Makale Özeti

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemini detaylı bir şekilde incelemeye çalışıyoruz.

Makale

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi

Kısaca özetlemek gerekirse, ISO/IEC 27001 Belgesi değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.

ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.

ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.

ISO 27001 Kimi ilgilendirir ?

ISO/IEC 27001, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. 

ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

ISO/IEC 27001 İle ilgili Terim ve Kavramlar

Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.

Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.
Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS'si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. 
• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
• Çalışanların motivasyonunu arttırır.
• Yasal takipleri önler.
• Yüksek prestij sağlar.

ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları:

• Varlıkların sınıflandırılması,
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
• Risk analizi,
• Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme, 
• Dokümantasyon oluşturma,
• Kontrolleri uygulama,
• İç tetkik,
• Kayıtları tutma,
• Yönetimin gözden geçirmesi,
• Belgelendirme.

Müracaat İçin Gerekli Evraklar

D-1 Genel (TS EN ISO 9001, TS EN ISO 13485)
• Müracaat Talep Yazısı
• Kuruluşun Sistem Dokümanları (Örn. El Kitabı, Prosedürler, İlişkili Dokümanlar v.b.)
• Kuruluşun Çalıştığı Bankalar ve Hesap Numaraları, Yatırılmış “Sistem Belgelendirme” Başvuru ve Dosya İnceleme Ücret Dekontu 
• Ticaret Sicil Gazetesinin Kopyası (Kamu kuruluşları ve Yurt Dışı hariç), 
• Kayıtlı Oldukları Oda Sicil Kayıt Belgesi kopyası (Kamu kuruluşları ve Yurt Dışı hariç),
• İmza Sirküleri kopyası (Kamu kuruluşları, Yurt Dışı hariç)
• Varsa Tanıtıcı Dokümanlar.(Broşür, Katalog v.b)
• Çalışan sayısına esas olmak üzere son sigorta bildirgesi (Kamu Kuruluşları, Yurt Dışı ve TSE Sistem Belgelendirme Ücret Talimatında yer alan Ücret Çizelgesinin üst sınırında bulunan kuruluşlar için gerekli değildir).

Not1: KOSGEB destekli müracaatlar için Kosgeb Destek Sözleşmesi fotokopisi eklenecek ve Müracaat Talep Yazısında Kosgeb Destek Projesine katıldığı belirtilecektir.
Not2: Başvuruya esas Yönetim Sistemi ile ilgili belgelendirme tetkikine kadar en az bir defa Yönetim Gözden Geçirme ve İç Tetkik faaliyeti tamamlanmış olmalıdır. İlgili yönetim sistemi muhtemel belgelendirme tarihine kadar en az 2 aydır uygulanıyor olmalıdır.

D-5 TS ISO/IEC 27001 Belgelendirmesi için D-1 e ek olarak istenen belgeler.• Politikaları, Risk Değerlendirme Planı, Uygulanabilirlik Beyannamesi
• İç Tetkik ve YGG kayıtları
Başvuru için Gerekli Olan Dökümanlar ve Önemli Noktalar

Başvuru için 
• Geçerlilik Süresi 3 yıldır
• Sahada yapılacak Aşama 1 tetkikinin geçilmiş olması gerekir. Ücretlidir.
• Aşama 1 geçilirse planlı olan aşama 2 (Belgelendirme) tetkikleri sağlanır Ücretlidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Hizmetlerinde ne tür hizmetler alınır?

Danışmanlık firması seçiminde dikkat edilmesi gereken en önemli husus en ucuz fiyatı veren değil size daha az maliyette sistem kurmanızı sağlayacak referansları güçlü bir danışman firma ile çalışmanız tavsiyesinde bulunuyoruz. Danışman Firmanın bünyesinde en 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.
ISO 27001 Danışmanlık firmasına karar verildikten sonra kurumunuz danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.
1. Bilgi Güvenlik Yönetim Sistemi Forumunun kurulması: Danışman ve kurum içinde bir " Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Forumu"nun oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.
2. Kurumun Mevcut Sistem ve Dokümantasyon Analizi:Kurumda ISO 9001 KYS kurulu değil ise öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO 9001 tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO 27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır.Eğer kurumda ISO 9001 kalite yönetim sistemi kurulu ise ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bu standart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir.
3. Bilgi Güvenliği Yönetim Sistemi kapsam ve sınırlarının belirlenmesi :Temel ISO 9001 Kalite Yönetim sistemi yapılanmasının ardından kuruma dair ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır.
4. BGYS Temel politikası ve diğer politikaların oluşturulması:Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır.ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır.
5. Varlıkların Belirlenmesi ve Sınıflandırılması :Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır.
6. Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması:Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenecektir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir. Risk analizi ve değerlendirilmesinde daha fazla bilgi için lütfen tıklayınız
7. Hazırlanan risk raporu üst yönetime sunulması:Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir. Risk analizi ve değerlendirilmesinde daha fazla bilgi için lütfen tıklayınız
8. Risk işleme süreci sonuçlarına uygun TS ISO IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardının ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır.
9. Uygulanabilirlik Bildirgesinin hazırlanması:Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesi hazırlanacaktır.
10. Sistem iç tetkiki ve Yönetimin gözden geçirilmesi yapılması:Bu aşamada uygulamaya alınır. en az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.
11. Belgelendirme Kuruluşuna Müracaatın Yapılması :Sistemin istenilen düzeyde çalışıyorsa Belgelendirme amaçlı Aşama-1 (Stage-1) sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmesi fiyat teklifi alması gerekir.
12. Birinci Aşama Belgelendirme Denetiminin Yapılması :Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirmeci kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2. Aşama Belgelendirme Denetimine geçilir.
13. İkinci Aşama Belgelendirme Denetiminin Yapılması :İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.
14. ISO 27001 Belgesinin Sertifikasının Basılması:Denetimlerden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini firmanıza gönderir.
15. ISO 27001 Danışmanlık Firması Teknik Destek Danışmanlık Hizmeti:Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.

