Günümüzde, sadece çalışanlarıyla değil, müşterileri, iş ortakları ve hissedarlarıyla birlikte tanımlanan kurumlarda, bilginin gizliliği, bütünlüğü ve ulaşılabilirliğine ilişkin güven ortamının yaratılması, stratejik bir önem taşımaktadır. Bilgi güvenliğini sağlamak, teknolojik çözümlerle birlikte sağlam bir güvenlik yönetim sisteminin kurulması ile mümkün olabilmektedir. Etkin bir bilgi güvenlik yönetim sisteminin oluşturulması amacıyla hazırlanmış bir standarttır.
NEDEN TS ISO IEC 27001?
-
Merkezi güvenlik sisteminde gerçek anlamda güvenliğin oturtulabilmesi için şirketler, TS ISO IEC 27001 standartında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.
-
Bu sayede güvenlik yönetim sistemi olarak oluşturulan ve yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da uyguladığı iş süreçleri ile de devamlılık sağlıklı bir şekilde sağlanabilir.
TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi’nin Kullanım Sebepleri;
- Kurumsal yönetim
- Bilgi güvenliğinin geliştirilmiş etkinliği
- Piyasada farklılaşma
- Üst yönetim ve müşteri gereksinimlerinin karşılanması
- Küresel kabul görmüş tek standart
- Bilgi güvenliği bilinci ile odaklanmış çalışanlar
- Yasal şartlara uyum
- Yeni gelişen tehdit ve açıklıklara hazırlıklı durmak
- Uygulamaya konmuş politika ve prosedürler ile belirlenmiş sorumluluk ve yetkiler
- Zayıflıkların saptanıp giderilmesi imkanı
- Üst yönetimin Bilgi Güvenliğini sahiplenmesi
- BGYS ’nin bağımsız denetçilerce gözden geçirilmesi
- Ticari ortaklara ve müşterilere güven sağlaması
- Daha iyi güvenlik bilinci oluşması
- Diğer Yönetim Sistemleri ile kaynakların birleştirilmesi
- Sistemin başarısını ölçme mekanizması
ISO 27001 Standart maddeleri;
- Kuruluşun bağlamı
- Kuruluşun ve bağlamının anlaşılması
- İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması.
- Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
- Bilgi güvenliği yönetim sistemi.
- Liderlik
- Liderlik ve bağlılık
- Politika
- Kurumsal roller, sorumluluklar ve yetkiler
- Planlama
- Risk ve fırsatları ele alan faaliyetler.
- Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
- Destek
- Kaynaklar
- Yeterlilik
- Farkındalık
- İletişim
- Yazılı bilgiler
- İşletim
- İşletimsel planlama ve kontrol
- Bilgi güvenliği risk değerlendirme
- Bilgi güvenliği risk işleme
- Performans değerlendirme.
- İzleme, ölçme, analiz ve değerlendirme
- İç tetkik.
- Yönetimin gözden geçirmesi
- İyileştirme
- Uygunsuzluk ve düzeltici faaliyet
- Sürekli iyileştirme
ISO 27001 Ek A Referans kontrol amaçları ve kontroller;
- Bilgi güvenliği politikaları
- Bilgi güvenliği için yönetimin yönlendirmesi
- Bilgi güvenliğinin organizasyonu.
- İç organizasyon
- Mobil cihazlar ve uzaktan çalışma
- İnsan kaynakları güvenliği.
- İstihdam öncesi
- Çalışma esnasında
- İstihdamın sonlandırılması veya değiştirilmesi
- Varlık yönetimi
- Varlıkların sorumluluğu
- Bilgi sınıflandırma
- Ortam işleme
- Erişim kontrolü
- Erişim kontrolünün iş gereklilikleri
- Kullanıcı erişim yönetimi
- Kullanıcı sorumlulukları
- Sistem ve uygulama erişim kontrolü
- Kriptografi
- Kriptografik kontroller
- Fiziksel ve çevresel güvenlik
- Güvenli alanlar
- Teçhizat
- İşletim güvenliği
- İşletim prosedürleri ve sorumlulukları
- Kötücül yazılımlardan koruma
- Yedekleme
- Kaydetme ve izleme
- İşletimsel yazılımın kontrolü
- Tekniklik açıklıkların yönetilmesi
- Bilgi sistemleri tetkik hususları
- Haberleşme güvenliği
- Ağ güvenliği yönetimi
- Bilgi transferi
- Sistem edinimi, geliştirme ve bakımı
- Bilgi sistemlerinin güvenlik gereksinimleri
- Geliştirme ve destek proseslerinde güvenlik
- Test verisi
- Tedarikçi ilişkileri
- Tedarikçi ilişkilerinde bilgi güvenliği
- Tedarikçi hizmetleri sağlama yönetimi
- Bilgi güvenliği ihlal olayı yönetimi
- Bilgi güvenliği ihlal olaylarının ve iyileştirmelerin yönetimi
- İş sürekliliği yönetiminin bilgi güvenliği hususları
- Bilgi güvenliği sürekliliği
- Yedek fazlalıklar
- Uyum
- Yasal ve sözleşmeye tabi gereksinimlere uyum
- Bilgi güvenliği gözden geçirmeleri