ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Kurum ve kuruluşların iş sürekliliklerini devam ettirebilmelerindeki en önemli etken bilgidir. Bilginin kaybı telafisi olmayan yada çok güç olan bir etken olarak oluşumlara dönmektedir. Kuruluş içerisinde bir çok farklı yöntemle saklanır ve muhafaza edilir.ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilginin saklanması , işlenmesi ve insan faktörleri karşısında kurumsal bilgi güvenliğini kapsayan ve yönetim tarafından sürdürülebilirliği desteklenmesi gereken uluslararası standartlarda bir yönetim sistemidir.ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

Bilgi Güvenliği Kavramları:

Gizlilik: Bilginin yetkisiz kişilere, birimlere ya da süreçlere erişiminin  veya ifşa edilmesinin  engellenmesidir.

Bütünlük: Varlıkların  doğruluk ve bütünlüğünün korunma özelliği

Erişebilirlik: Erişebilirlik, yetkili birimin isteği üzerine kullanılma ve erişilme özelliğidir.

ISO/IEC 27001 İle ilgili Terim ve Kavramlar
Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.

Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler .
Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.

ISO 27001 Bilgi Güvenliği Standarları Nelerdir? 

  • ISO IEC 27000:2014 Bilgi Güvenliği Yönetim Sistemleri-Genel Bakış ve Sözlük
  • ISO IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi
  • ISO IEC 27002: 2013 Uygulama Kodu Bilgi Güvenliği Kontrolü
  • ISO IEC 27003: 2010 Bilgi Güvenliği Yönetim Sistemi Uygulama Kılavuzu
  • ISO IEC 27004: 2009 Bilgi Güvenliği Yönetimi ve Ölçme
  • ISO IEC 27005  Bilgi Güvenliği Risk Yönetimi

 

(PDCA ) PUKÖ Döngüsü Nedir?

iso 27001 pokü döngüsü

Planla : Firma Sistemi proseslerinin amaçlarını, müşteri şartları ve kuruluşun politikası ile uyumlu sonuçlar alacak şekilde ortaya koyacak kaynakların oluşturularak fırsat ve risklerin belirlenmesidir.

Uygula : İşletmenin Planlanan uygulamaları yerine getirilir.

Kontrol et : Planlana faaliyetler doğrultusunda prosesleri, son ürünleri ve hizmetleri izle ve ölçerek sonuçlarını da raporla yapılması.

Önlem Al: Firma performansını sürekli iyileştirmek için gerekli faaliyetleri devamlılığını sağlanması.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Kontrolleri

