ISO 27001

ISO 27001 aslında neye benzer?

ISO/IEC 27001, 11 bölüme ve Ek A’ya bölünmüştür. 0’dan 3’e kadar olan bölümler giriş niteliğindedir (ve uygulama için zorunlu değildir), ancak 4’ten 10’a kadar olan bölümler zorunludur – yani tüm gereksinimlerinin bir kuruluşta uygulanması gerekir. Ek A’daki kontroller, ancak Uygulanabilirlik Bildirimi’nde uygulanabilir olduğu beyan edildiği takdirde uygulanmalıdır.

Uluslararası ISO / IEC Direktifleri Organizasyonunun Ek SL’sine göre, ISO 27001’deki bölüm başlıkları ISO 22301: 2012 ve ISO 9001: 2015 ile aynı standartların daha kolay entegrasyonunu sağlamaları için aynıdır.

Bölüm 0: Giriş – ISO 27001’in amacını ve diğer yönetim standartlarına uygunluğunu açıklar.

Bölüm 1: Kapsam – bu standardın herhangi bir organizasyon türüne uygulanabileceğini açıklar.

Bölüm 2: Normatif referanslar – terimlerin ve tanımların verildiği standart olarak ISO / IEC 27000’i ifade eder.

Bölüm 3: Terimler ve tanımlar – yine ISO / IEC 27000’i ifade eder.

Bölüm 4: Organizasyonun içeriği – bu bölüm PDCA (Plan-Do-Check-Ack) döngüsündeki Plan aşamasının bir parçasıdır ve dış ve iç konuları, ilgili tarafları ve bunların gereklerini anlamak ve BGYS kapsamını tanımlamak için gereklilikleri tanımlar.

Bölüm 5: Liderlik – bu bölüm PDCA döngüsündeki Plan aşamasının bir parçasıdır ve üst düzey Bilgi güvenliği politikasının rollerini ve sorumluluklarını ve içeriğini belirleyerek üst yönetim sorumluluklarını tanımlar.

Bölüm 6: Planlama – bu bölüm PDCA döngüsündeki Plan aşamasının bir parçasıdır ve risk değerlendirmesi, risk tedavisi, Uygulanabilirlik Bildirimi, risk tedavi planı ve bilgi güvenliği hedeflerinin belirlenmesi için gerekli şartları tanımlar.

Bölüm 7: Destek – bu bölüm PDCA döngüsündeki Plan aşamasının bir parçasıdır ve kaynakların kullanılabilirliği, yeterlilikler, farkındalık, iletişim ve belgelerin ve kayıtların kontrolü için gereksinimleri tanımlar.

Bölüm 8: Operasyon – bu bölüm, PDCA döngüsündeki Do aşamasının bir parçasıdır ve risk değerlendirme ve tedavisinin yanı sıra bilgi güvenliği hedeflerine ulaşmak için gereken kontrol ve diğer süreçlerin uygulanmasını tanımlar.

Bölüm 9: Performans değerlendirmesi – bu bölüm, PDCA döngüsündeki Check fazının bir parçasıdır ve izleme, ölçme, analiz, değerlendirme, iç denetim ve yönetim gözden geçirme gereksinimlerini tanımlar.

Bölüm 10: İyileştirme – bu bölüm PDCA döngüsündeki uygulama fazının bir parçasıdır ve uygunsuzluklar, düzeltmeler, düzeltici eylemler ve sürekli iyileştirme için gereklilikleri tanımlar.

Ek A – bu ek, 14 bölüme (A.5 ila A.18 bölümleri) yerleştirilmiş 114 kontrol (koruma) kataloğu sunmaktadır.

