A+ A A-
10-01-2012

Bilgi Güvenliği Yönetim Sistemi

Bilgi, bir kuruluşun başarısı ve büyümesi için gerekli anahtardır. Belgelendirilmiş bir Bilgi Güvenliği Yönetim Sistemi; müşterilerinize, bilgilerinizin - kağıt üzerinde, elektronik ortamda, veya çalışanlarınızın beyinlerinde - uygun olarak korunduğunu kanıtlar.

Bilgi Güvenliği Yönetim Sistemi; bilgi güvenliği çabalarınızı odaklamanıza ve bilgilerinizi korumanıza yardımcı olduğu gibi, kritik güvenlik risklerini belirleyip onları en aza indirmenizi de sağlar. Değer odaklı denetim yaklaşımımızla, CIcert denetçileri seçilmiş standartlara uygunluğunuzu ölçmenin yanısıra, Bilgi Güvenliği Yönetim Sisteminizin sizin için en büyük öneme sahip alanlarda ne kadar iyi olduğunu da değerlendirirler.

Bilgi Güvenliği Yönetim Sisteminizin belgelendirilmesi size değerli faydalar sunmaktadır:

Risk Yönetimi
Riskleri belirleme, onları yönetecek veya bertaraf edecek kontrol sistemlerini yerleştirmenizi sağlar. Belgelendirme denetimleri ile risklerin gözden geçirilmesi ve kontrol sistemlerinin iyileştirlmesi sağlanmaktadır.

Kredilendirilebilirlik, güven ve itimat
Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissedebileceklerdir. ISO/IEC 27001:2013 belgelesi rakiplerinizin bir adım önüne geçmenizi sağlayacaktır.

Masraftan Tasarruf
Tek bir bilgi güvenlik ihlalinin çıkaracağı masraf çok büyük olabilir. Belgelendirme işlemi maruz kalacağınız bu tür masrafları azaltır ve bu da iş dalınızdaki yatırımcılar ve hissedarlarınız için önemlidir.

Yasal Uygunluk
Belgelendirme işlemi, ilgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara kanıtlamanıza yardımcı olur.

Taahhüt
Belgelendirme işlemi, organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur. Operasyonel Seviye Risk Yönetimi

Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık sağlar. Ayrıca donanım ve veriye daha güvenilir erişim sağlanır.

Çalışanlar
Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar. Sürekli İyileşme

Düzenli olarak gerçekleştirilen tetkiklerimiz yönetim sistemleri ve süreçlerinizin izlemenize ve iyileştirmenize yardımcı olur.

ISO/IEC 2700_ Standart-Ailesi Bilgi Güvenliği ve Bilgi Güvenliği Yönetim Sistemi ile ilgilidir. Aşağıda sayılan standartlar bilgilendirici ve normatif dokümanlardır:

ISO/IEC 27000: Bilgi Güvenliği konusuna genel bir bakış açısı içeren Standart, 46 anahtar tanım ve terimi açıklamaktadır.

ISO/IEC 27001: Bilgi Güvenliği Standartları arasında  çekirdek doküman hükmünde olan bu doküman Bilgi Güvenliği Yönetim Sistemi için gerekli olan gereksinimleri içermektedir. Dokümanın Ek kısmında da gerekli kontroller ve amaçları listelenmiştir.

ISO/IEC 27002: 27001 EK-A kısmındaki kontrollerinin iyi uygulamaları için bir kılavuz görevi gören bu standart tamamlayıcı açıklamalar içermektedir.

ISO/IEC 2700_,-4,-5 ve -7: Bilgi Güvenliği Yönetim Sistemi kurulumu için en önemli konulara yönelik hazırlanmış olan bilgilendirici kılavuzlardır. Örnek: 27005 Bilgi Güvenliği Risk yönetimi.

 

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardındaki Değişiklikler ve Yenilikler

İlk olarak 2005 yılında ISO standardına dönüşen bu Standart sekiz yıldır kullanılmaktadır. Standarttaki değişiklikler  aşağıdaki gibi özetlenebilir:

  • 2700_ Standartlar ailesinin diğer parçalarına uyumun sağlanması
  • Bilgi Güvenliği Yönetim Sistemi gereksinimlerinin ve içeriğin daha iyi ve anlaşılır şekilde yapılandırılması
  • BGYS teknik gereksinimlerinin iyileştirilmesi veya revize edilmesi
  • Ek kontrollerin revizyonu ve kontrollerin sürdürülebilirliğinin sağlanması.
  • Hataların düzeltilmesi, eksikliklerin giderilmesi, farklı bölümlerde tekrarlanan kontrollerin çıkarılması

 

Önemli Değişiklikler;

1.     Standardın 2005 sürümünün 3. kısmında bulunan "Terimler ve Tarifleri" bölümünde içerik bulunmamakta, sadece ISO 27000 dokümanına atıf yapılmaktadır.

