Bilgi güvenliği dünyasında, özellikle ISO 27001 sertifikasyon sürecine giren firmalar için en kritik dönemeçlerden biri Uygulanabilirlik Bildirgesi‘dir (Statement of Applicability – SoA). Genellikle denetçilerin ilk görmek istediği döküman olan SoA, aslında kurumunuzun güvenlik röntgenidir.
Peki, 2022 revizyonu ile birlikte yapısı değişen bu belgeyi “yasak savar” gibi değil de, gerçekten işinize yarayacak şekilde nasıl hazırlarsınız? Bu yazıda, karmaşık tanımlardan uzaklaşıp, sahada işinize yarayacak pratik bilgilerle ISO 27001:2022 SoA sürecini ele alacağız.
Uygulanabilirlik Bildirgesi (SoA) Tam Olarak Nedir?
Basitçe anlatmak gerekirse SoA; ISO 27001 standardının EK-A (Annex A) bölümünde yer alan güvenlik kontrollerinden hangilerini uyguladığınızı, hangilerini neden elediğinizi ve uygulama yöntemlerinizi özetleyen “ana liste”dir.
Birçok kişi SoA’yı sadece bir kontrol listesi (checklist) sanır. Oysa bu belge, risk değerlendirmesi ile risk işleme planı arasındaki köprüdür. Denetçi size şu soruyu sorduğunda cevabı SoA verir:
“Hangi riskleri kabul ettiniz ve bu riskleri yönetmek için hangi kontrolleri devreye aldınız?”
ISO 27001:2013 ile 2022 Arasındaki SoA Farkı
Eğer daha önceki versiyona (2013) aşinaysanız, 114 kontrol maddesi olduğunu hatırlarsınız. ISO/IEC 27001:2022 güncellemesiyle işler biraz daha derli toplu hale geldi.
Yeni versiyonda kontrollerin sayısı 93’e düşürüldü. Ancak bu, güvenliğin azaldığı anlamına gelmiyor; aksine benzer maddeler birleştirilerek daha modern bir yapıya kavuşturuldu. Artık kontroller 14 farklı kategori yerine şu 4 ana tema altında toplanıyor:
- Organizasyonel Kontroller (37 Adet): Politikalar, görevler ayrılığı, istihbarat vb.
- Kişi Kontrolleri (8 Adet): İşe alım, farkındalık eğitimleri, disiplin süreçleri.
- Fiziksel Kontroller (14 Adet): Güvenli alanlar, cihaz güvenliği, temiz masa ilkesi.
- Teknolojik Kontroller (34 Adet): Erişim hakları, zararlı yazılımlar, ağ güvenliği, güvenli kodlama.
Adım Adım Etkili Bir SoA Hazırlama Süreci
Bir Excel dosyası açıp “Uygulandı” yazarak ilerlemek kolaydır, ancak denetimde başınızı ağrıtabilir. İşte yaşayan bir SoA dökümanı için izlemeniz gereken yol:
1. Risk Değerlendirmesiyle Başlayın
SoA, risk analizi sonuçlarına dayanmalıdır. Örneğin, şirketinizde “uzaktan çalışma” riski yüksek çıktıysa, SoA’da “Uzaktan Çalışma” ile ilgili kontrol maddesini (5.14) seçmeli ve nasıl uyguladığınızı detaylandırmalısınız.
2. Gerekçelendirme (Justification) Hayatidir
Denetçilerin en çok takıldığı nokta burasıdır. Bir kontrolü uyguluyorsanız neden uyguladığınızı (örneğin; yasal zorunluluk, sözleşme şartı veya risk azaltma), uygulamıyorsanız da neden hariç tuttuğunuzu yazmalısınız.
İpucu: Hariç tutma (Exclusion) yaparken çok dikkatli olun. Örneğin, “Biz yazılım geliştirmiyoruz” diyerek güvenli kodlama maddelerini hariç tutabilirsiniz. Ancak “Bütçemiz yok” diyerek yedekleme maddesini hariç tutamazsınız.
