ISO 27001 Belgesi

ISO 27001 Belgesi


Teknolojinin ve iletişimin çok hızlı geliştiği çağımızda, iş ortamında sahip olunan bilginin korunması çok daha önemli bir hal almıştır. Bilgi, bir kuruluşun faaliyetlerini sürdürebilmesi için büyük önem taşır. Bilginin korunmasında oraya çıkacak güvenlik riskleri ve bilgi varlıklarına yönelik tehditleri belirlemek ve sistemdeki açık noktaları denetlemek ciddi bir uğraş gerektirmektedir. Bilgi Güvenliğini kurmak ve yapılacak kontrollerin sürekliliğini sağlamak, bununla ilgili güvenlik esaslarını doğru kurmaya, yönetim süreçlerini doğru belirlemeye ve bilgi güvenliği standardlarının belirlenmesine bağlıdır.


Uluslararası Standartlar Organizasyonu tarafından çıkarılan ISO/IEC 27001:2013 Bilgi Güvenliği Yönetimi Sistemi, değerli bilgi varlıkları korumaya ve yönetmeye yardımcı olan standartlar bütünüdür. Bu standard yönetim sistemi, yeterli ve orantılı güvenlik kontrollerinin seçilmesini sağlamak için tasarlanmıştır.


ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi kurmuş olan firmalar, bilgi alt yapılarını tespit edip, bu varlıklara yapılacak olası saldırıları ve tehlikeleri analiz ederek, bu tehlikelerin meydana gelmesi durumunda ne yapılacağına karar verirler.


ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilginin korunmasına yönelik risklerin neler olduğunu ortaya çıkarmak ve bu riskleri ortadan kaldırmaya veya en aza indirmeye yarayacak önlemleri tespit etmek açısından kuruluşa büyük avantajlar sağlayacaktır. Bu Standard özellikle banka ve finans kuruluşlarında, sağlık kuruluşlarında, resmi dairelerde, ithalatta, ihracatta ve bilgi teknolojileri sektöründe bilginin korunması çok daha fazla önem taşımaktadır.


Bu standardın temel hedefleri, Kuruluşların olası bilgi güvenlik açıklarını tespit etmek, bilgi varlıklarının karşısında olan tehditleri ortaya koymak ve bu tehditleri sistematik olarak denetlemek. Risk altında olan bilgi varlıklarının güvenliğini sağlamak üzere yapılacak kontrolleri belirlemek, bu kontrollerin yapılmasını sağlamak ve olası riskleri kabul edilebilir seviyelerde tutmak. Bu şekilde yapılacak bilgi güvenliği kontrollerinde sürekliliği sağlamak ve bu amaçla yönetim süreçlerini belirlemek ve uygulamaktır.


ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?


Veriler ve bilgiler her kuruluştaki değerli varlıklardır ve potansiyel risklerden veya tehditlerden korunmayı hak eder. Fikri mülkiyetinizi, finansal verilerinizi ve üçüncü taraf veya çalışan bilgilerini korumak için bir Bilgi Güvenliği Yönetim Sistemi (BGYS) uygulamanız gerekir.


ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sistemi (BGYS), hassas kurumsal verileri ve bilgileri çeşitli risklere karşı tanımlamanıza, yönetmenize ve korumanıza yardımcı olan süreçlerin ve politikaların birleşimine denir.”


ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sisteminin (BGYS’ nin) temel amacı, korunan veri ve bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaktır.”


ISO 27001 Nedir?


ISO 27001”, BGYS için gereksinimleri belirleyen uluslararası kabul görmüş bir standarttır. Gereksinimler, yönetim sisteminizi nasıl oluşturacağınız, yöneteceğiniz ve geliştireceğiniz hakkında talimatlar sağlar. 2013 yılında güncellenen ve günümüzde “ISO 27001:2013” olarak adlandırılan standart, müşteri ve paydaş gizliliğinin korunması için bir ölçüt olarak kabul edilmektedir.


ISO Analizlerinden elde edilen sonuçlara göre; 2018 yılı sonu itibarı ile dünya genelinde yaklaşık 32.000 adet ISO 27001 Belgesi bulunmakta ve 2017 yılına nazaran %19,2 azalma tespit edilmiş durumdadır. Önemli bir oranda azalma görülse de yine de belge sayılarının, bilgi teknolojileri ve güvenliği noktasında ilerleyen yıllarda çok fazla sayıda artması beklenmektedir.