Yukarıda belirtilen 15 maddeyi özetlersek ISO 27001 Danışmanlık firmasından aşağıdaki hizmetler alınır.

  • Bilgi varlıkların sınıflandırılması, kategorileştirilmesi, sistem açısından kritikliklerinin belirlenmesi.
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi
  • Risk yaklaşımı için bir çerçevenin sunulması
  • Risk analizi raporunun hazırlanması
  • Risklerin derecelendirilmesi
  • Risklerin üst yönetime sunulması için çerçeveyi oluşturma
  • Üst yönetimin risk analiz raporu değerlendirmelerine göre risk işleme planının hazırlanması
  • Risk işleme planına uygulanacak kontrolleri belirleme
  • Dokümantasyon oluşturma
  • Kontrolleri yapılandırma
  • İç tetkik
  • Kayıtları tutma
  • Yönetimin gözden geçirmesi
ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Risk Değerlendirme Sistemi nedir Bilgi Güvenliği Riskleri nasıl değerlendirilir ve Risk Değerlendirme Yaklaşımında dikkat edilmesi gereken Hususlar nelerdir ?

Daha detaylı bilgi için

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle Risk Yönetimi yapısı üzerine kurulur. Her şey bir tarafa, risk yönetimi bir tarafa.
ISO 27001 Standardı risk yönetimi için;
1. “ Risk değerlendirme yönetim sistemi yaklaşımını ortaya koyun”, der. Risk yaklaşımı riskin nasıl algılandığına, anlaşıldığına dair genel bir metodun açıklanmasını ister. Kurumun riskten ne anladığı, riskleri nasıl değerlendireceğine dair yaklaşımlarının ne olduğunu ortaya koyar. Genel bir çerçeve olmadan risklerin ortaya konulamayacağını vurgular.
2. “ Risk analizini yap”, der. Ortaya konulan metoda bağlı olarak risklerini analiz et demektir bu ifade. Kurumun içindeki, faaliyetlerindeki, hizmetlerindeki, alt yapındaki, personelindeki, teçhizatındaki riskleri ortaya koymak, onları açık hale getirmek için risk kapasiteni çözümlemek gerekmektedir. Risk analizi, kurumun risklerini ortaya çıkarmak adına her kritik konuyu irdelemekten, araştırmaktan geçer. Sonunda kurumun risklerine ilişkin bir çerçeve çıkar. Nerede ne varmış, sorgulanmış ve öne çıkarılmış olur.
3. Risk analizinde ortaya çıkan tabloya bağlı olarak riskler değerlendirilir ve önceliklendirilir. Risk değerlendirme yaklaşımında tanımlanmış olan seviyelere göre sıralanır. Risk analizindeki riskler değerlendirme matrisi içine yerleştirilir. Matrise göre hangi risklerin yönetileceği tanımlanmış olur.
4. Risklerin nasıl yönetileceği konusuna sıra gelmiştir. İşte burada “ Risk İşleme Planı ” devreye girer. Riskleri yönetmek için iso 27001 standardı bize dört yardımcı sunar:
  • Riskleri kabullen. Yapacak bir şey yok. Sonuçlarını kabullen. Sonuçlarının maliyetlerini üslen. Eğer çalıştığınız yeri değiştiremiyorsanız deprem riskinin sonucunu kabullenebilirsin.
  • Risklerden kaçın. Düzelecek bir şey yok. Biz sonuçlara katlanamayız. O halde binayı terk ediyoruz. Biz buradan kaçıyoruz, denilebilir. Riskten kaçınırsınız.
  • Riskleri üçüncü taraflara devredebilirsiniz. Sigorta firmalarına, alt yüklenicilere, müşterilere, emniyet güçlerine, itfaiyeye. Sözleşmelerle risklerinizi devrederek sonuçlarını yönetebilir hale gelirsiniz. Örneğin internet kesintilerini Türk Telekom veya internet erişim sağlayıcılara devredebilirsiniz. Ne de olsa ülkemizde tek erişim alt yapı hizmeti Türk Telekom veriyor ve internet kesintisi sırasında ortaya çıkabilecek bir sorunun muhatabı Türk Telekom ise;
  • Riskleri yönet. İşte işin can alıcı noktasına geldik. Kabullenmediğimiz, kaçınamadığımız, devredemediğimiz riskleri yönetmeye.
  • Risk işleme planına göre yönetilmesi gereken riskler için sıra geldi nasıl yöneteceğimize.
İyi çalışmalar.

--

Turhal Temizer

www.turhaltemizer.com