ISO 27001 Standardına Göre Varlık Envanter Listesi

Arkadaşlar merhaba.
ISO 27001 Standardında kullanılmak üzere hazırlanan varlık envanter listesi ektedir.
ISO 27001:2013 versiyonuna göre risk değerlendirme biliyorsunuz ki proses tabanlı risk değerlendirmeye dönmüştür. dolayısıyla önce proseslerinizi belirleyip daha sonra bu proseslerde kullanılan varlıkları göz önünde bulundurularak risk değerlendirmesi yapılmalıdır. bu sebeple ekte koyduğum varlık envanteri küçük bir örnektir ve geliştirilmesi gerekmektedir.
umarımişinizi görür

ISO 27001 denetiminde kuruluş içinde insan, üçüncü taraf ve iş süreçlerini de varlık envanterine yazmak gerekir denildi. İş süreçlerini gizlilik, bütünlük ve erişilebilirlik açısından nasıl değerlendirebiliriz?

hacer' Alıntı:

ISO 27001 denetiminde kuruluş içinde insan, üçüncü taraf ve iş süreçlerini de varlık envanterine yazmak gerekir denildi. İş süreçlerini gizlilik, bütünlük ve erişilebilirlik açısından nasıl değerlendirebiliriz?

Genişletmek için tıkla ...

Merhabalar. Varlık envanterinde sadece varlıklarınızı tanımlamanız gerekmektedir. Size söylenen bilgi eski ISO 27001:2005 versiyonu için geçerlidir. yeni versiyonda varlıklarınızın Gizlilik, Bütünlük ve Erişebilirlik değerleri vermenize gerek yok. eskiden varlık tabanlı risk değerlendirme yapılırken bu söylemiş olduğunuz durum geçerliydi. fakat şimdi SÜREÇ TABANLI RİSK DEĞERLENDİRME yapıldığı için varlıklarınızı tanımlamanız ISO 27001:2013 ve ISO 27001:2017 versiyonları içini yeterlidir. Kaynak olarak ISO 27001 EK-A Maddesine bakabilirsiniz.

Arkadaşlar merhaba,

BGYS denetimi için süreç bazlı risk analizi yaptım ve olasılık ve etki puanlaması ile puanladım. ancak denetçi Gizlilik, bütünlük ve erişebilirlik tanımlamasınında risk analizinde olması gerektiğini söyledi. Varlık envanterinde GBE var. Yani risk analizinde hem varlık hemde süreç risklerini ekleyerek Olasılık ve GBE puanlaması mı yapacağız. Elinde örnek risk analizi olan var ise paylaşabilir mi? Yada biri bana bu konuyu örnekle açıklarsa çok sevinirim.

Adile' Alıntı:

Arkadaşlar merhaba,

BGYS denetimi için süreç bazlı risk analizi yaptım ve olasılık ve etki puanlaması ile puanladım. ancak denetçi Gizlilik, bütünlük ve erişebilirlik tanımlamasınında risk analizinde olması gerektiğini söyledi. Varlık envanterinde GBE var. Yani risk analizinde hem varlık hemde süreç risklerini ekleyerek Olasılık ve GBE puanlaması mı yapacağız. Elinde örnek risk analizi olan var ise paylaşabilir mi? Yada biri bana bu konuyu örnekle açıklarsa çok sevinirim.

Genişletmek için tıkla ...

ISO 13485 kapsamında faaliyet gösteren bir firmada çalıştığımdan ötürü Bilgi Güvenliği Standartı hakkında çok bilgim yok ancak örnek bir prosedür buldum belki çalışmalarınızda faydası olur diye paylaşıyorum

ISO 27001 BGYS standardı 2013 versiyonu ile birlikte süreç tabanlı risk değerlendirmeye geçmiştir. Varlık Tabanlı risk değerlendirme yapılmamalıdır. Varlık envanteri kuruluşta oluşturulmalı ve takip edilmelidir. fakat risk değerlendirme süreç tabanlı (Satınalma süreci, Üretim süreci, Üretim Planlama Süreci, Bilgi İşlem Süreci, Satış Pazarlama Süreci, İnsan Kaynakları Süreci vb) olarak düşünülmeli ve bu süreçler içerisindeki tüm varlıklar (makine,Techizat,Personel, Yazılım vb) düşünülerek risk değerlendirme yapılmalıdır.
İyi çalışmalar...