ISO 27001'in Faydaları Nelerdir?


ISO 27001 Sistemi uygulamayı düşünen bir kuruluşta veya BGYS ile çalışan bir kuruluşta Üst Yönetimde ya da proseste bir yöneticiyseniz, ISO 27001 standardı yönetim sisteminin size de ne kadar değer katabileceği hakkında daha fazla bilgi sahibi olmanız gerekir.


Elde edebileceğiniz bazı önemli faydalara bakalım;


A.Güvenli bilgi alışverişi izni sağlar;


Bu standart, bilgi güvenliğinize yönelik tehditleri belirlemenize ve bunlara yönelik planlar oluşturmanıza yardımcı olur. Herhangi bir özel risk için, bir şeylerin yanlış gitmesi durumunda durumu kontrol edebilecek kadar sorumlu birisine sahip olursunuz. Bu tür bir süreç risk maruziyetini yönetebilir ve en aza indirebilir ve otomatik olarak daha güvenli bir bilgi alışverişine yol açabilir.


B.Bilgi güvenliğini herkesin sorumluluğuna yayar;


Şirketinizde ISO 27001'i uyguladığınızda, çalışanlar arasında farkındalık yaratır ve kuruluştaki rollerine bakılmaksızın bilgi güvenliğinden sorumlu olmalarını sağlamak için bilgi güvenliği eğitimi sağlarsınız.


Sonunda, veri koruma kuruluşun kültürüne doğru yol alır ve bir şekilde bilgi güvenliği sürecini herkesin anlayacağı ve başarmak için çalıştığı bir şekle sokar.


C.Rekabet avantajı ve itibar sağlar;


Değerli verilerini sizinle paylaşan tüm müşterilerinizin veya ortaklarınızın bilgi güvenliğinin öneminin bilincinde olduğunu ve bunu vermenizi beklediğini söylemek güvenlidir. ISO 27001 gibi bir bilgi güvenliği standardı sertifikasına sahip olmak, ortaklarınızın ve müşterilerinizin varlıklarına da önem verdiğinizi göstermenin güçlü bir yoludur. Bu, güven oluşturur, sizin için olumlu bir itibar yaratır ve sizi rakiplerinizden farklı kılar. ISO 27001 sertifikasına sahiptir.


D.Yasal veya üçüncü taraf yükümlülüklerini yerine getirir;


Muhtemelen bazen bir müşteri, üçüncü taraf veya yasalar tarafından kuruluşunuzun bilgi güvenliğini göstermesi istenir.


Böyle durumlarda ISO 27001 mükemmel bir seçim olabilir. Bu standart, dünya çapında birçok kuruluş tarafından tanınmakta ve kullanılmaktadır ve açık ve pratik talimatlarını uygulayarak, bilgi ve veri güvenliği ile ilgili güvenilirliğinizi kanıtlayabilirsiniz.


E.Yatırım getirisi sağlar;


Bu standardı uygulayarak, yatırım getirisini en az iki şekilde elde edebilirsiniz. Bunun bir yolu, sertifikanın potansiyel müşterileri çekebileceği ve potansiyel müşterileriniz tarafından yürütülen satış öncesi durum tespiti konusunda yardımcı olabileceğinden, kuruluşunuza kattığı pazarlama değeri yoluyladır.


İkincisi, bu standart, kuruluşunuzun finansal cezalara ve ilgili yasal sorunlara yol açan itibarını ciddi şekilde etkileyebilecek risklerin istenmeyen etkilerinden kaçınmanıza, ortadan kaldırmanıza veya azaltmanıza yardımcı olur.


ISO 27001 Standardı Hakkında Bilinmesi Gerekenler Nelerdir?


Genel olarak güvenlik standartları veya özellikle ISO 27001 hakkında bilinmesi gerekenleri düşündüğünüzde aklınıza ne geliyor? Gördüğümüz ve duyduğumuzdan, çok yararlı olmayan bazı genel varsayımlar ve inançlar var. Bu bölgeye biraz ışık tutalım ve konu hakkında bazı ilginç gerçekleri açıklayalım;


1)Bu standart dokümantasyon ile ilgili değildir;

ISO 27001:2013 Standart, yakın zamanda güncellenen diğer standartlar gibi, dokümante edilmiş bilgi terimini kullanır, yani herhangi bir kuruluş, gerekli bilgileri ona en uygun şekilde ve gerektiği ölçüde saklayabilir. Başka bir deyişle, kayıtlarınız için saklanan dokümante edilmiş bilgilerin formatından ve miktarından siz sorumlusunuz. Sonuçta, bu belgelenmiş bilginin ne yaptığınızı ve gelecekte ne yapılması gerektiğini takip etmenize yardımcı olacağı varsayılmaktadır.


