ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi
Çözüm Danışmanlık olarak; uluslararası ISO 27001 Bilgi Güvenliği Sisteminin kurulması için ISO 27001 eğitim ve danışmanlık hizmeti vermekteyiz.
ISO 27001 Bilgi Güvenliği Yönetim Belgesi Sertifikası Nedir?
ISO 27001 Belgesi; şirketlerin ya da her türlü organizasyonların kendi içinde bulunan bilgi varlıklarını gizlilik, bütünsellik ve erişilebilirlik ya da kullanılabilirlik amacıyla oluşturdukları bilgi yönetim sistemini belgelendirme ve 3. kişilere kanıtlamak amacı ile aldıkları, bağımsız denetleme kuruluşlarının yaptığı denetleme sonucu düzenledikleri ve kurum ya da organizasyon adına düzenlenen sertifika belgesidir.
Güvenlik sistemi öncelikle ISO 27001 bilgi güvenliği yönetim sistemi standartına uygun olarak kurulmalıdır. Bilgi güvenliğine önem veren firma ya da kuruluş ISO 27001 Belgesi almak zorunda değildir. Ancak ISO 27001 bilgi güvenliği yönetim standardına göre kurulmuş bir bilgi sistemi bile olsa tarafsız 3. kişiler tarafından denetlenmeyen ve belgelendirilmeyen bir güvenlik sisteminden bahsedilemez.
ISO 27001 Bilgi Güvenliği Yönetim Sistemlerini belgelendirmek isteyen firmalar kati suretle uluslararası akreditasyon kurumlarından akredite olmuş belgelendirme kurumları tarafından denetlenerek belgelerini almalıdırlar. Aksi halde belgeleri geçersiz sayılacaktır.
Bilgi Nedir?
Bilgi; bir kurum ya da işletmenin faaliyetlerini sürdürürken kullandığı kurum için anlam kazanmış;
- Basılı bilgiler,
- Elektronik ortamda saklanan belgelerde bulunan bilgiler,
- Posta yoluyla edinilmiş ya da eposta ile depolanmış bilgiler,
- Kurum içi bilgilendirme videoları,
- Kurum içi ve kurum dışı sözlü olarak aktarılmış söyleşi ve panel bilgileridir.
Bilgi Güvenliği Nedir?
Bilgi güvenliği; Bilginin korunması, muhafaza edilmesi, bütünlüğünün sağlanması ve ilgili birimlere dağıtılabilmesi için gerekli olan güvenliğin sağlanması için tedbir ve önlemlerdir.
Bilgi güvenliğini temel kavramları ile ifade edersek;
- Gizlilik,
- Bütünlük,
- Ulaşılabilirliktir.
Bilgi Güvenliği Yönetim Sistemi nedir?
Bilgi güvenliği yönetim sistemi; bilgi güvenliği ile ilgili önlemlerin sistematik bir şekilde alınması, bilgi güvenliği ile ilgili çalışmaların daha etkin ve kurallara bağlı yapılması, süreklilik ön göre kurum personeli ya da yetkili personel tarafından kullanılan bir yönetim şeklidir.
Bilgi Güvenliği Yönetim Sisteminin uluslararası alanda en yüksek standardı ISO 27001 Bilgi Güvenliği Yönetim sistemi Standardıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Nasıl Alınır?
ISO 27001 almak isteyen kurum ya da organizasyon; ISO 27001 Bilgi Güvenliği Yönetim Belgesi danışmanlık ve eğitimi veren uzman personeli ile destek veren konusuna vakıf bir firma ile anlaşarak ISO 27001 Standardına göre güvenlik kurma sistemi çalışması yaptırabilirler.
Sistemin kurulması ve gerekli dokümantasyonun elde edilmesi ile uygulamaya konmalıdır. Kurulum, dokümantasyon ve uygulama süreçlerini takiben uluslararası akredite olmuş kuruluşlardan denetleme için iletişime geçilir.
Kurum ya da organizasyon ISO 27001 Bilgi Güvenliği standardına uygun olarak kurulan bilgi güvenliği yönetim sistemlerinin uygulandığını iletişime geçilen bağımsız denetçiye kanıtladıkları takdirde belgelendirme kuruluşuna ISO 27001 belgesinin verilmesini tavsiye ederler.
