Sık Sorulan Sorular (SSS'ler)
- ISO 27001 Nedir ?
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?
- ISO 27001 Risk Değerlendirmesi Nedir?
- ISO 27001 İç Denetim Nedir?
- ISO 27001 Sertifikasyon Denetimi Nedir?
- ISO 27001 Gözetim Denetimi Nedir?
- ISO 27001 Belgesi Nereden/Nasıl Alınır?
- ISO 27001 Eğitimi Nedir?
- ISO 27001 Faydaları Nelerdir?
- ISO 27001 Gereksinimleri Nelerdir?
- ISO 27001 İşime Nasıl Yardımcı Olabilir?
- ISO/IEC 27001 Kimlerin İhtiyacı Var?
- ISO 27001 Belge Zorunluluğu Var mı?
- ISO/IEC 27001 Kuruluşunuza Nasıl Fayda Sağlayacak?
- Tedarikçi İlişkilerinde 27001 Bilgi Güvenliği Nasıl Oluyor?
- ISO 27001 Bilgi Güvenliği Belgelendirme Süreci Nasıl Oluyor?
- ISO 27001 Belgelendirme Geçerlilik Süresi Kaç Yıldır?
- ISO 27001:2013 Sertifikasına Sahip Kuruluşları Nasıl Etkileyecek?
- ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri Nelerdir?
- ISO/IEC 27001 Bilgi Teknoloji Güvenliğindeki Yenilikler Nelerdir?
- Bilgi Güvenliği İhlallerine Karşı Hazırlıklı Mısınız? Yeni ISO/IEC 27001 Size Yardımcı Olabilir?
- ISO 27701’in Amacı Nedir?
- ISO 27701’in Ana Hedefi Nedir?
- ISO 27701, ISO 27001 ile Nasıl İlişkili?
- ISO 27701 Sertifikasına Sahip Olmanın Faydaları Şunlardır!
- ISO 27001 BGYS Tehditleri
ISO 27001 Nedir?
Kuruluşların verileri güvende tutmasına yardımcı olan ISO 27000 küresel olarak tanınan standartlar ailesinin bir parçası. ISO 27001 nedir, Bilgi Güvenliği Yönetim Sistemi (BGYS) için bir dizi “en iyi uygulama” belirler. Bu gereksinimler, bir kuruluşun bilgiye ilişkin riski etkin bir şekilde yönetmek için kullanabileceği politikaları, prosedürleri ve teknik kontrolleri kapsar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?
Hassas verilerin güvenli kalması için yönetilmesine yönelik sistematik, riske dayalı bir yaklaşımdır.
ISO 27001 Risk Değerlendirmesi Nedir?
SO 27001 Risk Değerlendirmesi veya risk analizi, ISO 27001 uygulamasının kilit unsurlarından biridir. Amacı, gizlilik kaybı, bütünlük ve bilgi varlıklarının kullanılabilirliği ile ilişkili riskleri tanımlamak ve risk azaltma çabalarına odaklanmak için her bir riskin önemini sıralamaktır.
ISO 27001 İç Denetim Nedir?
ISO 27001 sertifikası almak veya sürdürmek isteyen bir kuruluş, ISO 27001 standardının 9.2 maddesi uyarınca periyodik iç denetimler yapmalıdır. Kurum içi personel veya güvenilir bir üçüncü taraf tarafından yılda en az bir kez gerçekleştirilen iç denetimin amacı, yönetimin BGYS'nin etkinliğini doğrulamasına yardımcı olmaktır (ör. Kuruluşun kendi gerekliliklerine ve standardın gerekliliklerine uygun mu?) .
ISO 27001 Sertifikasyon Denetimi Nedir?
Sertifikasyon kuruluşu tarafından yürütülen bir ISO 27001 Sertifikasyon Denetimi, bir kuruluşun Bilgi Güvenliği Yönetim Sisteminin (BGYS) ISO 27001 standardının gerekliliklerine uygun olup olmadığını belirler. Bulgular tatmin edici ise, ISMS standarda uygun olduğu onaylanmıştır. ISO 27001 Sertifikasyon Denetimi tüm BGYS'ni kapsar ve üç yıllık ISO 27001 sertifikasyon döngüsünün ilk yılında gerçekleşir.
ISO 27001 Gözetim Denetimi Nedir?
