BİLGİ GÜVENLİĞİ İÇİN ISO 27001 BELGESİ İLE TANIŞIN
NEDEN ISO 27001?
- *Yasal Uyum:* KVKK gibi veri koruma yasalarına ve düzenlemelere uyumu sağlar.
- *Güven İlişkisi:* Müşteri ve iş ortaklarınızın güvenini artırır, kurumsal imajınızı güçlendirir.
- *Rekabet Avantajı:* İyi bir bilgi güvenliği yönetim sistemi, pazardaki konumunuzu güçlendirir.
ISO / IEC 27001: 2022'deki değişiklikler
6.3 Değişikliklerin Planlanması (Yeni Madde) 2022 versiyonda
ISO 27001: 2022, ISO 27001: 2013'ten önemli ölçüde farklı değildir, ancak bazı önemli değişiklikler vardır. Bununla birlikte, bunların çoğu, bilgi güvenliği yerine tüm yeni ISO yönetim sistemi standartlarında ortak olan üst düzey yapı olan Ek Maddeleri ile ilgilidir:
-
Bağlam ve kapsam
Şimdi ilgili tarafların “ ilgili ” gereksinimlerini tanımlamalı ve BGYS aracılığıyla hangi gereksinimlerin karşılanacağını belirlemelisiniz.
BGYS artık açıkça gerekli olan “ işlemlerini ve etkileşimlerini ” içermelidir.
-
Planlama
Bilgi güvenliği hedefleri şimdi izlenmeli ve “ belgelenmiş bilgi ” olarak mevcut olmalıdır.
BGYS'de değişikliklerin planlanması konusunda yeni bir alt madde vardır. Bu, dahil edilmesi gereken herhangi bir işlemi belirtmez, bu nedenle BGYS'deki değişikliklerin gerçekten planlandığını nasıl gösterebileceğinizi belirlemelisiniz.
-
Destek
Kimin iletişim kuracağını tanımlama gereklilikleri ve iletişimi etkileme süreçleri, “ ” nasıl iletişim kuracağını tanımlama zorunluluğu ile değiştirilmiştir.
-
Operasyon
Bilgi güvenliği hedeflerine nasıl ulaşılacağını planlama şartı, Madde 6'da tanımlanan eylemleri uygulamak için süreçler için kriterler oluşturma zorunluluğu ile değiştirilmiştir, ve bu süreçleri kriterlere uygun olarak kontrol etmek.
Kuruluşların artık sadece süreçler yerine ISMS ile ilgili harici olarak sağlanan süreçleri, ürünleri veya hizmetleri “ kontrol etmeleri gerekmektedir.
-
Ek A
Ek A, ISO 27002: 2022 ile uyumlu olacak şekilde revize edilmiştir. Ek A kontrolleri aşağıdaki bölümde tartışılmaktadır.
ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri
ISO 27002:2022’de, ISO 27002:2013'ün 114 kontrolü yerine 93 kontrol listelenecek.
Bu kontroller artık 14 maddede değil 4 ana başlık halinde gruplandırılacak:
-İnsanlar (8 kontrol)
-Organizasyonel (37 kontrol)
-Teknolojik (34 kontrol)
-Fiziksel (14 kontrol)
#ISO27002:2022 bazı yeni kontrolleri içerecek:
-5.7 Tehdit istihbaratı /Siber
-5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
-5.30 İş sürekliliği için Bilgi ve İletişim Teknolojileri hazırlığı
-7.4 Fiziksel güvenlik izleme
-8.9 Konfigürasyon yönetimi
-8.10 Bilgi silme
-8.11 Veri maskeleme
-8.12 Veri sızıntı/kaybı önleme
-8.16 İzleme faaliyetleri
-8.23 Web filtreleme
-8.28 Güvenli kodlama
Kontroller, kategorize edilmelerini kolaylaştırmak için artık beş tür özniteliğe sahip olacak:
-Kontrol tipi (#önleyici, #tespit edici, #düzeltici)
-Bilgi güvenliği özellikleri (#gizlilik, #bütünlük, #erişilebilirlik)
-Siber güvenlik kavramları (tanımlama, koruma, tespit etme, yanıt verme, kurtarma)
-Operasyonel yetenekler (yönetişim, varlık yönetimi, vb.)
-Güvenlik alanları (yönetişim ve ekosistem, koruma, savunma, dayanıklılık)
Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002 standardında gerçekleşmiştir.
ISO/IEC 27001 KURULUŞUNUZA NASIL FAYDA SAĞLAYACAK?
- Artan siber saldırı tehdidine karşı savunmasızlığınızı azaltın.
- Gelişen güvenlik risklerine yanıt verin.
- Mali tablolar, fikri mülkiyet, çalışan verileri ve üçüncü şahıslar tarafından emanet edilen bilgiler gibi varlıkların zarar görmemiş, gizli ve ihtiyaç duyulduğunda erişilebilir olmasını sağlamak.
- Tüm bilgileri tek bir yerde koruyan, merkezi olarak yönetilen bir çerçeve sağlayın
- Teknoloji tabanlı riskler ve diğer tehditlerle yüzleşmek için kuruluşunuzdaki insanları, süreçleri ve teknolojiyi hazırlayın.
