Tel : +90 216 305 46 66

ISO 27001:2013 Bilgi Güvenliği Belgesi

ISO 27001 Bilgi Güvenliği Gereksinimi Nedir ?

ISO 27001 Bilgi Güvenliği Gereksinimi Nedir ?

Günümüzde bilgi, iletişim ve teknoloji iç içe geçmekte ve kullanımı artmaktadır. Bu gelişmeler sonucunda, elektronik ortamlarda bulunan bilgiler, her geçen gün katlanarak çoğalmakta, dolayısıyla da bilgi güvenliğinin en üst düzeyde sağlanmasına yönelik gereksinimler, kişisel ve kurumsal olarak en üst seviyelere çıkmaktadır.

Tüm işler bilgi ile yönetiliyor. Bilginin bir kısmı herkes tarafından bilinen, geneldir. Diğer bir kısmı ise bilinmeyen, özeldir. Öyle bir kısım da vardır ki, bazılarını ilgilendirir; o halde gizlidir. Bu bilgi, tasarım, satın alma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. İstenmeyen ellere geçtiğinde, etkisini hemen (bir ihalenin kaybı gibi), ya da yavaşça gösterebilir.

Bilgiyi kaybettiğinizin farkına varamayabilirsiniz. Ancak, işler nedense kötü gitmektedir. Bilgi, kuruluşunuzun faaliyetleri ve devamı için büyük bir önem taşır. ISO/IEC 27001 Standardı ve bu standardın gereklilikleri, değerli bilgi varlıklarınızı yönetmenize, korumanıza ve özellikle de müşterilerinize güven vermenize yardımcı olur. Çünkü bazı sektörlerde (hizmet ve iletişim gibi) müşterileriniz ile ilgili daha özel bilgileri bünyenizde bulundurmanız gerekmektedir.

Güvenlik ihtiyacımızı ortaya çıkartan sebepler; iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve kişisel kurumsal kayıplarda meydana gelen artışlardır.

Bilgi güvenliği standardı olan BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak revize edilmesiyle yürürlüğe giren bu standart, kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.

Bunun yanı sıra ISO 17799:2002 numaralı standart, ISO 17799:2005 “bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi” olarak revize edilip yayımlanmıştır. Bu rehber, ISO 27001’e göre kurulacak bir BGYS’ nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.

Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi, bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum, kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.

Risk işleme için standartta öngörülen kontrol hedeflerinden seçimler yapılmalı ve uygulanmalıdır. Planla – uygula - kontrol et - önlem al (PUKÖ) çevrimi uyarınca, risk yönetimi faaliyetleri yürütülmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışma sürdürülmelidir.

ISO 27001, kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerinin hazırlanmasını ve bunların kayıtlarının tutulmasını gerektirir. Kurum, tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditleri hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi, ancak yönetimin aktif desteği ve personelin katılımıyla başarılabilir.

Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında, firmaların uzman desteği ve danışmanlık almaları faydalı olmaktadır.

ISO 27001’den bahsederken, karıştırılan ve dikkatle ayrılması gereken husus; ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 sizin sistemlerinize nasıl virüs bulaşmayacağını anlatmaz.

Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez… Size, toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.

Kuruluşların uyguladığı bazı kontroller şunlardır;

•Şifre kullanarak kişisel bağlanma,

•Virüs kontrolleri, yedekleme ve saklama (şirket dışında saklama da dahil) uygulamaları,

•Yetki tabloları,

•İK ile işbirliği,

•İş planlama ( kaza sonucunda ve iş sürekliliği için yapılacakların listesi),

•BT hata raporlamaları,

•E-posta, faks, internet ve fotokopi için kullanma koşulları,

•Dosyalara erişimde yetkiler.

Bu uygulamalar iyi bir başlangıçtır. Ancak, şifrelerin paylaşıldığına, bir yere kaydedildiğine ve görünürde olduğuna sık rastlanır. Bir cep telefonu konuşmasına kulak misafiri olup da hattın diğer ucundaki kişinin ne söylediğini tahmin edebilmemiz bir güvenlik sorunu teşkil edebilir. Eski sistem yöneticimizin, tüm personelin e-posta, uzak masa üstü ve kullanıcı hesabı şifrelerinin bir kopyasını almış olması da tamamen bir güvenlik sorunudur ve şirketin tüm faaliyetleri tehlike altına girebilir.

Bilgi güvenliğinin casus savaşları ile ilgisi yoktur.

Aşağıdaki kriterler için bir yönetim sistemini oluşturur:

Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi.

Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi.

Erişebilirlik: Yetkilendirilmiş kullanıcıların, gerek duyduklarında bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi.

Bunların eksikliği ticari zarara, ciddi iş kaybına, prestij zedelenmesine yol açabilir.

Bilgi güvenliğinin paranoya ile sağlanması mümkün değildir. Başlama noktası, her türlü yönetim sistemi gibi risk analizidir.

Riskin üç boyutu vardır; varlığın değeri, tehdit, savunmasızlık. Riskin boyutu bu üçünün toplam etkisi ile oluşur.