Bilgi Güvenliğinin kurulması, dokümantasyonun sağlanması ve uygulanması için;
- Üst düzey yöneticilerin kendi bünyelerinde bir Bilgi Güvenliği Yönetim Temsilcisi atamaları zorunludur.
- Firma ya da kuruluş güvenlik sisteminin kurulması ile ilgili üst yönetimin ya da yönetim kurulunun karar alması gereklidir.
- Danışmanlık firması seçimi etkenlerinden biri de olan danışman firmanın kendi bünyesinde en az 1 (bir) personelinin ise 27001 Baş denetçi sertifikasına sahip olması gerekmektedir.
- Birlikte çalışılmak istenen danışmanlık firması ile mutlaka anlaşma yapılmalı ve çalışma takvimi karşılıklı olarak oluşturularak karara bağlanmalıdır.
- ISO 27001 Eğitimleri mutlaka alınmalıdır. Eğitimlerle ilgili kurumumuzdan bilgi alabilirsiniz: +90 212 222 28 88 telefon numaramızdan bize ulaşabilirsiniz.
ISO 27001 Belgesi Neden Alınmalıdır? Alınması Yasal Zorunluluk Mudur?
Bilgi güvenliğinin amacı; personelin yetkisinin olmadığı erişimlere, bilginin değiştirilmesine, bilginin açık edilmesine yönelik saldırılara karşın korunmasıdır. Bu nedenle bilginin korunması, 3. kişilerce erişilememesi için bilginin korunması gerekmektedir.
ISO 27001 Belgesi Alması Zorunlu Olan Kuruluş Ve İşletmeler:
- Bilişim sektöründe faaliyette bulunan ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar,
- Elektronik haberleşme şebekesi hizmeti veren ve alt yapısını işleten firmalar,
- Görev akdi imzalayan firmalar,
- İmtiyaz sözleşmesi imzalayan firmalar,
- Altyapı işletmeciliği hizmeti veren firmalar,
- Sabit telefon hizmeti veren firmalar,
- Mobil telefon hizmeti veren firmalar,
- Sanal mobil şebeke hizmeti veren firmalar,
- Internet servis sağlayıcısı firmalar,
- Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar,
- E fatura özel entegratör yetkisi almak isteyen ve faaliyet gösteren firmalar,
- Gümrük işleri kolaylaştırıcı yetkisi almak isteyen firmalardır.
ISO 27001 Standardı Nedir?
ISO 27000 Standardı sürekli genişleyen ISO/IEC ISMS Standart ailesinin bir parçasıdır. ISO 27000 Standart ailesi; ISO 27001, ISO 27002, ISO 27003 … gibi Bilgi Teknolojisi ve Bilgi Güvenliği Yönetim Sistemlerini kapsayan uluslararası standartları içeren bir standarttır.
Sertifika olarak ISO 27001 Standardının sertifikası vardır ve ISO 27001 Belgesi mevcuttur. ISO 27000 Standartları uluslararası standardizasyon örgütünün ve uluslararası elektronik komisyonunun ortaklığı ile kurulan Birleşik Teknik Komite’ye bağlı bir alt komite tarafından geliştirilmektedir.
ISO 27001 Standartları
Standartları aşağıdaki başlıklar halinde toplayabiliriz:
- TS ISO/IEC 27001 Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemi – Gereksinimler (Information technology – Security techniques -Information security management systems – Requirements) Standardı
- TS ISO/IEC 27002 Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemi için Uygulama Kodları (Information technology – Security techniques – Code of practice for information security management) Standardı
- TS ISO / IEC 27003 Bilgi Teknolojileri – Güvenlik Teknikleri – Güvenliği Yönetim Sistemi için Uyarlama, gerçekleştirme Kılavuzu (Information Technology – Security techniques – Information security management system implementation guidance)
- TS ISO/IEC 27004 Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemi – Ölçekler, Raporlar Standardı (Information technology — Security techniques — Information security management — Measurement)
- TS ISO / IEC 27005 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemlerin Risk Yönetimi Standardı (2008 Information technology — Security techniques — Information security risk management)
- TS ISO/IEC 27006 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemlerin Denetim ve Belgelendirilmesi için Şartlar Standardı
