ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Nedir?

Bilgi Güvenliği ise hayati öneme sahip bilginin korunması, bütünlüğünün sağlanması ve erişebilir ve ulaşabilir olmasının sağlanması için alınan gerekli ve önemler ve tedbirlerdir.

Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:

  • Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),
  • Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)
  • Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

Bilgi Güvenliği Yönetim Sistemi Nedir ?

Bilgi Güvenliği Yönetim Sistemi ise Bilgi güvenliği ile ilgili alınan tedbirlerin ve önlemlerin sistematik şekilde alınması, bilgi güvenliğine dair yapılan çalışmaların daha etkin ve kurallara bağlı yapılması, sürekliliğinin sağlanmasına yönelik kaynakların personelinde kullanıldığı bir yönetim sistemi şeklidir. Bilgi Güvenliği Yönetim Sisteminin uluslararası arenada en üst düzey standardı ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır.

Bilgi güvenliği yönetim sistemi, bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir.

Bilgi güvenliği yönetim sisteminin kurumsal prosesler ve genel yönetim yapısının bir parçası olması ve bunlar ile entegre olması ve bilgi güvenliğinin süreçlerin, bilgi sistemlerinin ve kontrollerin tasarımında dikkate alınması önemlidir. Bir Bilgi güvenliği yönetim sisteminin kuruluşun ihtiyaçları doğrultusunda ölçeklenmesi beklenir.

Bu standard, iç ve dış taraflar tarafından kuruluşun kendi bilgi güvenliği gereksinimlerini karşılayıp karşılamadığına ilişkin kabiliyetinin değerlendirilmesi amacıyla kullanılabilir.

Bilgi Güvenliği kategorileri:

  • ağ güvenliği (network security)
  • uç/son nokta/kullanıcı güvenliği (endpoint security)
  • veri güvenliği (data security)
  • uygulama güvenliği (application security)
  • kimlik ve erişim yönetimi (identity and access management)
  • güvenlik yönetimi (security management)
  • sanallaştırma ve bulut (virtualization and cloud)

ISO 27002:2013 Standard Maddeleri

1 Kapsam

Bu standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. Bu standard aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içerir. Bu standardda ortaya konulan şartlar geneldir ve türleri, büyüklükleri ve doğalarından bağımsız olarak tüm kuruluşlara uygulanabilir olması hedeflenmiştir.

2 Atıf yapılan standard ve/veya dokümanlar

3 Terimler ve tarifler

4 Kuruluşun bağlamı

  • 4.1 Kuruluşun ve bağlamının anlaşılması
  • 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
  • 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
  • 4.4 Bilgi güvenliği yönetim sistemi

5 Liderlik

  • 5.1 Liderlik ve bağlılık
  • 5.2 Politika
  • 5.3 Kurumsal roller, sorumluluklar ve yetkiler

6 Planlama

  • 6.1 Risk ve fırsatları ele alan faaliyetler
  • 6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama

7 Destek

  • 7.1 Kaynaklar
  • 7.2 Yeterlilik
  • 7.3 Farkındalık
  • 7.4 İletişim
  • 7.5 Yazılı bilgiler

8 İşletim

  • 78.1 İşletimsel planlama ve kontrol
  • 8.2 Bilgi güvenliği risk değerlendirme
  • 8.3 Bilgi güvenliği risk işleme

9 Performans değerlendirme

  • 9.1 İzleme, ölçme, analiz ve değerlendirme
  • 9.2 İç tetkik
  • 9.3 Yönetimin gözden geçirmesi

10 İyileştirme

  • 10.1 Uygunsuzluk ve düzeltici faaliyet
  • 10.2 Sürekli iyileştirme

Ek A Referans kontrol amaçları ve kontroller

Bağlantılı Diğer Kaynaklar:

  • ISO / IEC 27002: 2013, Bilgi teknolojisi – Güvenlik Teknikleri – Uygulama kodu bilgi güvenlik kontrolleri
  • ISO / IEC 27003, Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetimi sistem uygulama kılavuzu
  • ISO / IEC 27004, Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim – Ölçüm
  • ISO / IEC 27005, Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği risk yönetimi

Standart Hakkında daha fazlası için Tıklayınız…