ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi”

Standart ilk olarak, 1990 yılında İngiltere’de bazı sanayi kuruluşların talepleriyle BS7799 olarak yayınlanmıştır. 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2: 1998 ve BS7799-1: 1999 olarak yayınlanmıştır.

Uluslararası Standartlar Komitesi (ISO) bu standarttan faydalanarak; 2000 yılında ISO 17799’u

2005 yılında da ISO 27001’i yayınlamıştır. Standart, 2006 yılında Türkçe’ ye çevrilmiştir.

 

ISO 27000 Ailesi

ISO 27001

Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemi – Gereksinimler

ISO 27002

Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemi için Uygulama Kodları

ISO 27003

Bilgi Teknolojileri – Güvenlik Teknikleri – Güvenliği Yönetim Sistemi için Uyarlama, gerçekleştirme Kılavuzu

ISO 27004

Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemi – Ölçekler, Raporlar Standardı

ISO 27005

Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemlerin Risk Yönetimi Standardı

ISO 27006

Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemlerin Denetim ve Belgelendirilmesi için Şartlar Standardı

Bütün Yönetim Sistemlerinde olduğu gibi ISO 27001 Sisteminde de PUKÖ Döngüsü Vardır

Bilgi Güvenliği Nedir?

 

İşin; Sürekliliğini sağlamak, güvenlik olaylarını önleyerek veya etkisini azaltarak,  işteki hasarları en aza indirmek için Bilginin GİZLİLİK/ BÜTÜNLÜK/ ERİŞİLEBİLİRLİK özelliklerini korumaktır.

a)Gizlilik: Bilginin sadece yetkili kişiler tarafından erişilebilir olması,

b)Bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması,

c)Erişilebilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an kullanılabilir olması.

 

ISO 27001 nasıl uygulanmaya başlanabilir?

a)KAPSAM

Hangi birimlerin ve aktivitelerin BGYS yapısı içerisinde yer alacağı belirlenmeli.

Kuruluşun

–       Yaptığı iş,

–       Birimleri,

–       Dış kaynaklı süreçleri,

Dikkate alınarak belirlenir, kapsam dışında bırakılanların sağlam gerekçelerle açıklanır. “Kapsam dokümanı”  yayınlanır. Üst yönetim tarafından onaylanır.

b)POLİTİKA

BGYS Politikası; Üst yönetimin tüm paydaşlara bilgi güvenliği konusunda verdiği sözlerin bir belgesi, içtenlik derecesinin ilanıdır.

 

c)VARLIK

Varlık: Kurumunuz için değeri olan herhangi bir şey

1. Bilgi Varlığı

2. Yazılım Varlıkları

3. Fiziksel Varlıklar

4. Servisler

5. insan

6. Prestij

Varlıkların Belirlenmesi, kurumun her birim ve seviyede varlıkları belirlenmelidir. Açıklıklar ve Tehditlerin Belirlenmesi, varlıklara ait açıklıklar ve varlıklara yönelik tehditler belirlenmelidir.

 

d)TEHDİT &RİSK

–       Tehditlerin Etkileri Belirlenmeli

–       Tehditlerin Gerçekleşme Olasılığı Belirlenmeli

–       Varlıklara Ait Riskler Belirlenmeli

Risk Analizi çalışması periyodik olarak yapılmalıdır.

Bununla Birlikte;

–       Yeni bir bilgi sistemi devreye alındığında,

–       Yeni bir uygulama başlatıldığında,

–       Yeni teknolojiler uyarlandığında,

–       Yeni bir görev tanımı yapıldığında vb. riskler gözden geçirilmelidir.

Uygulanan kontroller sonrası artık risk belirlenmelidir. Artık risk seviyesi kabul edilebilir riskin altında ise artık risk dokümante edilmeli ve yönetim tarafından onaylanmalıdır.

ISO 27001 Standardı

4 Bilgi güvenliği yönetim sistemi

4.1 Genel gereksinimler

4.2 BGYS’nin kurulması ve yönetilmesi

4.2.1 BGYS’nin kurulması

4.2.2 BGYS’nin gerçekleştirilmesi ve işletilmesi

4.2.3 BGYS’nin izlenmesi ve gözden geçirilmesi

4.2.4 BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi

4.3 Dokümantasyon gereksinimleri

4.3.1 Genel

4.3.2 Dokümanların kontrolü

4.3.3 Kayıtların kontrolü

5 Yönetim sorumluluğu

5.1 Yönetimin bağlılığı

5.2 Kaynak yönetimi

5.2.1 Kaynakların sağlanması

5.2.2 Eğitim, farkında olma ve yeterlilik

6 BGYS iç denetimleri

7 BGYS’yi yönetimin gözden geçirmesi

7.1 Genel

7.2 Gözden geçirme girdisi

7.3 Gözden geçirme çıktısı

8 BGYS iyileştirme

8.1 Sürekli iyileştirme

8.2 Düzeltici faaliyet

8.3 Önleyici faaliyet

 

Belgelendirme Süreci

–       Üst yönetimin sorumluluklarını yerine getirmesi,

–       Eğitim ve/veya danışmanlık hizmeti,

–       Varlıkların tespit edilmesi,

–       Risk analizinin yapılması,

–       Dokümanların hazırlanması

–       Sistemin en az üç ay uygulanması,

–       Belgelendirilmek için başvuru,

–       Tetkik geçirilmesi,

–       ISO 27001 Belgesinin alınması,

–       Gözetim tetkiklerinin yapılması,

ISO 27001 Başvuru Formu

Konu Hakkındaki Düşüncelerinizi İLETİŞİM Sayfamızı Kullanarak Bize Yazabilirsiniz