Tel : +90 216 305 46 66

ISO 27001:2013 Bilgi Güvenliği Belgesi

ISO 27001 Belgesi Sistem Kurulumu Aşamaları

ISO 27001 Belgesi Sistem Kurulumu Aşamaları

Aşama 1: Kapsam Belirleme

BGYS’nin kapsamı ve sınırları belirlenmelidir. BGYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. Örneğin sadece kurum içindeki bir bölüm veya bir bölümün verdiği tek bir hizmet için de bir BGYS hayata geçirilebilir. BGYS kapsamı, üst yönetimin niyeti ve kurumun bilgi güvenliği hedefleri dikkate alınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken BGYS dışında bırakılan varlıklarla ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir.

Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Bu

Aşamaın sonunda bir kapsam dokümanı yayınlanmalı ve üst yönetim tarafından onaylanmalıdır.

Aşama 2: BGYS Politikası

Ardından BGYS politikasının oluşturulması gerekmektedir. Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir.

Aşama 3: Risk Değerlendirme Yaklaşımı

Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu Aşamada kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk değerlendirme metodu seçiminde kurumlar risk değerlendirme konusunda daha fazla bilgi veren BS 7799-3 standardına başvurabilirler.

Aşama 4: Risk Belirleme

Korunması gereken varlıkları tehdit eden riskler, Aşama 3’te belirlenen yöntem kullanılarak tespit edilmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine, bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir.

Varlıkların bu üç temel güvenlik özelliğine gelecek zararlar farklı etki derecelerine sahip olabilirler. Örneğin çok gizli seviyede bir bilginin açığa çıkması kuruma büyük zararlar verebilecekken aynı gizli bilginin kullanılamaz hale gelmesi o kadar büyük zarar yaratmayabilir.

Aşama 5: Risk Analizi ve Derecelendirilmesi

Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu Aşama bir önceki Aşamada tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Risk, açıklığın bir tehdit tarafından kullanılmasıyla oluşur. Örneğin duvarı delik bir ev düşünelim. Duvardaki delik açıklığı temsil eder. Olası bir sel ise burada tehdidi oluşturur.

Bu ikisinin bir araya gelmesiyle risk oluşur ki bu örnekte risk evi su basmasından dolayı evdeki insanların veya eşyaların zarar görmesidir.

Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. Riskin kabul edilebilir olup olmadığı Aşama 3’te belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir.

Bu Aşama sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır.

Aşama 6: Risk İşleme

Bu Aşamada risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir:

1.Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi

2.Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması

3.Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması

4.Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi

Aşama 7: Kontrol Seçimi

Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 17799:2005’te bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. TS ISO/IEC 17799:2005’te bulunan kontroller, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. Sadece TS ISO/IEC 17799:2005’ten değil herhangi bir bilgi güvenliği kaynağından uygun kontrol seçilebileceği gibi kurumun kendine özel geliştirebileceği kontroller de olabilmektedir. Fakat gözden kaçan önemli bir kontrol hedefi veya kontrol olmadığından emin olmak için bu listeyi bir başlangıç noktası olarak kullanmakta fayda görülmektedir.

Aşama 8: Artık Risk Onayı

Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu Aşama sonunda artık risk onay belgesi oluşturulmalıdır.

Aşama 9: Yönetim Onayı

Risk yönetimi Aşamalarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir.

Aşama 10: Uygulanabilirlik Bildirgesi

Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi Aşama 7’de seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC 27001 EK A’dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır.

Bilgi Güvenliği Nedir ?

Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlayan uygulamalar bütünüdür.
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için...

Devamı...

BGYS - Bilgi Güvenliği Yönetim Sistemi Nedir ?

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar...

Devamı...

ISO 27001 Bilgi Güvenliği Gereksinimi Nedir ?

Günümüzde bilgi, iletişim ve teknoloji iç içe geçmekte ve kullanımı artmaktadır. Bu gelişmeler sonucunda, elektronik ortamlarda bulunan bilgiler, her geçen gün katlanarak çoğalmakta, dolayısıyla da bilgi güvenliğinin en üst düzeyde sağlanmasına yönelik gereksinimler, kişisel ve kurumsal olarak...

Devamı...

ISO 27001 Kimlere Gereklidir ?

ISO/IEC 27001, hangi ülkeden veya hangi sektörden olursa olsun büyük- küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
2-Sosyal Güvenlik Kurumu(SGK): Aşağıdaki hal ve durumlardan...

Devamı...

ISO 17799 Nedir ?

Bilgi güvenliği için bilinen/kabul edilen en iyi yöntemlerin sıralandığı ISO standardıdır.
Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır.
Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza...

Devamı...

ISO 17799 Ne Zaman Yayımlanmıştır ?

Aralık 2000’de. 1995 yılında British Standards Institute tarafından yayımlanan BS 7799-1’in (BS 7799 -Part 1) yerini almıştır.
2000 yılında yayımlanan ISO 17799, BS 7799 Part 1’ in aynısıdır.
2005 yılında ISO 17799 revize edilmiş...


Devamı...

BS 7799–2 Nedir ?

