ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Iso 27001 Belgesi

Bilgi Güvenliği Yönetim Sistemi Nedir?
Kurumların Bilgi varlıklarının korunması amacıyla oluşturulan politikalar ve risklerin Kabul edilebilir seviyeye çekilmesi sistemine BGYS Bilgi güvenliği yönetim sistemi denir.
Tüm yönetim sistemleri gibi Bilgi Güvenliği Yönetim Sistemi de iç ve dış ortamdaki etkenlerin yönetilmesini gerektirmektedir. Bu sebeple;

  • Planla; Bilgi güvenliği risklerinin değerlendirilmesi ve bir politika oluşturulması
  • Uygulama; Süreçlerin ve uygulamaların çalışmasının sağlanması,
  • Kontrol; Bilgi  Güvenliği Yönetim Sisteminin performansının ve verimliliğinin kontrol edilmesi

Neden Bilgi Güvenliği Yönetim Sistemi Gereklidir?
Teknoloji uzmanlarının söylediğine gore;

  • Güvenlik teknolojiden ziyade insan faktörüne bağlıdır,
  • Çalışanlar yabancılardan daha fazla tehdit oluşturur.
  • Güvenlik bir zincir gibidir, en zayıf halkası kadar kuvvetlidir.
  • Güvenliğin üç faktörü vardır, İşlevsellik, maliyet  ve risk derecesi,
  • Güvenlik bir durumdur, çalışan bier süreç değildir kontrolü daha zordur,

Sonuç olarakgüvenlik bir yönetimsel sorun değil, bütünüyle teknik bir konudur”  

Bilgi güvenliği Yönetim sistemi kurulurken sistematik biir yaklaşım tarzı kullanılarak daha güçlü bir system ortaya konabilir, Bilgi güvenliği Yönetim Sisteminde kritik faktörler,

  • Gizlilik
  • Dürüstlük 
  • Ulaşılabilirlik

Kuruluşun bunları sağlaması için gereken faktörler de şöyle sıralanabilir,

  • İş sürekliliği
  • Zararın en aza indirgenmesi
  • Rekaber avantajı
  • Karlılık
  • Yasal uyumlar

Bu koşullar altında ayrı ve bağımsız Bilgi Güvenliği Yönetim Sistemi geliştirilmesi kaçınılmaz olmuştur ve bu ihtiyaca binaen ISO  / IEC 27001 Bilgi Güvenliği Yönetim Sistemi oluşturulmuştur.

İso 27001 Nedir?
2013 yılında yayınlanan bilgi güvenliği standardıdır (ISO 27001:2013) Uluslararası Standardizasyon Kurumu (ISO) ve Uluslaraararası Elektronik Komisyonu (IEC) tarafından oluşturulmuş bir standardttır.

ISO 27001:2013 Standardı 
Iso 27000 standart ailesi bilgi güvenliği yönetim sistemini kapsamaktadır. 

  • Iso / Iec 27000 : Bilgi güvenliği tanımları
  • Iso / Iec 27001 : Bilgi güvenliği ana dokümnlar
  • Iso / Iec 27002 : Bilgi güvenliği kontrol klavuz dokümanlar
  • Iso / Iec 27003-4-4: Bilgi güvenliği kontrol dökümanları

Iso 27001 Kimler İçin Gereklidir?
Bilgi güvenliği yönetim sisteminin planalaması, uygulaması ve izlenmesini sağlayan uluslararası bir standarttır. Iso 27001 Uluslararası Standardizasyon Kurumu tarafından yayınlanmış bir standarttır. Şu an geçerli sürümü Eylül 2013 tarihinde yayınlanan sürümüdür.

Iso 27001 Standardının Yapısı

  • Standardın kapsamı
  • Atıf yapılan standartlar
  • Terimler tarifler
  • Organizasyonel bağlam ve paydaşlar
  • Liderlik
  • Planlama
  • Destek
  • Operasyon 
  • Performans Değerlendirme
  • İyileştirme

Iso 27001 Standardı 2013 Versiyonu Getirdikleri;
Iso 27001  2005 yılı versiyon standardı 2013 yılına kadar varlığını sürdürmüştür. En son yeni gereksinimlerle daha ayrıntılı bir standart oluşturma gereğine binaen 2013 versiyonu oluşturulmuş ve yayınlanmıştır.

Versiyonun getirdikleri;

  • Standart daha anlaşılır hale getirilmeye çalışılmıştır.
  • Bilgi güvenliği teknik gereklilikler iyileştirilip yapılandırılması
  • Ek kontrol süreçlerinin revizesi sağlanmış
  • Hata ve eksikliklerin yönetimi eklenmiştir.

Yeni Eklenen Kontroller;

  • Proje Yönetimi Bilgi güvenliği 
  • Yazılım yüklemede kısıtlamalar
  • Güvenli geliştirme politikası
  • Sistem mühendisliği kavramı
  • Güvenli geliştirme
  • Sistem güvenlik penetrasyon testleri
  • Tedarikçilerle bilgi güvenliği
  • Bilgi güvenliği tepkileri
  • Ulaşılabilirlik

Kontroller
Iso 27001: 2013 standardının en önemli yeniliklerinden kontrol aşamalarının genişletilmesi bu kontroller aşağıda sıralanmıştır;

  • A5 : Bilgi güvenliği politikası kontrolü
  • A6:  Bilgi güvenliği organizasyonu kontrolü
  • A7:  Insan kaynakları güvenliği
  • A8:  Varlık yönetimi kontrolü
  • C9:  Erişim kontrolü
  • A10: Kriptografi
  • A11: Fiziksel ve çevresel güvenlik
  • A12: Operasyon güvenliği
  • A13: Haberleşme güvenliği
  • A14: Sistem geliştirme, bakım 
  • A15: Tedarikçi kontrolü
  • A16: Bilgi güvenliği olay yönetimi
  • A18: Yasalar dış şartlar kontrolü

Iso 27001 Denetim Ve Belgelendirme
Iso 27001 in tüm şartların kurulumundan sonraki aşamada önerimiz denetim öncesi bir ön tetkik yapılması ve ardından eksikliklerin raporlanıp final denetimine hazırlık aşamasıdır. Final denetim sonrası kuruluşa iso 27001 Belgesi hakkı verilir. Belge tüm Iso belgelerinde olduğu gibi 3 yıllıktır. Her yıl ara gözetimle system kontrol edilmektedir.

Bilgi Güvenliği Yönetim Sistemi Iso 27001 Standardı ile ilgili Eurocert mühendislerine danışabilirsiniz.


Mutlu Müşterilerimizden Bazıları