- Kâğıt tabanlı, bulut tabanlı ve dijital veriler dahil olmak üzere tüm formlardaki bilgileri güvenli hale getirin.
- Etkin olmayan savunma teknolojisi için verimliliği artırarak ve giderleri azaltarak paradan tasarruf edin.
ISO/IEC 27001 KİMLERİN İHTİYAÇI VAR?
Günümüzde veri hırsızlığı, siber suçlar ve gizlilik sızıntılarına ilişkin sorumluluk, tüm kuruluşların hesaba katması gereken risklerdir.
Her işletmenin bilgi güvenliği ihtiyaçları ve bunların kendi hedefleri, süreçleri, boyutu ve yapısı ile nasıl ilişkili olduğu hakkında stratejik olarak düşünmesi gerekir.
ISO/IEC 27001 standardı, kuruluşların bir bilgi güvenliği yönetim sistemi kurmasına ve boyutlarına ve ihtiyaçlarına göre uyarlanmış bir risk yönetimi süreci uygulamasına ve bu faktörler geliştikçe gerektiği şekilde ölçeklendirmesine olanak tanır.
27001 BGYS
Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. 27001 Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir.
BİLGİ GÜVENLİĞİ NEDİR?
Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (BGYS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.
Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
Standarta göre her türlü formda bilginin korunması ve saklanması esastır, özellikle de müşterinize ait bilgileri gizlemekten sorumluysanız. Bunun gerçekleştirilmemesi, ticari kayıp ve itibar kaybı anlamına gelir bu da pahalı bir hukuk davasıyla sonuçlanabilir.
ISO/IEC 27001:2022 muhafaza edilen bilginin güvenilirliğini, gizliliğini ve geçerliliğini garanti koruma ve kontrol sağlar.
Bilgi Güvenliği Yönetim Sistemi (BGYS) için esas oluşturur ve tüm sektörlerdeki her ölçekte kuruluşa uygulanır. BGYS Sertifikası sizin müşterilerinize, tedarikçilerinize ve devlet kurumlarına karşı sizin Bilgi Güvenliği sağladığınızı gösterir.
Bu nedenle bilgi güvenliği, kuruluşunuzun faaliyetleri, hatta belki devamı için büyük önem taşır. ISO/IEC 27001 sertifikasyon (belgelendirme)u, değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.
BİLGİ GÜVENLİĞİNDE Gizlilik, Bütünlük, Kullanılabilirlik
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin önemi artmış, sadece güvenli bir şekilde saklanması ve depolanması gelişen ihtiyaçlara cevap verememiş aynı zamanda bir yerden bir yere nakil edilmesi de kaçınılmaz bir ihtiyaç haline gelmiştir. Bilgiye olan bu bağımlılık bilginin korunması ihtiyacını gündeme getirmiştir.
Bu anlamda bilgi, kurumun sahip olduğu varlıklar arasında çok önemli bir yere sahiptir. Bilgiye yönelik olası saldırılar, tahrip edilmesi, silinmesi, bütünlüğünün ve/veya gizliliğinin zarar görmesi, bilgi altyapısının bozulmasına ve bu da beraberinde işlerin aksamasına neden olmaktadır.
Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.
Bilgi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.
Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
- Gizlilik (Confidentiality)
- Bütünlük (Integrity)
- Kullanılabilirlik (Availability)
Bu kavramları biraz daha açacak olursak Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz. Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır.
Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.
- Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
- Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
- İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
- İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgilen korunacağından ilgili tarafların güvenini kazanır.
- Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
- Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
- Çalışanların motivasyonunu arttırır.
- Yasal takipleri önler.
- Yüksek prestij sağlar.
- Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
- Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
- Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
- Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
- Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.
- Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
- Uygulanabilirlik bildirgesi: Kuruluşun BGYS'si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.
ISO/IEC 27001:2022 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ NEDİR?
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Nedir (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, her sektör ve büyüklükteki kuruluşa uygulanabilen bir standarttır.
Bu standart, dokümante edilmiş bir BGYS’ yi, kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek gereksinimlerini kapsar.
Günümüzde kuruluşlar için değerli olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından korunması, süreklilik ve sistematikliği gerekmektedir.
Koruma, bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika ya da kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilendirilmesiyle mümkün olmaktadır.
Bir kuruluş için Bilgi Güvenliği Yönetim Sistemi’nin benimsenmesi stratejik bir karar olmalıdır. Kuruluş, yönetim sisteminin tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler, kuruluşun büyüklüğü ve yapısından etkilenir.
ISO 27001 ile kuruluşlar uygulayacağı güvenlik kontrollerini belirler.
KURULUŞA YÖNELİK FAYDALARI
- Bilgi varlıklarının gizliliğinin korunması,
- Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
- Kurumsal prestijin korunması,
- İş sürekliliğinin sağlanması,
- Bilgi kaynaklarına erişimin denetlenmesi,
- Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
- Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,
- Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,
- Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,
- Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.
- Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir.
- Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar.
- Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular.
- Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar.
- Kurum ve kurum çalışanları bilgi güvenliği sistemi ile;
- Bilgi varlıklarının farkındalılığı ve motivasyonu artar,
- Sahip olduğu bilgi varlıkları korunabilir
- İş sürekliliği sağlanır,
- Müşteri ve tedarikçilerle sağlıklı bir yapı kurulur,
- Rekabette avantaj sağlanır,
- Yasal uyumluluk sağlanır.
BİLGİ GÜVENLİĞİNDE FARKINDALIK
Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
ISO 27001 DENETİM SÜRECİ
Doküman İnceleme: Belgelendirme talebiniz alındıktan sonra müracaat için gerekli ek evraklar ve ilgili yönetim sistemine ait dokümanların firmamıza iletilmesi sağlanmalıdır.
Kuruluşunuza ait dokümanlar
ISO 27001 standardına uygunluk açısından incelenecek ve düzeltilmesi gereken bir durum olması halinde, bir rapor ile tarafınıza bildirilecektir.
Belgelendirme firmasına tarafından incelenmesi sonrasında, dokümanlarda söz konusu olabilecek değişiklikler, belgelendirme denetimi öncesinde tamamlanmalı ve Belgelendirme firmasına ulaştırılmalıdır.
Belgelendirme Denetimi: Belgelendirme denetimi, ISO 27001:2022 Belgelendirme denetiminin sonucunda sisteminizin standarda uygunluğunun tespit edilmesi durumunda kuruluşunuz ISO 27001:2022 belgesini almaya hak kazanacaktır. Kuruluş belgelendirme denetimini başarıyla tamamlanmasını takiben, denetim ekibimiz tarafından, belge verilmesi için önerilecektir. Bu aşamadan sonra, en kısa süre içinde belgeniz düzenlenerek tarafınıza sunulacaktır.
Takip Denetimi: Belgelendirme veya gözetim denetimlerinde sistemin genel işleyişini etkileyecek derecede, uygunsuzluk (lar) tespit edilmesi durumunda gerçekleştirilecek denetimlerdir. Takip denetimleri, belgelendirme ve ya gözetim denetimini gerçekleştiren denetim ekibi tarafından gerçekleştirilecektir.
Gözetim Denetimleri: Gözetim denetimleri kuruluşunuzun ISO 27001:2022 standardına uygunluğunun devamını kontrolü amacı ile en az yılda 1 olmak üzere gerçekleştirilecektir.
Belgelendirme Geçerlilik Süresi: ISO 27001:2022 standardına göre yapılan belgelendirme için belge geçerlilik süresi 3 (üç) yıldır.
BİLGİ GÜVENLİĞİNDE RİSK YÖNETİMİ
Bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve varlıklarda gizlilik, bütünlük ve erişilebilirlik prensiplerine uyacak önlemler almak amacıyla aşağıda detayları belirtilen risk yönetimi faaliyetleri yürütülmektedir. Her bir varlık için risk seviyesinin kabul edilebilir risk seviyesinin altında tutmak hedeflenmektedir.
Risk yönetimi ve kontrollerin uygulanması sürekli bir faaliyettir ve kabul edilebilir risk seviyesinin altına inen riskler için de iyileştirme yapılması hedeflenmektedir.
Firmamız bünyesindeki bilişim cihazlarının amaçları doğrultusunda kullanımı hakkında kuralları tanımlamaktır.
İlgili Dokumanlardan Bazıları
Varlık Envanteri Hazırlama ve Yönetim Prosedürü.
Risk Değerlendirme Prosedürü.
Ağ Cihazları Güvenlik Prosedürü.
Ağ Yönetim Prosedürü.
Bilgi Teknolojileri Teknik Ekipman Bakım Prosedürü.
Kablosuz İletişim Prosedürü.
Kimlik Doğrulama ve Yetkilendirme Prosedürü.
Güvenlik Açıklıklarını Tespit Etme Prosedürü.
Bilgi Sistemleri Edinim, Geliştirme ve Uyum Prosedürü.
Bilgi Sistemlerinin Genel Kullanımı Prosedürü.
E-Posta Prosedürü.
Anti- Virüs Kullanım Prosedürü.
İnternet Kullanım Prosedürü.
Şifreleme Prosedürü.
Değişim Yönetimi Prosedürü.
Taşınabilir Depolama Aygıtı Kullanım Prosedürü.
Bina Güvenlik Prosedürü.
Veri tabanı Güvenlik Prosedürü.
BELGELENDİRME PROSEDÜRÜ AŞAĞIDAKİLERİ İÇERİR
- Bilgi formunun doldurulması
- Teklif verilmesi
- Sertifika için başvurulması
- Gap Analizi (Mevcut Durum Analizi)
- Dökümanların gözden geçirilmesi
- Ön denetim (opsiyonel)
- Şirket denetimi
- Belgelendirme Komitesinin onayı
- Belgenin verilmesi
- Periyodik takip denetimleri
- Belge Yenileme
27001 Belgelendirme Hizmeti
Hemen Profesyonel Sertifika Hizmeti Alın