ISO 27001 Gözetim Denetimleri, BGYS'nin bir alt kümesini kapsar ve üç yıllık ISO 27001 sertifikasyon döngüsünün ikinci ve üçüncü yıllarında bir sertifikasyon kuruluşu tarafından yürütülür.
ISO 27001 Belgesi Nereden/Nasıl Alınır?
ISO 27001 Bilgi Güvenliği Yönetim Sistemleri belgelendirilmesi, kuruluşun kurmuş olduğu Bilgi güvenliği yönetim sistemlerinin bağımsız ve akredite bir sertifikasyon (belgelendirme) kuruluşunun denetiminden başarıyla geçmesi ve bunun devamlılığını sağlaması ile mümkündür. Kuruluş, Bilgi Güvenliği Yönetim Sistemi standardın gereksinimlerini karşılayacak şekilde kurduktan sonra, bu sistemin belgelendirilmesi için bir sertifikasyon (Belgelendirme) kuruluşu ile anlaşır. Sertifikasyon (Belgelendirme) kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereksinimlerini karşılayıp karşılamadığını tespit etmek üzere bir sertifikasyon (Belgelendirme) denetimi yapar.
ISO 27001 Eğitimi Nedir?
ISO 27001 bilgi güvenliği yönetim sistemi standartlarının tanıtılması, standarda uygun yönetim sistemi kurmak isteyen kuruluşların, standardın gereklilikleri konusunda bilgilendirilmesi. ISO 27001 Eğitimleri 27001-27002-27005-19011 Standartlarını kapsamaktadır.
ISO 27001 Faydaları Nelerdir?
Kuruluşa yönelik faydaları; Bilgi varlıklarının gizliliğinin korunması, Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması, Kurumsal prestijin korunması, İş sürekliliğinin sağlanması, Bilgi kaynaklarına erişimin denetlenmesi, Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi, Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması, Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması, Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi, Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır. Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir. Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar. Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular. Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar.
ISO 27001 Gereksinimleri Nelerdir?
ISO 27001 sertifikası almak için bir kuruluş, belgelendirmenin kapsamını, hedefleri, risk değerlendirmesini ve siber ve bilgi güvenliğini yönetme sürecini belirlemeye odaklanan standardın ana maddelerini uygulamalıdır. Bir risk değerlendirmesinin ardından, belirlenen riskleri azaltmak için kontroller uygulanmalıdır. ISO 27001 Ek A, politika, prosedür ve teknik kontrollerin geliştirilmesini ve uygulanmasını içeren kapsamlı bir kontrol seti sağlar. Bu kontroller sürekli olarak uygulanmalı ve yönetilmelidir. Belgelendirme süreci, bir Belgelendirme Kuruluşu (17021) ile çalışmayı gerektirir ve genellikle Türkiye Akreditasyon Servisi (TÜRKAK) tarafından akredite edilmiş bir kuruluş önerilir. Bu, iki aşamalı bir denetimi içerecektir; ilk aşama dokümantasyona, ikincisi ise uygulanan kontrollerin etkinliğine odaklanacaktır.
ISO 27001 İşime Nasıl Yardımcı Olabilir?
ISO 27001, bir bilgi güvenliği yönetim sistemi (BGYS) için bir çerçeve sağlayan uluslararası bir standarttır. Standart, kuruluşların siber ve bilgi güvenliği ile ilgili olarak doğru yönetimin yürürlükte olmasını sağlayan bilgi güvenliği riskini yönetmek için süreçler ve kontroller uygulamasına yardımcı olmak için tasarlanmıştır. ISO 27001, işletmenizin yeni müşteriler çekmesine de yardımcı olabilir, çünkü bu genellikle birçok kuruluşla çalışmak için bir ön koşul olarak görülür. ISO 27001'e sahip olmak, kişisel verilerin korunmasına ilişkin yasal yükümlülüklerin yerine getirilmesine yardımcı olmanın yanı sıra müşterilerinize siber ve bilgi güvenliği risklerini yönetmek için önlemler aldığınıza dair güvence de sağlayabilir.
ISO/IEC 27001 Kimlerin İhtiyacı Var?
Günümüzde veri hırsızlığı, siber suçlar ve gizlilik sızıntılarına ilişkin sorumluluk, tüm kuruluşların hesaba katması gereken risklerdir. Her işletmenin bilgi güvenliği ihtiyaçları ve bunların kendi hedefleri, süreçleri, boyutu ve yapısı ile nasıl ilişkili olduğu hakkında stratejik olarak düşünmesi gerekir. ISO/IEC 27001 standardı, kuruluşların bir bilgi güvenliği yönetim sistemi kurmasına ve boyutlarına ve ihtiyaçlarına göre uyarlanmış bir risk yönetimi süreci uygulamasına ve bu faktörler geliştikçe gerektiği şekilde ölçeklendirmesine olanak tanır.