Zorunlu belgeler:

ISO 27001, aşağıdaki belgelerin yazılmasını gerektirir:

BGYS kapsamı (madde 4.3)
Bilgi güvenliği politikası ve hedefleri (madde 5.2 ve 6.2)
Risk değerlendirmesi ve risk tedavi metodolojisi (madde 6.1.2)
Uygulanabilirlik Bildirgesi (madde 6.1.3 d)
Risk tedavisi planı (madde 6.1.3 e ve 6.2)
Risk değerlendirme raporu (madde 8.2)
Güvenlik rollerinin ve sorumluluklarının tanımı (madde A.7.1.2 ve A.13.2.4)
Varlıkların envanteri (madde A.8.1.1)
Varlıkların kabul edilebilir kullanımı (madde A.8.1.3)
Erişim kontrol politikası (madde A.9.1.1)
BT yönetimi için çalışma prosedürleri (madde A.12.1.1)
Güvenli sistem mühendisliği ilkeleri (madde A.14.2.5)
Tedarikçi güvenlik politikası (madde A.15.1.1)
Olay yönetim prosedürü (madde A.16.1.5)
İş sürekliliği prosedürleri (madde A.17.1.2)
Yasal, düzenleyici ve sözleşme gereksinimleri (madde A.18.1.1)

Zorunlu kayıtlar:

Eğitim, beceri, deneyim ve niteliklerin kayıtları (madde 7.2)
İzleme ve ölçüm sonuçları (madde 9.1)
İç denetim programı (madde 9.2)
İç denetimlerin sonuçları (madde 9.2)
Yönetim değerlendirmesinin sonuçları (madde 9.3)
Düzeltici faaliyetlerin sonuçları (madde 10.1)
Kullanıcı etkinliklerinin, istisnaların ve güvenlik olaylarının kayıtları (madde A.12.4.1 ve A.12.4.3)
Elbette, bir şirket gerekli gördüğü takdirde ek güvenlik belgeleri yazmaya karar verebilir.

Sertifika nasıl alınır?

Kuruluşlar, standardın tüm zorunlu maddeleriyle uyumlu olduklarını kanıtlamak için sertifika alabilirler.
Bir kuruluşun sertifikalı olması için, standardın önceki bölümlerde açıklandığı şekilde uygulanması ve daha sonra belgelendirme kuruluşu tarafından gerçekleştirilen sertifikasyon denetiminden geçmesi gerekir.

Sertifika denetimi aşağıdaki adımlarda gerçekleştirilir:

Aşama 1 denetimi (Belge incelemesi) – denetçiler tüm belgeleri gözden geçirecektir.
Aşama 2 denetimi (Ana denetim) – denetçiler, bir şirketteki tüm faaliyetlerin ISO 27001 ve BGYS belgeleriyle uyumlu olup olmadığını kontrol etmek için yerinde denetim gerçekleştirir.

Gözetim ziyaretleri- sertifika düzenlendikten sonra, 3 yıllık geçerliliği boyunca denetçiler, şirketin BGYS’lerini sürdürüp sürdürmediğini kontrol edecektir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak

ISO 27001 Uluslararası Standardizasyon Örgütü (ISO) tarafından yayınlanan uluslararası bir standarttır ve bir şirkette bilgi güvenliğini nasıl yönetileceğini açıklar. Bu standardın en son revizyonu 2013 yılında yayınlanmıştır ve tam başlığı ISO/IEC 27001:2013 şeklindedir. Standardın ilk versiyonu 2005 yılında yayınlanmıştır ve aslında bir İngiliz standardı olan BS 7799-2’ye dayanılarak geliştirilmiştir.

ISO 27001, her türlü organizasyonda, kâr veya kâr amacı gütmeyen, özel veya devlete ait, küçük veya büyük ölçekli işletmeler için uygulanabilir. Bilgi güvenliği alanında dünyanın en iyi uzmanları tarafından yazılmıştır ve bir kurumda bilgi güvenliği yönetiminin uygulanması için sürdürülebilir bir metodoloji sağlamaktadır. Aynı zamanda şirketlerin sertifikalandırılmasını da sağlar, bu da bağımsız bir belgelendirme kuruluşunun, bir kuruluşun ISO 27001 ile uyumlu bilgi güvenliği uyguladığını doğruladığı anlamına gelir.

