Iso 27001 Standardına Göre Kavramların Gösterimleri Ve Hiyerarşisi

Konu, 'Sistem Kurulumu ve Denetimler' kısmında Musa Kamil Ekin tarafından paylaşıldı.

  1. Musa Kamil Ekin

    Musa Kamil Ekin Yönetim Grubu

    Mesajlar:
    1.849
    ISO 27001 standardına göre kavramlar arasında iyi tanımlanmış bir hiyerarşi bulunmaktadır. Bu hiyerarşiyi göstermeden önce makale içerisinde gösterim kolaylığı olması için her bir aktivite için bir sembol belirlenmiş ve tablo-1’de gösterilmiştir.

    [​IMG]
    Tablo-1: Kavramlar ve Gösterimleri

    Kavramların hiyerarşisi şekil-1’de gösterilmiştir. Görüldüğü gibi risk yönetimi kavramı diğer dört kavramı kapsamaktadır. Bu nedenle, şekil-1’deki ağaç yapısı risk yönetimi hiyerarşisi olarak adlandırılabilir.

    [​IMG]
    Şekil-1: Risk Yönetimi Hiyerarşisi

    Risk yönetimi, risk değerlendirme ve risk işleme olmak üzere iki alt aktiviteden oluşmaktadır. Risk değerlendirme de, risk analizi ve risk derecelendirme olmak üzere iki alt aktiviteden oluşmaktadır. Şekil-1’deki hiyerarşi ISO 27001 standardındaki tanımlamalar sonucunda ortaya çıkan bir yapıdır.

    Kavramların Tanımları
    Kavramların tanımlamaları tablo-2’de yapılmıştır.

    [​IMG]
    Tablo-2: Kavramlar ve tanımları

    Tanımsal Yapı ve Süreçsel Yapı
    Şekil-1’deki hiyerarşi tanımsal çerçeveyi göstermektedir. Şekil-2’deki çizim ise fiili durumu gösteren süreçsel çerçeveyi göstermektedir. Kurumlar, öncelikle risk analizi yaparlar, risk analizi sürecinin sonucunda risk derecelendirme yaparak riskleri yorumlarlar, ardından risk işleme sürecinde gerekli görülen karşı önlemleri uygularlar. Kurumlar bir süre sonra tekrar risk analizi aktivitesini gerçekleştirme ihtiyacı hissederler. Çünkü şartlar, teknoloji ve ihtiyaçlar sürekli değişir. Kısacası, aktivitelerin sırası risk analizi, risk derecelendirme, risk işleme ve tekrar risk analizi şeklindedir. Bu döngü, tüm yönetim sistemleri gibi Bilgi Güvenliği Yönetim Sistemi’nin sağlıklı bir şekilde işletilmesi için gerekli olan Planla, Uygula, Kontrol Et ve Uygula döngüsü ile içinde yer alır.

    [​IMG]
    Şekil-2: Süreçsel Yapı

    Bu aktiviteler sırası ile gerçekleştirilirken:

    1. Sırası ile risk analizi ve risk derecelendirmesi yapılarak risk değerlendirmesi de gerçekleştirilmiş olur.

    2. Bu iki aktivitenin ardından risk işlemesi de yapılarak risk yönetimi gerçekleştirilmiş olur. Risk yönetimi süreci her süreç gibi kurum bünyesinde sürekli çalışır. Bu durum döngü ile sağlanır.
    Sonuç olarak, risk analizi, risk derecelendirme ve risk işleme somut aktivitelerdir. Risk değerlendirme ve risk yönetimi ise bu aktivitelere göre daha soyut olarak nitelendirilebilir, çünkü diğer üç aktivitenin sonucunda ortaya çıkarlar.

    Özet: Akış Diyagramı
    Şekil-3’de üç adet somut aktivitenin birbirleri ile olan ilişkileri bir akış diyagramı şeklinde gösterilmiştir. Akış diyagramı üzerinden kavramları ifade etmek gerekirse, risk analizi bir süreçtir (process). Risk derecelendirmesi bir karar vermedir (decision). Risk işlemesi ise bir sonuçtur (output). İlk iki sürecin ikisine birden risk değerlendirmesi denir. Tüm sürece risk yönetimi denir.

    [​IMG]
    Şekil-3: Risk Yönetimi Akış Diyagramı

    Anahtar Kelimeler
    Her bir kavram ile ilişkilendirilebilecek anahtar kelimeler tablo-3’de verilmiştir.

    [​IMG]
    Tablo-3: Kavramlar ve Anahtar Kelimeler

    http://www.bilgiguvenligi.gov.tr/ri...sk-in-bes-hali-kargasayi-onleme-cabasi-3.html