ISO 27001 Belge Zorunluluğu Var mı?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve ISO 27001 Belgesini alması zorunlu olan özel sektör kuruluşları kısaca aşağıdaki kuruluşlardır. Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar Elektronik Haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar Görev Sözleşmesi İmzalayan firmalar şirketler İmtiyaz Sözleşmesi İmzalayan firmalar şirketler Uydu Haberleşme Hizmeti Veren firmalar şirketler Altyapı İşletmeciliği Hizmeti Veren firmalar şirketler Sabit Telefon Hizmeti firmalar şirketler GMPCS Mobil Telefon Hizmeti Veren firmalar şirketler Sanal Mobil Şebeke Hizmeti firmalar şirketler İnternet Servis Sağlayıcıları Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti veren firmalar şirketler E fatura Özel Entegratör Yetkisi almak isteyen firmalar Gümrük işleri Kolaylaştırma Yetkisi almak isteyen ihracatçı firmalar
ISO/IEC 27001 Kuruluşunuza Nasıl Fayda Sağlayacak?
ISO/IEC 27001 standardında belirtilen bilgi güvenliği çerçevesini uygulamak size şu konularda yardımcı olur: Artan siber saldırı tehdidine karşı savunmasızlığınızı azaltır, Gelişen güvenlik risklerine yanıt verir, Mali tablolar, fikri mülkiyet, çalışan verileri ve üçüncü şahıslar tarafından emanet edilen bilgiler gibi varlıkların zarar görmemiş, gizli ve ihtiyaç duyulduğunda erişilebilir olmasını sağlar, Tüm bilgileri tek bir yerde koruyan, merkezi olarak yönetilen bir çerçeve sağlar, Teknoloji tabanlı riskler ve diğer tehditlerle yüzleşmek için kuruluşunuzdaki insanları, süreçleri ve teknolojiyi hazırlar, Kâğıt tabanlı, bulut tabanlı ve dijital veriler dahil olmak üzere tüm formlardaki bilgileri güvenli hale getir, Etkin olmayan savunma teknolojisi için verimliliği artırarak ve giderleri azaltarak paradan tasarruf eder.
Tedarikçi İlişkilerinde 27001 Bilgi Güvenliği Nasıl Oluyor?
Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için 27001 bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir. Kuruluş, politika da özellikle kuruluşun bilgilerine erişen tedarikçileri ele alarak 27001 bilgi güvenliği kontrollerini tanımlamalı ve zorlamalıdır. Bu kontroller, kuruluş tarafından uygulanan prosesleri ve prosedürleri ele almalıdır, bununla birlikte kuruluşun bu prosesleri ve prosedürleri tedarikçilere aşağıdaki hususları da içerecek şekilde uygulaması gerekir.
ISO 27001 Bilgi Güvenliği Belgelendirme Süreci Nasıl Oluyor?
Doküman İnceleme: Belgelendirme talebiniz alındıktan sonra müracaat için gerekli ek evraklar ve ilgili yönetim sistemine ait dokümanların firmamıza iletilmesi sağlanmalıdır. Kuruluşunuza ait dokümanlar ISO 27001 standardına uygunluk açısından incelenecek ve düzeltilmesi gereken bir durum olması halinde, bir rapor ile tarafınıza bildirilecektir. Belgelendirme firmasına tarafından incelenmesi sonrasında, dokümanlarda söz konusu olabilecek değişiklikler, belgelendirme denetimi öncesinde tamamlanmalı ve Belgelendirme firmasına ulaştırılmalıdır.
ISO 27001 Belgelendirme Geçerlilik Süresi Kaç Yıldır?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre yapılan belgelendirme için belge geçerlilik süresi 3 (üç) yıldır.
ISO 27001:2013 Sertifikasına Sahip Kuruluşları Nasıl Etkileyecek?