ISO 27001, dünya çapında en popüler bilgi güvenliği standardı haline gelmiştir. Birçok şirket ISO 27001 bilgi güvenliği sertifikası almıştır.

ISO 27001’in odak noktası, bir şirketteki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Bu, bilginin neler olabileceğini ortaya çıkararak ve daha sonra bu tür sorunların ortaya çıkmasını önlemek için yapılması gerekenleri tanımlayarak yapılır. Yani risk değerlendirmesinin yapılması ve risk azaltma veya risk tedavisinin uygulanmasını sağlar. Bu nedenle, ISO 27001’in ana felsefesi risklerin yönetilmesine dayanmaktadır. Kısaca, risklerin nerede olduğunu bulmak ve daha sonra sistematik olarak bun riskleri tedavi etmektir.

Uygulanacak olan önlemler (veya kontroller) genellikle politikalar, prosedürler ve teknik uygulama (ör. Yazılım ve ekipman) şeklindedir. Bununla birlikte, çoğu durumda şirketler zaten tüm donanım ve yazılımları bulundurmaktadırlar. Fakat bunları güvenli olmayan bir şekilde kullanıyor olabilirler. Bu nedenle, ISO 27001 uygulamasının çoğunluğu, organizasyon kurallarını ayarlamakla ilgili olacaktır. ISO 27001, güvenlik ihlallerini önlemek için de gereklidir. ISO 27001, yönetilecek birden çok politika, prosedür, insan, varlık vb. tüm unsurların bilgi güvenliği yönetim sisteminde nasıl bir araya getirileceğini açıklamıştır.

Dolayısıyla, bilgi güvenliğini yönetmek yalnızca BT güvenliği (yani, güvenlik duvarları, virüsten korunma vs.) ile ilgili değildir. Aynı zamanda süreçleri yönetmek, yasal koruma sağlamak, insan kaynaklarını yönetmek, fiziksel koruma sağlamak vb. unsurları içerir.

ISO 27001, şirketiniz için neden iyidir?

Bir şirketin bu bilgi güvenliği standardının uygulanmasıyla elde edebileceği 4 temel iş avantajı vardır:

Yasal gerekliliklere uyum: Bilgi güvenliği ile ilgili daha fazla yasa, yönetmelik ve sözleşme gereksinimleri vardır ve bu gereksinimlerin çoğu, ISO 27001’i uygulayarak çözülebilir. Bu standart, tüm bunlara uymak için size mükemmel bir metodoloji sunar.

Pazarlama avantajı elde edersiniz: Şirketinizin sertifikalı olması ve rakiplerinizin olmaması durumunda, bilgilerinizin güvenliğini sağlama konusunda hassas olan müşterilerin gözünde bir avantajınız olabilir.

Düşük maliyetler: ISO 27001’in ana felsefesi, güvenlik olaylarının gerçekleşmesini önlemek ve büyük ya da küçük her olayı maddi olarak değerlendirmektir. Bu nedenle, onları engelleyerek, şirketiniz oldukça fazla para tasarrufu sağlayacaktır. Ve en iyi şey ise ISO 27001’deki yatırım, elde edeceğiniz maliyet tasarruflarından çok daha küçüktür.

Daha iyi bir organizasyon: Genellikle hızlı büyüyen şirketlerin süreçlerini ve prosedürlerini durdurma ve tanımlama zamanı yoktur. Sonuç olarak, çalışanlar çoğunlukla süreçlerin ne zaman ve kimin tarafından yapılması gerektiğini bilmezler. ISO 27001’in uygulanması, bu gibi durumların çözümüne yardımcı olur. Çünkü şirketleri, kendi ana süreçlerini (güvenlikle ilgili olmayanlar bile olsa) yazmaları için teşvik eder, böylece çalışanlarının kayıp zamanlarını azaltmalarını sağlar.