- TS ISO / IEC 27006 Bilgi Güvenliği Denetim ve Belgelendirme için Şartlar Standardı
- TS ISO/IEC 27799 Sağlık Bilişimi Bilgi Güvenliği Yönetim Sistemi Sağlık Kuruluşları için ISO 27002 ( Health informatics – Information security management in health using ISO/IEC 27002)
- TSE GUIDE 13268-1 TS ISO/IEC 27001’e göre Bilgi Güvenliği Yönetim Sistemi (BGYS) belgelendirmesi için gereksinimler ve hazırlık kılavuzu – TSE GUIDE 13268-1 kılavuz standardı
- TSE GUIDE 13268-2 TS ISO/IEC 27001’e göre Bilgi Güvenliği Yönetim Sistemi (BGYS) gerçekleştirmelerinin etkinliğinin ölçülmesi kılavuzu-TSE GUIDE 13268-2 kılavuz standardı
- TSE Guide 13268-3: TS ISO/IEC 27001 e Göre Bilgi Güvenliği Yönetim Sistemi (BGYS) Denetimine Hazırlık Kılavuzu-TSE GUIDE 13268-3 kılavuz standardı
- TSE GUIDE 13268-4 (BIP 0073) TS ISO/IEC 27001’i esas alan bilgi güvenliği yönetim sistemi (BGYS) kontrollerinin gerçekleştirilmesi ve denetlenmesi kılavuzu-TSE GUIDE 13268-3 kılavuz standardı
- TS ISO/IEC TR 18044 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği ihlal olayı yönetimi Standardı (Information technology — Security techniques — Information security incident management)
- TS ISO/IEC TR 18044 standardı
ISO 27001 Standardının En Güzel Hali ISO 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Standardı Maddeleri:
- Kapsam
- Atıf yapılan standart ve/veya dokümanlar
- Terimler ve tarifler
- Kuruluşun bağlamı
- Liderlik
- Planlama
- Destek
- İşletim
- Performans değerlendirme
- İyileştirme
Ek A Referans kontrol amaçları ve kontroller .
ISO 27001 Belgesi Almak İsteyen Firmaların Dikkat Etmesi Gereken Konular Nelerdir?
Birkaç başlık altında ISO 27001 Bilgi Güvenliği Belgesi almayı amaçlayan ve bu sebeple ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak isteyen şirketlerin karşılaştığı sorunlara değinebiliriz:
- Teknik Açıklık Yönetimi; bu maddede istenen kuruluşun server sistemlerinin açıklarının taranması ve bu açıkların neler olduğunun raporlanmasıdır.
- ISO 27001 Belgesi alacak firmaların server sistem odasını ve fiziksel alanların güvenliği ile ilgili;
- Giriş kontrolü,
- Çıkış kontrolü,
- Su baskını kontrolü,
- Sıcaklık, toz ve nem kontrolü,
- Yangın kontrolü,
- Enerji kontrolü,
- Deprem kontrolü,
- Kablolama kontrolü yapılmalıdır.
- ISO 27001 Bilgi Güvenliği Sistem Odası ile ilgili şartlar sağlanmalıdır.
- ISO 27001 Bilgi Güvenliği Active Directory (domain – alan adı) yapısı kullanılması personel sayısına bağlıdır.
- ISO 27001 Verilerin Kurtarılması ile ilgili Felaket Kurtarma Merkezi; faaliyet konusuna göre zorunlu olacaktır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Eğitim Ücretleri Nelerdir? Eğitimler Nasıl Alınır?
ISO 27001 Bilgi Güvenliği eğitimleri;
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi,
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi,
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi İç Tetkik Eğitimi
olmak üzere 3 (üç) bölümden oluşmaktadır.
Eğitim takvimi belirlenmesi ve ücret bilgileri Çözüm Danışmanlık ile iletişime geçilerek Eğitim Takviminde uygun tarihler seçilerek alınabilir.
ISO 27001 Stanadardı Bgys (Bilgi Güvenliği Yönetim Standardı) Revizyonu Nedir?
Ülkemizde yaygın olarak kullanılan Uluslararası Standardizasyon Örgütü (ISO) tarafından 2013 yılında yayınlanan ISO 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Standardı’dır. ISO uluslararası standartları her 5 (beş) yılda bir değerlendirerek versiyon değişikliği yapmaktadır.
ISO 27001 : 2013; 2017 yılında revize edilerek ISO 27001 : 2017 Bilgi Güvenliği Yönetim Sistemi Standardı olarak revize edilmiştir. Ancak akreditasyon kuruluşları tarafından istenen akreditasyon değişikliği olmadığı için ülkemizde ISO 27001 : 2013 Standardı geçerliliğini korumaktadır.