Tablo 12.2. Siber Güvenlik Hedefleri ve İlgili Denetim Amaçları
Siber Güvenlik Hedefi Denetim Amacı Uyarılar Siber güvenlik politikaları, standartları ve prosedürleri yeterli ve etkilidir. • Belgelerin eksiksiz ve güncel
olduğunu doğrulayın.
• Resmi onay, serbest bırakma
ve yaptırımın geçerli olduğunu
onaylayın.
• Belgelerin tüm siber güvenlik
gereksinimlerini karşıladığını
doğrulayın.
•Bağlı kontrollerin, politikalarda,
standartlarda ve prosedürlerde
yapılan tüm hükümleri kapsadığını
doğrulayın.
Denetim, belgelerin evrenini
(yönetişim tarafı) ve bu
belgelerin öngördüğü kontrolleri
ele almaktadır. “Etkili” bu
anlamda uygun onaylama /
serbest bırakma / uygulama
döngüsünden daha fazlasını
denetleyemezken, “yeterli”
sadece politikaların, standartların
ve prosedürlerin eksiksizliği,
yeterliliği ve bütünlüğü ile ilişkili
olabilir.
Yükselen risk doğru bir şekilde tanımlanır, uygun şekilde değerlendirilir ve yeterli şekilde yönetilir. • Risk tanımlama sürecinin
güvenilirliğini doğrulayın.
• Kullanılan araç, yöntem ve
teknikler dahil olmak üzere
risk değerlendirme sürecini
değerlendirin.
• Tüm risklerin sonuçların
değerlendirilmesi doğrultusunda ele
alındığını onaylayın.
• Tedavi edilmemiş risk için
tedavinin yeterli olduğunu veya
resmi risk kabullerinin bulunduğunu
doğrulayın.
Denetim genellikle ilk yıldaki
süreçlere, araçlara ve yöntemlere
odaklanarak birkaç yıl sürecektir.
Takip eden yıllarda, denetçiler
büyük olasılıkla risk alanlarının
örneklerini alır ve sürece doğru
detaylı inceler. Denetim, “ortaya
çıkan” riskin tüm kapsamını
nitelemek için harici verileri
içerebilir.
