ISO 27001 Belgesi

ISO 27001 Belgesi

ISO 27001 Bilgi Güvenliği Nedir ?

Bir Kuruluştaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlayan kalite yönetim standardıdır.

Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin önemi artmış, sadece güvenli bir şekilde saklanması ve depolanması gelişen ihtiyaçlara cevap verememiş aynı zamanda bir yerden bir yere nakil edilmesi de kaçınılmaz bir ihtiyaç haline gelmiştir. Bilgiye olan bu bağımlılık bilginin korunması ihtiyacını gündeme getirmiştir. Bu anlamda bilgi, kurumun sahip olduğu varlıklar arasında çok önemli bir yere sahiptir. Bilgiye yönelik olası saldırılar, tahrip edilmesi, silinmesi, bütünlüğünün ve/veya gizliliğinin zarar görmesi, bilgi altyapısının bozulmasına ve bu da beraberinde işlerin aksamasına neden olmaktadır.

Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. ISO 27001 Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.

Bilgi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.

Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
  • Gizlilik (Confidentiality)
  • Bütünlük (Integrity)
  • Kullanılabilirlik (Availability)

Bu kavramları biraz daha açacak olursak gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz. Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır.

Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

Başa Dön


Bilgi Güvenliği Yönetim Sistemi Nedir ?

Uluslararası Standartlar Kuruluşunun kısaltılmış ingilizce baş harflerinden oluşan standartları kodlama adıdır. Yani, International Organization for Standardization. Uluslararası standardizasyonu sağlamak uluslar arası standartlar oluşturmak amacıyla 23 şubat 1947 tarihinde ISO 135 ülkeden ulusal standart kuruluşlarının katılımıyla kurulmuştur ve şu anda 179 un üzerinde bir üye katılımıyla yönetilmektedir.

ISO, Uluslararası ticareti ve ticaret hacmini arttırmak, tedarikçi-işletme ve müşteri arasındaki güveni oluşturmak amacıyla faaliyetlerini sürdürmektedir.

Kuruluş ilk standardını 1987 yılında yayınlamış ve o yıllardan beridir sürekli gelişen çeşitlenen standartlar yayınlamaya devam etmektedir.

Başa Dön


ISO 27001 Belgesi Nedir ?

Daha önceden kullanılan BS 7799–2’ nin yenilenmiş ve ISO’ nun uluslararası sürümüdür.

Bilgi Güvenliği Yönetim Sistemi , kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.

Bilgi Güvenliği Yönetim Sistemi deyimi ilk kez 1998 yılında BSI (British Standards Institute) tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. Daha sonra bu standart Uluslararası Standartlar Kurumu ISO tarafından kabul edilmiş ve ISO/IEC 27001:2005 olarak yayınlanmıştır.

BSI tarafından yayınlanan bir diğer standart BS 7799-1 ise bilgi güvenliğinin sağlanmasında kullanılacak kontrollerden bahsetmektedir. Bu da yine ISO tarafından kabul edilmiş ve ISO/IEC 27002:2005 olarak yayınlanmıştır. ISO/IEC 27002:2005 bu standardın Temmuz 2007’den itibaren kullanılan ismidir, bu tarihe kadar standart ISO/IEC 17799:2005 olarak adlandırılıyordu.

Bilgi güvenliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO/IEC 27002:2005 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005 rehber edinilerek kurulan Bilgi Güvenliği Yönetim Sistemi’nin belgelendirmesi için “ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir Bilgi Güvenliği Yönetim Sistemi’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO/IEC 27002:2005’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001:2005’te belirlenmektedir.

Her iki standardın Türkçe hali TSE tarafından sırasıyla TS ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile yayınlanmıştır.

Başa Dön


ISO 27001 Belgesi Nasıl Alınır ?

ISO 27001 standardının tüm gereklerinin yerine getirilmesini takiben dış denetim için İntersistem Teknik’ e başvurulur. Denetimi gerçekleştirecek kurum önce dokümantasyonu gözden geçirir. Bu dokümantasyon güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanı ve güvenlik prosedürlerini içermelidir. Bu incelemeyi takiben, ileri bir tarihte denetçiler tarafından yerinde denetim gerçekleştirilir. Bu denetimde, kuruluşunuzun büyüklüğüne ve işinizin tipine uygun kontrollerin, tarafınızca hazırlanmış bulunan prosedürlerde tanımladığınız şekilde yapılıp yapılmadığı gözden geçirilir.