2)Karmaşık değildir;

Bilgi güvenliğinin adı bazılarımız için ağır gelebilir ve aklımızda bununla ilgili her şeyin teknik olmayan bir kişi için çok karmaşık olduğu fikrini yaratabilir. ISO 27001, BGYS uygulama sürecini herkesin bir parçası olabileceği kadar pürüzsüz ve basit hale getirmek için bilgilerinizle gideceğiniz yolda ihtiyacınız olan tüm rehberlik ve ana hatları sağlar.


3)BT departmanlarının sorumluluğu değildir;

Gerçek şu ki, sadece bilgi güvenliği ile ilgili olduğu için, diğer departmanları endişelendirmemesi gerektiği anlamına gelmez. Aslında, bilgi sadece bilgi teknolojisi ekibinin endişesi olmadığından organizasyondaki her bir kişi BGYS için sorumluluklara sahip olacaktır.


ISO 27001, sürece dahil olan kişilerin BGYS hakkında yeterli yetkinliğe ve farkındalığa sahip olmalarını bekler, böylece katılımları ve yapmaları gerekenden sorumlu olabilirler.


4)Kuralcı değildir;

ISO 27001, elde edilmesi beklenen sonuçları belirleyen bir standarttır, ancak bunu nasıl yaptığınız kuruluşa bağlıdır.


Örneğin, bilgi güvenliği bilinci, eğitim ve öğretim şunları belirtir:


Kuruluşun tüm çalışanları ve ilgili olduğu durumlarda yükleniciler, iş işlevleriyle ilgili olarak kuruluş politikaları ve prosedürlerinde uygun farkındalık, eğitim ve öğretim ve düzenli güncellemeler alacaktır.


Bu gereklilikler, gerçekleri, farkındalık, eğitim ve öğretim yoluyla ne sıklıkta ne tür bir faaliyetin veya hangi konuların ele alınması gerektiğini belirtmezler. Bir denetçinin bakış açısından, deneyimlerine dayanarak neyin uygun ya da neyin uygun olmadığı konusunda belirli düşünceleri olabilir ama sonuçlara bağlamla uyumlu şekilde ulaştığınızı gösterebilirseniz, belirli bir yaklaşım izlemenizi zorunlu kılamazlar. Kuruluşunuzun Bağlamı, yürürlükteki mevzuat, sözleşme gereklilikleri, Kuruldan beklentiler, bilgi güvenliği riskleri veya kuruluşunuza özgü diğer herhangi bir maddeyi içerebilir.


ISO 27001 Belgesi Nasıl Alınır? ISO 27001 Belgelendirme ve Denetimi Nasıldır?


ISO belgesi veren firma nedir? ne yapar?


Belgelendirme kuruluşu, Aşama 1 ve Aşama 2 denetimlerini gerçekleştirerek uygunluk durumuna göre ISO 27001 Belgesi Veren Firma’ dır. Bu faaliyeti gerçekleştiren firmalara, “3. Taraf Sertifikasyon Kuruluşu” denir.


Üçüncü Taraf Sertifikasyonu, Yönetim Sisteminizin bağımsız bir üçüncü taraf kuruluş tarafından denetlenmesidir. Bu denetim türü tipik olarak, TÜRKAK gibi AKREDİTASYON KURUMU bir devlet kuruluşu tarafından yetkilendirilen Uygunluk Değerlendirme Kuruluşları için kullanılır. Belge Veren Firmalar/Kuruluşlar, ISO 9001, ISO 22000, ISO 45001, ISO 10002, ISO 39001, ISO 3834-2, ISO 17100, ISO 15838, ISO 37000 ve ISO 14001 gibi çeşitli standartlara uygun kayıtlı sertifikaları da verebilirler. ISQ, bu standartların tamamı için yetkili ve uzman bir ortağınızdır.


Aşama 1 ve Aşama 2 Denetimleri Nedir?


