Türkiye Barolar Birliği Dergisi 152.Sayı

343 TBB Dergisi 2021 (152) Berker KILIÇ / Nursel YALÇIN / Esra KILIÇ sistemlerini günlük olarak takip edecek bir uzmanları yoksa günlük izleme gerektiren çözümleri düşünmemelidirler. 4. ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE HUKUK BÜROLARI AÇISINDAN DEĞERLENDİRME ISO/IEC 27001 standardı, bir kuruluşun BGYS’nin etkinliğini planlamayı, uygulamayı, kontrol etmeyi, önlem almayı amaçlayan PUKÖ modeli olarak bilinen döngüsel bir model sunmaktadır. Planlama-BGYS’nin kuruluşu: İlk adım, risklerin tanımlanacağı, analiz edilip değerlendirileceği risk değerlendirmeyi tanımlamaktır. Daha sonra risk çözüm seçeneklerinin tanımlanması ve değerlendiril- mesi yapılmaktadır. Kontrol hedefleri ve kontrolleri seçildikten son- ra, yönetim artık riskleri onaylamalı ve BGYS’nin uygulanmasına izin vermelidir. Uygulama-BGYS’nin uygulanması ve işletilmesi: Yönetim işlem- leri, kaynaklar, öncelikler, roller ve sorumluluklar bu adımda tanım- lanacaktır. Risk gerçekleşmesi durumunda ortaya çıkabilecek zararın ne şekilde düzeltilebileceği planının ilgili risklere göre belirlemesi ve kontrollerin buna göre yapılması gerekmektedir. Kontrol Etme-BGYS’nin izlenmesi ve gözden geçirilmesi: İzleme ve gözden geçirme prosedürleri geliştirilmeli ve yürütülmelidir. BGYS ve kontrollerin etkililiği ile risk değerlendirme metodolojisi ve gözden kaçan riskler de gözden geçirilmelidir. Önlem Alma- BGYS’nin korunması ve iyileştirilmesi: Bu adımda hem önleyici hem de düzeltici eylemlerin uygulanması BGYS’yi daha da iyileştirebilir. Ayrıca, belge ve kayıt kontrolünü zorlar ve BGYS’yi geliştirmek için bilgi güvenliği olaylarını gözden geçirir. Hukuk büroları açısından, hizmet verilen kişilerin yani müvekkil- lerin dava dosyaları kapsamında mevcut tüm verilerin kişisel bilgiler olduğu, bu bilgilerin korunmasından da müvekkilin dava vekaleti kapsamında avukatı ve hukuk bürosunun sorumlu olduğu açıktır. Bir hukuk bürosu, bilgi güvenliği konusunda mevcut durumunu iyileştir- mek istemesi durumunda aşağıdaki konuları ele almalıdır. Risk değerlendirmesi: Risk değerlendirmesi, tüm risk tanımlama, risk analizi ve risk değerlendirme sürecini tanımlamaktadır. İlk aşa-