ISO 27001-2017 Bilgi Güvenliği Yönetim Sistemi
Bilgi Güvenliği Yönetim Sistemine Genel Bakış
Bilgi güvenliği, aşağıdakileri sağlamak için bilgilerin korunmasıdır. Gizlilik: Bilginin yalnızca erişim yetkisi olan kişiler tarafından erişilebilir olmasını sağlamak. Bütünlük: Bilgilerin doğru ve eksiksiz olmasının ve bilgilerin izinsiz değiştirilmemesinin sağlanması. Kullanılabilirlik: Bilginin gerektiğinde yetkili kullanıcılar tarafından erişilebilir olmasını sağlamak. Bununla ilgili bu çeviri yazı Kuveyt ISO danışmanlığının bu sayfasından alınmıştır. Türkiye firmaları için kaynak ise bu konuda Adl Belge firmasının web sitesinden alıntılanmıştır.
Bilgi güvenliği, uygun bir dizi kontrol (politikalar, süreçler, prosedürler, organizasyon yapıları ve yazılım ve donanım işlevleri) uygulanarak sağlanır. Bilgi Güvenliği Yönetim Sistemi (BGYS), sistematik bir iş riski yaklaşımına dayalı olarak bilgileri korumanın ve yönetmenin, bilgi güvenliğini oluşturmanın, uygulamanın, çalıştırmanın, izlemenin, gözden geçirmenin, sürdürmenin ve iyileştirmenin yoludur. Bilgi güvenliğine organizasyonel bir yaklaşımdır.
ISO, bir kuruluşun BGYS’ne odaklanan iki standart yayınlamıştır. ISO 27002 standardı, BGYS uygulamak için bir başlangıç noktası kılavuzu olarak yol göstericidir. Bilgi varlıklarını korumak için bir programın planlanması ve uygulanması için rehberlik sağlar. Ayrıca, BGYS’nizin bir parçası olarak uygulamayı düşünebileceğiniz bir kontroller (korumalar) listesi sağlar.
Yönetim sistemi standardı: ISO 27001 standardı bilgi güvenliği yönetim sistemi uluslararası standartıdır. ISO 27002 kılavuz standarttır ve ISO 27001’in nasıl uygulanacağını açıklar. Gerekli bir listesi de dahil olmak üzere sertifikasyonun gerçekleştirildiği sağlanır. BGYS belgesi almak isteyen bir kursa standarda göre incelenir.
Standartlar uygulamaları ortaya çıkarmak:
Tüm bunlar uygulanamaz. Aslında iyi olmuş ve belgelenmiş olmalıdır. Şirketler veya işler kendi güvenlik güvenliği belgelemelidir. Bir düşüncenin, karşılanıp karşılanmadığını doğrulayabildiğini.
BGYS’de kullanılan tüm güvenlik önlemleri, risklerin alınmasından alınabilir bir olası indirilebilir risk nedeniyle uygulanacaktır.
Standart, bir dizi güvenlik kontrolü sunar. İşletmelerinin özel ihtiyaçlarına göre hangi kontrollerin uygulanacağını seçmek kuruluşa bağlıdır.
Bir süreç, denetimler ve incelemeler yoluyla güvenlik sisteminin tüm unsurlarının sürekli olarak doğrulanmasını sağlamalıdır.
Bir süreç, bilgi ve güvenlik yönetim sisteminin tüm unsurlarının sürekli iyileştirilmesini sağlamalıdır. ISO 27001 bilgi güvenliği yönetim sistemi standardı, Planla-Uygula-Kontrol Et-Uygula (PUKÖ) modelini temel alır ve modelin bir BGYS uygulamasında takip edilmesini bekler.
Bu uygulamalar, bir BGYS kuracağınız çerçeveyi oluşturur.
ISO 27001 BGYS standardının bir kopyasını TSE’nin bu standard arama sayfasından satın alın.
Bir BGYS oluşturmadan ve BGYS’niz için çeşitli belgeleri hazırlamadan önce, ilgili ISO/IEC standartlarının kopyalarını satın almalısınız, yani:
- a) Uygulama kuralları standardı: ISO 27002. Bu standart, bir BGYS geliştirmek için bir başlangıç noktası olarak kullanılabilir. BGYS. Bilgi varlıklarını korumak için bir programın uygulanmasının planlanması için rehberlik sağlar. Ayrıca, BGYS’nin bir parçası olarak uygulamayı düşünebileceğiniz bir kontroller (korumalar) listesi sağlar.
- b) Yönetim sistemi standardı: ISO/IEC 27001. Bu standart BGYS için özelliktir. ISO 27002’nin nasıl uygulanacağını açıklar. Gerekli belgelerin bir listesi de dahil olmak üzere sertifikasyonun gerçekleştirildiği standardı sağlar. BGYS belgesi almak isteyen bir kuruluş bu standarda göre incelenir.
Yönetim desteği alın
ISO/IEC 27001’de açıklandığı gibi, yönetim bir BGYS’nin başarısında önemli bir rol oynar.
