BGYS (ISMS) nedir? — Bilgi Güvenliği Sözlüğü

Uyum & Yönetim

BGYS (ISMS)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir kurumda güvenlik sadece teknik araçlardan değil, kimin neye erişeceğine kimin karar verdiğinden, bir olay olduğunda kimin ne yapacağından oluşur; BGYS işte bu kararların hepsini tek bir yönetilebilir sistemde toplar — güvenliği tek seferlik bir alışveriş olmaktan çıkarıp sürekli işleyen bir sürece dönüştürür.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta kurumsal güvenliğin çatısı olan BGYS'yi (Bilgi Güvenliği Yönetim Sistemi — İngilizce ISMS, Information Security Management System) öğreniyoruz: ne olduğunu, risk temelli olarak nasıl işlediğini ve iş yerinde neden tek tek ürünlerden daha önemli olduğunu net biçimde inceleyeceğiz.

Anlatım

NEDİR? BGYS (Bilgi Güvenliği Yönetim Sistemi), bir kurumun bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini (CIA) korumak için kullandığı politikalar, prosedürler, süreçler, roller ve teknik kontrollerin bütününü tek bir yönetim çerçevesi altında toplayan sistemdir. İngilizce karşılığı ISMS'tir. Önemli nokta şudur: BGYS tek bir cihaz, yazılım veya ürün değildir; risk temelli ve sürekli işleyen bir YÖNETİM sistemidir. Yani "hangi bilgiyi, hangi tehdide karşı, ne kadar korumalıyız ve bunu nasıl sürdürülebilir kılarız?" sorularına kurum genelinde tutarlı yanıt veren çatıdır. Uluslararası referans standardı ISO/IEC 27001'dir; kurumlar bu standarda göre BGYS kurar ve belgelendirilir (sertifika alır). NASIL ÇALIŞIR? BGYS, klasik olarak PUKÖ döngüsü (PDCA — Planla–Uygula–Kontrol Et–Önlem Al) üzerine kurulu, sürekli iyileşen bir süreçtir: 1) PLANLA (Plan): Kapsam belirlenir, bilgi varlıkları envanteri çıkarılır, risk değerlendirmesi yapılır (tehdit + açıklık + etki). Üst yönetim bir bilgi güvenliği politikası onaylar ve risk işleme planı hazırlanır. 2) UYGULA (Do): Seçilen kontroller hayata geçirilir — erişim kontrolü, şifreleme, yedekleme, farkındalık eğitimi, olay müdahale prosedürleri vb. ISO 27001'in Ek-A'sında bu kontroller bir liste hâlinde sunulur ve hangilerinin uygulandığı SoA (Uygulanabilirlik Bildirgesi / Statement of Applicability) ile belgelenir. 3) KONTROL ET (Check): Kontrollerin gerçekten işleyip işlemediği iç denetim, ölçüm ve gözden geçirmelerle izlenir; olaylar kaydedilir ve değerlendirilir. 4) ÖNLEM AL (Act): Bulunan eksiklikler için düzeltici faaliyet başlatılır, riskler yeniden gözden geçirilir ve sistem iyileştirilir. Döngü baştan tekrar eder — bu yüzden güvenlik "bir kez kurulup bitirilen" değil, sürekli yönetilen bir şeydir. NEDEN ÖNEMLİ / İŞ YERİNDE BGYS, dağınık ve birbirinden kopuk güvenlik önlemlerini (kimi BT'de, kimi insan kaynaklarında, kimi fiziksel güvenlikte) tek bir yönetilebilir bütüne dönüştürür. Üst yönetimin sorumluluğunu netleştirir, riskleri görünür ve önceliklendirilmiş hâle getirir, denetim ve uyum (KVKK, GDPR, müşteri sözleşmeleri, ISO 27001 belgesi) gereksinimlerini karşılamayı kolaylaştırır. Bir güvenlik olayı yaşandığında "kim, ne, ne zaman yapacak" önceden tanımlı olduğu için müdahale hızlanır ve hasar azalır. Müşteri ve iş ortakları nezdinde de güven oluşturur; birçok ihale ve sözleşmede ISO 27001 sertifikası artık ön koşuldur. DİKKAT / İYİ UYGULAMA BGYS yalnızca raf dolduran bir doküman seti olarak görülürse başarısız olur; canlı biçimde işletilmeli, eğitimlerle çalışana indirilmeli ve düzenli iç denetimle test edilmelidir. İyi uygulama: kapsamı net ve gerçekçi tutmak, risk değerlendirmesini periyodik tekrarlamak, üst yönetim desteğini (yönetimin gözden geçirmesi) sürekli kılmak, kontrolleri "en az yetki" ilkesiyle tasarlamak ve dokümantasyonu güncel tutmak. BGYS'nin ölçeği kuruma göre uyarlanır — küçük bir şirkette de büyük bir bankada da aynı mantık, farklı derinlikte uygulanabilir.

