ISO 27001’de Güvenlik İhlal Bildirimi Süreci Nasıl Tanımlanır? (2025 Olay Yönetimi Rehberi)
Bilgi güvenliği sadece sistemlerin kurulmasıyla sağlanmaz; bu sistemlerdeki zafiyetlere hızlı ve etkili müdahale süreci de bir o kadar önemlidir.
ISO/IEC 27001:2022 standardı, bilgi güvenliği ihlallerinin bildirilmesi ve yönetilmesi konusunda açık bir yapı ister.
Güvenlik ihlaline “ne zaman, nasıl ve kime” bildirim yapılacağı net değilse; en güçlü sistemler bile kriz anında yetersiz kalır.
Güvenlik İhlali Nedir?
Bir bilgi güvenliği ihlali; gizlilik, bütünlük ya da erişilebilirlik ilkelerinden birinin veya birkaçının istenmeyen şekilde ihlal edilmesidir.
Örnekler:
-
Yetkisiz erişim (hack, sızma)
-
Kötü amaçlı yazılım bulaşması (malware, ransomware)
-
Yanlışlıkla veri sızdırılması (e-posta ile yanlış alıcıya gönderim)
-
Bilgi kaybı (yedeklemenin başarısız olması)
-
Fiziksel ortamdan donanım çalınması
ISO 27001:2022’ye Göre İlgili Maddeler
| Madde | Açıklama |
|---|---|
| A.5.24 | Bilgi güvenliği olaylarının bildirilmesi |
| A.5.25 | Olayların değerlendirilmesi ve karar mekanizması |
| A.5.26 | Olaylara müdahale ve çözüm |
| A.5.27 | Olaylardan öğrenilen derslerin kaydı (lesson learned) |
Güvenlik İhlali Bildirimi Süreci Nasıl Kurulur?
1. Olay Tanımı ve Sınıflandırması
İhlallerin tanımlanması için örneklerle açıklanmış bir olay sınıflandırma tablosu oluşturulmalıdır:
| Olay Türü | Örnek |
|---|---|
| Fiziksel | Sunucunun çalınması |
| Dijital | Sistemlere virüs bulaşması |
| İnsan Kaynaklı | Bilgi sızıntısı, hatalı e-posta gönderimi |
| Doğal Afet | Su baskını, yangın, deprem |
2. Bildirim Kanalları ve Süresi
Kim? → Olayı fark eden her çalışan
Kime? → Bilgi Güvenliği Sorumlusu / IT
Nasıl? → Telefon, e-posta, olay kayıt formu
Ne zaman? → En geç 1 saat içinde
Şirket içi eğitimlerle bu kanal açık ve erişilebilir olmalı.
3. Olay Kayıt Formu / Log Takibi
Her olay için standart bir kayıt formu oluşturulmalıdır. İçeriğinde:
-
Olayın tarihi ve saati
-
Fark eden kişi ve birimi
-
Olayın özeti
-
İlk müdahale bilgisi
-
Etkilenen sistemler
-
Alınan aksiyonlar
-
Kapanış tarihi ve sorumlusu
4. Eskalasyon Prosedürü
Olayın ciddiyetine göre kimin bilgilendirileceği belirlenmelidir:
| Risk Seviyesi | Müdahale Düzeyi |
|---|---|
| Düşük | IT birimi içinde çözüm |
| Orta | BGYS lideri bilgilendirilir |
| Yüksek | Üst yönetime ve gerekirse dış otoritelere raporlama (KVKK gibi) |
5. Olayın Çözümü ve Kapanış
-
Kök neden analizi yapılmalı (Root Cause Analysis)
-
Gerekirse düzeltici faaliyet başlatılmalı
-
Sistemsel açıklar giderilmeli
-
Olayın tekrar yaşanmaması için ders çıkarılmalı
Önerilen Dokümantasyonlar
-
Güvenlik Olay Bildirim Prosedürü
-
Olay Sınıflandırma Tablosu
-
Güvenlik Olay Kayıt Formu (Word/Excel format)
-
Kök Neden Analizi Şablonu
-
Ders Öğrenme Raporu (Lesson Learned)
Denetimlerde Sık Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Olay bildirim süreciniz tanımlı mı? | Yazılı prosedür |
| Kimler sorumlu? | Görev tanımları |
| Kaç olay bildirimi oldu? | Kayıt listesi |
| Ne kadar sürede müdahale ediliyor? | Eskalasyon kayıtları |
| Kök neden analizi yapılıyor mu? | RCA dokümanları |
| Önlem alındı mı? | Düzeltici faaliyet formları |
YYS Danışmanlık ile Sürecinizi Nasıl Kurarız?
-
Güvenlik ihlal politikası ve prosedürü yazımı
-
Olay kayıt sisteminin kurulumu
-
Eğitim ve farkındalık planlarının oluşturulması
-
Olay simülasyonları ve test senaryoları
-
Denetime uygun belge ve kanıt seti hazırlanması
Unutmayın:
Bilgi güvenliği olaylarını yönetmek, olaydan değil zaman kaybından ve hazırlıksızlıktan korunmak için gereklidir.