3. Kontrol Durumunu Belirleyin
Her kontrol için şu anki durumu netleştirin:
- Tamamlandı mı?
- Süreç devam mı ediyor?
- Planlanan tarihte mi yapılacak?
4. Nitelikleri (Attributes) Kullanın
2022 versiyonunun getirdiği en güzel yeniliklerden biri “Etiketleme” (Hashtag) mantığıdır. SoA hazırlarken kontrolleri şu tür niteliklerle etiketleyebilirsiniz:
- Kontrol Tipi: Önleyici, Tespit Edici, Düzeltici.
- Siber Güvenlik Kavramı: Identify, Protect, Detect, Respond, Recover.Bu özellik, raporlama yaparken yönetime “Hangi alanda zayıfız?” sorusunun cevabını görselleştirmenizi sağlar.
SoA Neden “Yaşayan” Bir Belgedir?
SoA, sertifikayı alıp rafa kaldıracağınız bir belge değildir. Şirketinize yeni bir teknoloji girdiğinde (örneğin buluta geçiş), yeni bir yasa çıktığında veya ofis değiştirdiğinizde riskleriniz değişir. Riskler değişince kontroller değişir, dolayısıyla SoA güncellenmelidir. Versiyon takibi yapılmayan bir SoA, sistemin işlemediğinin en büyük kanıtıdır.
Sıkça Sorulan Sorular (SSS)
Okuyucularımızın ve danışmanlık verdiğimiz firmaların en sık sorduğu soruları burada derledik.
1. ISO 27001 SoA dökümanı zorunlu mudur?
Kesinlikle evet. Standart (Madde 6.1.3), Uygulanabilirlik Bildirgesi’nin oluşturulmasını zorunlu kılar. Bu belge olmadan belgelendirme denetimine giremezsiniz.
2. 93 kontrolün hepsini uygulamak zorunda mıyım?
Hayır, zorunda değilsiniz. Ancak hariç tuttuğunuz her madde için geçerli ve mantıklı bir gerekçeniz olmalı. İşinizin doğası gereği bazı maddeler (örneğin fiziksel güvenlikte teslimat alanları) size uymayabilir.
3. SoA belgesini müşterilerimle paylaşmalı mıyım?
SoA, kurumunuzun güvenlik açıklarını veya önlemlerini detaylıca gösterdiği için genellikle “Gizli” (Confidential) sınıfındadır. Müşterilerinizle tam halini paylaşmak yerine, sadece özet bir versiyonunu veya sertifikanızı paylaşmanız daha güvenli bir yaklaşımdır.
4. SoA ile Risk İşleme Planı arasındaki fark nedir?
Risk İşleme Planı, “Ne yapacağız, kim yapacak, ne zaman bitecek?” sorularına odaklanan bir eylem planıdır. SoA ise, standardın tüm kontrollerine karşı duruşunuzu gösteren, “Bizde bu var, şu sebepten var” diyen resmi bir beyandır.
5. SoA’yı ne sıklıkla güncellemeliyim?
En az yılda bir kez, Yönetimin Gözden Geçirme (YGG) toplantıları öncesinde gözden geçirilmelidir. Ayrıca büyük bir değişim (yeni yazılım, taşınma, organizasyonel değişiklik) olduğunda derhal güncellenmelidir.
Son Söz:
ISO 27001:2022’ye geçiş veya ilk kurulum aşamasında SoA hazırlamak gözünüzü korkutmasın. Doğru bir risk analizi ve şeffaf bir yaklaşımla hazırlanan SoA, sadece bir denetim gerekliliği değil, işletmenizin siber dayanıklılığını artıran en güçlü rehberiniz olacaktır.
ISO 27001:2022 Uygulanabilirlik Bildirgesi indirmek için aşağıdaki linkten ulaşabilirsiniz.