ISO 27001 Belgelendirme Süreci 2 aşamadan oluşur. Aşama 1’de, ISQ veya anlaştığınız başka bir denetim kuruluşu, teklif ettiğiniz kapsamın gerekliliklerini ve kendiniz için belirlediğiniz hedefleri karşılayıp karşılamadığınızı doğrular.


Denetim kuruluşu, bu noktada normal olan herhangi bir endişe konusu (uygunsuzluk) bulursa, daha iyi bir BGYS’ ye sahip olmak için ekstra çaba sarf edeceksiniz demektir.


Denetim heyeti, denetimin 2. aşamasına başlamadan önce, endişe duyduğunuz alanları ele almak için size biraz zaman verecektir. Aşama 2'de, tüm endişe alanlarının (uygunsuzlukların) düzeltildiğinden emin olmak ve bilgi güvenliği yönetim süreçlerinin uygulanmasında ortaya çıkacak uygunluk durumu ve uygunsuzlukları tespit etmek için sisteminiz tekrar değerlendirilecektir. Bu aşamada, büyük uygunsuzluklar yoksa, sertifikanız verilebilir; aksi takdirde, denetimin bir sonraki ziyaretinden önce mevcut uygunsuzlukları düzeltmeniz için zaman verilecektir. Uygunsuzlukları giderdikten sonra ISO 27001 sertifikası almaya hak kazanacaksınız.


Gözetim Denetimi(leri) Nedir?


Tipik olarak, ISQ gibi bir belgelendirme kuruluşu, sertifikanız yayınlandıktan sonraki ilk üç yıl boyunca yönetim sisteminizin yıllık gözetimini yapar. Bu şekilde, her şeyin standarda uygun şekilde çalıştığından ve uygulamaların ISO standart gereksinimlerini karşıladığından emin olacaksınız.


ISO 27001 BGYS Standardı Gereksinimleri Nelerdir?


ISO 27001, kuruluşlara bilgi güvenliği yönetim sistemi gereksinimleri olarak hizmet veren 10 madde ve kuruluş tarafından dikkate alınması gereken 114 denetimi özetleyen Ek A bölümünü de verir. Kuruluşlar bir şekilde herhangi bir boyuttaki ve türdeki bilgiyi çeşitli şekillerde toplar, işler ve iletirler. Bu faaliyetlerin yönetilmesi için ISO 27001 ile uyumlu bir BGYS' nin uygulanmasından yararlanabilirler.


Standardın başlangıcında yer alan 3 maddesi, terimler, tanımlar ve ISO 27001'in normatif referansı hakkında giriş bilgilerini içermektedir. Yönetim sistemi kriterlerinin verildiği ana içerikler 4. maddeden başlar.


ISO 27001 BGYS Standardı Gereksinimleri;


Standart Madde 4- Kuruluşun bağlamı;

Bağlam organizasyonun BGYS' ni inşa ettiği temeli oluşturan bir kavramdır. O işinizi ve ortamınızı tanımlamak ve analiz etmekle ilgilidir. Bunu yapmak için, BGYS'nizin başarısını ve hedeflerine ulaşmasını etkileyebilecek tüm faktörleri belirlemelisiniz.


Örnek olarak:


•Bilgi güvenliği sistemi ile ilgili tüm iç ve dış konular,


•Tüm iç ve dış ilgili taraflar ve beklentileri,


•Yönetim sisteminin kapsamı.


Kuruluşun bağlamını tanımlamanın önemi, risk yönetimi ve sürekli iyileştirme gibi daha sonra oluşturacağınız bazı önemli süreçlerin temelini oluşturmasıdır.


Bu noktada elde etmeniz gereken şey, bir BGYS ile korumak istediğiniz varlıkların neler olduğunu ve nedenini tanımlamaktır.


Bağlamınız ve BGYS' nizin kapsamı ne kadar açık ve net olursa diğer kuruluşlarla ilişkilerinizi görmeniz konusunda fırsatlar ve avantajlar sağlayabilir.


Standart Madde 5- Liderlik;

Üst yönetici bir organizasyon sürecine dahil olduğunda, istenen sonuçları elde etme şansı pasif olduğu ve dahil olmadığı zamandan çok daha yüksektir. BGYS başarısı üst yönetim taahhüdüne dayanmaktadır ve standart, bu maddeyi liderlik rolü ve sorumluluğuna atayarak bu gerçeğe vurgu yapmaktadır. Üst yönetimin destek ve katılımı göstermek için yapması gerekenler şunlardır:


•BGYS politikasının ve hedeflerinin veya nesnel bir çerçevenin oluşturulması,


•BGYS politikasını ve hedeflerini genel iş stratejisiyle uyumlu hale getirmek,


•Gerekli tüm kaynakları tahsis etmek,


•Yönetim sisteminde yer alan insanlarla iletişim kurmak ve onları desteklemek, BGYS uygulamak.