2008’de yapılan bir çalışmaya göre BGYS’ indeki başarısızlık nedenleri şunlardır;

%57’si kaza eseri,

%24’ü kötü niyetli hareketler,

%11’i ekipman hatası,

% 3’ü yazılım hatası,

% 5’i diğer.

Yine aynı yılın çalışmasına göre, bilgi teknolojileri başarısızlıkları ise şunlardır;

%18’i enerji kesintisi,

%17’si kullanıcı hatası,

%17’si LAN hatası,

%14’ü dış kaynaklı virüsler,

% 9’u WAN hatası,

% 6’sı çalışanların bilerek verdiği zarar,

% 6’sı operatör hatası,

%13’ü diğer.

Risk değerlendirmesi çok ciddi bir iştir. Ancak, üst yönetimin taahhüdü, personelin katılımı ve iş hedeflerinin açıklığı da bir o kadar önemlidir.

Kuruluşun sahip olduğu varlıkların doğru değerlendirilmesi, hırsızlık, yangın, sel baskını, deprem ve verinin tahribini önlemek gibi konular için kuruluşun dışarıdan uzman desteği alması gerekebilir.

Bilgi güvenliği yönetim sistemi standardı, BS 7799 – Part 2 (2002 baskısı) belgelendirmesi yapılan bir standarttır. Aynı standardın birinci kısmı Part 1 veya uluslararası ISO 17799, bir rehber olup, iyi uygulamalar örnekleri içerir. TSE bu standardı, bir Türk standardı olarak kabul etmiş ve Kasım 2002’de yayımlamıştır.

Standarda göre sistem kurmak için kuruluş; bilgi güvenliği politikasını belirlemeli, sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlemeli, risk değerlendirme sonuçlarını yorumlamalı, kullanacağı kontrolleri seçmeli ve yönetim sorumluluklarını açıkça belirtmelidir.

Bilgi güvenliği sistem dokümantasyonu şunlardan oluşacaktır; risk değerlendirme işlem kayıtları, yönetim sorumluluğu, politika (Örn: temiz masa, internet erişimi, kriptografi, erişim kontrolü v.b.) Özel operasyonel dokümanlar ve prosedürler, periyodik gözden geçirmeler… ISO 9001 disiplini elde etmiş firmalar bunları anlamakta zorlanmayacaklardır.

Üçüncü tarafların erişimi de pek çok firmada vardır ve kritiktir. Servis verenler, taşeronlar ve iş ortaklarının da erişimi dikkate alınmalı ve sürekli gözlenmelidir.

Her ne olursa olsun ticari süreklilik esastır… Çok basit bir örnek verelim; yangın geçirmiş bir binaya itfaiye haftalarca giriş izni vermezse, işi kaybetmeye kadar varan çok ciddi zararlar ile karşı karşıya kalınabilir. İşlerin devamı için pek çok kriz planının önceden oluşturulmuş olması gerekmektedir. Şirket, başka bir yerden ve başka kişilerle işlerine devam edebilmelidir. Sistem, iş sürekliliği için önlemleri şart koşmaktadır.

ABD savunma sistemleri 2005 yılında 250.000 kez saldırıya uğramış ve bunların %65’i başarılı olmuştur. Bu da bize göstermektedir ki, olumsuzluklar her şartta vardır ve var olmaya da devam edecektir. Çok ciddiye alınması gereken bir sistem standardı olan bu standart; her boyutta, her türlü kuruluş tarafından uygulanabilir. Önemli olan geç kalmamaktır.

Bilgi Güvenliği Nedir ?

Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlayan uygulamalar bütünüdür.
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için...

Devamı...

BGYS - Bilgi Güvenliği Yönetim Sistemi Nedir ?

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar...

Devamı...

ISO 27001 Kimlere Gereklidir ?

ISO/IEC 27001, hangi ülkeden veya hangi sektörden olursa olsun büyük- küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
2-Sosyal Güvenlik Kurumu(SGK): Aşağıdaki hal ve durumlardan...

Devamı...

ISO 17799 Nedir ?

Bilgi güvenliği için bilinen/kabul edilen en iyi yöntemlerin sıralandığı ISO standardıdır.
Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır.
Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza...

Devamı...

ISO 17799 Ne Zaman Yayımlanmıştır ?

Aralık 2000’de. 1995 yılında British Standards Institute tarafından yayımlanan BS 7799-1’in (BS 7799 -Part 1) yerini almıştır.
2000 yılında yayımlanan ISO 17799, BS 7799 Part 1’ in aynısıdır.
2005 yılında ISO 17799 revize edilmiş...


Devamı...

BS 7799–2 Nedir ?

BS7799–2 British Standard tarafından belirlenen Bilgi Güvenliği Yönetim Sistemi (Information Security Management Systems) gerekleridir. 2005 yılı sonunda ISO 27001:2005 standardı tarafından kapsanmıştır.
BS7799 Bilgi Güvenliği Yönetim Sistemi
- İşletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların...

Devamı...

ISO 27001 Belgesi Nedir ?