  • Bilgi Güvenliği Politikaları: politikaların BGYS’de nasıl yazılması ve uygunluk açısından gözden geçirilmesi gerektiğini kapsar. Üst yönetim tarafından onaylanmış bir bilgi güvenliği politikası oluşturulmalıdır. Denetçiler, prosedürlerinizin nasıl belgelendiğini ve düzenli olarak nasıl gözden geçirildiğini görmek isteyeceklerdir.
  • Bilgi Güvenliği Organizasyonu: Bu bölümde kurumun hangi bölümlerinin hangi görev ve eylemlerden sorumlu olması gerektiği belirlenir. Yönetim kurum içinde uygulanacak güvenlik tedbirlerini aktif olarak desteklemelidir. Denetçiler, role dayalı üst düzey sorumluluklara sahip net bir organizasyon şeması görmeyi bekleyeceklerdir., Kurumun güvenlik politikasının etkin ve uygulanabilir olduğu düzenli bir şekilde bağımsız bir kurum veya kuruluş tarafından denetlenmelidir.
  • İnsan Kaynakları Güvenliği: Kurumda bilgi güvenliği politikası uyarınca personele düşen güvenlik rol ve sorumlulukları belgelenmelidir. Çalışanların işe başlarken, işten ayrılırken veya pozisyon değiştirirken bilgi güvenliği hakkında nasıl bilgilendirilmesi gerektiğini ve bu kapsamda prosedür adımlarının takibi, sürekliliği önemlidir. Denetçiler, bilgi güvenliği söz konusu olduğunda, işe alım ve işten çıkarma için açıkça tanımlanmış prosedürleri görmek isteyeceklerdir.
  • Varlık Yönetimi: Tüm bilgi varlıklarını içeren bir varlık envanteri tutulmalıdır Veri varlıklarının yönetiminde yer alan süreçleri ve bunların nasıl korunması ve güvence altına alınması gerektiği belirtilmelidir. Denetçiler, kuruluşunuzun donanım, yazılım ve veritabanlarını nasıl takip edildiğini kontrol edeceklerdir. Kanıtlar, veri bütünlüğünü sağlamak için kullandığımız yaygın araçları veya yöntemleri içermelidir .
  • Erişim Kontrolü: Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmalı ve belgelenmelidir. Oluşturulan politika çalışan erişiminin farklı veri türleri ile nasıl sınırlandırılması gerektiğine dair rehberlik sağlamalı ve yaygınlaştırılmalıdır. Denetçilere, erişim ayrıcalıklarının nasıl ayarlandığı ve bunların korunmasından kimin sorumlu olduğu konusunda bir açıklama yapılması gerekebilir.
  • Kriptografi: Şifrelemede kullanılan uygulama ve yöntemleri kapsayan bir politika oluşturulmalıdır.
  • Fiziksel ve Çevresel Güvenlik: Fiziksel sınır güvenliği (kart kontrollü giriş, duvarlar,.) tesis edilmelidir. Fiziksel sınır güvenliği, içindeki bilgi varlıklarının ve dahili ekipmanı güvence altına almaya yönelik süreçleri oluşturmalıdır. Doğal afetlere sonucu oluşabilecek hasara karşı fiziksel koruma tedbirleri alınmış olmalı ve uygulanmalıdır. Denetçiler, ofislere ve veri merkezlerine erişime nasıl izin verildiği de dahil olmak üzere fiziksel ve çevresel güvenlik açıklarını kontrol edecek, süreçler ile ilgili polita ve prosedürlerin uygunluğunu inceleyebilir.
  • İletişim Güvenliği: İlgili prosedürler yazılmalı ve güncellenmelidir. Bilgi işlem ve iletişim ile ilgili sistem açma/kapama, yedekleme, cihazların bakımı, sistem odasının kullanılması, gibi sistem faaliyetleri prosedürlere bağlanmalıdır. Bilgi işlem sistemlerinde yapılan değişiklikler denetlenmeli ve yapılan değişiklikler kayıt altına alınmalıdır. Yedekleme politikası uyarınca bilgi ve yazılımların yedeklenmesi ve yedeklerin test edilmesi düzenli olarak yapılmalıdır. Denetçiler, e-posta veya video konferans gibi hangi iletişim sistemlerinin kullanıldığına ve verilerinin nasıl güvende tutulduğuna dair bir genel bakış görmeyi bekleyeceklerdir.
  • Sistem Edinme, Geliştirme ve Bakım: sistemlerin güvenli bir ortamda yönetilmesine yönelik süreçleri detaylandırır. Denetçiler, kuruluşa tanıtılan tüm yeni sistemlerin yüksek güvenlik standartlarında tutulduğuna dair kanıt isteyeceklerdir.
  • Tedarikçi İlişkileri: Bir kuruluşun güvenliği sağlarken üçüncü taraflarla nasıl etkileşime girmesi gerektiği ile ilgili prosedür ve politikalar oluşturulmalıdır. Denetçiler, hassas verilere erişimi olabilecek dış kuruluşlarla yapılan sözleşmeleri gözden geçirebilir.
  •  Bilgi Güvenliği Olay Yönetimi: Kurum çalışanlarının sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmalıdır. Bilgi güvenliği olaylarını ortaya çıkarmak için sistemler, sistemlerin açıklıkları ve üretilen alarmlar izlenmelidir. Kötü niyetli yazılım, gizlilik ve bütünlüğü bozan ihlaller, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi gibi istenmeyen olaylarda deliller toplanmalıdır. Açığı kapatmak ve hataları düzeltmek için gereken çalışmalar yapılırken acil düzeltme çalışmalarının dokümante edilmesine, çalışmaların düzenli olarak yönetime bildirilmesi gerekir. Denetçiler, olay yönetiminin kuruluş içinde nasıl ele alındığını görmek isteyebilir, ihlal raporlarını inceleyebilir.
  • İş Sürekliliği Yönetimi: İş sürekliliği için geliştirilmiş bir süreç oluşturulmalı bu süreç iş sürekliliği ile ilgili olarak kurumun kritik süreçleri ile ilgili varlıkları, kesintilerin etkisini, önleyici tedbirlerin belirlenmesi ve uygulanmasını ve nasıl ele alınması gerektiğini kapsamalıdır.
  • Uyumluluk: Hükümet veya sektör düzenlemeleri gibi ilgili bütün yasal, düzenleyici ve sözleşmeye bağlı gereksinimleri sağlamak için kullanılacak kapsam açık şekilde tanımlanmış ve belgelenmiş olmalı ve bu gereksinimleri karşılamak amacıyla kontroller ve bireysel sorumluluklar tanımlanmalı ve belgelenmelidir. Denetçiler, kurumun faaliyet gösterdiği herhangi bir alan için tam uygunluk kanıtı görmek isteyeceklerdir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları Nelerdir?

