ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgi varlıklarına ilişkin süreç tabanlı risklerin düşünüldüğü yönetim standardıdır. Bilgi güvenliği; kurumsal bilgi varlıklarına ait gerçekleşebilecek risklerden doğabilecek zararı minimize etmek ve herhangi bir sebepten doğabilecek kesinti durumlarında kurum/kuruluş ana faaliyetlerinin devamlılığını sağlamayı hedefler. Bu hedefler için de kurumsal bilgi varlığının gizlilik, bütünlük ve erişilebilirliğini göz önünde bulundurur. Kurum/kuruluş bilgi varlıklarında karşılaşılabilecek riskler değerlendirilerek bertaraf edilmesini amaçlamaktadır.
ISO 27001, Bilgi Güvenliği Yönetimi Sistemi standart şartlarını sağlamak için yapılması gereken adımların tanımlandığı denetlenebilir uluslararası tek standarttır.
Bu kapsamda Bilgi Güvenliği ISO 27001 standardında “Doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi özellikleri kapsayan, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması” olarak tanımlanmıştır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Tarihi Gelişimi Nasıl Olmuştur?
Bilgi varlığının korunması için minimumda yapılması gerekli olan güvenlik önlemlerini belli bir çerçevede sunar. ISO 27001, Uluslararası Standardizasyon Örgütü (ISO) ile Uluslararası Elektroteknik Komisyonu (IEC) tarafından kurulan Birleşik Teknik Komite’ye bağlı bir alt organizasyon tarafından oluşturulmuş olan 27000 bilgi güvenliği standartları ailesinin Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler başlığına sahip denetlenebilir/belgelenebilir standardıdır. Bilgi güvenliğinin yönetimsel olarak kurulumu ve belgelendirilmesi bu standart üzerinden yapılmaktadır.
Bilgi güvenliği standardı dünyada ilk olarak 1995 yılında BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılarak bir İngiliz Standardı BS7799 olarak yayınlanmıştır. 2000 yılında, ISO tarafından ISO 17799 olarak yayınlanmıştır. Ülkemizde ise TSE tarafından 2002 yılında kabul edilmiş ve yayınlanmıştır. 2005 yılında revizyona gidilerek standart ISO 27001 halini almıştır. Standart son halini ise 2013 yılı Kasım ayında alarak ISO 27001:2013 olmuştur. Şuan son güncel versiyonu ISO 27001:2013 Bilgi güvenliği Yönetim Sistemi Standardı geçerlidir.
ISO 27001 Standardının Faydaları Nelerdir?
- Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.
- İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.
- Yasa ve Mevzuatlara uyumun sağlandığını gösterir.
- Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.
- Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.
- Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Maddeleri Nelerdir?
1 Kapsam
2 Atıf yapılan standard ve/veya dokümanlar
3 Terimler ve tarifler
4 Kuruluşun bağlamı
4.1 Kuruluşun ve bağlamının anlaşılması
4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
4.4 Bilgi güvenliği yönetim sistemi
5 Liderlik
5.1 Liderlik ve bağlılık
5.2 Politika
5.3 Kurumsal roller, sorumluluklar ve yetkiler
6 Planlama
6.1 Risk ve fırsatları ele alan faaliyetler
6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
7 Destek
7.1 Kaynaklar
7.2 Yeterlilik
7.3 Farkındalık
7.4 İletişim
7.5 Yazılı bilgiler
8 İşletim
8.1 İşletimsel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirme
8.3 Bilgi güvenliği risk işleme
9 Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç tetkik
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
ISO 27001 Bilgi Güvenliği Yönetim Sistemi EK-A Kontrol Maddeleri
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardının EK-1 Kontrol maddelerinde 113 Madde tanımlanmıştır. Bu maddeler şunlardır;
5 Güvenlik Politikası
5.1 Bilgi güvenliği politikası
5.1.1 Bilgi güvenliği politika dokümanı
5.1.2 Bilgi güvenliği politikasını gözden geçirme
6 Bilgi Güvenliği Organizasyonu
6.1 İç organizasyon
6.1.1 Yönetimin bilgi güvenliğine bağlılığı
6.1.2 Bilgi güvenliği koordinasyonu
6.1.3 Bilgi güvenliği sorumluluklarının tahsisi
6.1.4 Bilgi işleme tesisleri için yetki prosesi
6.1.5 Gizlilik anlaşmaları
6.1.6 Otoritelerle iletişim
6.1.7 Özel ilgi grupları ile iletişim