Teşekkür ederim bilgilendirme için. Bizde süreç tabanlı tehditleri belirledik ancak bu tehditleri belirlerken Gizlilik, bütünlük ve erişebilirlik puanlamasına yer vermedik. Çünkü bunu varlık envanterinde yaptık. Ama denetçi Risk analizinde gizlilik, bütünlük ve erişebilirlik puanlamasının da yapılmasını istedi.

Adile' Alıntı:

Teşekkür ederim bilgilendirme için. Bizde süreç tabanlı tehditleri belirledik ancak bu tehditleri belirlerken Gizlilik, bütünlük ve erişebilirlik puanlamasına yer vermedik. Çünkü bunu varlık envanterinde yaptık. Ama denetçi Risk analizinde gizlilik, bütünlük ve erişebilirlik puanlamasının da yapılmasını istedi.

Genişletmek için tıkla ...

Evet denetçi arkadaşımız doğru söylemiş Risk değerlendirme yaparken Olasılık x Etki değerlendirmesinde Etki değeri olarak Maxsimum Değer (Gizlilik-Bütünlük-Erişebilirlik) olarak almanız doğru olacaktır.
Kolay gelsin

Ferhat' Alıntı:

Evet denetçi arkadaşımız doğru söylemiş Risk değerlendirme yaparken Olasılık x Etki değerlendirmesinde Etki değeri olarak Maxsimum Değer (Gizlilik-Bütünlük-Erişebilirlik) olarak almanız doğru olacaktır.
Kolay gelsin

Genişletmek için tıkla ...

Kusura bakmayın sürekli soru soruyorum ama oturtmaya çalışıyorum.
Örneğin sunucu varlığım var ven ben bunun GBE sine 3*2*3 puanlarını verdim. Bu sunucu ile ilgili riski risk analizine yazmam gerekiyor. Burada GBE puanına da aynı vermem gerekiyor diye düşünüyorum. Doğrumudur?

Adile' Alıntı:

Kusura bakmayın sürekli soru soruyorum ama oturtmaya çalışıyorum.
Örneğin sunucu varlığım var ven ben bunun GBE sine 3*2*3 puanlarını verdim. Bu sunucu ile ilgili riski risk analizine yazmam gerekiyor. Burada GBE puanına da aynı vermem gerekiyor diye düşünüyorum. Doğrumudur?

Genişletmek için tıkla ...

Merhaba.
A.8.1.1 Varlıkların envanteri
Kontrol
Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.

ifadesi yer almaktadır. 2005 versiyonuda varlık tabanlı risk değerlendirme olduğu için eskiden her bir varlık için Gizlilik-Bütünlük-Erişebilirlik değerlendirmesi yapılmaktaydı. Çünkü varlık tabanlı bir risk değerlendirme yapıldığı için olması gerekiyordu. dolayısıyla 2013 versiyonunda ve 2017 versiyonunda bu tanım kaldırılmış olup varlıklara GxBxE değeri vermenizde gerek yoktur.
Süreç tabalı risk değerlendirmede OlasılıkxEtki değerlendirmesi yaparken Etkiyi 3 faktörle değerlendirmeniz gerekmektedir. bu faktörler Gizlilik-Bütünlük-Erişebilirlik olarak yapılmalıdır.
Sorunuza gelecek olursak varlıklar için GxBxE değerlerini kaldırdığınızda bir problem kalmayacaktır.
İyi çalışmalar.

Bilgilendirme için çok teşekkür ederim. 2020 de iç denetçi eğitimi almıştım. orda puanlama yaptırmışlardı. Sizin söylediğiniz gibi varlık değerindeki puanlamayı kaldıracağım.