BS7799–2 British Standard tarafından belirlenen Bilgi Güvenliği Yönetim Sistemi (Information Security Management Systems) gerekleridir. 2005 yılı sonunda ISO 27001:2005 standardı tarafından kapsanmıştır.
BS7799 Bilgi Güvenliği Yönetim Sistemi
- İşletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların...

Devamı...

ISO 27001 Belgesi Nedir ?

Daha önceden kullanılan BS 7799–2’ nin yenilenmiş ve ISO’ nun uluslararası sürümüdür. Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar...

Devamı...

ISO 27001 Ne Zaman Yayımlanmıştır ?

SO/IEC 27001 BGYS Standardının Tarihçesi ;
2005 yılının ortalarında son taslak duyurulmuş, Ekim 2005’de ise bu standart yayımlanmıştır.
ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandırıldı)...

Devamı...

ISO 27001’İn ISO 17799 İle İlgisi Nedir ?

ISO 27001'in ISO 17799 ile ilgisi vardır. Çünkü ISO 17799’ un içinde tanımlanan kontrollerin nasıl uygulanacağını, bilgi güvenliği yönetim sisteminin nasıl kurulacağını ve sürekliliğinin sağlanacağını tarif etmektedir.
Aşağıdaki şartlar en belirgin özellikleridir.
Gizlilik: Bilginin sadece erişim izni olanlar için erişilebilir olmasının...

Devamı...

ISO 27001 Bilgi Güvenliği Sistemi Kurma Gerekleri Nelerdir ?

Kısaca:
•Varlıkların sınıflandırılması,
•Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
•Risk analizi yapılması...

Devamı...

ISO 27001 Belgesi Nasıl Alınır ?

ISO 27001 standardının tüm gereklerinin yerine getirilmesini takiben dış denetim için İntersistem Teknik’ e başvurulur. Denetimi gerçekleştirecek kurum önce dokümantasyonu gözden geçirir. Bu dokümantasyon güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanı ve güvenlik prosedürlerini içermelidir...

Devamı...

ISO 27001 Belgesinin Faydaları Nelerdir ?

ISO 27001 sertifikasının alınması; kuruluşunuzun bilgi güvenliğini dikkate aldığını, gerekli Aşamaları uyguladığını ve kontrol ettiğini göstermektedir. Fakat sertifikasyonun getirileri bununla sınırlı değildir;
•Bilgi varlıklarının farkına varma: Kuruluş, hangi bilgi varlıklarına sahip olduğunu bilir ve değerinin farkına varır. Sahip olduğu...

Devamı...

ISO 27001 Belgesi İlkeleri Nelerdir ?

Kuruluş, dokümante edilmiş bir BGYS’ ni, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve iyileştirmelidir. Bu standardın bir gereği olarak, Planla-Uygula-Kontrol Et-Ölç (PUKÖ) modeli Bilgi Güvenliği Yönetim Sisteminin 4 temel prensibini oluşturur: ...

Devamı...

ISO 27001 Belgesi Sistemi Nasıl Kurulur ?

ISO 27001 standardına dayanan Bilgi Güvenliği Yönetim Sistemi’nin oluşturulması kısaca üç Aşamadan oluşmaktadır;
1.Bilgi için bir Yönetim Platformu oluşturulması; hedeflerin, amaçların, bilgi güvenliği politikasının belirlenmesi,
2.Güvenlik risklerinin belirlenmesi ve değerlendirilmesi,....

Devamı...

ISO 27001 Belgesi Kapsamı Nasıl Belirlenir ?

ISO 27001’ in kapsamı, belirli iş süreçleri, bölgeler, departmanlar ya da kuruluşun bütünüyle sınırlandırılabilir.
Kapsam açık ve net olarak belirtilmelidir.
Bunun, sertifikayla ilişkilendirilmiş SOA (Statement of Applicability), yani Uygunluk Beyanında...

Devamı...

ISO 27001 Belgesi Standart İçeriği Nedir ?

1 Kapsam
2 Atıf yapılan standard ve/veya dokümanlar
3 Terimler ve tarifler
4 Kuruluşun bağlamı
4.1 Kuruluşun ve bağlamının anlaşılması ...

Devamı...

ISO 27001 Belgesi Örnek Sistem Dokümanları

ISO 27001 Belgesi için örnek sistem dokümanları...





Devamı...

Popüler Hizmetler

doğal gıda belgesi
Doğal Gıda Belgesi

Ürün Belgelendirme

akredite helal belgesi
Akredite Helal Belgesi

Gıda Belgelendirme

iso 9001 kalite belgesi
ISO 9001 Kalite Belgesi

Sistem Belgelendirme

iso 13485:2016 medikal cihazlar belgesi
ISO 13485 Medikal Cihazlar Belgesi

Sistem Belgelendirme

iso 14001:2015 çevre yönetim belgesi
ISO 14001 Çevre Yönetimi Belgesi

Sistem Belgelendirme

ce belgesi
CE Belgesi

Ürün Belgelendirme

iso 50001:2018 enerji yönetimi belgesi
ISO 50001 Enerji Yönetimi Belgesi

Sistem Belgelendirme

kaldırma iletme ekipmanları periyodik kontrolü
Kaldırma İletme Ekipmanları Periyodik Kontrolü

Periyodik Kontroller ve Muayene