Standart Madde 6- Planlama;

BGYS için planlama yaparken, ISO 27001 riskleri ve fırsatları tanımlamak ve tedavi etmekle yakından ilgilidir.


Kuruluşların, riskleri tanımlayan, belirleyen ve ele alan bir risk yönetimi sürecine sahip olmasını gerektirir; standart aynı zamanda bunun şirkette sürekli iyileştirmeyi sağlamak için devam eden bir süreç olması gerektiğini vurgulamaktadır. İç ve dış konular ve ilgili tarafların gerekliliği açısından bulduklarınız, standardın 4. maddesinde risk yönetimi temelinde verilmektedir.


Planlamanın diğer kısmı bilgi güvenliği hedeflerinin belirlenmesi ve bu hedeflere ulaşılmasının planlanması ile ilgilidir. Bu hedefler BGYS politikası ve risk yönetimi sonuçları ile uyumlu olmalıdır. Aynı zamanda, hedefler ölçülebilir olmalı ve kuruluş aracılığıyla iletilmelidir.


Standart Madde 7- Destek;

Yeterli seviyede destek, bir kuruluşta BGYS' yi başarıyla uygulamak ve sürdürmek için gereklidir. Bu madde, BGYS ile ilgili yeterli kaynak, yetkinlik, iletişim ve belgelenmiş bilgi olduğunda destek sağlamanızı istemektedir.


Kaynaklar arasında ISO 27001' e uyum sürecinde ihtiyaç duyulacak insan, zaman, bütçe, bilgi ve altyapı yer almaktadır.


İnsanlar ve yetenekleri sistemin gerekli bir parçası. Diğer yandan, bilgiye ihtiyaç duyan insanlar için bilgiye erişimi kolaylaştırmak için bir iletişim süreci mevcut olmalıdır. İletişim yelpazesi, gerekli olduğu ölçüde tüm iç ve dış ilgili tarafları içermelidir. Sorunsuz ve yeterli iletişim BGYS' nin anahtarıdır.


Standart Madde 8- İşletme;

Bu noktada, halihazırda mevcut organizasyonun bağlamını, risklerini ve fırsatlarını tanımladı ve gerekli süreçleri planladı başarmak BGYS hedefleri ve riskleri ele alır. Şimdi planları uygulama zamanı.


Süreçler ve kontroller için ne zaman uygulama yaparsanız, BGYS gereksinimlerinin planlandığı gibi karşılandığından emin olmanız ve kapsamınızda bir değişiklik olduğunda uygun işlemleri yapabilmeniz gerekir.


Süreç çıktısı, bir ayarlama gerektiğinde izlenmeli ve gözden geçirilmelidir; örneğin, ilgili tarafların yeni beklentileri veya BGYS' de beklenmedik bir değişiklik olduğunda.


Standart Madde 9- Performans değerlendirme;

Gerekli süreçler uygulandığında, şirketin önceden belirlenmiş sonuçlara ulaşıp ulaşmadığını değerlendirme ve değerlendirme zamanı gelmiştir. Değerlendirme için;


Bilgi güvenliği performansı nasıl?BGYS ne kadar etkili?

Sorularını cevaplamak için, BGYS süreçlerinin tam olarak nasıl ölçüleceğini belirlemeniz gerekir. ISO 27001, kuruluşların tüm BGYS gerekliliklerinin karşılanıp karşılanmadığını görmekle sorumlu bir iç denetim programına sahip olunmasını bekler.


Üst yönetim bir kez daha tüm süreci gözden geçirmesi ve her şeyin kriterlere uygunluğunu, örgütün genel hedefleri ve stratejik yönü ile uyumlu olduğunu ortaya koymalıdır.


Standart Madde 10- Geliştirme;

Her zaman iyileştirme için gereklilik bulunmaktadır. Bu, küçük veya büyük uygunsuzlukları ortadan kaldırarak veya BGYS sürecinin farklı aşamalarında gerekli çalışmalar yapılarak sağlanabilir.


