Gü­nü­müz­de, sa­de­ce çalışan­la­rıy­la de­ğil, müşteri­le­ri, iş or­tak­la­rı ve his­se­dar­la­rıy­la bir­lik­te ta­nım­la­nan ku­rum­lar­da, bil­gi­nin giz­li­li­ği, bü­tün­lü­ğü ve ula­şı­la­bi­lir­li­ği­ne iliş­kin gü­ven or­ta­mı­nın ya­ra­tıl­ma­sı, stra­te­jik bir önem ta­şı­mak­ta­dır. Bil­gi gü­ven­li­ği­ni sağ­la­mak, tek­no­lo­jik çö­züm­ler­le bir­lik­te sağ­lam bir gü­ven­lik yö­ne­tim sis­te­mi­nin ku­rul­ma­sı ile müm­kün ola­bil­mek­te­dir. Et­kin bir bil­gi gü­ven­lik yö­ne­tim sis­te­mi­nin oluştu­rul­ma­sı ama­cıy­la ha­zır­lan­mış bir stan­darttır.

NE­DEN TS ISO IEC 27001?

  •  Mer­ke­zi gü­ven­lik sis­te­min­de ger­çek an­lam­da gü­ven­li­ğin otur­tu­la­bil­me­si için şirket­ler, TS ISO IEC 27001 stan­dar­tın­da  be­lir­ti­len bil­gi gü­ven­li­ği yö­ne­tim sis­te­mi­ni ku­ra­rak ger­çek risk­le­ri­ni sap­ta­ya­bi­lir ve bu risk­le­rin gi­de­ril­me­si için ge­re­ken tek­no­lo­ji, po­li­ti­ka ve pro­se­dür­le­ri dev­re­ye ala­bi­lir­ler.
  • Bu sa­ye­de gü­ven­lik yö­ne­tim sis­te­mi ola­rak oluş­tu­ru­lan ve yal­nız­ca tek­no­lo­ji ile de­ğil ay­nı za­man­da tüm şirket çalışan­la­rı­nın da uy­gu­la­dı­ğı iş sü­reç­le­ri ile de de­vam­lı­lık sağ­lık­lı bir şekil­de sağ­la­na­bi­lir.

TS ISO/IEC  27001 Bilgi Güvenliği Yönetim Sistemi’nin  Kullanım Sebepleri; 

  • Kurumsal yönetim
  • Bilgi güvenliğinin geliştirilmiş etkinliği
  • Piyasada farklılaşma
  • Üst yönetim ve müşteri gereksinimlerinin karşılanması
  • Küresel kabul görmüş tek standart
  • Bilgi güvenliği bilinci ile odaklanmış çalışanlar
  • Yasal şartlara uyum
  • Yeni gelişen tehdit ve açıklıklara hazırlıklı durmak
  • Uygulamaya konmuş politika ve prosedürler ile belirlenmiş sorumluluk ve yetkiler
  • Zayıflıkların saptanıp giderilmesi imkanı
  • Üst yönetimin Bilgi Güvenliğini sahiplenmesi
  • BGYS ’nin bağımsız denetçilerce gözden geçirilmesi
  • Ticari ortaklara ve müşterilere güven sağlaması
  • Daha iyi güvenlik bilinci oluşması
  • Diğer Yönetim Sistemleri ile kaynakların birleştirilmesi
  • Sistemin başarısını ölçme mekanizması

ISO 27001 Standart maddeleri;

  1. Kuruluşun bağlamı
    1. Kuruluşun ve bağlamının anlaşılması
    2. İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması.
    3. Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
    4. Bilgi güvenliği yönetim sistemi.
  2. Liderlik
    1. Liderlik ve bağlılık
    2. Politika
    3. Kurumsal roller, sorumluluklar ve yetkiler
  3. Planlama
    1. Risk ve fırsatları ele alan faaliyetler.
    2. Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
  4. Destek
    1. Kaynaklar
    2. Yeterlilik
    3. Farkındalık
    4. İletişim
    5. Yazılı bilgiler
  5. İşletim
    1. İşletimsel planlama ve kontrol
    2. Bilgi güvenliği risk değerlendirme
    3. Bilgi güvenliği risk işleme
  6. Performans değerlendirme.
    1. İzleme, ölçme, analiz ve değerlendirme
    2. İç tetkik.
    3. Yönetimin gözden geçirmesi
  7. İyileştirme
    1. Uygunsuzluk ve düzeltici faaliyet
    2. Sürekli iyileştirme

ISO 27001 Ek A Referans kontrol amaçları ve kontroller;

  1. Bilgi güvenliği politikaları
    1. Bilgi güvenliği için yönetimin yönlendirmesi
  2. Bilgi güvenliğinin organizasyonu.
    1. İç organizasyon
    2. Mobil cihazlar ve uzaktan çalışma
  3. İnsan kaynakları güvenliği.
    1. İstihdam öncesi
    2. Çalışma esnasında
    3. İstihdamın sonlandırılması veya değiştirilmesi
  4. Varlık yönetimi
    1. Varlıkların sorumluluğu
    2. Bilgi sınıflandırma
    3. Ortam işleme
  5. Erişim kontrolü
    1. Erişim kontrolünün iş gereklilikleri
    2. Kullanıcı erişim yönetimi
    3. Kullanıcı sorumlulukları
    4. Sistem ve uygulama erişim kontrolü
  6. Kriptografi
    1. Kriptografik kontroller
  7. Fiziksel ve çevresel güvenlik
    1. Güvenli alanlar
    2. Teçhizat
  8. İşletim güvenliği
    1. İşletim prosedürleri ve sorumlulukları
    2. Kötücül yazılımlardan koruma
    3. Yedekleme
    4. Kaydetme ve izleme
    5. İşletimsel yazılımın kontrolü
    6. Tekniklik açıklıkların yönetilmesi
    7. Bilgi sistemleri tetkik hususları
  9. Haberleşme güvenliği
    1. Ağ güvenliği yönetimi
    2. Bilgi transferi
  10. Sistem edinimi, geliştirme ve bakımı
    1. Bilgi sistemlerinin güvenlik gereksinimleri
    2. Geliştirme ve destek proseslerinde güvenlik
    3. Test verisi
  11. Tedarikçi ilişkileri
    1. Tedarikçi ilişkilerinde bilgi güvenliği
    2. Tedarikçi hizmetleri sağlama yönetimi
  12. Bilgi güvenliği ihlal olayı yönetimi
    1. Bilgi güvenliği ihlal olaylarının ve iyileştirmelerin yönetimi
  13. İş sürekliliği yönetiminin bilgi güvenliği hususları
    1. Bilgi güvenliği sürekliliği
    2. Yedek fazlalıklar
  14. Uyum
    1. Yasal ve sözleşmeye tabi gereksinimlere uyum
    2. Bilgi güvenliği gözden geçirmeleri