ISO 27014 Nedir? Bilgi Güvenliği Yönetişimi
ISO/IEC 27014, bilgi güvenliğinin bir kuruluşun üst yönetimi ve yönetim kurulu düzeyinde yönetilmesi (yönetişimi) için kavramları, hedefleri ve süreçleri tanımlayan uluslararası bir rehber standarttır. Bu standart, bilgi güvenliğini yalnızca teknik bir konu olmaktan çıkarıp kurumsal yönetimin ayrılmaz bir parçası hâline getirmeyi amaçlar. Güncel sürümü ISO/IEC 27014:2020 olup, ilk sürümü 2013 yılında yayımlanmıştır.
Özetle:
- ISO/IEC 27014, bilgi güvenliği yönetişimi (governance of information security) standardıdır.
- Güncel sürüm ISO/IEC 27014:2020'dir; ilk sürümü 2013'te yayımlanmıştır.
- Üst yönetim ve yönetim kurulunun bilgi güvenliği üzerindeki gözetim ve yön verme rolünü tanımlar.
- "Yönetişim" ile "yönetim" arasındaki ayrımı netleştirir; üst düzeyde gözetim, operasyonel düzeyde uygulama.
- ISO/IEC 27001'i (Bilgi Güvenliği Yönetim Sistemi) tamamlar; 27001 yönetim sistemi katmanı, 27014 ise yönetişim katmanıdır.
- Sertifikasyon standardı değildir; rehberlik (kılavuz) niteliğindedir.
ISO 27014 Ne Demek?
ISO/IEC 27014, "Bilgi güvenliğinin yönetişimi" (Governance of information security) başlığını taşıyan, ISO ve IEC tarafından ortaklaşa yayımlanan uluslararası bir standarttır. Standardın temel amacı, bir kuruluşun en üst karar alma organlarının (yönetim kurulu, icra kurulu, üst yönetim) bilgi güvenliği faaliyetlerini nasıl yönlendireceğine, gözetleyeceğine ve değerlendireceğine dair bir çerçeve sunmaktır.
Bilgi güvenliği geçmişte çoğunlukla bilgi teknolojileri departmanlarının sorumluluğunda görülmüştür. Ancak günümüzde siber tehditler, veri ihlalleri ve yasal yükümlülükler bilgi güvenliğini doğrudan kurumsal stratejiyi ilgilendiren bir konu hâline getirmiştir. ISO 27014, bu nedenle bilgi güvenliği sorumluluğunu üst yönetim seviyesine taşır ve onu kurumsal yönetişimin bir parçası olarak ele alır.
Yönetişim ile Yönetim Arasındaki Fark
ISO 27014'ün en belirgin katkılarından biri, sıklıkla karıştırılan "yönetişim" (governance) ve "yönetim" (management) kavramları arasındaki ayrımı netleştirmesidir. Yönetişim, kuruluşun yön belirlemesi ve gözetim yapmasıyla ilgiliyken; yönetim, belirlenen bu yönü hayata geçirmekle ilgilidir.
| Boyut | Yönetişim (Governance) | Yönetim (Management) |
|---|---|---|
| Sorumlu organ | Yönetim kurulu, üst yönetim | Operasyonel yöneticiler, BGYS ekipleri |
| Odak | Yön verme, gözetim, değerlendirme | Planlama, uygulama, işletme |
| Soru | "Doğru şeyleri mi yapıyoruz?" | "İşleri doğru mu yapıyoruz?" |
| Zaman ufku | Stratejik, uzun vadeli | Taktiksel ve operasyonel |
| Çıktı | Yön, beklenti, kabul edilebilir risk düzeyi | Politikalar, kontroller, günlük işleyiş |
| İlgili standart | ISO/IEC 27014 | ISO/IEC 27001 |
Bu ayrım, sorumluluğun nerede başlayıp nerede bittiğini belirler. Üst yönetim "ne" istediğini ve hangi risk düzeyini kabul ettiğini belirlerken, operasyonel ekipler bunu "nasıl" gerçekleştireceğini planlar ve uygular.