2.     Eski sürüm ile yeni sürümün  kapsamları (Standart maddeleri 1-8 ve Ek-A ) değerlendirildiğinde  29 sayfa olan doküman % 25 kısalarak 22 sayfaya düşmüştür. Sayfa sayısındaki azaltma Terim ve Tarifler, Ek-B ve EK-C kısımlarının  çıkarılmasıyla sağlanmıştır.

3.     BGYS gereksinimleri tekniksel ve yapısal anlamda yeniden düzenlenmiştir. Önceki sürümün 4.-8. bölümlerinde bulunan standart maddeleri, iyileştirilmiş, eksikleri tamamlanarak yeni bir çerçeve ortaya konulmuştur. Yeni sürümde 4.-10. bölümlerine yerleştirilen bu maddeler aşağıdaki gibi düzenlenmiştir:

  • Yönetim Sorumluluğu ve Liderlik (Bölüm 5)
  • BGYS (Bilgi Güvenliği Yönetim Sistemi)'nin planlanması, kabul edilebilir risk seviyesinin belirlenmesi, Risk değerlendirme metodolojisinin belirlenmesi. (Bölüm 6)
  • BGYS kurulumunda destekleyici ve tamamlayıcı faaliyetler için gerekli kaynakların sağlanması, kullanıcı kabiliyetlerin sağlanması/iyileştirilmesi ve farkındalığın oluşması, eğitimlerin yapılması, İletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması. (Bölüm 7)
  • BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk değerlendirmelerinin sürekliliğinin sağlanması (Bölüm 8)
  • Denetimlerle, metriklerle ve yönetim gözden geçirmeleriyle BGYS ve kontrollerin değerlendirilmesi (Bölüm 9)
  • BGYS'de sürekli iyileştirmelerin sağlanması (Bölüm 10)

4.     Eski sürümde gözlenen PUKÖ (Planla-Uygula-Kontrol et-Önlem al) döngüsüne sıkı bağlılık yeni sürümde gözlenmemektedir.

5.     Eski sürümün EK-A kısmında 11 konu başlığından oluşan kontroller yeni sürümde 14 konu başlığı altında değerlendirilmiştir. Bunun yanında bazı kontrollerin yerleri değiştirilmiştir. Kontrollerin sıralanışı büyük oranda değişmiştir.

6.     Eski sürümde 133 olan kontrol sayısı yeni sürümde 114'e inmiştir. Fakat kontrollerin azalması kontrollerin teknik ve operasyonel gereksinimlerinin azaldığı anlamına gelmemektedir

7.     Kontrol sayıları azaltılırken, silinen mevcut kontrollerin revize edilmesi, çıkarılan kontrollerin de bu mevcut kontroller ile sağlanması hedeflenmiştir. Buna bir örnek verecek olursak:

Eski hali: A.11.3.1 Parola kullanımı: Kullanıcılardan, parolaların seçiminde ve kullanımında iyi güvenlik uygulamalarını izlemeleri istenmektedir. Bu kontrol maddesi yeni sürümde kaldırılarak yerine aşağıdaki yeni Madde eklenmiştir.

Yeni hali: A.9.4.3 Parola-Yönetim Sistemi: Kullanıcı parolalarının güvenliliğinin temini için Parola-"Yönetim- Aracı"nın sisteme entegre edilmesi.

