Bilgi Güvenliği

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi Güvenliği, ISO 27001 standardında “Doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi özellikleri kapsayan, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması” olarak tanımlanmıştır.

Bilgi Güvenliği Yönetim Sistemi ISO/IEC 27000’de; Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası” şeklinde açıklanmıştır. ISO 27001 bilgi varlıklarına ilişkin risk temelli bir yönetim standardıdır. Bilgi güvenliği; kurumsal bilgi varlıklarına ait gerçekleşebilecek risklerden doğabilecek kaybı minimuma indirmeyi ve herhangi bir sebepten doğabilecek kesinti durumlarında kurum ana faaliyetlerinin devamlılığını sağlamayı hedefler. Bu hedefler için de kurumsal bilgi varlığının gizlilik, bütünlük ve erişilebilirliğini göz önünde bulundurur. Kurum bilgi varlıklarında karşılaşılabilecek risklerin değerlendirilmesi için tehditler ve bu tehditlerin kullandığı açıklıklar için risk analizi yapılması gerekir.

ISO 27001, dünyada ülke ve sektör gözetmeksizin her türlü kuruluş için uygundur. Bu yönetim standardı telekomünikasyon, finans, kamu, sağlık gibi sektörlerde firma büyüklüğünden bağımsız olarak bilgi varlığının korunmasının önem arz ettiği durumlarda etkin bir yöntem olarak öne çıkmaktadır. ISO 27001 sadece bilgiyi kendi adına değil başkası adına yöneten, işleyen ve ya saklayan kuruluşlar içinde güvence vermek anlamına gelir.

ISO 27001, Bilgi Güvenliği Yönetimi Sistemi bilginin güvenliğini sağlamak için yapılması gereken adımların tanımlandığı denetlenebilir uluslararası tek standarttır. Bilgi varlığının korunması için minimumda yapılması gerekli olan güvenlik önlemlerini belli bir çerçevede sunar. ISO 27001, Uluslararası Standardizasyon Örgütü (ISO) ile Uluslararası Elektroteknik Komisyonu (IEC) tarafından kurulan Birleşik Teknik Komite’ye bağlı bir alt organizasyon tarafından oluşturulmuş olan 27000 bilgi güvenliği standartları ailesinin Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler başlığına sahip denetlenebilir/belgelenebilir standardıdır. Bilgi güvenliğinin yönetimsel olarak kurulumu ve belgelendirilmesi bu standart üzerinden yapılmaktadır.

Bilgi güvenliği yönetiminde, “ISO 27002:2013 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardı en çok kullanılan standarttır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetiminin planlanmasını, gerçekleştirilmesini, sürdürülebilirliğini ve sürekli iyileştirilmesini sağlamak için genel prensipleri belirler. BGYS’nin belgelendirilmesi için “ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı, bu sistemin kurulması için rehber olarak ise ISO 27002:2013 standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO 27002:2013’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO 27001:2013’te belirlenmektedir.

Bilgi güvenliği standardı dünyada ilk olarak 1995 yılında BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılarak bir İngiliz Standardı BS7799 olarak yayınlanmıştır. 2000 yılında, ISO tarafından ISO 17799 olarak yayınlanmıştır. Ülkemizde ise TSE tarafından 2002 yılında kabul edilmiş ve yayınlanmıştır. 2005 yılında revizyona gidilerek standart ISO 27001 halini almıştır. Standart son halini ise 2013 yılı Kasım ayında alarak ISO 27001:2013 olmuştur.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre kurumlar, dokümante edilmiş bir BGYS’yi, kuruluşun bütün ana faaliyetleri ve karşılaştığı riskleri göz önüne alarak kurmalı, uygulamalı, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geliştirmelidir. Bu standardın ve birçok yönetim sistemi standardının temeli olan planla, uygula kontrol et, önlem al (PUKÖ) çevrimi aşağıdaki ihtiyaçlar için kullanılır:

         • BGYS’nin planlanması, kurulması ve yönetilmesi

         • BGYS’nin gerçekleştirilmesi ve işletilmesi

         • BGYS’nin izlenmesi ve gözden geçirilmesi

         • BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi

ISO 27001 Standardının Genel Özellikleri

         • Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.

         • İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.

         • Regülasyonlara uyumun sağlandığını gösterir.

         • Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.

         • Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.

         • Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardına Genel Bakış

         Madde 4: Organizasyon İçeriği

         Madde 5: Liderlik

         Madde 6: Planlama

         Madde 7: Destek

         Madde 8: Operasyon

         Madde 9: Performans değerlendirme

         Madde 10: İyileştirme

Bu anahtar faaliyetlerin her birinin açıklaması aşağıda verilmiştir.

ISO 27001 Madde 4 : Organizasyonun İçeriği

BGYS standardının ilk maddesi, organizasyonun yapısını, kuruluş amacını, BGYS hedeflerinin ve ilgili taraflarının analizinin yapıldığı bölümdür.

         • Kuruluş amacı ile ilgili ve BGYS hedefleri

         • İlgili taraflar ve bu tarafların yasal, düzenleyici ya da sözleşmeye bağlı yükümlülük gereksinimleri

         • Kuruluş, sınırlarını ve kapsam dâhilindeki BGYS’nin uygulanabilirliği

         • Kuruluş faaliyetleri

ISO 27001 Madde 5 : Liderlik

Bilgi güvenliği politikası ve hedeflerinin, kuruluşun (stratejik) iş planları ile uyumlu olacak şekilde oluşturulması bu madde içinde ele alınmaktadır.