Bilgi Güvenliği Yönetişiminin Temel Süreçleri
ISO 27014, bilgi güvenliği yönetişimini bir dizi temel süreç çerçevesinde ele alır. Bu süreçler, üst yönetimin bilgi güvenliği üzerindeki rolünü somut hâle getirir.
| Süreç | Açıklama |
|---|---|
| Değerlendirme (Evaluate) | Mevcut ve gelecekteki bilgi güvenliği durumunun stratejik hedefler ışığında değerlendirilmesi |
| Yön verme (Direct) | Bilgi güvenliği stratejisi ve politikaları için yönlendirme yapılması, kaynak tahsisi |
| İzleme (Monitor) | Performansın, hedeflere ve beklentilere uygunluğun gözetlenmesi |
| İletişim (Communicate) | Paydaşlarla bilgi güvenliği konularında karşılıklı bilgi paylaşımı |
| Güvence sağlama (Assure) | Bağımsız denetim ve incelemelerle güvence elde edilmesi |
Bu süreçler birbirini besler: değerlendirme sonuçları yön vermeyi şekillendirir, izleme verileri yeni değerlendirmeleri tetikler ve iletişim ile güvence tüm döngüye şeffaflık katar.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
ISO 27014'ün Sağladığı Faydalar
Bilgi güvenliği yönetişimini kurumsal yönetime entegre etmek, kuruluşlara çok yönlü faydalar sağlar.
| Fayda | Kuruluşa Katkısı |
|---|---|
| Üst yönetim sahipliği | Bilgi güvenliğinin stratejik öncelik hâline gelmesi |
| Hesap verebilirlik | Roller ve sorumlulukların net biçimde tanımlanması |
| Risk uyumu | Kabul edilen risk düzeyinin iş hedefleriyle hizalanması |
| Şeffaflık | Paydaşlara güvenlik durumunun düzenli olarak raporlanması |
| Kaynak verimliliği | Güvenlik yatırımlarının doğru önceliklere yönlendirilmesi |
| Yasal/mevzuat uyumu | Düzenleyici beklentilerin üst düzeyde takip edilmesi |
ISO 27001 ile İlişkisi
ISO/IEC 27014 ve ISO/IEC 27001, birbirini tamamlayan iki standarttır. ISO/IEC 27001, bir Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) kurulması, işletilmesi ve sürekli iyileştirilmesi için gereksinimleri tanımlayan ve belgelendirilebilen (sertifikasyon) bir yönetim sistemi standardıdır. ISO/IEC 27014 ise bu yönetim sisteminin üzerinde yer alan yönetişim katmanını ele alır.
Basit bir benzetmeyle: ISO 27001 "evi inşa eden ve işleten" yönetim sistemini tanımlarken, ISO 27014 "evin sahibi olan ve büyük kararları alan" yönetişim katmanını tanımlar. Bir kuruluş ISO 27001'e göre güçlü bir BGYS kurmuş olsa bile, üst yönetimin bu sistemi etkin biçimde yönlendirmemesi durumunda yönetişim eksikliği oluşur. ISO 27014, işte bu boşluğu doldurur ve BGYS'nin stratejik hedeflerle uyumlu kalmasını sağlar.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO/IEC 27014, bilgi güvenliğinin yönetişimi (governance of information security) konusunu ele alan uluslararası bir standarttır. Bilgi güvenliğinin üst yönetim ve yönetim kurulu düzeyinde nasıl yönlendirileceğine, gözetleneceğine ve değerlendirileceğine dair kavram, ilke ve süreçlere rehberlik eder. Güncel sürümü ISO/IEC 27014:2020'dir.
Yönetişim (governance), kuruluşun yön belirlemesi ve gözetim yapmasıyla ilgilidir ve üst yönetim ile yönetim kurulunun sorumluluğundadır; "Doğru şeyleri mi yapıyoruz?" sorusuna odaklanır. Yönetim (management) ise belirlenen yönü uygulamaya geçirir; planlama, işletme ve günlük kontrollerle ilgilenir ve "İşleri doğru mu yapıyoruz?" sorusuna odaklanır. ISO 27014 yönetişim katmanını, ISO 27001 ise yönetim katmanını ele alır.
İki standart birbirini tamamlar. ISO 27001, belgelendirilebilen bir Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır ve gereksinimleri tanımlar. ISO 27014 ise bu sistemin üzerindeki yönetişim katmanını ele alarak üst yönetimin gözetim ve yön verme rolünü tanımlar. ISO 27014, ISO 27001 ile kurulan BGYS'nin stratejik hedeflerle uyumlu kalmasına yardımcı olur.
ISO 27014, başta yönetim kurulu üyeleri ve üst düzey yöneticiler olmak üzere, bilgi güvenliğine yön veren ve gözetim sorumluluğu taşıyan tüm karar vericiler için uygundur. Ayrıca bilgi güvenliği yöneticileri (CISO), iç denetçiler ve danışmanlar da standardı, yönetişim ile yönetim arasındaki bağlantıyı kurmak için kullanır.
Hayır. ISO/IEC 27014 rehberlik (kılavuz) niteliğinde bir standarttır ve doğrudan belgelendirme amacıyla kullanılmaz. Belgelendirilebilen standart ISO/IEC 27001'dir. ISO 27014, kuruluşların bilgi güvenliği yönetişimini iyileştirmeleri için yol gösterici bir çerçeve sunar.
