ISO 27001:2013 Standardı Sistem Yönetimi
Kısaca ISO/IEC
27001 olarak anacağımız TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi,
kurumlar için bilgi güvenliğine yönelik olarak geliştirilmiş uluslararası bir
standarttır. Teknolojiye, fiziksel ve çevresel koşullara, müşteri ve tedarikçi anlaşmalarına,
insan kaynaklarına, iş sürekliliği ve bilgisayar uygulamalarına yönelik kuralları
ve uygulamaları içerir.
“Bilgi”, çok
değerli bir varlıktır, kişiler, şirketler, kurumlar, vb organizasyonlar için
farklı kapsamlarda olabileceği gibi özünde “gizli” olması gereken ve gizliliği
bozulduğunda (başka birisinin eline geçtiğinde) zarar göreceğimiz varlıklardır.
Bu bir evrak ya da bilgisayarımızdaki bir dosya olabilir benzer şekilde bir Web
sitesi, elektronik posta ya da telefonda bir başkasına iletilen bir şey
olabilir. İşte “bilgi güvenliği”nin anlamı; bilgilerin korunmasını sistematik
bir şekilde sağlamak, buna ilişkin önlemler almak ve sistemler geliştirmektir.
ISO 27001, bilgi
güvenliğini kurumsal ortamda sağlamak için bir standart olarak
geliştirilmiştir. Kitabımızın amacı bilgi güvenliği temellerini açıklamak ve
ISO 27001 sisteminin kurumlarda uygulanmasına yardımcı olmaktır. ISO/IEC 27001
temelindeki bilgi güvenliği “Bilgi Güvenliği Yönetim Sistemi”, kısaca BGYS,
İngilizce adıyla Information Security Management Systems, - ISMS olarak
adlandırılan kavram ya da sistem üzerinde açıklanır. BGYS, bilgi güvenliğini
sağlamak üzere kurulan sistematik bir yaklaşımdır. Bu anlamda ISO/IEC 27001
standardına uygun bir bilgi güvenliği sağlamak isteyen kurum kendi BGYS’sini
kurmak zorundadır. Esas olarak kitabımızın hemen hemen içindeki tüm açıklamalar
ve uygulamalar, BGYS’nin kurulmasına ve yönetimine ilişkindir. Bu anlamda
uygulayıcıların BGYS’nin faaliyetlerini planlanmalı, uygulanmalı ve kontrol etmesi
gerekir. Planlama konusu, genel olarak bilgi sistemleri (IT), insan
kaynaklarının ve yatırımlarının planlanmasını içerir. Uygulama ise, bilgi
güvenliğini sağlayacak şekilde faaliyetlerin yürütülmesi sürecidir. IT ile
birlikte insan kaynakları, kalite, satın alma, muhasebe ve diğer bölümler de
BGYS’nin işleyişine katkıda bulunur.
Ana bölümler:
BÖLÜM 1: BİLGİ
GÜVENLİĞİNİN TEMELLERİ
BÖLÜM 2: ISO/IEC
27001:2013 STANDARDI
BÖLÜM 3: BİLGİ
GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS) SÜREÇLERİ
BÖLÜM 4: PLANLAMA -
Bilgi Varlıkları Envanterinin Oluşturması, Risk Analizi Çalışmaları, SOA ve
Dokümantasyon Çalışmaları
BÖLÜM 5: PLANLAMA -
Dokümantasyon Çalışmaları – Örnek Dokümanlar
BÖLÜM 6: UYGULAMA
–Kontrollerin ve Prosedürlerin Uygulanması
BÖLÜM 7: KONTROL –
İç Tetkik (Denetimler)
BÖLÜM 8: ÖNLEM ALMA
– Düzeltici Faaliyetler
EKLER: Terimler ve Kaynaklar