ISO 27001 Bilgi Güvenliği Yönetim Sistemi(BGYS) Nedir?
Bilgi güvenliği standardı BS 7799-2'nin revize edilip 2005'in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe giren bu standart son olarak ISO 27001:2012 versiyonu ile son halini almıştır. Kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
Bunun yanı sıra ISO 17799:2002 numaralı standart ISO 17799:2005 "bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi" olarak revize edilip yayınlanmıştır ve ISO 27001'e göre kurulacak bir BGYS'nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.
Bilgi güvenliği yönetim sistemi , kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.
Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı olacaktır.
ISO 27001'den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001'in bir yönetim sistemi öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.
Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve "yaşayan bir süreç olarak" bilgi güvenliğinin nasıl "yönetileceğini" tanımlar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmanın yararları nelerdir?
Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.Çalışanların motivasyonunu arttırır.Yasal takipleri önlerYüksek prestij sağlar
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulumu Danışmanlık Hizmeti Aşamaları ;
Bilgi Güvenliği Yönetim Sisteminin kurulumu sırasında her bir müşterimize özel, onların ihtiyaçları, yapısı, prosesleri bilgi işlem altyapısı gözönünde bulundurularak sistem kurulumu gerçekleştirilmektedir. Aşağıda bahsedilen proje aşamaları genel akışı ifade eder. Kalitek'ten hizmet alma kararı verildiğinde size özel bir süreç belirlenecektir. Bilgi Güvenliği Yönetim Sisteminin kurulum aşamaları kısaca;
- Kuruluşun üst yönetimi ile toplantı, şirketin mevcut yapısının ve durumunun analiz edilmesi.
- BGYS ekibinin oluşturulması. Ekip pozisyonların belirlenmesi ve belirlenen pozisyonlar için atamaların yapılması ve BGYS Temsilcisinin belirlenmesi.
- Temel Bilgi Güvenliği Yönetim Sistemi eğitimlerinin verilmesi. (Standart eğitimi, dokümantasyon eğitimi, risk analizi eğitimi)
- Varlıkların sınıflandırılması
- Gizlilik , bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi
- Risk analizi yapılmasıRisk analizi çıktılarına göre uygulanacak kontrolleri belirleme
- Dokümantasyon oluşturma ve alışkanlık kazandırmak için uygulamaların yapılması
- Uygulamalar sonucu ortaya çıkan revizyon ihtiyaçlarının gözden geçirilerek gerekli revizyonların yapılması.
- Akredite baş denetçi belgesine sahip eğitmenlerimiz tarafından iç denetçi eğitimlerinin verilmesi.
- Danışmanlarımız nezareti de iç denetim ve yönetimi gözden geçirme toplantısının yapılması.
- Kuruluş tarafından tercih edilen belgelendirme kuruluşuna müracaat için gerekli hazırlık ve çalışmaların yapılması ve başvurunun yapılması.
- Belgelendirme denetimine girilmesi ve tetkik sonuçlarına göre tespit edilen eksikliklerin tamamlanması