Herhangi bir kuruluşun genel bağlamı ve kapsamı, sürekli değişikliklere tabi olduğundan, Gelişme devam eden bir süreç ve etkili bir yönetim sisteminin kritik bir parçası olmalıdır.


Standart Ek A;


Ek A, bir kuruluşun göz önünde bulundurması gereken 114 güvenlik kontrolünün ana hatlarını çizer, bu kontroller 14 güvenlik alanına bölünmüştür:


Güvenlik Alanı 1:


A.5 Bilgi güvenliği politikaları


A.5.1 Bilgi güvenliği için yönetim yönü


Amaç: İşletme gereklilikleri ve ilgili yasa ve yönetmeliklere uygun olarak bilgi güvenliği için yönetim yönü ve desteği sağlamak.


Güvenlik Alanı 2:


A.6 Bilgi güvenliğinin organizasyonu


A.6.1 İç organizasyon


Amaç: Uygulamanın başlatılması ve kontrol edilmesi için bir yönetim çerçevesi oluşturmak operasyon kurum içinde bilgi güvenliği.


A.6.2 Mobil cihazlar ve uzaktan çalışma


Amaç: güvenlik tele-çalışma ve kullanım mobil cihazların.


Güvenlik Alanı 3:


A.7 İnsan kaynakları güvenliği


A.7.1 İşe başlamadan önce


Amaç: Çalışanların ve yüklenicilerin sorumluluklarını anlamalarını ve dikkate alındıkları roller için uygun olmalarını sağlamak.


A.7.2 İstihdam sırasında


Amaç: Çalışanların ve yüklenicilerin farkında olmalarını sağlamak yerine getirmek bilgi güvenliği sorumlulukları.


A.7.3 İş akdinin feshi ve değişimi


Amaç: organizasyonlar istihdamı değiştirme veya sona erdirme sürecinin bir parçası olarak çıkarlar.


Güvenlik Alanı 4:


A.8 Varlık yönetimi


A.8.1 Varlıkların sorumluluğu


Amaç: Kurumsal varlıkları ve uygun koruma sorumluluklarını tanımlamak.


A.8.2 Bilgi sınıflandırması


Amaç: Bilginin kuruluşa verdiği önem doğrultusunda uygun düzeyde koruma almasını sağlamak.


A.8.3 Ortam kullanımı


Amaç: Medyada depolanan bilgilerin izinsiz ifşasını, değiştirilmesini, kaldırılmasını veya imha edilmesini önlemek.


Güvenlik Alanı 5:


A.9 Erişim kontrolü


A.9.1 Erişim kontrolünün ticari gereksinimleri


Amaç: Bilgi ve bilgi işleme tesislerine erişimi sınırlamak.


A.9.2 Kullanıcı erişim yönetimi


Amaç: Yetkili kullanıcı erişimini sağlamak ve sistemlere ve hizmetlere yetkisiz erişimi önlemek.


A.9.3 Kullanıcı sorumlulukları


Amaç: Kullanıcıları, kimlik doğrulama bilgilerini korumaktan sorumlu hale getirmek.


A.9.4 Sistem ve uygulama erişim kontrolü


Amaç: Sistemlere ve uygulamalara yetkisiz erişimi önlemek.


Güvenlik Alanı 6:


A.10 Şifreleme


A.10.1 Şifreleme denetimleri


Amaç: Bilgilerin gizliliğini, gerçekliğini ve / veya bütünlüğünü korumak için kriptografinin uygun ve etkili kullanımını sağlamak.


Güvenlik Alanı 7:


A.11 Fiziksel ve çevre güvenliği


A.11.1 Güvenli alanlar


Amaç: Kuruluşun bilgi ve bilgi işleme tesislerine yetkisiz fiziksel erişimi, hasarı ve paraziti önlemek.


A.11.2 Ekipman


Amaç: Varlıkların kaybolmasını, hasar görmesini, çalınmasını veya uzlaşmasını ve kuruluşun faaliyetlerinde kesintiyi önlemek.


Güvenlik Alanı 8:


A.12 İşletme Güvenliği


A.12.1 Operasyonel prosedürler ve sorumluluklar


Amaç: Bilgi işlem tesislerinin doğru ve güvenli çalışmasını sağlamak


A.12.2 Kötü amaçlı yazılımlardan koruma


Amaç: Bilgi ve bilgi işleme olanaklarının kötü amaçlı yazılımlara karşı korunmasını sağlamak.


A.12.3 Yedekleme


Amaç: Veri kaybına karşı korumak


A.12.4 Günlüğe kaydetme ve izleme


Amaç: Olayları kaydetmek ve kanıt oluşturmak


A.12.5 İşletimsel yazılımın kontrolü


Amaç: İşletim sistemlerinin bütünlüğünü sağlamak.


A.12.6 Teknik güvenlik açığı yönetimi


Amaç: Önlemek istismar güvenlik açıkları


A.12.7 Bilgi sistemleri denetim hususları


Amaç: Denetim faaliyetlerinin operasyonel sistemler üzerindeki etkisini en aza indirmek.


Güvenlik Alanı 9:


A.13 İletişim güvenliği


A.13.1 Ağ güvenliği yönetimi


Amaç: Ağlardaki ve destekleyici bilgi işleme tesislerindeki bilgilerin korunmasını sağlamak.


A.13.2 Bilgi aktarımı


Amaç: Bir kuruluş içinde ve herhangi bir dış kuruluş ile aktarılan bilgilerin güvenliğini sağlamak.


Güvenlik Alanı 10:

A.14 Sistem alımı, geliştirilmesi ve bakımı


A.14.1 Bilgi sistemlerinin güvenlik gereksinimleri


Amaç: Bilgi güvenliğinin tüm yaşam döngüsü boyunca bilgi sistemlerinin ayrılmaz bir parçası olmasını sağlamak. Bu, ortak ağlar üzerinden hizmet sağlayan bilgi sistemleri için gereksinimleri de içerir.


A.14.2 Geliştirme ve destek süreçlerinde güvenlik


Amaç: Bilgi güvenliğinin, bilgi sistemlerinin gelişim yaşam döngüsü içerisinde tasarlanmasını ve uygulanmasını sağlamak.


A.14.3 Test verileri


Amaç: Test için kullanılan verilerin korunmasını sağlamak.


Güvenlik Alanı 11:


A.15 Tedarikçi ilişkileri


A.15.1 Tedarikçi ilişkilerinde bilgi güvenliği


Amaç: koruma ... organizasyonlar tedarikçiler tarafından erişilebilen varlıklar.


A.15.2 Tedarikçi hizmet sunum yönetimi


Amaç: Tedarikçi sözleşmeleri doğrultusunda kabul edilmiş düzeyde bilgi güvenliği ve hizmet sunumu sağlamak.


Güvenlik Alanı 12:


A.16 Bilgi güvenliği olay yönetimi


A.16.1 Bilgi güvenliği olaylarının ve iyileştirmelerinin yönetimi


Amaçlar: Güvenlik olayları ve zayıflıkları hakkında iletişim de dahil olmak üzere bilgi güvenliği olaylarının yönetimine tutarlı ve etkili bir yaklaşım sağlamak.


Güvenlik Alanı 13:


A.17 İş sürekliliği yönetiminin bilgi güvenliği yönleri


A.17.1 Bilgi güvenliği sürekliliği


Amaç: Bilgi güvenliği sürekliliği kuruluşların iş sürekliliği yönetim sistemlerine yerleştirilecektir.


A.17.2 Fazlalıklar


Amaç: Bilgi işlem tesislerinin kullanılabilirliğini sağlamak


Güvenlik Alanı 14:


A.18 Uygunluk


A.18.1 Yasal ve sözleşme şartlarına uyum


Amaç: Bilgi güvenliği ve güvenlik gereklilikleriyle ilgili yasal, yasal, düzenleyici veya sözleşmeye bağlı yükümlülüklerin ihlalini önlemek.


A.18.2 Bilgi güvenliği incelemeleri


Amaç: Bilgi güvenliğinin kurumsal politika ve prosedürlere uygun olarak uygulanmasını ve işletilmesini sağlamak.


Risk Yönetimi Nedir? ve Güvenlik Kontrolleri Nelerdir?


ISO 27001, bilgi güvenliği risk yönetiminin, sistemin temeli olduğunun anlaşılmasını ister ve bu istek için; kuruluşlardan risk tanımlama ve risk giderme süreci talep eder. Oluşturulan bu süreç sayesinde işletmeler BGYS avantajlarından tam olarak yararlanabilirler.