Uluslararası Akreditasyon Forumu (IAF), ISO 27001:2022'nin yayınlanmasından itibaren kuruluşların geçiş yapmak için 36 ayları olduğunu belirten bir belge yayınladı. Buna dayanarak tahmini olarak geçiş süreci aşağıdaki gibi gerçekleşecek ve kuruluşların Ekim 2025'e kadar güncellenen Standarda uyması gerekecektir. • 24 Ekim 2025'ten sonra tüm ISO 27001:2013 sertifikalarının geçerliliği sona erecektir. Bu nedenle Ekim 2025 tarihine kadar BGYS'nizin güncellenmesi ve sertifikanızın ISO 27001:2022'ye geçirilmesi gerekmektedir. • Belgelendirme kuruluşunuzun bu süre içinde bir geçiş değerlendirmesi yapması ve size güncellenmiş bir sertifika vermesi gerekecektir. • Geçiş değerlendirmesi, BGYS'nizi Ek A kontrollerindeki değişiklikler de dahil olmak üzere ISO 27001:2022'nin yeni gerekliliklerine göre güncelleyip güncellemediğinizi • Gözetim denetimi yeniden belgelendirme denetimi veya bağımsız bir değerlendirmeyle geçiş yapabilirsiniz.
ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri Nelerdir?
EK-A Maddeleri ISO 27002:2022’de, ISO 27002:2013'ün 114 kontrolü yerine 93 kontrol listelenecek. Bu kontroller artık 14 maddede değil 4 ana başlık halinde gruplandırılacak: -İnsanlar (8 kontrol) -Organizasyonel (37 kontrol) -Teknolojik (34 kontrol) -Fiziksel (14 kontrol) ISO 27002:2022 bazı yeni kontrolleri içerecek: -5.7 Tehdit istihbaratı /Siber -5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği -5.30 İş sürekliliği için Bilgi ve İletişim Teknolojileri hazırlığı -7.4 Fiziksel güvenlik izleme -8.9 Konfigürasyon yönetimi -8.10 Bilgi silme -8.11 Veri maskeleme -8.12 Veri sızıntı/kaybı önleme -8.16 İzleme faaliyetleri -8.23 Web filtreleme -8.28 Güvenli kodlama Kontroller, kategorize edilmelerini kolaylaştırmak için artık beş tür özniteliğe sahip olacak: -Kontrol tipi (önleyici, tespit edici, düzeltici) -Bilgi güvenliği özellikleri (gizlilik, bütünlük, erişilebilirlik) -Siber güvenlik kavramları (tanımlama, koruma, tespit etme, yanıt verme, kurtarma) -Operasyonel yetenekler (yönetişim, varlık yönetimi, vb.) -Güvenlik alanları (yönetişim ve ekosistem, koruma, savunma, dayanıklılık) Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002 standardında gerçekleşmiştir.
ISO/IEC 27001 Bilgi Teknoloji Güvenliğindeki Yenilikler Nelerdir?
Siber saldırılar maliyetli, yıkıcı ve hem iş dünyası, hem hükümetler hem de toplum için büyüyen bir tehdittir. Varlıklarınızı nasıl koruyacağınız aşağıda açıklanmıştır. Küresel siber güvenlik zorluklarını ele almak ve dijital güveni artırmak için, ISO/IEC 27001'in yeni ve geliştirilmiş bir sürümü yayınlandı. Bilgi güvenliği yönetimi konusunda dünyanın en iyi bilinen standardı, kuruluşların günümüzün giderek dijitalleşen dünyasında hayati önem taşıyan bilgi varlıklarını güvence altına almalarına yardımcı olur. Siber suçlar, bilgisayar korsanları daha gelişmiş siber suç teknikleri geliştirdikçe giderek daha şiddetli ve sofistike hale geliyor. Dünya Ekonomik Forumu'nun Küresel Siber Güvenlik Görünümü raporu, siber saldırıların 125'de küresel olarak %2021 arttığını ve kanıtların 2022'ye kadar artışın devam ettiğini gösteriyor. Bu hızla değişen ortamda, liderler siber risklere stratejik bir yaklaşım benimsemelidir.
Bilgi Güvenliği İhlallerine Karşı Hazırlıklı Mısınız? Yeni ISO/IEC 27001 Size Yardımcı Olabilir?
Popüler bilgi güvenliği yönetim sistemi standardı ISO/IEC 27001'in revize edilmiş versiyonu artık mevcuttur. Standart, şirketlerin bilgi varlıklarını güvence altına almalarına yardımcı oluyor- siber saldırıların sayısının ve karmaşıklığının arttığı günümüz dünyasında hayati önem taşıyor.
ISO 27701’in Amacı Nedir?