Başarılı bir denetimi takiben ISO 27001 sertifikası alınır. Alınan sertifikadan sonra yılda bir ya da iki kez, sizin belirleyeceğiniz periyotlara göre yenilemeye yönelik gözden geçirme tetkikleri gerçekleştirilir.

Alınan belge 3 yıl geçerlidir ve 3. yılın sonunda yeniden belgelendirme tetkiki yapılarak süreç içerisindeki gelişmeleriniz gözden geçirilir.

Başa Dön


ISO 27001 Belgesinin Faydaları Nelerdir ?

ISO 27001 sertifikası'nın alınması; kuruluşunuzun bilgi güvenliğini dikkate aldığını, gerekli Aşamaları uyguladığını ve kontrol ettiğini göstermektedir. Fakat sertifikasyonun getirileri bununla sınırlı değildir;

  • Bilgi varlıklarının farkına varma: Kuruluş, hangi bilgi varlıklarına sahip olduğunu bilir ve değerinin farkına varır. Sahip olduğu varlıkları, kuracağı kontroller ve koruma metotları ile belirlemiş olduğu süreç içerisinde korur. Bu farkındalık; yönetim ve bilgi sistemlerinin güvenli olduğu konusunda müşterilerinizi, çalışanlarınızı, hissedarlarınızı, iş ve çözüm ortaklarınızı da rahatlatmaktadır.
  • Şirketinizin kredibilitesini ve piyasa güvenini arttırmaktadır. Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
  • Bilgi, bu sistem sayesinde korunur ve hiçbir detay tesadüfe bırakılmaz. Ayrıca, bir felaket halinde işe devam etme yeterliliğine sahip olunur.
  • Ufak bir güvenlik ihlali bile çok yüksek maliyetlere yol açabileceği için, kontrollerin uygulanması ile maliyetler uzun vadede düşürülmektedir.
  • Çalışanların motivasyonunu artırmakta ve yasal takipleri önlemektedir.
  • Kanun ve yönetmeliklere uyulduğunun bir göstergesidir. Yüksek itibar sağlar.
  • Organizasyon için tüm seviyelerde bilgi güvenliğinin mevcudiyeti göstermektedir.
  • Rekabet avantajı
  • Karlılık
  • İmaj
  • Yasalara, Düzenlemelere, Sözleşme Şartlarına Uyumluluk
  • Güvenlik
  • Risk farkındalığı
  • Bilgi varlıklarını ihtiyaca en uygun şekilde koruma altına alır,
  • Bilgi varlıklarına yönelik tehditlerden koruyarak iş sürekliliği sağlar.

Başa Dön


ISO 27001 Kimlere Gereklidir ?

ISO/IEC 27001, hangi ülkeden veya hangi sektörden olursa olsun büyük - küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.

ISO/IEC 27001, BT barındırma, Telekom, internet ve servis şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir; müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

Başa Dön


ISO 27001 Ne Zaman Yayımlanmıştır ?

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardının Tarihçesi ;

2005 yılının ortalarında son taslak duyurulmuş, Ekim 2005’de ise bu standart yayımlanmıştır.

ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandırıldı)

ISO/IEC 27001 yeni yayınlandı – Ekim 2005

ISO/IEC 27001 güncel revizyonu yayınlandı – 2013

Başa Dön


ISO 27001 Bilgi Güvenliği Sistemi Kurma Gerekleri Nelerdir ?

  • Varlıkların sınıflandırılması,
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
  • Risk analizi yapılması,
  • Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi,
  • Dokümantasyon oluşturulması,
  • Kontrollerin uygulanması,
  • İç tetkik,
  • Kayıtların tutulması,
  • Yönetimin gözden geçirmesi,
  • Belgelendirme şeklindedir.

