur
-
Süreçlerin şeffaf ve izlenebilir olduğunu kanıtlar
Olay Kayıt Formu Neleri İçermeli?
İdeal bir olay kayıt formunda aşağıdaki başlıklar bulunmalıdır:
| Alan | Açıklama |
|---|---|
| Olay ID / Referans No | Benzersiz kayıt numarası |
| Olayın Tarihi ve Saati | Gerçekleşme ve fark edilme zamanı |
| Bildiren Kişi | Ad-soyad, departman, iletişim |
| Olayın Tanımı | Ne oldu? Kim etkilenmiş olabilir? |
| Etkilenen Sistem veya Varlık | Sunucu, yazılım, ağ, veri türü vb. |
| Olay Seviyesi / Önceliği | Yüksek / Orta / Düşük |
| İlk Müdahale ve Alınan Aksiyon | Teknik veya prosedürel önlemler |
| Sorumlu Birim / Kişi | Müdahale ve takipten sorumlu olanlar |
| Kök Neden | Olayın altında yatan neden (analiz sonrası) |
| Düzeltici / Önleyici Faaliyet | Alınacak / alınan tedbirler |
| Sonuç ve Kapanış Tarihi | Olay ne zaman ve nasıl kapatıldı? |
| Gözden Geçirme ve Onay | Yöneticinin inceleme ve onay kaydı |
Olay Kayıtlarının Arşivlenmesi Nasıl Yapılmalı?
-
Kayıtlar dijital sistemde tutuluyorsa erişim kontrolü uygulanmalı (yetkisiz erişim engellenmeli)
-
Kağıt üzerinde ise kilitli dolapta fiziksel güvenlik sağlanmalı
-
Kayıtlar en az 2 yıl boyunca saklanmalıdır
-
Her kaydın versiyonu ve revizyon tarihi net olmalıdır
-
Olaylar zaman zaman analiz edilip raporlanmalı (örneğin: aylık olay analiz raporu)
Denetimlerde Olay Kayıtlarında Dikkat Edilenler
| Denetçi Kontrolü | Açıklama |
|---|---|
| Kayıt formu standart mı? | Her olay aynı formatta mı tutuluyor? |
| Müdahale süresi makul mü? | Erken bildirim ve aksiyon var mı? |
| Aynı olay tekrar ediyor mu? | Önlem alınmamış olaylar tespit edilir |
| Kök neden analizleri yapılmış mı? | Ders alındığını gösteren bölüm var mı? |
| Kapanış onayı yapılmış mı? | Yönetici veya bilgi güvenliği sorumlusu |
İpuçları: Etkili Olay Kayıtları İçin
-
Olayı bildiren kişinin olay tanımı özgün ve detaylı olmalı
-
Her olay için kök neden analizi (root cause analysis) yapılmalı
-
“Olay olmadı” demek yerine, “kayıt altına alınacak önemsiz olay dahi yok mu?” sorulmalı
-
Tüm olaylar aylık/çeyrek dönem analiz raporları ile desteklenmeli
YYS Danışmanlık ile Olay Takibini Sistematik Hale Getirin
YYS olarak:
-
ISO 27001’e uygun olay kayıt formlarınızı hazırlarız
-
Kayıt altına alma ve kök neden analiz süreçlerini eğitiriz
-
Olay analiz raporlarını oluştururuz
-
Denetimlere hazır arşiv yapınızı birlikte kurarız
Unutmayın:
Tutulmayan olay kaydı, yaşanmamış sayılır.