6.1.8 Bilgi güvenliğinin bağımsız gözden geçirmesi
6.2 Dış taraflar
6.2.1 Dış taraflarla ilgili riskleri tanımlama
6.2.2 Müşterilerle ilgilenirken güvenliği ifade etme
6.2.3 Üçüncü taraf anlaşmalarında güvenliği ifade etme
7 Varlık Yönetimi
7.1 Varlıkların sorumluluğu
7.1.1 Varlıkların envanteri
7.1.2 Varlıkların sahipliği
7.1.3 Varlıkların kabul edilebilir kullanımı
7.2 Bilgi sınıflandırması
7.2.1 Sınıflandırma kılavuzu
7.2.2 Bilgi etiketleme ve işleme
8 İnsan Kaynakları Güvenliği
8.1 İstihdam öncesi
8.1.1 Roller ve sorumluluklar
8.1.2 Tarama
8.1.3 İstihdam koşulları
8.2 Çalışma esnasında
8.2.1 Yönetim sorumlulukları
8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
8.2.3 Disiplin prosesi
8.3 İstihdamın sonlandırılması veya değiştirilmesi
8.3.1 Sonlandırma sorumlulukları
8.3.2 Varlıkların iadesi
8.3.3 Erişim haklarının kaldırılması
9 Fiziksel ve Çevresel Güvenlik
9.1 Güvenli alanlar
9.1.1 Fiziksel güvenlik çevresi
9.1.2 Fiziksel giriş kontrolleri
9.1.3 Ofisler, odalar ve olanakları korumaya alma
9.1.4 Dış ve çevresel tehditlere karşı koruma
9.1.5 Güvenli alanlarda çalışma
9.1.6 Açık erişim, dağıtım ve yükleme alanları
9.2 Teçhizat güvenliği
9.2.1 Teçhizat yerleştirme ve koruma
9.2.2 Destek hizmetleri
9.2.3 Kablolama güvenliği
9.2.4 Teçhizat bakımı
9.2.5 Kuruluş dışındaki teçhizatın güvenliği
9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı
9.2.7 Mülkiyet çıkarımı
10 Haberleşme ve İşletim Yönetimi
10.1 Operasyonel prosedürler ve sorumluluklar
10.1.1 Dokümante edilmiş işletim prosedürleri
10.1.2 Değişim yönetimi
10.1.3 Görev ayrımları
10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı
10.2 Üçüncü taraf hizmet sağlama yönetimi
10.2.1 Hizmet sağlama
10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme
10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme
10.3 Sistem planlama ve kabul
10.3.1 Kapasite planlama
10.3.2 Sistem kabulü
10.4 Kötü niyetli ve mobil koda karşı koruma
10.4.1 Kötü niyetli koda karşı kontroller
10.4.2 Mobil koda karşı kontroller
10.5 Yedekleme
10.5.1 Bilgi yedekleme
10.6 Ağ güvenliği yönetimi
10.6.1 Ağ kontrolleri
10.6.2 Ağ hizmetleri güvenliği
10.7 Ortam işleme
10.7.1 Taşınabilir ortam yönetimi
10.7.2 Ortamın yok edilmesi
10.7.3 Bilgi işleme prosedürleri
10.7.4 Sistem dokümantasyonu güvenliği
10.8 Bilgi değişimi
10.8.1 Bilgi değişim politikaları ve prosedürleri
10.8.2 Değişim anlaşmaları
10.8.3 Aktarılan fiziksel ortam
10.8.4 Elektronik mesajlaşma
10.8.5 İş bilgi sistemleri
10.9 Elektronik ticaret hizmetleri
10.9.1 Elektronik ticaret
10.9.2 Çevrimiçi işlemler
10.9.3 Herkese açık bilgi
10.10 İzleme
10.10.1 Denetim kaydetme
10.10.2 Sistem kullanımını izleme
10.10.3 Kayıt bilgisinin korunması
10.10.4 Yönetici ve operatör kayıtları
10.10.5 Hata kaydı
10.10.6 Saat senkronizasyonu
11 Erişim Kontrolü
11.1 Erişim kontrolü için iş gereksinimi
11.1.1 Erişim kontrolü politikası
11.2 Kullanıcı erişim yönetimi
11.2.1 Kullanıcı kaydı
11.2.2 Ayrıcalık yönetimi
11.2.3 Kullanıcı parola yönetimi
11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi
11.3 Kullanıcı sorumlulukları
11.3.1 Parola kullanımı
11.3.2 Gözetimsiz kullanıcı teçhizatı
11.3.3 Temiz masa ve temiz ekran politikası
11.4 Ağ erişim kontrolü
11.4.1 Ağ hizmetlerinin kullanımına ilişkin politika
11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3 Ağlarda teçhizat tanımlama
11.4.4 Uzak tanı ve yapılandırma portu koruma
11.4.5 Ağlarda ayrım
11.4.6 Ağ bağlantı kontrolü
11.4.7 Ağ yönlendirme kontrolü
11.5 İşletim sistemi erişim kontrolü
11.5.1 Güvenli oturum açma prosedürleri
11.5.2 Kullanıcı kimlik tanımlama ve doğrulama
11.5.3 Parola yönetim sistemi
11.5.4 Yardımcı sistem programlarının kullanımı
11.5.5 Oturum zaman aşımı
11.5.6 Bağlantı süresinin sınırlandırılması
11.6 Uygulama ve bilgi erişim kontrolü
11.6.1 Bilgi erişim kısıtlaması
11.6.2 Hassas sistem yalıtımı
11.7 Mobil bilgi işleme ve uzaktan çalışma
11.7.1 Mobil bilgi işleme ve iletişim
11.7.2 Uzaktan çalışma
12 Bilgi Sistemleri Edinim, Geliştirme ve Bakımı
12.1 Bilgi sistemlerinin güvenlik gereksinimleri