Kurulum Aşamalarına geçmeden önce Bilgi Güvenliği Yönetim Sistemi ile ilgili bilinmesi gereken gerçekler

Öncelikle sağlıklı işleyiş ve yarar sağlaması açısından Bilgi Güvenliği Yönetim Sistemi kurulum isteği kurumun üst yönetimi tarafından benimsenmelidir. Üst yönetim desteği Bilgi Güvenliği Yönetim Sistemi’nin başarıya ulaşması açısından hayati öneme sahiptir. Öncelikle üst yönetim Bilgi Güvenliği Yönetim Sistemi’nin gerekliliğine ve faydasına inanmalıdır. Bu birincil şarttır. Diğer önemli bir husus, Bilgi Güvenliği Yönetim Sistemi kurulumu bir BT ürünü veya sistemi kurulumuyla karıştırılmamalıdır. Bilgi Güvenliği Yönetim Sistemi kurumun iş yapma tarzını etkileyen köklü bir sistemdir ve kurumu tümden etkiler. Tüm kademelerdeki çalışanların işini yaparken bilgi güvenliği prensiplerine uygun hareket etmesini gerekli kılar. Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim sürecinin sonucu olacaktır. Bir önceki bölümde bahsedildiği gibi Bilgi Güvenliği Yönetim Sistemi sürekli bir gelişim sürecidir.

Bilgi Güvenliği Yönetim Sistemi ile ilgili en yaygın yanlış kanılardan bir tanesi de bunun sadece kurumun BT bölümüne ait bir iş olduğunun düşünülmesidir. Bilgi Güvenliği Yönetim Sistemi bir teknoloji meselesi veya teknik bir iş değildir. Tüm kurumun aktif halde katılımıyla hedefine ulaşabilecek bir sistemdir. En üst kademe yöneticiden en alt seviye çalışana kadar katılım ve destek şarttır. Aksi halde Bilgi Güvenliği Yönetim Sistemi’den beklenen faydanın elde edilmesi mümkün değildir. Etkin bir Bilgi Güvenliği Yönetim Sistemi kurulumu konusunda ilk yapılması gereken işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır. Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kurum içindeki her bölümden temsilcilerden oluşur. Bilgi işlem, iç denetim, muhasebe, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyondayer almalıdır. Komisyon temsilcileri bilgi güvenliği konusunda deneyimli ve bilgili, bununyanında kendi bölümlerini temsil edebilme yetkisine sahip kişiler olmalıdır.

Komisyon temsilcileri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değilse mutlaka Bilgi Güvenliği Yönetim Sistemi eğitimleri almalıdır. Tüm bölümlerden temsilcilerin komisyonda yer alması Bilgi Güvenliği Yönetim Sistemi’nin başarı şansını arttırır. Bilgi Güvenliği Yönetim Sistemi’in kurumun tamamına nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik ihtiyaçlarının daha etkin bir biçimde farkında olunmasını sağlar. Bu durum Bilgi Güvenliği Yönetim Sistemi’in doğru planlanması ve sağlıklı işlemesi açısından hayati öneme sahiptir. Her bölümden bir temsilcinin katılımı yönetim ve teknik kadro arasındaki iletişim kopukluğunu gidermeye de yarar. Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği komisyonu sayesinde Bilgi Güvenliği Yönetim Sistemi ile ilgili görev ve sorumluluklar da kurum içinde dağıtılmış olur. Daha önce de belirtildiği gibi Bilgi Güvenliği Yönetim Sistemi sadece BT bölümüne ait bir iş değildir.

Bilgi Güvenliği Yönetim Sistemi konusunda temel başvuru kaynakları ISO/IEC 27001 ve ISO/IEC 27002 standartlarıdır. Bilgi Güvenliği Yönetim Sistemi kurulumu öncesinde bu standartların mutlaka dikkatlice okunup anlaşılması gerekmektedir. Bilgi Güvenliği Yönetim Sistemi kurulumu TS ISO/IEC 27001:2005’teki “4.2.1 Bilgi Güvenliği Yönetim Sistemi’nin Kurulması” ve TS 13268-1 “4.3 Bilgi Güvenliği Yönetim Sistemi’nin kurulması” başlıkları altında detaylı olarak açıklanmaktadır.