Oluşturulacak iş planlarının üst yönetim tarafından onaylanması ve bilgi güvenliği hedeflerinin yer almasının sağlanması gerekir. Üst yönetim BGYS için gerekli kaynakların mevcudiyetini sağlamalıdır.

         • Kuruluşun stratejilerine uygun bilgi güvenliği politikası ve hedefleri belirlenmesi

         • Kuruluşun BGYS gereksinimleri ortaya konması

         • Üst yönetim tarafından BGYS gereklilikleri için kaynak sağlanması

         • BGYS için kuruluş içi/dışı iletişim önemi

         • BGYS etkinliğinin artırılması için üst yönetim tarafından çalışanların desteklenmesi

         • Bilgi güvenliği hedeflerini içeren ve hedeflerinin düzenlenmesi için bir çerçeve sağlayan bilgi güvenliği politikası

         • Üst yönetim tarafından desteklenen, bilgi güvenliği ile ilişkili roller için sorumluluk ve yetkilerin tahsis edilmesi

         • Performans değerlendirmesinin üst yönetime sunulması

ISO 27001 Madde 6 : Planlama

Risk temelli bir yaklaşım olan BGYS’nin, kuruluşun varlıklarına ilişkin risklerinin ele alınacağı ve bu riskler için gerçekleştirilecek aksiyonlarını kuruluşun iş ihtiyaçları ve ilgili taraf beklentileri göz önüne alınarak planlandığı bölümdür. Bu planlama için;

         • Bilgi güvenliği risk kriteri

         • Risk kabul kriteri

         • Bilgi güvenliği risk değerlendirme kriteri

         • Tanımlanmış ve sahipliği olan risklerin değerlendirilmesi

         • Değerlendirilen riskler için alınacak aksiyonların önceliklendirilmesi

Bilgi güvenliği hedeflerine ulaşmak ve gerçekleştirilecek olan aksiyonlar için neler yapılacağı, sorumlu kişi, kaynak gereksinimleri, tamamlanma zamanına karar verilmelidir.

ISO 27001 Madde 7 : Destek

BGYS’nin kurulması, geliştirilmesi, iyileştirilmesi için gerekli olan kaynakların sağlandığı, gerçekleştirilecek işleri yapacak olanların yetkinliklerinin belirlendiği, performansların değerlendirildiği, farkındalığı, iletişimi ve dokümantasyonun içeriğinin belirlendiği bölümdür.

ISO 27001 Madde 8 : Operasyon

Bu bölümde kuruluşun bilgi güvenliği hedeflerine ulaşmak için kapsam dâhilinde hazırlamış olduğu politika için planlanmış aksiyonların uygulanması, kontrol edilmesi anlatılmaktadır. Bunun için de;

         • Süreçlerin planlandığı gibi yürütüldüğünden emin olmak için, yeterli seviyede dokümante edilmiş bilgi de oluşturmalı

         • Planlı aralıklarla veya bildirilen ve gözlenen önemli değişiklikler olduğunda, bilgi güvenliği risk değerlendirmesi yapılmalı

         • Bilgi güvenliği risk işleme planını uygulamalı

         • Kuruluş dış kaynaklı süreçlerin belirlenmesi ve kontrol edilmesi sağlanmalı

ISO 27001 Madde 9 : Performans değerlendirme

Bilgi güvenliği performansını ve BGYS’nin etkinliğini değerlendirildiği bölümdür.

         • İzlenecek, ölçülecek ihtiyaçlara karar verilir.

         • İzleme, ölçme, analiz ve değerlendirme için izlenecek yönteme, ne zaman yapılacağına, kim tarafından gerçekleştirileceğine, sonuçların ne zaman değerlendirileceğine ve değerlendirmenin kim tarafından yapılacağına karar verilir.

         • İç denetimin planlanır ve tarafsız bir şekilde gerçekleştirilir.

         • Üst yönetimin katılım göstereceği, önceki dönem yönetim gözden geçirme aksiyonlarının durumu, mevcut BGYS için uygunsuzlukların, izleme ölçme ve denetim sonuçlarının değerlendirilmesi ve aynı zamanda bilgi güvenliği hedeflerinin yerine getirilmesi konusunda görüşlerin değerlendirildiği yönetim gözden geçirme toplantısı yapılır.

         • Yönetim gözden geçirme toplantısı sonucunda mevcut durum iyileştirmeleri hakkında verilecek kararlar ve BGYS değişiklik ihtiyaçları konusunda kararlar verilir.

ISO 27001 Madde 10 : İyileştirme

Bilgi Güvenliği Yönetim Sisteminde herhangi bir uygunsuzluk ortaya çıktığında, o uygunsuzluğun ortadan kaldırılması, düzeltilmesi ya da kontrol altın alınması için düzeltici faaliyet uygulanır. Standardın bu bölümünde, kurulan yönetim sisteminin etkinliğini arttırmak ve sürekli iyileştirmeyi sağlamak için düzeltici faaliyetlerin gerekliliklerini açıklar ve sistemin işleyişinin kanıtı niteliğindedir. Hedeflerin gerçekleştirilmesini ve yönetim sisteminin verimliliğinin değerlendirmekte faydalı bir çalışmadır.

İlgili hizmetler