8.     Bazı kontrollerin silinmesi ve revize edilmesinin yanında yeni sürümde eklenen kontroller de bulunmaktadır. Aşağıdaki kontroller yeni sürüme eklenen kontrollerdir:

  • A. 6.1.5 Proje yönetiminde bilgi güvenliği
  • A.12.6.2 Yazılım yükleme kısıtları
  • A.14.2.1 Güvenli yazılım geliştirme politikası
  • A.14.2.5 Güvenli sistem mühendisliği prensipleri
  • A.14.2.8 Sistem güvenliği testi
  • A.15.1.1 Tedarikçi ilişkileri için bilgi güvenliği politikası
  • A.15.1.3 Bilgi iletişim teknolojisi tedarik zinciri
  • A.16.1.4 Bilgi iletişim teknolojisi tedarik zinciri
  • A.16.1.5 Bilgi güvenliği olaylarının cevaplanması
  • A.17.2.1 Bilgi işleme olanaklarının erişilebilirliği

9.     Yeni sürümde yeni bir gereksinim olan iletişim, eski sürümde de bulunmakla birlikte belirgin ve açık bir şekilde koordinasyonun nasıl sağlanacağından ve ilgili gereksinimlerden bahsetmemektedir. Yeni sürümde bu konu ile ilgili olarak yeni bir madde eklenmiş olup bu madde, bilgi güvenliğinin sağlanması için kiminle, ne zaman, kim ve ne hakkında iletişime geçileceğinin tanımlanmasını istiyor.

10.   Yeni sürümde her riske bir sahip atanacaktır. Eski sürümdeki "varlık sahibi kavramı" "risk sahibi" olarak revize edilmiştir. Risk sahipleri  risk işleme planının ve artık risklerin onaylanmasından sorumlu kişiler olacaktır.

11.   Yeni revizyonda risk işleme yönteminin dokümante edilmesi şart koşulmamakla birlikte, risk işleme sürecinin tanımlanması gerekmektedir. Risk işleme süreci genel olarak aşağıdaki adımlardan oluşmaktadır:

  • Risk değerlendirmeleri sonucuna göre Bilgi Güvenliği risk işleme opsiyonlarını belirlemek
  • Seçilen risk işleme opsiyonlarını uygulamak için gerekli olan kontrolleri belirlemek
  • Risk işleme planını oluşturmak
  • Risk işleme planının ve kalan risklerin onayını risk sahiplerinden almak.

12.   Standardın yeni sürümü ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek "dokümante edilmiş bilgi" kavramını getiriyor.

13.   Eski sürümde bulunan dokümantasyon gereksinimlerini ele alan 4.3.1 maddesi kaldırılmıştır.
Doküman yönetimi, düzeltici faaliyet gibi, eski sürümde dokümante edilmesi gereken prosedürlerle ilgili zorunluluk yeni revizyonda kaldırılmıştır. Bunun yanında bu prosedürlerin çalıştırıldığını gösteren kayıtların tutulması zorunlu kılınmıştır.

14.   Önleyici faaliyet kavramı “riskleri ve fırsatları ele alacak aksiyonlar” kavramı ile değiştirilmiştir.

15.   Düzeltici faaliyet ise uygunsuzluğa verilen ilk tepki ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere gerçekleştirilen faaliyetler olarak ikiye ayrılmıştır.

BİZE ULAŞIN

CICERT BELGELENDİRME HİZMETLERİ  LTD. ŞTİ.
Adres :
Atatürk Mahallesi, Kamilbey Sokak, No: 3
Tyana İş Merkezi D: 3 Ataşehir / Istanbul /Türkiye

Telefon : +90 216 546 05 26
Fax : +90 216 546 03 77
Email :Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir.

HABER LİSTEMİZE KAYDOLUN

Haber listemize kayıt olarak, düzenli yayınlanan bültenimize abone olur, son gelişmelerden hızla haberdar olursunuz.

© 2016 - CI|cert Belgelendirme Hizmetleri Ltd.Şti. - Her Hakkı Saklıdır.

Giriş Yap

Dökümanlara ulaşmak için lütfen siteme giriş yapınız.
Cıcert’e ait her hangi bir dokümanın bir ağ ya da internet ortamından indirilmesi sebebiyle Yönetim Temsilcisi tarafından kontrollü bir kopya olarak yayınlanmamıştır. Bu sebeple, Dokümanın güncelliğini teyit etmek bu dokümanı edinen kişinin sorumluluğudur. Bu kontrol network ağında ve intranette yayınlanan Master Listede bildirilen doküman değişiklik numarasının kontrol edilmesi ile sağlanabilir

Daha sonra "CICERT GİRİŞ" altında görünecek ek menülerden yetkili olduğunuz dosyalara ulaşabilirsiniz.

Kayıt Ol

Kullanıcı Kaydı
ya da İptal