ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

bilgi-guvenligi-yonetim-sistemi-nedirISO 27001 standardı, Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe girmiştir. Bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için yol gösterici yöntemler ve metodolojiler sunmaktadır.

Ayrıca ISO 17799:2002 numaralı standart ISO 17799:2005 “Bilgi Teknolojileri Güvenlik Teknikleri En İyi Uygulamalar Rehberi” olarak revize edilip yayınlanmıştır ve ISO 27001’e göre kurulacak bir BGYS (Bilgi Güvenliği Yönetim Sistemi)’nin nasıl hayata koyulabileceğine dair bilgiler verir.

Bilgi güvenliği yönetim sistemi, kurumun sahip olduğu bütün bilgi varlıklarının sınıflandırılması, kritiklik ve risklilik derecelerinin belirlenmesi, olası tehditlere karşı zafiyetlerin değerlendirilmesi ve sonrasında ilgili süreçlerin bir çıktısı olarak detaylı risk analizinin kurum bünyesinde gerçekleştiriliyor olmasını temel alır. İlgili risk analizinin oluşturulması sonrasında, belirlenmiş kriterlere göre risk işleme planları hazırlanmalı ve bütün kurum bünyesinde söz konusu sürecin yönetilmesi bilinci oluşturulmalıdır.

Ayrıca ISO 27001 standardı,  Kurumların organizasyon yapısı içerisindeki görev ve sorumluluklarını görevler ayrılığı prensibi çerçevesinde oluşturması, iş sürekliliği ve acil durum planlarının belirlenmesi, işletilen süreçlere ilişkin politika ve prosedürlerin hazırlaması, Bilgi güvenliğine ilişkin plan ve stratejilerin belirlemesi ve Kurum içerisinde bu faaliyetleri kayıt altına alarak yürütecek BGYS ekibi ve BGYS yöneticisi/ yöneticilerinin istihdam edilmesi konularının önemle altını çizmektedir. İlgili standarda sahip olmak isteyen Kurumlar en yaygın olarak risk yönetimi, politika ve prosedürlerin oluşturulması, güvenlik ve kontrol süreçlerinin tahsis edilmesi konularında, ISO 27001 standardına göre akredite olmuş kurum ve kuruluşların denetim ve danışmanlık hizmelerine ihtiyaç duymaktadır.

ISO 27001 Belgesi Nasıl ve Hangi Kurumlardan Alınır?

ISO 27001 belgesinin bir kurum tarafından alınması için, öncelikle kurum süreçleri seviyesinde Bilgi Güvenliği Yönetimi bilincinin oluşturulmuş olması ve ilgili standarda göre yönetim sistemlerinin kurulmuş olması gerekmektedir. Söz konusu kuruluş sürecin tamamlanmasını takiben, kuruma ait ISO 27001 sisteminin uluslar arası akreditasyona sahip kuruluşlar tarafından denetlenmesi ve ilgili denetim sürecinin başarıyla tamamlamış olması şartı aranmaktadır.

ISO 27001 standardı hakkında net olarak anlaşılması gereken olgu, ilgili standardın kapsama alınmış süreçlere istinaden “Yönetim Sistemi ve Yönetim Bilinci”ni oluşturmasıdır. İlgili sistemin işletilmesi BGYS’ye sahip Kurumların sorumluluğundadır.

iso-denetim-asamalari

ISO27001 Denetimi Aşamaları

1. Aşama Denetimi

  • Akredite belgelendirme kuruluşu ile sözleşmenin imzalanmasına istinaden, denetim tarihleri belirlenir.
  • Denetimi gerçekleştirecek kuruluş tarafından, BGYS için hazırlanan dokümantasyon aşağıdaki kapsamlar dahilinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulanabilirlik Bildirge’sine göre denetlenir:
    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yaklaşım metodolojisi
    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Yönetim Sistemi Politikalar
    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Prosedür ve süreçler
    ISO 27001 Bilgi Güvenliği Yönetim Sistemi seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararlar
  • Denetçi kuruluş tarafından ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre kontrol zayıflıkları tespit edilmişse veya öneriler mevcut ise iyileştirmenin yapılması talep edebilir.
  • 1. Aşama denetiminin sonuçlanmasını takiben en erken 15 gün ve en geç 3 ay içerisinde gerçekleştirilmek üzere 2. Aşama denetimi için tarihler belirlenir.

2. Aşama Denetimi

  • ISO 27001 1. Aşama denetiminden sonra, kurulan BGYS sisteminin işletilen uygulamaları gözden geçirilerek, uygulamalara yönelik tasarlanmış şartların tasarım kontrolleri çerçevesinde işletilip işletilmediği sorgulanır.
  • Objektif bakış açısı dahilinde deliller toplanarak denetçiler tarafından incelenir.
  • Denetim çalışması sonuçları, denetçiler tarafından sistem yeterlilikleri, eksiklilikleri ve önerilerini içeren denetim raporunda toplanır.
  • Denetçiler tarafından oluşturulmuş bu rapor ile belgelendirme kuruluşuna başvurulması ve belge verilmesi taleplerine ilişkin süreç başlatılmış olacaktır.

iso-bilgi-guvenligi

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir