Vericorp ile iş zorluklarınızı kolaylaştırın.

İletişim
Menu Close

ISO 27001 Varlık Envanteri Oluşturma

ISO 27001 Varlık Envanteri Oluşturma

Varlık envanteri

ISO 27001 kapsamında yer alan varlık envanteri, sürecin ilk başında oluşturulması hedeflenen ve bütün sürecin kapsamını içeren bir maddedir. Varlık envanteri oluşturmak isteyen kuruluşun amacı, varlıklarını tespit etmek ve uygun koruma sorumluluklarını tanımlamaktır. Bu süreçte kurum ya da kuruluş bilgi ve bilgi işleme ekipmanlarını belirlemeli, bu varlıkların envanteri çıkartılarak envanter sürekli güncellenmelidir. 

Bir kurum ya da kuruluş bilgi varlıklarını yazılı hale getirmeli ve bir yaşam döngüsü oluşturmalıdır. Bu yaşam döngüsü; depolama, işleme, iletme, silme ve imha süreçlerini içermelidir.

Varlık envanterini derleme süreci risk yönetimi için önemli önkoşuldur. (Bkz. ISO/IEC 27000

ve ISO/IEC 27005[11]).

ISO 27001 varlık envanteri kapsamı

Varlık envanteri oluşturma hedefinde sadece donanım değil yazılım ve doküman gibi öğeler de kurum ve kuruluşların değerli varlıklarından sayılmaktadır. Bu varlıklara örnek verecek olursak; yazılım bilgileri, donanımsal bilgiler, hizmet bilgileri ve kişisel veri gibi veriler varlık envanterinin ikinci adımı olan risk analizi kapsamı oluşturabilmek için önemli bir yol haritasıdır.

Varlık envanteri oluştururken; 

a) Varlık envanterinin kaydedildiğinden emin olmalıdır,

b) Varlıkların uygun sınıflandırıldığından ve korunduğundan emin olmalıdır,

c) Uygulanabilir erişim kontrol politikasını dikkate alarak önemli varlıklara erişim kısıtlamalarını ve sınıflandırmasını tanımlamalı ve periyodik olarak gözden geçirmelidir,

d) Varlıkların silinmesi ya da imha edilmesinde uygun işlemin uygulandığından emin olmalıdır.

ISO 27001 varlık envanteri için varlık sahipliği

Bilgi varlık envanteri oluştururken önemli adımlardan biri de oluşturulan envanter varlıklarının hepsine sahiplik atamalarının yapılmasıdır. Varlık yaşam döngüsü sürecinin devamlılığı için onaylanmış yönetim sorumluluğuna sahip kişiler varlık sahipleri olarak atanır.

Varlık sahipliğini zamanında belirlemek için bir prosedür oluşturulmalı, ve bu prosedür güncel tutularak uygulamalıdır. Varlık sahibi, varlık kullanım süresi boyunca varlığın uygun şekilde yönetiminden sorumlu olmalıdır.

Bir varlığın kullanım süresi boyunca bir birey ya da bir ekip sorumlu olabilir. Aynı şekilde rutin görevler devredilebilir. (Örneğin, bir varlığa günlük olarak bakan emanetçi gibi) fakat sorumluluk varlık sahibindedir.

Varlıkların kabul edilebilir kullanımı

ISO 27001, bilgi ve varlıkların kabul edilebilir kullanım kurallarının belirlenmesini, yazılı hale getirilmesini ve uygulanmasını istemektedir. Kuruluşun varlıklarını kullanan veya erişim olan çalışanlar, dış kaynak kullanıcılar olabilir. Bu süreçte veri ihlali olmaması adına bilgi güvenliği gereksinimleri hakkında farkındalık oluşturmak için düzenli olarak eğitim düzenlenmeli ve kurum ya da kuruluş içerisine bilgi güvenliğini hatırlatıcı ibare konulmalıdır. Kullanıcılar bilgi işlem kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır. 

Varlıkların iadesi

ISO 27001:2013, 8.1.4 varlıkların iadesi maddesi gereğince kurum ya da kuruluştaki bütün çalışanlar, dış kaynak çalışanları, sözleşme veya anlaşmalarının sonlandırılmasının ardından zimmetli bütün kurumsal varlıklarının iadesi yapılması gereklidir.

Varlık Envanter Örneği

Burada Paylaş

Bağlantıyı Kopyala

Kopyala