ISO 27701 bir tür PIMS olduğundan, amacı esas olarak veri gizliliği ve güvenliği ile ilgilidir. Özel olarak gizlilik kontrolleri ve uygulamaları için çerçeve ve gereksinimleri tutar. ISO 27701, ISO 27001’in bir uzantısı olarak hizmet eder, bu nedenle ikincisi bir PIMS uygulamak isteyen şirketler için gereklidir.
ISO 27701’in ana hedefi nedir?
• Mevcut Bilgi Güvenliği Yönetim Sistemini (BGYS) bir PIMS uzantısı ile ve ayrıca gizlilikle ilgili kontrollerle güçlendirmek, • Karmaşık örtüşen gizlilik yasalarının yönetimini basitleştirmek, • Kanıta dayalı ve tanınmış bir sertifika formu aracılığıyla GDPR uyumluluğunu gösteren bir gizlilik programı oluşturmak ve • Potansiyel GDPR uyumluluğu için temel görevi görür. Şimdi yayınlanan ISO 27701 standardı aynı zamanda başka birçok amacı da yerine getiriyor. Birincisi, PIMS ile ISMS veya ISO 27001 arasındaki ilişki ve bağlantı için bir taslak görevi görür. Ayrıca gerekli işlevleri detaylandırır ve PIMS veri işlemcileri ve kontrolörleri için gizlilik kontrollerini listeler. Daha büyük ölçekte, ISO 27701, bilgi gizliliği gerekliliklerini ilgili ISO standartlarına ve GDPR’ye eşler.
ISO 27701, ISO 27001 ile Nasıl İlişkili?
ISO 27701, ISO 27001’e ek olarak hizmet eder. Birkaç risk yönetimi standardından biridir, ancak özellikle kuruluşunuzun GDPR ve diğer geçerli PII yönetmeliklerine uyduğuna dair güvence verir. ISO 27701’in güvenlik avantajlarını ve iyileştirmelerini deneyimleyebilmeniz için öncelikle ISO 27001 sistemine sahip olmanız gerekir. Ancak ISO 27001, GDPR’nin gereksinimlerini bağımsız olarak yerine getirmez, bu nedenle uzatma önemlidir. ISO 27701 Sertifikasına Sahip Olmanın Faydaları Şunlardır! Veri gizliliği ve GDPR uyumluluğu: ISO 27701, diğer gizlilik düzenlemeleri ve gereksinimleri için aynı standardı kullanmanıza izin verirken, şirketinizin GDPR ile uyumlu olduğuna dair güvence sağlar. Bütünlük: Kuruluşunuz, yatırım yaptığınız tarafların bilgilerini çevreleyen güvenlik risklerini yönetebileceğinizden emin olarak faaliyetlerini her zamanki gibi yürütebilir. Zamandan tasarruf: ISO 27701 ile güvenlik anketlerini yanıtlayabilecek, güvenlik yönetmeliklerine uyabilecek ve kişilere risk yönetim sistemlerinizin olduğundan emin olabileceksiniz.
ISO 27001 BGYS Tehditleri
1-İç Tehdit Unsurları
a) Bilgisiz ve Bilinçsiz Kullanım
Temizlik Görevlisinin Sunucunun Fişini Çekmesi
Eğitilmemiş Çalışanın Veri tabanını Silmesi
b) Kötü Niyetli Hareketler
İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini Değiştirmesi
Bir Çalışanının, Ağda “Sniffer” Çalıştırarak E-postaları Okuması
Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip Kurumlara Satması
Geçici işe başlayıp bilgileri, rakip kuruluşlara satma
2-Dış Tehdit Unsurları
a) Hedefe Yönelmiş Saldırılar
Bir Saldırganın Kurum Web Sitesini Değiştirmesi
Bir Saldırganın Kurum finans Kayıtlarına erişmesi
Birçok Saldırganın Kurum Web Sunucusuna Hizmet Aksatma Saldırısı Yapması(atak gerçekleştirme)
b) Hedef Gözetmeyen Saldırılar
Virüs Saldırıları (Melissa, CIH – Çernobil, Vote)
Worm Saldırıları (Code Red, Nimda)
Trojan Arka Kapıları (Netbus, Subseven, Black Orifice)
Eğitim, Danışmanlık ya da Belgelendirme için Yardıma mı ihtiyacınız var?
Hemen Profesyonel Sertifika Hizmeti Alın