Bilgi Güvenliği ve BT Yönetişim Hizmetleri

BTRisk Metodu

BTRisk bilgi güvenliği ve BT denetim ve yönetişim hizmetlerinde genel kabul görmüş standart ve çerçeveleri esas alarak uluslararası denetim mesleki standartlarına ve danışmanlık nosyonuna uygun biçimde hizmet verir.

Denetim hizmetlerinde her bir denetim alanı için aşağıdaki genel denetim teknikleri gerekli kombinasyonlarla uygulanarak yeterli güvence sağlanır:

  • Mülakat
  • Döküman inceleme
  • Gözlem
  • Yeniden gerçekleştirme

Bilgi güvenliği yönetim sistemi danışmanlığı hizmetimiz ana hatları Deming döngüsüne paralel olarak hazırlanmış olan aşağıdaki fazları içeren BGYS metodumuz doğrultusunda sağlanır:

  • Hazırlık: Hazırlık fazı Deming döngüsünü oluşturan ana adımların dışındadır. Ancak çok sayıdaki proje deneyimimizde bu faza olan ihtiyaç gözlenmiş ve hazırlık fazı BGYS kurulum metodumuzun standart bir adımı haline gelmiştir. Bu safhada BGYS kapsamının somutlaştırılması, proje ekibinin bilgi güvenliği ve yönetim sistemi eğitimleri ile oryantasyonunun sağlanması, yönetim desteğinin görünür hale getirilmesi sağlanır.
  • Planlama: Bilgi güvenliği risk analizi ile mevcut durum ortaya konarak kontrol geliştirme ve iyileştirme ihtiyaçları belirlenir.
  • Uygulama: Yönetsel süreçleri içeren yönetim sistemi bileşenleri ile risk analizinde eksikliği ortaya çıkan kontroller geliştirilir ve uygulamaya alınır. Kurum personeli için farkındalık eğitimleri sağlanır.
  • Kontrol Etme: İç denetim ve yönetim gözden geçirme adımları ile düzeltici ve önleyici faaliyet ihtiyaçları belirlenir.
  • Önlem Alma: Belirlenen ve çeşitli taraflarca bildirilen düzeltici ve önleyici faaliyet gereksinimleri doğrultusunda gerekli iyileştirmeler uygulanır.

Bilgi güvenliği risk analizinde ISO27001 uyumlu olarak aşağıdaki adımlar izlenir:

  • Bilgi güvenliği kontrolleri için fark analizi yapılarak kurumun bilgi güvenliği ile ilgili iş ve yasal gereksinimleri, bilişim altyapısı ve bilgi güvenliği kontrol noktaları ile ilgili bilgiler toplanır.
  • Tespit edilen bilgi varlıklarına yönelik bilgi güvenliği tehditleri ve bilgi varlıklarının güvenlik açıklıkları belirlenir. Tehdit olasılık değerleri ve açıklık düzeyleri yaşanan bilgi güvenliği olayları, fark analiz sonuçları ve diğer bilgi kaynaklarından faydalanılarak tahmin edilir.
  • İş ve yasal gereksinimler ışığında bilgi varlıklarının değerleri gizlilik, bütünlük ve erişilebilirlik bilgi güvenliği kriterleri bazında belirlenir.
  • Her bir varlık, tehdit ve açıklık senaryosu için varlık değeri, tehdit olasılığı ve açıklık düzeyi değerleri kullanılarak bilgi güvenliği risk değeri hesaplanır.
  • Tespit edilen riskler için riski azaltma, kabul etme, transfer etme ya da kaçınma seçenekleri arasından uygun olan risk yanıt stratejileri belirlenir.
  • Azaltılmasına karar verilen riskler için uygulanacak kontrol geliştirme ve iyileştirme planları geliştirilir.

Bilgi teknolojileri risk analizinde aşağıdaki adımlar izlenir:

  • Kurumun iş ihtiyaçlarına, organizasyonuna, altyapısına ve coğrafi yerleşimine uygun risk birimleri oluşturulur ve BT risk uzayı tanımlanır.
  • Risk birimleri için etki ve açıklık kriterleri geliştirilerek yöneticilere ve kontrol sorumlularına aktarılır.
  • Yönetici ve kontrol sorumlularından toplanan bilgilere, denetim raporlarına, geçmiş olay kayıtlarına, konjonktürel gelişmelere ve düzenleme gereksinimlerine göre etki ve açıklıklar derecelendirilir.
  • Risk düzeyi hesaplanan risk birimleri için iyileştirme ve denetim stratejileri belirlenir.