Başa Dön


ISO 27001 Belgesi Sistem Kurulumu Aşamaları

Aşama 1: Kapsam Belirleme

Bilgi Güvenliği Yönetim Sistemi’nin kapsamı ve sınırları belirlenmelidir. Bilgi Güvenliği Yönetim Sistemi’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun Bilgi Güvenliği Yönetim Sistemi kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. Örneğin sadece kurum içindeki bir bölüm veya bir bölümün verdiği tek bir hizmet için de bir Bilgi Güvenliği Yönetim Sistemi hayata geçirilebilir. Bilgi Güvenliği Yönetim Sistemi kapsamı, üst yönetimin niyeti ve kurumun bilgi güvenliği hedefleri dikkate alınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken Bilgi Güvenliği Yönetim Sistemi dışında bırakılan varlıklarla ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir.

Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Bu

Aşamaın sonunda bir kapsam dokümanı yayınlanmalı ve üst yönetim tarafından onaylanmalıdır.

Aşama 2: Bilgi Güvenliği Yönetim Sistemi Politikası

Ardından Bilgi Güvenliği Yönetim Sistemi politikasının oluşturulması gerekmektedir. Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. Bilgi Güvenliği Yönetim Sistemi politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir.

Aşama 3: Risk Değerlendirme Yaklaşımı

Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu Aşamada kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk değerlendirme metodu seçiminde kurumlar risk değerlendirme konusunda daha fazla bilgi veren BS 7799-3 standardına başvurabilirler.

Aşama 4: Risk Belirleme

Korunması gereken varlıkları tehdit eden riskler, Aşama 3’te belirlenen yöntem kullanılarak tespit edilmelidir. Bilgi Güvenliği Yönetim Sistemi içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum Bilgi Güvenliği Yönetim Sistemi kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine, bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir.

Varlıkların bu üç temel güvenlik özelliğine gelecek zararlar farklı etki derecelerine sahip olabilirler. Örneğin çok gizli seviyede bir bilginin açığa çıkması kuruma büyük zararlar verebilecekken aynı gizli bilginin kullanılamaz hale gelmesi o kadar büyük zarar yaratmayabilir.

Aşama 5: Risk Analizi ve Derecelendirilmesi

Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu Aşama bir önceki Aşamada tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Risk, açıklığın bir tehdit tarafından kullanılmasıyla oluşur. Örneğin duvarı delik bir ev düşünelim. Duvardaki delik açıklığı temsil eder. Olası bir sel ise burada tehdidi oluşturur.

Bu ikisinin bir araya gelmesiyle risk oluşur ki bu örnekte risk evi su basmasından dolayı evdeki insanların veya eşyaların zarar görmesidir.

Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. Riskin kabul edilebilir olup olmadığı Aşama 3’te belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir.

Bu Aşama sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır.

Aşama 6: Risk İşleme

Bu Aşamada risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir:

  • Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi
  • Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması
  • Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması
  • Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi

Aşama 7: Kontrol Seçimi

Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 17799:2005’te bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. TS ISO/IEC 17799:2005’te bulunan kontroller, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. Sadece TS ISO/IEC 17799:2005’ten değil herhangi bir bilgi güvenliği kaynağından uygun kontrol seçilebileceği gibi kurumun kendine özel geliştirebileceği kontroller de olabilmektedir. Fakat gözden kaçan önemli bir kontrol hedefi veya kontrol olmadığından emin olmak için bu listeyi bir başlangıç noktası olarak kullanmakta fayda görülmektedir.

Aşama 8: Artık Risk Onayı

Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu Aşama sonunda artık risk onay belgesi oluşturulmalıdır.

Aşama 9: Yönetim Onayı

Risk yönetimi Aşamalarını geçtikten sonra Bilgi Güvenliği Yönetim Sistemi işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir.

Aşama 10: Uygulanabilirlik Bildirgesi

Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak Bilgi Güvenliği Yönetim Sistemi kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi Aşama 7’de seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC 27001 EK A’dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır.

Başa Dön


ISO 27001 Belgesi İlkeleri Nelerdir ?

Kuruluş, dökümante edilmiş bir Bilgi Güvenliği Yönetim Sistemi’ ni, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve iyileştirmelidir. Bu standardın bir gereği olarak, Planla-Uygula-Kontrol Et-Ölç (PUKÖ) modeli Bilgi Güvenliği Yönetim Sisteminin 4 temel prensibini oluşturur:

  • Bilgi Güvenliği Yönetim Sistemi’nin kurulması ve yönetilmesi
  • Bilgi Güvenliği Yönetim Sistemi’nin gerçekleştirilmesi ve işletilmesi
  • Bilgi Güvenliği Yönetim Sistemi’nin izlenmesi ve gözden geçirilmesi
  • Bilgi Güvenliği Yönetim Sistemi’nin sürekliliğinin sağlanması ve iyileştirilmesi

Başa Dön


ISO 27001 Belgesi Sistemi Nasıl Kurulur ?