📌 Senaryolar

📌 Örnek 1: Orta ölçekli bir e-ticaret şirketi, müşteri verilerini korumak ve KVKK uyumunu kanıtlamak için ISO 27001 belgesi almak istiyor. İlk adım ne olmalı?
  Açıklama: BGYS PUKÖ döngüsünün "Planla" aşamasıyla başlar. Önce KAPSAM tanımlanır (hangi sistemler, departmanlar, lokasyonlar dahil), ardından bilgi varlıkları envanteri çıkarılır ve her varlık için risk değerlendirmesi yapılır (tehdit × açıklık × etki). Risk işleme planı ve üst yönetimce onaylı bilgi güvenliği politikası bu aşamanın çıktısıdır. Kontroller (şifreleme, erişim yönetimi vb.) ancak bu risk analizinden SONRA, riske göre seçilir — kör biçimde değil.

📌 Örnek 2: Bir kurumda BGYS kurulmuş ve tüm kontroller uygulanmış. Bir yıl sonra hiçbir gözden geçirme yapılmamış, riskler güncellenmemiş. Bu neden bir BGYS başarısızlığıdır?
  Açıklama: BGYS sürekli işleyen bir döngüdür (PUKÖ); "Kontrol Et" ve "Önlem Al" aşamaları olmadan sistem ölü dokümana dönüşür. Tehdit ortamı, varlıklar ve teknolojiler sürekli değişir; bir yıl önce yeterli olan kontrol bugün açık olabilir. İyi işleyen BGYS'de düzenli iç denetim, ölçüm, olay değerlendirmesi ve yönetimin gözden geçirmesi yapılır; bulunan eksiklikler için düzeltici faaliyet başlatılır. Statik kalan BGYS, ISO 27001 denetiminde de uygunsuzluk (nonconformity) alır.

📌 Örnek 3: ISO 27001 denetçisi şirkete "Ek-A'daki hangi kontrolleri uyguladığınızı, hangilerini neden hariç bıraktığınızı gösterin" diyor. Şirket hangi belgeyi sunar?
  Açıklama: Bu belge SoA'dır — Uygulanabilirlik Bildirgesi (Statement of Applicability). SoA, ISO 27001 Ek-A kontrol listesindeki her kontrol için "uygulandı / uygulanmadı" durumunu, gerekçesini ve hangi riske karşılık geldiğini gösterir. Bir kontrolün hariç bırakılması (örn. yazılım geliştirme kontrolleri yazılım geliştirmeyen bir şirkette) gerekçelendirildiği sürece kabul edilebilir. SoA, risk değerlendirmesi ile uygulanan kontroller arasındaki bağı kanıtlayan temel BGYS dokümanıdır.

Özet

• BGYS (ISMS), bilgi güvenliğini yöneten politika, süreç, rol ve kontrollerin bütünüdür — tek bir ürün/cihaz değil, bir YÖNETİM sistemidir. • Amacı bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini (CIA) risk temelli korumaktır. • Uluslararası referans standardı ISO/IEC 27001'dir; kurumlar buna göre kurup belgelendirilir. • PUKÖ (Planla–Uygula–Kontrol Et–Önlem Al) döngüsüyle sürekli iyileşir; bir kez kurulup bitmez. • SoA (Uygulanabilirlik Bildirgesi) hangi kontrollerin neden uygulandığını/hariç bırakıldığını belgeler; üst yönetim desteği ve düzenli denetim şarttır.

✅ Mini-Test (3)

1.BGYS (ISMS) aşağıdakilerden hangisini en doğru tanımlar?

2.BGYS'nin temelinde yatan ve sürekli iyileşmeyi sağlayan döngü hangisidir?

3.BGYS bir kez kurulup belgelendirildikten sonra, tehdit ortamı değişse bile güncellenmesine gerek kalmaz.

← Tüm sözlük terimleri · Farkındalık eğitimi