ISO 27001 Varlık Envanteri ile Erişim Matrisi Nasıl Entegre Edilir? (2025 Uygulamalı Rehber)
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nde iki kritik adım vardır:
-
Bilgi varlıklarının belirlenmesi (varlık envanteri)
-
Kimlerin, hangi varlıklara erişebileceğinin belirlenmesi (erişim matrisi)
Peki bu iki yapı nasıl birbirine bağlanır?
Bu yazıda, 2025 yılı uygulamalarına göre varlık envanteri ile erişim matrisi nasıl entegre edilir, adım adım açıklıyoruz.
Neden Entegrasyon Gerekli?
Çünkü:
-
Denetimde "kim, hangi bilgiye neden erişiyor?" sorusuna yanıt vermek zorundasınız
-
Risk değerlendirmesi varlık ve erişim bilgilerinin birlikte analizini gerektirir
-
Varlıklara atanan sahiplik, yetki ve sorumluluklar netleştirilmeli
-
KVKK ve GDPR gibi yasal düzenlemelerle uyum sağlanmalı
Varlık Envanteri Nedir? (A.5.9 ve A.5.10)
Varlık envanteri, organizasyonunuzda yer alan bilgi varlıklarının detaylı listesidir.
Bunlar fiziksel cihazlar, yazılımlar, veriler, belgeler, hizmetler olabilir.
Örnek Varlık Envanteri Alanları:
| Varlık Adı | Türü | Sahibi | Konumu | Değeri | İlgili Riskler |
|---|---|---|---|---|---|
| SAP Sunucusu | Donanım | BT Müdürü | Server Odası | Yüksek | Fiziksel hasar, erişim |
| Personel Bilgi Sistemi | Yazılım | İK Müdürü | Bulut | Çok Yüksek | KVKK uyumsuzluk |
Erişim Matrisi Nedir? (A.5.15 - A.5.18)
Erişim matrisi, hangi personelin veya departmanın, hangi varlıklara ne düzeyde erişimi olduğunu gösteren tablodur.
Erişim Türleri:
-
Okuma (Read)
-
Yazma (Write)
-
Silme (Delete)
-
Yürütme (Execute)
-
Yönetici (Admin)
Örnek Erişim Matrisi:
| Varlık / Sistem | BT Personeli | İK Müdürü | Mali İşler | Stajyer |
|---|---|---|---|---|
| SAP Sunucusu | Admin | Yok | Yok | Yok |
| Personel Bilgi Sistemi | Yok | Admin | Okuma | Yok |
| E-Fatura Sistemi | Admin | Yok | Admin | Yok |
Entegrasyon Nasıl Yapılır?
1. Varlık Envanterine Erişim Alanı Ekleyin
Her varlık için aşağıdaki gibi bir satır eklenebilir:
| ... | Erişim Hakkı Olan Kişiler / Roller | Erişim Türü |
|---|---|---|
| SAP Sunucusu | BT Müdürü, Sistem Uzmanı | Admin |
2. Erişim Matrisi ve Varlık Envanteri Aynı Dosyada Birleştirilebilir
-
Excel veya SharePoint gibi ortamlarda “varlık bilgisi” ve “erişim matrisi” farklı sekmelerde tutulabilir
-
Varlık ID’si ortak sütun olarak tanımlanmalı
-
Bu sayede bir varlığa erişim tanımı yapılırken sistem otomatik kontrol yapabilir
3. Erişim Yetkileri ile Bilgi Sınıflandırması Uyumlu Olmalı
-
Eğer varlık “çok gizli” sınıfındaysa, yalnızca yetkili kişiler erişebilmelidir
-
Sınıflandırma sistemi: Genel / Dahili / Gizli / Çok Gizli gibi
4. Yetki Değişim ve İptal Süreçleri Tanımlanmalı
-
İşe giriş-çıkış, departman değişikliği gibi durumlarda
-
Hangi erişimler ne sürede iptal edilecek?
İpuçları: Uyumlu Entegrasyon İçin
-
Varlık sahibi, aynı zamanda erişim onayı veren kişi olmalıdır
-
Erişim matrisi yılda en az 1 kez gözden geçirilmeli
-
Tüm varlıklarda “erişim gereksinimi yoksa erişim verilmemeli” (need-to-know prensibi)
Denetimde Sıkça Sorulanlar
| Denetçi Sorusu | Aranan Kanıt |
|---|---|
| Hangi sistemlere kim erişebiliyor? | Güncel erişim matrisi |
| Varlık sahibi kim? | Varlık envanteri |
| Erişim talepleri nasıl onaylanıyor? | Formlar, prosedürler |
| İşten çıkan birinin erişimi kapatılmış mı? | Erişim iptal kayıtları |
YYS Danışmanlık ile Entegre Yapılar Kurun
YYS olarak:
-
Kurumlara özel varlık envanteri ve erişim matrisi şablonları sunuyoruz
-
Entegrasyonu kolaylaştıran prosedür ve kontrol listeleri oluşturuyoruz
-
Denetime hazır dijital sistem yapınızı birlikte kuruyoruz
Unutmayın:
Takip edilmeyen erişim, güvenlik açığına dönüşür.