ISO 27001 standardına göre kavramlar arasında iyi tanımlanmış bir hiyerarşi bulunmaktadır. Bu hiyerarşiyi göstermeden önce makale içerisinde gösterim kolaylığı olması için her bir aktivite için bir sembol belirlenmiş ve tablo-1’de gösterilmiştir.
Tablo-1: Kavramlar ve Gösterimleri
Kavramların hiyerarşisi şekil-1’de gösterilmiştir. Görüldüğü gibi risk yönetimi kavramı diğer dört kavramı kapsamaktadır. Bu nedenle, şekil-1’deki ağaç yapısı risk yönetimi hiyerarşisi olarak adlandırılabilir.
Şekil-1: Risk Yönetimi Hiyerarşisi
Risk yönetimi, risk değerlendirme ve risk işleme olmak üzere iki alt aktiviteden oluşmaktadır. Risk değerlendirme de, risk analizi ve risk derecelendirme olmak üzere iki alt aktiviteden oluşmaktadır. Şekil-1’deki hiyerarşi ISO 27001 standardındaki tanımlamalar sonucunda ortaya çıkan bir yapıdır.
Kavramların Tanımları
Kavramların tanımlamaları tablo-2’de yapılmıştır.
Tablo-2: Kavramlar ve tanımları
Tanımsal Yapı ve Süreçsel Yapı
Şekil-1’deki hiyerarşi tanımsal çerçeveyi göstermektedir. Şekil-2’deki çizim ise fiili durumu gösteren süreçsel çerçeveyi göstermektedir. Kurumlar, öncelikle risk analizi yaparlar, risk analizi sürecinin sonucunda risk derecelendirme yaparak riskleri yorumlarlar, ardından risk işleme sürecinde gerekli görülen karşı önlemleri uygularlar. Kurumlar bir süre sonra tekrar risk analizi aktivitesini gerçekleştirme ihtiyacı hissederler. Çünkü şartlar, teknoloji ve ihtiyaçlar sürekli değişir. Kısacası, aktivitelerin sırası risk analizi, risk derecelendirme, risk işleme ve tekrar risk analizi şeklindedir. Bu döngü, tüm yönetim sistemleri gibi Bilgi Güvenliği Yönetim Sistemi’nin sağlıklı bir şekilde işletilmesi için gerekli olan Planla, Uygula, Kontrol Et ve Uygula döngüsü ile içinde yer alır.
Şekil-2: Süreçsel Yapı
Bu aktiviteler sırası ile gerçekleştirilirken:
Özet: Akış Diyagramı
Şekil-3’de üç adet somut aktivitenin birbirleri ile olan ilişkileri bir akış diyagramı şeklinde gösterilmiştir. Akış diyagramı üzerinden kavramları ifade etmek gerekirse, risk analizi bir süreçtir (process). Risk derecelendirmesi bir karar vermedir (decision). Risk işlemesi ise bir sonuçtur (output). İlk iki sürecin ikisine birden risk değerlendirmesi denir. Tüm sürece risk yönetimi denir.
Şekil-3: Risk Yönetimi Akış Diyagramı
Anahtar Kelimeler
Her bir kavram ile ilişkilendirilebilecek anahtar kelimeler tablo-3’de verilmiştir.
Tablo-3: Kavramlar ve Anahtar Kelimeler
Tablo-1: Kavramlar ve Gösterimleri
Kavramların hiyerarşisi şekil-1’de gösterilmiştir. Görüldüğü gibi risk yönetimi kavramı diğer dört kavramı kapsamaktadır. Bu nedenle, şekil-1’deki ağaç yapısı risk yönetimi hiyerarşisi olarak adlandırılabilir.
Şekil-1: Risk Yönetimi Hiyerarşisi
Risk yönetimi, risk değerlendirme ve risk işleme olmak üzere iki alt aktiviteden oluşmaktadır. Risk değerlendirme de, risk analizi ve risk derecelendirme olmak üzere iki alt aktiviteden oluşmaktadır. Şekil-1’deki hiyerarşi ISO 27001 standardındaki tanımlamalar sonucunda ortaya çıkan bir yapıdır.
Kavramların Tanımları
Kavramların tanımlamaları tablo-2’de yapılmıştır.
Tablo-2: Kavramlar ve tanımları
Tanımsal Yapı ve Süreçsel Yapı
Şekil-1’deki hiyerarşi tanımsal çerçeveyi göstermektedir. Şekil-2’deki çizim ise fiili durumu gösteren süreçsel çerçeveyi göstermektedir. Kurumlar, öncelikle risk analizi yaparlar, risk analizi sürecinin sonucunda risk derecelendirme yaparak riskleri yorumlarlar, ardından risk işleme sürecinde gerekli görülen karşı önlemleri uygularlar. Kurumlar bir süre sonra tekrar risk analizi aktivitesini gerçekleştirme ihtiyacı hissederler. Çünkü şartlar, teknoloji ve ihtiyaçlar sürekli değişir. Kısacası, aktivitelerin sırası risk analizi, risk derecelendirme, risk işleme ve tekrar risk analizi şeklindedir. Bu döngü, tüm yönetim sistemleri gibi Bilgi Güvenliği Yönetim Sistemi’nin sağlıklı bir şekilde işletilmesi için gerekli olan Planla, Uygula, Kontrol Et ve Uygula döngüsü ile içinde yer alır.
Şekil-2: Süreçsel Yapı
Bu aktiviteler sırası ile gerçekleştirilirken:
- Sırası ile risk analizi ve risk derecelendirmesi yapılarak risk değerlendirmesi de gerçekleştirilmiş olur.
- Bu iki aktivitenin ardından risk işlemesi de yapılarak risk yönetimi gerçekleştirilmiş olur. Risk yönetimi süreci her süreç gibi kurum bünyesinde sürekli çalışır. Bu durum döngü ile sağlanır.
Özet: Akış Diyagramı
Şekil-3’de üç adet somut aktivitenin birbirleri ile olan ilişkileri bir akış diyagramı şeklinde gösterilmiştir. Akış diyagramı üzerinden kavramları ifade etmek gerekirse, risk analizi bir süreçtir (process). Risk derecelendirmesi bir karar vermedir (decision). Risk işlemesi ise bir sonuçtur (output). İlk iki sürecin ikisine birden risk değerlendirmesi denir. Tüm sürece risk yönetimi denir.
Şekil-3: Risk Yönetimi Akış Diyagramı
Anahtar Kelimeler
Her bir kavram ile ilişkilendirilebilecek anahtar kelimeler tablo-3’de verilmiştir.
Tablo-3: Kavramlar ve Anahtar Kelimeler