Basit bir anlatımla riskleri, hasarlı bir sunucu veya saldırıya uğramış bir banka hesabı gibi BGYS' niz kapsamında yanlış gidebilecek her şey olarak düşünebilirsiniz. ISO 27001 yönetim sistemi ile ilk başladığınızda risk yönetimi sürecinin nasıl oluşturulacağı açık olmasa da bu bölüm, sadece ne yapılması gerektiğine dair genel bir fikir vermeyi kolaylaştırılan 5 aşamalı risk yönetimi sürecini daha iyi anlamanıza yardımcı olabilir.


Şimdi, 5 Aşamalı Risk Yönetim Süreci’ ni inceleyelim;


1. Aşama: Risk Tanımlama:

Bu adım, BGYS'nizin kapsamındaki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atabilecek tüm riskleri bulmayı içerir. Riski kabul etmek için bazı özel kriterler geliştirmelisiniz ve bu kriterler iç ve dış sorundan ve ilgili taraftan geliyor (standardın 4. maddesi).


2. Aşama: Risk Sahibinin Tanımlanması:

Her bir riskten tam olarak kimin sorumlu olduğunu belirlemeniz gerekir. Bu kişi, gerektiğinde, örneğin istemci bilgilerini içeren bir USB flaş kaybolduğunda kimin sorumlu olabileceği konusunda harekete geçmek için yeterli yetkiye sahip olmalıdır.


3. Aşama: Risk Önceliklendirme/Sıralama:

Gerçekten gerçekleşirse her bir riskin sonuçlarını ve bu riskin bir gün gerçekleşme olasılığını düşünün. Böylece, ortaya çıkma olasılıklarına ve sonuçların ciddiyetine bağlı olarak tüm riskleri önceliklendirerek sıralayabilirsiniz.


4. Aşama: Kontroller ve Uygulanabilirlik Beyanı (SoA):

1. aşamadaki tüm yönetim sistemi risklerini belirledikten sonra, şimdi her bir riski ISO 27001 standart, Ek A'daki bir veya daha fazla uygun kontrolle ilişkilendirmeniz gerekir.


Ek A'da, BGYS'niz için riskleri ele almak üzere uygulayabileceğiniz politikalar, süreçler, prosedürler, organizasyon yapıları ve donanım ve yazılım işlevlerini içeren 114 kontrol parametresi bulunmaktadır.


Ardından, bazı açıklamalarla birlikte seçilen tüm denetimleri içeren uygulanabilirlik beyanınızı oluşturabilirsiniz.


Açıklamalarda, belirli bir kontrolü ve durumunun dahil edilmesinin nedenini belirtmelisiniz, yani uygulanıp uygulanmadığı, ayrıca kullanmadığınız kontrolleri de detaylandırmanız gerekir.


5. Aşama: Risk Giderme Planı:

Risk yönetiminizin son adımında, önceki adımlarda ne yaptığınıza bağlı olarak risk tedavi planı oluşturmanız gerekir.


Kullanmanız gereken belirli bir çerçeve yoktur, ancak plan uygulanması gereken kontrolleri, durumlarını ve kontrolleri uygulamaktan ve gelecekteki iyileştirmeler için sonuçları ölçmekten sorumlu risk sahiplerini içerebilir. Bu adımın sonucu dokümante edilmiş bilgi olarak saklanmalıdır.


ISO 27001 için genel olarak yapılması gerekenler nelerdir?


Şimdi, bu bilgi güvenliği standardının farklı yönlerini ele aldığımıza göre, özetlemek gerekirse, her şeyi bir araya getirebilir ve ISO 27001 yolculuğunuzdan nasıl geçmeniz gerektiğini görebiliriz, genellikle şunları yapmanız gerekir:


•Standart gereksinimleri okuyun ve işletmeniz için nasıl uygulanabileceğini anlayın,


•BGYS' nizin kapsamını belirleyin,


•Bilgi güvenliğiniz konusunda nerede durduğunuzu ve standardın nerede olmanızı gerektirdiğini görmek için bir boşluk analizi yapın,


•Yönetim sistemini uygulamak için ihtiyacınız olan tüm bilgileri ve desteği toplayın,


•Üçüncü taraf sertifika denetimi talebinde bulunun,


•Sonunda, yatırımınızın getirisini artırarak ve çalışanların katılımını sağlayarak genel iş durumunuzu iyileştiren bir BGYS oluşturun, bunun için; ISO 27001 standart’ ı ve yönetim sistemini mükemmel bir şekilde uygulamanız gerekir.