ISO 27001 standardına dayanan Bilgi Güvenliği Yönetim Sistemi’nin oluşturulması kısaca üç Aşamadan oluşmaktadır;

  • Bilgi için bir Yönetim Platformu oluşturulması; hedeflerin, amaçların, bilgi güvenliği politikasının belirlenmesi,
  • Güvenlik risklerinin belirlenmesi ve değerlendirilmesi,
  • Kontrollerin seçimi ve uygulanması.

ISO 27001 standardına uygun bir bilgi güvenliği yönetim sisteminin kurulması, kuruluşunuzu güvenlik saldırılarına karşı tamamen korumayabilir. Ancak, bu tür saldırıların başarılı olma olasılığını önemli ölçüde azaltacaktır.

Başa Dön


ISO 27001 Belgesi Kapsamı Nasıl Belirlenir ?

ISO 27001’ in kapsamı, belirli iş süreçleri, bölgeler, departmanlar ya da kuruluşun bütünüyle sınırlandırılabilir. Kapsam açık ve net olarak belirtilmelidir.

Bunun, sertifikayla ilişkilendirilmiş SOA (Statement of Applicability), yani Uygunluk Beyanında belirtilmesi gerekmektedir.

Başa Dön


ISO 27001 Bilgi Güvenliği Gereksinimi Nedir ?

Günümüzde bilgi, iletişim ve teknoloji iç içe geçmekte ve kullanımı artmaktadır. Bu gelişmeler sonucunda, elektronik ortamlarda bulunan bilgiler, her geçen gün katlanarak çoğalmakta, dolayısıyla da bilgi güvenliğinin en üst düzeyde sağlanmasına yönelik gereksinimler, kişisel ve kurumsal olarak en üst seviyelere çıkmaktadır.

Tüm işler bilgi ile yönetiliyor. Bilginin bir kısmı herkes tarafından bilinen, geneldir. Diğer bir kısmı ise bilinmeyen, özeldir. Öyle bir kısım da vardır ki, bazılarını ilgilendirir; o halde gizlidir. Bu bilgi, tasarım, satın alma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. İstenmeyen ellere geçtiğinde, etkisini hemen (bir ihalenin kaybı gibi), ya da yavaşça gösterebilir.

Bilgiyi kaybettiğinizin farkına varamayabilirsiniz. Ancak, işler nedense kötü gitmektedir. Bilgi, kuruluşunuzun faaliyetleri ve devamı için büyük bir önem taşır. ISO/IEC 27001 Standardı ve bu standardın gereklilikleri, değerli bilgi varlıklarınızı yönetmenize, korumanıza ve özellikle de müşterilerinize güven vermenize yardımcı olur. Çünkü bazı sektörlerde (hizmet ve iletişim gibi) müşterileriniz ile ilgili daha özel bilgileri bünyenizde bulundurmanız gerekmektedir.

Güvenlik ihtiyacımızı ortaya çıkartan sebepler; iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve kişisel kurumsal kayıplarda meydana gelen artışlardır.

Bilgi güvenliği standardı olan BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak revize edilmesiyle yürürlüğe giren bu standart, kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.

Bunun yanı sıra ISO 17799:2002 numaralı standart, ISO 17799:2005 “bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi” olarak revize edilip yayımlanmıştır. Bu rehber, ISO 27001’e göre kurulacak bir Bilgi Güvenliği Yönetim Sistemi’ nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.

Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi, bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum, kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.

Risk işleme için standartta öngörülen kontrol hedeflerinden seçimler yapılmalı ve uygulanmalıdır. Planla – uygula - kontrol et - önlem al (PUKÖ) çevrimi uyarınca, risk yönetimi faaliyetleri yürütülmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışma sürdürülmelidir.

ISO 27001, kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerinin hazırlanmasını ve bunların kayıtlarının tutulmasını gerektirir. Kurum, tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditleri hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi, ancak yönetimin aktif desteği ve personelin katılımıyla başarılabilir.