12.1.1 Güvenlik gereksinimleri analizi ve belirtimi
12.2 Uygulamalarda doğru işleme
12.2.1 Giriş verisi geçerleme
12.2.2 İç işleme kontrolü
12.2.3 Mesaj bütünlüğü
12.2.4 Çıkış verisi geçerleme
12.3 Kriptografik kontroller
12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika
12.3.2 Anahtar yönetimi
12.4 Sistem dosyalarının güvenliği
12.4.1 Operasyonel yazılımın kontrolü
12.4.2 Sistem test verisinin korunması
12.4.3 Program kaynak koduna erişim kontrolü
12.5 Geliştirme ve destekleme proseslerinde güvenlik
12.5.1 Değişim kontrol prosedürleri
12.5.2 İşletim sistemindeki değişikliklerden sonra teknik gözden geçirme
12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar
12.5.4 Bilgi sızması
12.5.5 Dışarıdan sağlanan yazılım geliştirme
12.6 Teknik açıklık yönetimi
12.6.1 Teknik açıklıkların kontrolü
13 Bilgi Güvenliği İhlal Olayı Yönetimi
13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi
13.1.1 Bilgi güvenliği olaylarının rapor edilmesi
13.1.2 Güvenlik zayıflıklarının rapor edilmesi
13.2 Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi
13.2.1 Sorumluluklar ve prosedürler
13.2.2 Bilgi güvenliği ihlal olaylarından öğrenme
13.2.3 Kanıt toplama
14 İş Sürekliliği Yönetimi
14.1 İş sürekliliği yönetiminin bilgi güvenliği hususları
14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme
14.1.2 İş sürekliliği ve risk değerlendirme
14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4 İş sürekliliği planlama çerçevesi
14.1.5 İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme
15 Uyum
15.1 Yasal gereksinimlerle uyum
15.1.1 Uygulanabilir yasaları tanımlanma
15.1.2 Fikri mülkiyet hakları (IPR)
15.1.3 Kurumsal kayıtların korunması
15.1.4 Veri koruma ve kişisel bilgilerin gizliliği
15.1.5 Bilgi işleme olanaklarının kötüye kullanımını önleme
15.1.6 Kriptografik kontrolleri düzenleme
15.2 Güvenlik politikaları ve standartlarla uyum ve teknik uyum
15.2.1 Güvenlik politikaları ve standartlarla uyum
15.2.2 Teknik uyum kontrolü
15.3 Bilgi sistemleri denetim hususları
15.3.1 Bilgi sistemleri denetim kontrolleri
15.3.2 Bilgi sistemleri denetim araçlarının korunması
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Alınırken KOSGEB Desteklerinden Yararlanılabilir mi? Şartları Nedir? Nasıl Başvurulur.
ISO 27001 Bilgi Güvenliği belgesini kuruluşunuza ilk defa alıyorsanız ve KOBİ tanımına giriyor iseniz ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi için KOSGEB’ten destek alabilirsiniz. KOSGEB Genel Destek Programı İçerisinde Belgelendirme Desteğine başvuru yapabilirsiniz.
Kosgeb Tarafından Belgelendirme Desteği Şartları şu şekildedir;
8.11. BELGELENDİRME DESTEĞİ
8.11.1. Destek Unsurları
(1) İşletmelerin; Türk Standartları Enstitüsü (TSE), Türk Akreditasyon Kurumu (TÜRKAK) ve TÜRKAK tarafından akredite edilmiş kurum/kuruluşlardan akredite oldukları konularda alacakları ürün, sistem, personel, laboratuvar akreditasyon belgeleri ve TÜRKAK tarafından her hangi bir konuda akredite edilen belgelendirme kuruluşlarından alacakları İş Sağlığı ve Güvenliği Yönetim Sistemi (OHSAS) belgesine ilişkin giderlere destek verilir. Bu destek belge için ödenen ücreti (müracaat ve dosya inceleme, tetkik, denetim, belge ücreti) kapsar.
(2) Daha önce herhangi bir konuda sistem belgesi almış olan işletmelere aynı sistem belgesi konusunda destek sağlanmaz. Ayrıca belge yenilemeye destek verilmez.433 (3) Her bir belge için destek üst limiti 2.500 (ikibinbeşyüz) TL’yi, ISO/IEC 15408, ISO/IEC 19790, ISO/IEC 24759, ISO/IEC 15504, TS 13298, ISO 9241-151, ISO/IEC 25051, ISO/IEC 40500:2012, ISO/IEC 12207 ve ISO/IEC 15288 kapsamlarındaki belgeler için ise destek üst limiti 10.000 (onbin) TL’yi geçemez.
Olarak tanımlanmıştır. Bu kapsamda ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi TÜRKAK onaylı olarak alınması durumunda belge ücretinin %60 oranında kosgeb tarafından (%60 ücretin 2500TL yi geçemez) ödenecektir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi için ödenecek danışmanlık, Eğitim veya yazılım için KOSGEB desteği bulunmamaktadır.