Daha önceden kullanılan BS 7799–2’ nin yenilenmiş ve ISO’ nun uluslararası sürümüdür. Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar...

Devamı...

ISO 27001 Ne Zaman Yayımlanmıştır ?

SO/IEC 27001 BGYS Standardının Tarihçesi ;
2005 yılının ortalarında son taslak duyurulmuş, Ekim 2005’de ise bu standart yayımlanmıştır.
ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandırıldı)...

Devamı...

ISO 27001’İn ISO 17799 İle İlgisi Nedir ?

ISO 27001'in ISO 17799 ile ilgisi vardır. Çünkü ISO 17799’ un içinde tanımlanan kontrollerin nasıl uygulanacağını, bilgi güvenliği yönetim sisteminin nasıl kurulacağını ve sürekliliğinin sağlanacağını tarif etmektedir.
Aşağıdaki şartlar en belirgin özellikleridir.
Gizlilik: Bilginin sadece erişim izni olanlar için erişilebilir olmasının...

Devamı...

ISO 27001 Bilgi Güvenliği Sistemi Kurma Gerekleri Nelerdir ?

Kısaca:
•Varlıkların sınıflandırılması,
•Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
•Risk analizi yapılması...

Devamı...

ISO 27001 Belgesi Sistem Kurulumu Aşamaları

Aşama 1: Kapsam Belirleme
BGYS’nin kapsamı ve sınırları belirlenmelidir. BGYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde...

Devamı...

ISO 27001 Belgesi Nasıl Alınır ?

ISO 27001 standardının tüm gereklerinin yerine getirilmesini takiben dış denetim için İntersistem Teknik’ e başvurulur. Denetimi gerçekleştirecek kurum önce dokümantasyonu gözden geçirir. Bu dokümantasyon güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanı ve güvenlik prosedürlerini içermelidir...

Devamı...

ISO 27001 Belgesinin Faydaları Nelerdir ?

ISO 27001 sertifikasının alınması; kuruluşunuzun bilgi güvenliğini dikkate aldığını, gerekli Aşamaları uyguladığını ve kontrol ettiğini göstermektedir. Fakat sertifikasyonun getirileri bununla sınırlı değildir;
•Bilgi varlıklarının farkına varma: Kuruluş, hangi bilgi varlıklarına sahip olduğunu bilir ve değerinin farkına varır. Sahip olduğu...

Devamı...

ISO 27001 Belgesi İlkeleri Nelerdir ?

Kuruluş, dokümante edilmiş bir BGYS’ ni, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve iyileştirmelidir. Bu standardın bir gereği olarak, Planla-Uygula-Kontrol Et-Ölç (PUKÖ) modeli Bilgi Güvenliği Yönetim Sisteminin 4 temel prensibini oluşturur: ...

Devamı...

ISO 27001 Belgesi Sistemi Nasıl Kurulur ?

ISO 27001 standardına dayanan Bilgi Güvenliği Yönetim Sistemi’nin oluşturulması kısaca üç Aşamadan oluşmaktadır;
1.Bilgi için bir Yönetim Platformu oluşturulması; hedeflerin, amaçların, bilgi güvenliği politikasının belirlenmesi,
2.Güvenlik risklerinin belirlenmesi ve değerlendirilmesi,....

Devamı...

ISO 27001 Belgesi Kapsamı Nasıl Belirlenir ?

ISO 27001’ in kapsamı, belirli iş süreçleri, bölgeler, departmanlar ya da kuruluşun bütünüyle sınırlandırılabilir.
Kapsam açık ve net olarak belirtilmelidir.
Bunun, sertifikayla ilişkilendirilmiş SOA (Statement of Applicability), yani Uygunluk Beyanında...

Devamı...

ISO 27001 Belgesi Standart İçeriği Nedir ?

1 Kapsam
2 Atıf yapılan standard ve/veya dokümanlar
3 Terimler ve tarifler
4 Kuruluşun bağlamı
4.1 Kuruluşun ve bağlamının anlaşılması ...

Devamı...

ISO 27001 Belgesi Örnek Sistem Dokümanları

ISO 27001 Belgesi için örnek sistem dokümanları...





Devamı...

Popüler Hizmetler

doğal gıda belgesi
Doğal Gıda Belgesi

Ürün Belgelendirme

akredite helal belgesi
Akredite Helal Belgesi

Gıda Belgelendirme

iso 9001 kalite belgesi
ISO 9001 Kalite Belgesi

Sistem Belgelendirme

iso 13485:2016 medikal cihazlar belgesi
ISO 13485 Medikal Cihazlar Belgesi

Sistem Belgelendirme

iso 14001:2015 çevre yönetim belgesi
ISO 14001 Çevre Yönetimi Belgesi

Sistem Belgelendirme

ce belgesi
CE Belgesi

Ürün Belgelendirme

iso 50001:2018 enerji yönetimi belgesi
ISO 50001 Enerji Yönetimi Belgesi

Sistem Belgelendirme

kaldırma iletme ekipmanları periyodik kontrolü
Kaldırma İletme Ekipmanları Periyodik Kontrolü

Periyodik Kontroller ve Muayene