Kurum içerisinde bu çalışmaları yürütecek Bilgi Güvenliği Yönetim Sistemi takımının ve Bilgi Güvenliği Yönetim Sistemi yöneticisinin bilgi güvenliği konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında, firmaların uzman desteği ve danışmanlık almaları faydalı olmaktadır.

ISO 27001’den bahsederken, karıştırılan ve dikkatle ayrılması gereken husus; ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 sizin sistemlerinize nasıl virüs bulaşmayacağını anlatmaz.

Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez… Size, toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.

Kuruluşların uyguladığı bazı kontroller şunlardır;

  • Şifre kullanarak kişisel bağlanma,
  • Virüs kontrolleri, yedekleme ve saklama (şirket dışında saklama da dahil) uygulamaları,
  • Yetki tabloları,
  • İK ile işbirliği,
  • İş planlama ( kaza sonucunda ve iş sürekliliği için yapılacakların listesi),
  • BT hata raporlamaları,
  • E-posta, faks, internet ve fotokopi için kullanma koşulları,
  • Dosyalara erişimde yetkiler.

Bu uygulamalar iyi bir başlangıçtır. Ancak, şifrelerin paylaşıldığına, bir yere kaydedildiğine ve görünürde olduğuna sık rastlanır. Bir cep telefonu konuşmasına kulak misafiri olup da hattın diğer ucundaki kişinin ne söylediğini tahmin edebilmemiz bir güvenlik sorunu teşkil edebilir. Eski sistem yöneticimizin, tüm personelin e-posta, uzak masa üstü ve kullanıcı hesabı şifrelerinin bir kopyasını almış olması da tamamen bir güvenlik sorunudur ve şirketin tüm faaliyetleri tehlike altına girebilir.

Bilgi güvenliğinin casus savaşları ile ilgisi yoktur.

Aşağıdaki kriterler için bir yönetim sistemini oluşturur:

Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi.

Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi.

Erişebilirlik: Yetkilendirilmiş kullanıcıların, gerek duyduklarında bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi.

Bunların eksikliği ticari zarara, ciddi iş kaybına, prestij zedelenmesine yol açabilir.

Bilgi güvenliğinin paranoya ile sağlanması mümkün değildir. Başlama noktası, her türlü yönetim sistemi gibi risk analizidir.

Riskin üç boyutu vardır; varlığın değeri, tehdit, savunmasızlık. Riskin boyutu bu üçünün toplam etkisi ile oluşur.

2008’de yapılan bir çalışmaya göre Bilgi Güvenliği Yönetim Sistemi’ indeki başarısızlık nedenleri şunlardır;

  • %57’si kaza eseri,
  • %24’ü kötü niyetli hareketler,
  • %11’i ekipman hatası,
  • % 3’ü yazılım hatası,
  • % 5’i diğer.

Yine aynı yılın çalışmasına göre, bilgi teknolojileri başarısızlıkları ise şunlardır;

  • %18’i enerji kesintisi,
  • %17’si kullanıcı hatası,
  • %17’si LAN hatası,
  • %14’ü dış kaynaklı virüsler,
  • % 9’u WAN hatası,
  • % 6’sı çalışanların bilerek verdiği zarar,
  • % 6’sı operatör hatası,
  • %13’ü diğer.

Risk değerlendirmesi çok ciddi bir iştir. Ancak, üst yönetimin taahhüdü, personelin katılımı ve iş hedeflerinin açıklığı da bir o kadar önemlidir.

Kuruluşun sahip olduğu varlıkların doğru değerlendirilmesi, hırsızlık, yangın, sel baskını, deprem ve verinin tahribini önlemek gibi konular için kuruluşun dışarıdan uzman desteği alması gerekebilir.

Bilgi güvenliği yönetim sistemi standardı, BS 7799 – Part 2 (2002 baskısı) belgelendirmesi yapılan bir standarttır. Aynı standardın birinci kısmı Part 1 veya uluslararası ISO 17799, bir rehber olup, iyi uygulamalar örnekleri içerir. TSE bu standardı, bir Türk standardı olarak kabul etmiş ve Kasım 2002’de yayımlamıştır.