  • Doğru, güvenilir ve geçerli bilgiler sağlar.
  • Fazladan iş yükü ve gereksiz zaman kaybının önüne geçer.
  • Riskleri minimize eder.
  • İş sürekliliği sağlar.
  • Bilgi varlıklarının gizliliğinin korunmasını sağlar.
  • Kuruluş genelinde, bilgi sistemleri ve zayıflıkların nasıl korunacağı konusundaki farkındalığı artırır.
  • Bilginin ve metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
  • Yasal tarafların zorunlu kıldığı kriterler sağlanmış olur.
  • Bilgi varlıklarına erişim korunur.
  • Kurumsal saygınlık korunur.
  • Rekabet avantajı sağlar.

 

ISO 27001 Alma Zorunluluğu Olan Sektörler.

  • Görev sözleşmesi imzalayan firmalar.
  • İmtiyaz sözleşmesi imzalayan firmalar.
  • Uydu haberleşme hizmeti veren firmalar.
  • Altyapı işletmeciliği hizmeti veren firmalar.
  • Sabit telefon hizmeti veren firmalar.
  • GMPCS mobil telefon hizmeti veren firmalar.
  • Sanal mobil şebeke hizmeti veren firmalar.
  • İnternet servis sağlayıcıları.
  • Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar.
  • E-fatura özel entegratör yetkisi almak isteyen firmalar.
  • Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçı firmalar.
  • Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar.
  • Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar.

 

TS ISO/IEC  27001 Bilgi Güvenliği Yönetim Sistemi’nin  Kullanım Sebepleri;  

  • Kurumsal yönetim.
  • Bilgi güvenliğinin geliştirilmiş etkinliği.
  • Piyasada farklılaşma.
  • Üst yönetim ve müşteri gereksinimlerinin karşılanması.
  • Küresel kabul görmüş tek standart.
  • Bilgi güvenliği bilinci ile odaklanmış çalışanlar.
  • Yasal şartlara uyum.
  • Yeni gelişen tehdit ve açıklıklara hazırlıklı durmak.
  • Uygulamaya konmuş politika ve prosedürler ile belirlenmiş sorumluluk ve yetkiler.
  • Zayıflıkların saptanıp giderilmesi imkanı.
  • Üst yönetimin Bilgi Güvenliğini sahiplenmesi.
  • BGYS’nin bağımsız denetçilerce gözden geçirilmesi.
  • Ticari ortaklara ve müşterilere güven sağlaması.
  • Daha iyi güvenlik bilinci oluşması.
  • Diğer Yönetim Sistemleri ile kaynakların birleştirilmesi.
  • Sistemin başarısını ölçme mekanizması.

 

ISO 27001 Belgesi Nerelerde Zorunludur?

  • 26.12.2014 tarihli ve 29217 sayılı Resmi Gazete’de yayımlanan değişikliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK), Petrol, Elektrik, Doğalgaz Piyasası’ndaki firmalar için ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmayı zorunlu hale getirmiştir.
  • T.C. Gümrük ve Ticaret Bakanlığı tarafından, 10 Ocak 2013 tarihli Resmi Gazete’de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında hayata geçirilen, Yetkilendirilmiş Yükümlü statüsü; gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına (ISO 27001 ve ISO 9001) sahip firmalara veriliyor.
  • Gelir İdaresi Başkanlığı – Denetim ve Uyum Yönetimi Daire Başkanlığı’nın Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda, e-Fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgeleri alma zorunluluğu getirildiği bildirilmektedir.

Referans : Tse.org.tr

Sigma Teknoloji olarak kurum ve kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemi süreçlerine destek oluyor ve konu ile ilgili sertifikalı eğitimleri de düzenliyoruz.

Bilgi ve Destek için  [email protected] adresine mail atabilir veya 0850 308 0025 nolu telefondan bize ulaşabilirsiniz.

MENÜYÜ KAPAT