ISO 27001 Bilgi Güvenliği Yönetim Sistemleri
ISO 27001 Standardı; bilgi güvenliği, siber güvenliği ve kişisel bilgilerin korunmasını temel alır.
ISO/IEC 27001 standardı, her ölçekten ve her sektörden şirkete bir bilgi güvenliği yönetim sistemi kurma, uygulama, sürdürme ve sürekli iyileştirme konusunda rehberlik sağlar.
ISO 27001, kuruluş bağlamında bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereklilikleri belirtir. ISO 27001 ayrıca, kuruluşun ihtiyaçlarına göre uyarlanmış bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için gereklilikleri içerir. Bu belgede belirtilen gereklilikler geneldir ve türü, boyutu veya yapısı ne olursa olsun tüm kuruluşlara uygulanabilir olması amaçlanmıştır.
Siber suçların artması ve sürekli yeni tehditlerin ortaya çıkmasıyla birlikte, siber riskleri yönetmek zor, hatta imkansız görünebilir. ISO/IEC 27001, kuruluşların risklerin farkında olmalarına ve zayıflıkları proaktif olarak belirleyip gidermelerine yardımcı olur.
ISO/IEC 27001, bilgi güvenliğine bütünsel bir yaklaşımı teşvik eder: insanları, politikaları ve teknolojiyi inceler. Bu standarda göre uygulanan bir bilgi güvenliği yönetim sistemi, risk yönetimi, siber dayanıklılık ve operasyonel mükemmellik için bir araçtır.
ISO/IEC 27001' e uygunluk, bir kuruluş veya işletmenin, sahip olduğu veya işlediği verilerin güvenliğiyle ilgili riskleri yönetmek için bir sistem kurduğu ve bu sistemin bu Uluslararası Standartta yer alan tüm en iyi uygulama ve ilkelere uyduğu anlamına gelir.
ISO 27001 Belgelendirme Aşamaları
Belgelendirme süreci, standartlara uygun bir BGYS kurma ve bu sistemi bağımsız bir denetimle doğrulama adımlarını içerir.
1. BGYS Kurulumu ve Uygulaması
Bu aşama, kuruluşun kendi içinde gerçekleştirdiği hazırlık sürecidir ve belgelendirme denetimine hazırlığın temelini oluşturur.
- Kapsamın Belirlenmesi: BGYS' nin hangi iş süreçlerini, lokasyonları ve bilgi varlıklarını kapsayacağı net bir şekilde tanımlanır. Bu, denetim kapsamını belirlemek için kritik bir adımdır.
- Bilgi Güvenliği Politikası ve Hedeflerinin Oluşturulması: Üst yönetim, bilgi güvenliğine olan taahhüdünü gösteren bir politika belirler ve bu politikayı destekleyen hedefler koyar.
- Risk Yönetimi:
- Risk Değerlendirme: Kuruluşun bilgi varlıkları (donanım, yazılım, veri, personel vb.) tanımlanır. Bu varlıkların maruz kalabileceği tehditler ve bu tehditlerin yaratabileceği zafiyetler analiz edilerek riskler belirlenir.
- Risk İşleme: Belirlenen riskler için uygun kontroller (önlemler) seçilir ve uygulanır. Bu kontroller, ISO 27001 Annex A' daki kontrol listesinden seçilebilir veya özelleştirilebilir.
- Dokümantasyon: BGYS'nin gerektirdiği tüm dokümante edilmiş bilgiler hazırlanır. Bunlar arasında Uygulanabilirlik Bildirgesi (Statement of Applicability - SoA), risk işleme planı, politikalar, prosedürler ve kayıtlar bulunur.
- İç Denetim ve Yönetim Gözden Geçirme: BGYS' nin etkinliğini, standarda uygunluğunu ve belirlenen hedeflere ulaşılıp ulaşılmadığını kontrol etmek için düzenli olarak iç denetimler yapılır. İç denetim sonuçları, yönetim gözden geçirme toplantısında üst yönetime sunulur ve iyileştirme kararları alınır.
2. Belgelendirme Denetimi
BGYS'nin kurulumu ve uygulanması tamamlandıktan sonra, ANKA GLOBAL gibi yetkili bir uygunluk değerlendirme kuruluşuna başvuru yapılır. Bu kuruluş denetim gerçekleştirir:
- Denetim ekibi, kuruluşun hazırladığı dokümantasyonun standart gerekliliklerini karşılayıp karşılamadığını inceler kuruluşun kapsam ve büyüklüğü çerçevesinde dokümanlarda belirtilen süreçlerin sahada gerçekten uygulanıp uygulanmadığını ve kuruluşun standart/mevzuat şartlarını yerine getirip getirmediğini detaylı olarak kontrol eder.
- Denetim sonrasında denetim ekibi tarafından hazırlanan denetim raporu belgelendirme komisyonuna sunulur, belgelendirmenin yapılmasına aykırı bir durum tespit edilmez ise belgelendirme kararı verilerek belge düzenlenir.
ISO 27001 Genel Gereklilikleri
ISO 27001, Annex A'da yer alan kontrollerden önce, BGYS'nin yönetimini ve çerçevesini belirleyen 4'ten 10'a kadar olan maddeleri içerir.
- Madde 4: Kuruluşun Bağlamı: Kuruluşun iç ve dış faktörlerini, ilgili tarafların ihtiyaç ve beklentilerini ve BGYS'nin kapsamını belirler.
- Madde 5: Liderlik: Üst yönetimin bilgi güvenliğine olan taahhüdü, BGYS politikasının belirlenmesi ve organizasyonel rol, sorumluluk ve yetkilerin tanımlanması gibi konuları kapsar.
- Madde 6: Planlama: Risk ve fırsatları belirleme, bilgi güvenliği hedeflerini oluşturma ve bunlara ulaşmak için planlama yapma gerekliliğini içerir.
- Madde 7: Destek: Kaynakların (insan, altyapı vb.) sağlanması, yetkinlik, farkındalık, iletişim ve dokümante edilmiş bilginin yönetimi konularını ele alır.
- Madde 8: Operasyon: Operasyonel planlama ve kontrol, bilgi güvenliği risk değerlendirmesi ve risk işleme süreçlerini uygulama gerekliliklerini içerir.
- Madde 9: Performans Değerlendirme: İzleme, ölçme, analiz, değerlendirme, iç denetim ve yönetim gözden geçirme süreçlerini kapsar.
- Madde 10: İyileştirme: Uygunsuzluklar ve düzeltici faaliyetlerle sürekli iyileştirme sağlamayı hedefler.
Ek A (Annex A)
ISO 27001'in en bilinen bölümü olan Ek A, 14 ana başlık altında 93 kontrol (önlem) içerir. Bu kontrollerin tamamı zorunlu değildir, ancak risk değerlendirme sonucuna göre kuruluşun ihtiyaç duyduğu kontroller Uygulanabilirlik Bildirgesi'nde belirtilmelidir.
- A.5 Organizasyonel Kontroller
- A.6 Personel Kontrolleri
- A.7 Fiziksel Kontroller
- A.8 Teknolojik Kontroller
Bu gerekliliklerin ve belgelendirme aşamalarının eksiksiz uygulanması, bir kuruluşun siber güvenlik risklerini etkili bir şekilde yönetebildiğini ve değerli bilgi varlıklarını koruduğunu gösterir.
ANKA GLOBAL; başvurulan standart için sadece belgelendirme sürecinde uygunluk değerlendirme hizmeti yürütmektedir. Başvuru kapsamındaki standart için danışmanlık hizmeti sunmamaktadır.