Standarda göre sistem kurmak için kuruluş; bilgi güvenliği politikasını belirlemeli, sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlemeli, risk değerlendirme sonuçlarını yorumlamalı, kullanacağı kontrolleri seçmeli ve yönetim sorumluluklarını açıkça belirtmelidir.

Bilgi güvenliği sistem dokümantasyonu şunlardan oluşacaktır; risk değerlendirme işlem kayıtları, yönetim sorumluluğu, politika (Örn: temiz masa, internet erişimi, kriptografi, erişim kontrolü v.b.) Özel operasyonel dokümanlar ve prosedürler, periyodik gözden geçirmeler… ISO 9001 disiplini elde etmiş firmalar bunları anlamakta zorlanmayacaklardır.

Üçüncü tarafların erişimi de pek çok firmada vardır ve kritiktir. Servis verenler, taşeronlar ve iş ortaklarının da erişimi dikkate alınmalı ve sürekli gözlenmelidir.

Her ne olursa olsun ticari süreklilik esastır… Çok basit bir örnek verelim; yangın geçirmiş bir binaya itfaiye haftalarca giriş izni vermezse, işi kaybetmeye kadar varan çok ciddi zararlar ile karşı karşıya kalınabilir. İşlerin devamı için pek çok kriz planının önceden oluşturulmuş olması gerekmektedir. Şirket, başka bir yerden ve başka kişilerle işlerine devam edebilmelidir. Sistem, iş sürekliliği için önlemleri şart koşmaktadır.

ABD savunma sistemleri 2005 yılında 250.000 kez saldırıya uğramış ve bunların %65’i başarılı olmuştur. Bu da bize göstermektedir ki, olumsuzluklar her şartta vardır ve var olmaya da devam edecektir. Çok ciddiye alınması gereken bir sistem standardı olan bu standart; her boyutta, her türlü kuruluş tarafından uygulanabilir. Önemli olan geç kalmamaktır.

Başa Dön


ISO 27001 Belgesi Standart İçeriği Nedir ?

  • Kapsam
  • Atıf yapılan standard ve/veya dokümanlar
  • Terimler ve tarifler
  • Kuruluşun bağlamı
    • Kuruluşun ve bağlamının anlaşılması
    • İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
    • Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
    • Bilgi güvenliği yönetim sistemi
  • Liderlik
    • Liderlik ve bağlılık
    • Politika
    • Kurumsal roller, sorumluluklar ve yetkiler
  • Planlama
    • Risk ve fırsatları ele alan faaliyetler
    • Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
  • Destek
    • Kaynaklar
    • Yeterlilik
    • Farkındalık
    • İletişim
    • Yazılı bilgiler
  • İşletim
    • İşletimsel planlama ve kontrol
    • Bilgi güvenliği risk değerlendirme
    • Bilgi güvenliği risk işleme
  • Performans değerlendirme
    • İzleme, ölçme, analiz ve değerlendirme
    • İç tetkik
    • Yönetimin gözden geçirmesi
  • İyileştirme
    • Uygunsuzluk ve düzeltici faaliyet
    • Sürekli iyileştirme
  • Ek A Referans kontrol amaçları ve kontroller
  • Başa Dön


    ISO 27001 Belgesi Örnek Sistem Dokümanları

    ISO 27001 Belgesi için örnek sistem dokümanları

    Başa Dön


    Örnek ISO 27001 Belgesi

    Örnek ISO 27001 Belgesi

    Başa Dön


    iso-9001-belgesi-populer-hizmetler
    ISO 9001 Belgesi

    Sistem Belgelendirme

    helal-belgesi-popular-hizmetler
    Helal Belgesi

    Gıda Belgelendirme

    iso-27001-belgesi-populer-hizmetler
    ISO 27001 Belgesi

    Sistem Belgelendirme

    vegan-belgesi-populer-hizmetler
    Vegan Belgesi

    Gıda Belgelendirme

    dogal-gida-belgesi-populer-hizmetler
    Doğal Gıda Belgesi

    Gıda Belgelendirme

    iso-22000-belgesi-populer-hizmetler
    ISO 22000 Belgesi

    Gıda Belgelendirme

    iso-14001-belgesi-populer-hizmetler
    ISO 14001 Belgesi

    Sistem Belgelendirme

    Kalitenizi "Tescillemek" ister misiniz ?