Kapsam Belirleme
BGYS’nin kapsamı ve sınırları belirlenmelidir. BGYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. Örneğin sadece kurum içindeki bir bölüm veya bir bölümün verdiği tek bir hizmet için de bir BGYS hayata geçirilebilir. BGYS kapsamı, üst yönetimin niyeti ve kurumun bilgi güvenliği hedefleri dikkate alınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken BGYS dışında bırakılan varlıklarla ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Bu Aşamanın sonunda bir kapsam dokümanı yayınlanmalı ve üst yönetim tarafından onaylanmalıdır.
BGYS Politikası
Ardından BGYS politikasının oluşturulması gerekmektedir. Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir.
Risk Değerlendirme Yaklaşımı
Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu Aşamada kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk değerlendirme metodu seçiminde kurumlar risk değerlendirme konusunda daha fazla bilgi veren BS 7799-3 standardına başvurabilirler.
Risk Belirleme
Korunması gereken varlıkları tehdit eden riskler, Aşama 3’te belirlenen yöntem kullanılarak tespit edilmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine, bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir. Varlıkların bu üç temel güvenlik özelliğine gelecek zararlar farklı etki derecelerine sahip olabilirler. Örneğin çok gizli seviyede bir bilginin açığa çıkması kuruma büyük zararlar verebilecekken aynı gizli bilginin kullanılamaz hale gelmesi o kadar büyük zarar yaratmayabilir.
Risk Analizi ve Derecelendirilmesi
Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu Aşama bir önceki Aşamada tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Risk, açıklığın bir tehdit tarafından kullanılmasıyla oluşur. Örneğin duvarı delik bir ev düşünelim. Duvardaki delik açıklığı temsil eder. Olası bir sel ise burada tehdidi oluşturur. Bu ikisinin bir araya gelmesiyle risk oluşur ki bu örnekte risk evi su basmasından dolayı evdeki insanların veya eşyaların zarar görmesidir. Riskin
derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. Riskin kabul edilebilir olup olmadığı Aşama 3’te belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta
olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir.
Bu Aşama sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır.
Risk İşleme
Bu Aşamada risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir:
1.Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi
2.Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması
3.Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması
4.Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi
Kontrol Seçimi
Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 17799:2005’te bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. TS ISO/IEC 17799:2005’te bulunan kontroller, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. Sadece TS ISO/IEC 17799:2005’ten değil herhangi bir bilgi güvenliği kaynağından uygun kontrol seçilebileceği gibi kurumun kendine özel geliştirebileceği kontroller de olabilmektedir. Fakat gözden kaçan önemli bir kontrol hedefi veya kontrol olmadığından emin olmak için bu listeyi bir başlangıç noktası olarak kullanmakta fayda görülmektedir.
Artık Risk Onayı
Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu Aşama sonunda artık risk onay belgesi oluşturulmalıdır.
Yönetim Onayı
Risk yönetimi Aşamalarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir.
Uygulanabilirlik Bildirgesi
Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi Aşama 7’de seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC 27001 EK A’dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır.