ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Nedir?
Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir.
Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
ISO 27001 standartına göre kurulmuş bir Bilgi Güvenliği Yönetim Sistemi:
Gizlilik (Confidentiality)
Bilginin sadece yetkili kişiler tarafından erişilebilir olması
Bütünlük (Integrity)
Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi
Ulaşılabilirlik (Availability)
Yetkili kişilerin bilgi ve kaynaklara ihtiyaç duyulduğu an ulaşabilmeleri olarak tanımlayabileceğimiz üç ana karakteristiğin korunması ve güvence altına alınması için gerekli kontrollerin belirlenmesi ve uygulamaya alınmasını öngörmektedir. Birçok bilgi sistemi güvenli olacak şekilde tasarlanmamıştır. Teknik anlamda elde edilebilecek güvenlik ise sınırlıdır ve uygun yönetim prensipleri ve prosedürler ile desteklenmelidir. Bilginin korunması için hangi kontrollerin gerekli olduğunun tanımlanması detaylı ve dikkatli bir çalışmayı gerektirir. Başarılı bir uygulama için sistemin kapsamı tedarikçilere/taşeronlara, müşterilere ve hissedarlara kadar genişletilmelidir. İyi bir uygulama için organizasyon dışından uzman bir danışmanlık gerekebilir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini on temel prensip ile ortaya koyar.
Bunlar;
Şirket Güvenlik Politikası
Organizasyonel Güvenlik
Varlıkların Sınıflandırılması ve Kontrolü
Personel Güvenliği
Fiziki ve Çevresel Güvenlik
İletişim ve Operasyon Yönetimi
Erişim Kontrolü
Sistem Geliştirme ve Bakım
İş Devamlılığı Yönetimi
Uyumluluk olarak karşımıza çıkmaktadırlar.
Şirket bilgi dağarcığınızı riske edebilir misiniz?
Aslında sorulması ve şirket içerisinde cevabının tartışılması gereken soru budur. Şirketinizi tehlikeye mi atacaksınız yoksa hemen çalışmaya başlayıp size uygun bir bilgi güvenliği yönetim sistemi mi kuracaksınız. Herhangi bir kuruluşun başarısı ve sürekliliği için etkin bir risk yönetim prosesinin işliyor olması hayati önem taşır. Bu tür prosesler; kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil ederler.
ISO 27001 olası risklerin tanımlanması, değerlendirilmesi ve ortadan kaldırılması için gerekli tedbirlerin alınmasını ön plana çıkaran bir risk yönetim prosesini öngörmektedir. Bunların yanı sıra risklerin tekrar değerlendirilmesi, etkin bir iç denetimin uygulanması da etkin bir Bilgi Güvenliği Yönetim Sisteminin önemli parçalarıdır.
Riskiniz nerede ?
• Altyapı zafiyetleri
• Yanlış/eksik yatırımlar
• Siber saldırılar
• Test edilmemiş güvenlik sistemi
• Yetkisiz kişilerin erişimi
• Çalışandan gelen tehditler
Planla, Uygula, Kontrol Et, Önlem Al Modeli (PUKO)
ISO 27001 PUKO modelini temel alarak Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulması, uygulanması, gözden geçirilmesi ve iyileştirilmesi için proses gerekliliklerini tanımlamaktadır.
BGYS’ nin tasarım ve kurulması (Planla)
BGYS’ nin uygulanması ve devreye alınması (Uygula)
BGYS’ nin izlenmesi ve gözden geçirilmesi (Kontrol Et)
BGYS’ nin iyileştirilmesi
Planlama Aşaması Uygulama Aşaması
Kontrol Aşaması Önlem Alma Aşaması
BGYS kapsamının tanımlanması Risk kontrol planın hazırlanması
İzleme prosedürlerinin uygulamaya alınması
Tanımlanmış iyileştirme yöntemlerinin uygulanması
BGYS politikasının belirlenmesi
Risk kontrol planının uygulamaya alınması
BGYS’ nin etkinliğinin düzenli olarak gözden geçirilmesi
İlgili düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi
Risklerin değerlendirilmesi
Planlanmış aralıklarda BGYS iç denetimlerinin gerçekleştirilmesi
İyileştirmelerin amaçlanan hedeflere ulaşmasının garanti altına alınması
Risklerin giderilmesi için gerekli kontrollerin belirlenmesi
Uygulanabilirlik bildirisinin hazırlanması
ISO 27001 AŞAMALARI
• ISO 27001 Standardına göre bir Boşluk Analizi (Fark Analizi) gerçekleştirilmesi
• BGYS projesi uygulama planı oluşturulması
• ISO 27001 Farkındalık Eğitimlerinin verilmesi
• BGYS’ne göre bilgi güvenliği politika kapsamının belirlenmesi
• Bilgi varlıklarının tanımlanması ve değerlerinin belirlenmesi
• Güvenlik tehditlerinin belirlenmesi
• Güvenlik risklerinin ve etkilerinin belirlenmesi
• Güvenlik kontrollerinin seçimi
• Kontrol hedeflerinin ve kontrollerin tanımlanması
• Politikaların, standartların ve prosedürlerin oluşturulması, uygulanması ve yönetilmesi
• Bilgi güvenliği yönetim kurulları, örgütleri ve organizasyonlarının oluşturulması
• BGYS belgeleme gerekliliklerinin tamamlanması
• Belgelendirme sürecinin yönetilmesi
ISO 27001 Bilgi Yönetim Sistemi Kimler için gereklidir?
Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren bilgisayar yazılım, donanım firmaları
Elektronik Haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
Görev veya İmtiyaz Sözleşmesi İmzalayan firmalar şirketler
Sabit Telefon Hizmeti veya Uydu Haberleşme Hizmeti Veren firmalar şirketler
Altyapı İşletmeciliği Hizmeti Veren firmalar şirketler
GMPCS Mobil Telefon Hizmeti Veren firmalar şirketler
Sanal Mobil Şebeke Hizmeti firmalar şirketler
İnternet Servis Sağlayıcıları
Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti veren firmalar şirketler
E fatura Özel Entegratör Yetkisi almak isteyen firmalar
Gümrük işleri Kolaylaştırma Yetkisi almak isteyen ihracatçı firmalar
Enerji Sektöründeki faaliyet gösteren firmalar
ISO 27001 ile ilgili güncel kampanyalarımızı incelemek için lütfen tıklayınız…
Bazı ISO 27001 Referanslarımız