Neye ihtiyacınız var: ISO 27001’in Yönetim sorumluluğu bölümü. Yönetim, BGYS’nin kurulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi konusunda taahhütte bulunmalıdır. Taahhüt, BGYS üzerinde çalışmak için uygun kaynakların mevcut olmasını ve BGYS’den etkilenen tüm çalışanların uygun eğitim, farkındalık ve yetkinliğe sahip olmasını sağlamak gibi faaliyetleri içermelidir.
Sonuçlar: Aşağıdaki öğelerin oluşturulması yönetim taahhüdünü gösterir:
Bir bilgi güvenliği politikası; bu politika, bağımsız bir belge veya bir kuruluş tarafından kullanılan genel bir güvenlik kılavuzunun parçası olabilir.
Bilgi güvenliği amaçları ve planları; yine bu bilgiler bağımsız bir belge veya bir kuruluş tarafından kullanılan genel bir güvenlik kılavuzunun parçası olabilir.
Bilgi güvenliği için roller ve sorumluluklar; bilgi güvenliği ile ilgili rollerin bir listesi veya kuruluşun iş tanımı belgelerinde ya da güvenlik el kitabının veya BGYS tanım belgelerinin bir parçası olarak belgelenmelidir.
Bilgi güvenliği politikasına bağlı kalmanın önemi hakkında kuruluşa duyuru veya iletişim.
BGYS’yi yönetmek, geliştirmek, sürdürmek ve uygulamak için yeterli kaynaklar.
Ek olarak, yönetim, ISO 27001’de açıklandığı gibi, BGYS Planla-Uygula-Kontrol Et-Uygula [PDCA] sürecine katılacaktır:
Kabul edilebilir risk seviyesinin belirlenmesi. Bu faaliyetin kanıtı, bu kılavuzda daha sonra açıklanan risk değerlendirme belgelerine dahil edilebilir.
Planlanan aralıklarla BGYS’nin yönetim incelemelerini yürütmek. Bu faaliyetin kanıtı, BGYS’deki belgeler için onay sürecinin bir parçası olabilir.
BGYS’den etkilenen personele eğitim verilmesi, kendilerine verilen görev ve sorumlulukların yerine getirilmesi için yetkin olmaları ve bu rol ve sorumlulukların farkında olmalarının sağlanması. Bu faaliyetin kanıtı, çalışan eğitim kayıtları ve çalışan inceleme belgeleri aracılığıyla olabilir.
Örnek:
Bu örnek, amaç ve hedeflerle birlikte olası bir politika ifadesini gösterir.
Güvenlik Politikası Örneği
BGYS’nin kapsamını belirleyin
Yönetim uygun taahhütleri yerine getirdiğinde, BGYS’nizi oluşturmaya başlayabilirsiniz. Bu adımda, BGYS’nin kuruluşunuza ne ölçüde uygulanmasını istediğinizi belirlemelisiniz.
İhtiyacınız olan:
- adımın bir parçası olarak oluşturulan “sonuç” belgelerinin birkaçını kullanabilirsiniz, örneğin:
- Bilgi güvenliği politikası
- Bilgi güvenliği hedefleri ve planları
- Bilgi güvenliği ile ilgili ve yönetim tarafından tanımlanmış rol ve sorumluluklar
Ek olarak, ihtiyacınız olacak:
- BGYS tarafından kontrol edilecek organizasyonun alanları, yerleri, varlıkları ve teknolojilerinin listesi.
- Kuruluşunuzun hangi alanları BGYS kapsamında olacak?
- Bu alanların özellikleri nelerdir; konumları, varlıkları, teknolojileri BGYS’ye dahil edilecek mi?
- Müşterilerinizin BGYS’nize uymasını mı istiyorsunuz?
- Diğer kurumlara sistem var mı? Onlar dikkate alınmalı mı?
Hedeflerinizi kapsamak olacaktır:
- BGYS’nin kapsamını ve bağlamasını oluşturmak için kullanmak içindir.
- Stratejik ve organizasyonel bağlama
Önemli: Kapsamınızı yönetilebilir tutun. Kurulum için kullanılacak gruplandırma ayarlarıyla uyumlu şekilde. Büyük kuruluşlar, yönetilebilirliği için birkaç Bilgi Güvenliği Yönetim Sistemine ihtiyaç duyabilir. Örneğin, Finans departmanları ve bu departman tarafından kullanılan ağlar için bir BGYS’ye ve Yazılım Geliştirme departmanları ve sistemleri için ayrı bir BGYS’ye sahip olabilir.
Sonuçlar: BGYS’niz için belgelenmiş bir kapsam.
Kapsamı belirlediğinizde, genellikle birkaç ifade veya paragrafla belgelemeniz gerekecektir. Belgelenen kapsam genellikle kuruluşunuzun Güvenlik Kılavuzunun ilk bölümlerinden biri olur. Veya, korumayı planladığınız bir dizi BGYS belgesinde bağımsız bir belge olarak kalabilir. Genellikle kapsam, güvenlik politikası ve güvenlik hedefleri tek bir belgede birleştirilir.