ISO 27001:2013 Standardı Sistem Yönetimi

Kısaca ISO/IEC 27001 olarak anacağımız TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi, kurumlar için bilgi güvenliğine yönelik olarak geliştirilmiş uluslararası bir standarttır. Teknolojiye, fiziksel ve çevresel koşullara, müşteri ve tedarikçi anlaşmalarına, insan kaynaklarına, iş sürekliliği ve bilgisayar uygulamalarına yönelik kuralları ve uygulamaları içerir.

“Bilgi”, çok değerli bir varlıktır, kişiler, şirketler, kurumlar, vb organizasyonlar için farklı kapsamlarda olabileceği gibi özünde “gizli” olması gereken ve gizliliği bozulduğunda (başka birisinin eline geçtiğinde) zarar göreceğimiz varlıklardır. Bu bir evrak ya da bilgisayarımızdaki bir dosya olabilir benzer şekilde bir Web sitesi, elektronik posta ya da telefonda bir başkasına iletilen bir şey olabilir. İşte “bilgi güvenliği”nin anlamı; bilgilerin korunmasını sistematik bir şekilde sağlamak, buna ilişkin önlemler almak ve sistemler geliştirmektir.

ISO 27001, bilgi güvenliğini kurumsal ortamda sağlamak için bir standart olarak geliştirilmiştir. Kitabımızın amacı bilgi güvenliği temellerini açıklamak ve ISO 27001 sisteminin kurumlarda uygulanmasına yardımcı olmaktır. ISO/IEC 27001 temelindeki bilgi güvenliği “Bilgi Güvenliği Yönetim Sistemi”, kısaca BGYS, İngilizce adıyla Information Security Management Systems, - ISMS olarak adlandırılan kavram ya da sistem üzerinde açıklanır. BGYS, bilgi güvenliğini sağlamak üzere kurulan sistematik bir yaklaşımdır. Bu anlamda ISO/IEC 27001 standardına uygun bir bilgi güvenliği sağlamak isteyen kurum kendi BGYS’sini kurmak zorundadır. Esas olarak kitabımızın hemen hemen içindeki tüm açıklamalar ve uygulamalar, BGYS’nin kurulmasına ve yönetimine ilişkindir. Bu anlamda uygulayıcıların BGYS’nin faaliyetlerini planlanmalı, uygulanmalı ve kontrol etmesi gerekir. Planlama konusu, genel olarak bilgi sistemleri (IT), insan kaynaklarının ve yatırımlarının planlanmasını içerir. Uygulama ise, bilgi güvenliğini sağlayacak şekilde faaliyetlerin yürütülmesi sürecidir. IT ile birlikte insan kaynakları, kalite, satın alma, muhasebe ve diğer bölümler de BGYS’nin işleyişine katkıda bulunur.

Ana bölümler:

BÖLÜM 1: BİLGİ GÜVENLİĞİNİN TEMELLERİ

BÖLÜM 2: ISO/IEC 27001:2013 STANDARDI

BÖLÜM 3: BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS) SÜREÇLERİ

BÖLÜM 4: PLANLAMA - Bilgi Varlıkları Envanterinin Oluşturması, Risk Analizi Çalışmaları, SOA ve Dokümantasyon Çalışmaları

BÖLÜM 5: PLANLAMA - Dokümantasyon Çalışmaları – Örnek Dokümanlar

BÖLÜM 6: UYGULAMA –Kontrollerin ve Prosedürlerin Uygulanması

BÖLÜM 7: KONTROL – İç Tetkik (Denetimler)

BÖLÜM 8: ÖNLEM ALMA – Düzeltici Faaliyetler

EKLER: Terimler ve Kaynaklar


ISO 27001:2013 Standardı Sistem Yönetimi