Kalitest, ISO/IEC 27001 Bilgi Güvenliði Yönetim Sistemi
TÜRKAK akreditasyonuna sahip ilk belgelendirme kuruluþudur.
ISO (Uluslar arasý Standard Organizasyonu) tarafýndan ISO ve IEC teknik komitelerinin iþbirliði ile ISO/IEC JTC 1 Teknik Komitesi tarafýndan oluþturulmuþ standarttýr. Bu standard, ISO tarafýndan kabul edilen, ISO/IEC 27001 standardý esas alýnarak, TSE Bilgi Teknolojileri ve Ýletiþim Ýhtisas Grubu’nca hazýrlanmýþ ve TSE Teknik Kurulu tarafýndan Türk Standardý (TS ISO/IEC 27001) olarak kabul edilerek yayýmlanmýþtýr.
ISO/IEC 27001 BGYS Standardýnýn Faydalarý
| Rekabet avantajý
Karlýlýk
Ýmaj
Yasalara, Düzenlemelere, SözleþmenÞartlarýna Uyumluluk
Güvenlik
Risk farkýndalýðý
Bilgi varlýklarýný ihtiyaca en uygun þekilde koruma altýna alýr,
Bilgi varlýklarýna yönelik tehditlerden koruyarak iþ sürekliliði saðlar. |
ISO/IEC 27001 BGYS Standardýnýn Tarihçesi
ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandýrýldý)
ISO/IEC 27001 yeni yayýnlandý – Ekim 2005
ISO/IEC 27001 BGYS Standardýnýn Prensipleri
Kuruluþ, dokümante edilmiþ bir BGYS’yi, kuruluþun tüm ticari faaliyetleri ve karþýlaþtýðý riskleri baðlamýnda kurmalý, gerçekleþtirmeli, iþletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geliþtirmelidir. Bu standardýn bir gereði olarak, PUKÖ modeli aþaðýdaki gereklilikler için kullanýlýr:
| BGYS’nin kurulmasý ve yönetilmesi:
BGYS’nin gerçekleþtirilmesi ve iþletilmesi
BGYS’nin izlenmesi ve gözden geçirilmesi
BGYS’nin sürekliliðinin saðlanmasý ve iyileþtirilmesi |
ISO/IEC 27001 Serisi Standartlar
ISO/IEC 27002 Bilgi Teknolojisi - Bilgi Güvenliði Yönetimi Ýçin Uygulama Prensipleri
Diðer Yönetim Sistemleri ile Uyumluluk
Standart diðer sistemler ile uyum
ISO 9001:2000 ve ISO 14000:2004 ile uyumludur.
Yönetim sistemlerinin entegrasyonu mümkündür.
ISO/IEC 27001 Standardýnýn Madde Baþlýklarý
0.1 Genel
0.2 Proses yaklaþýmý
0.3 Diðer yönetim sistemleriyle uyumluluk
1 Kapsam
1.1 Genel
1.2 Uygulama
2 Atýf yapýlan standardlar ve/veya dokümanlar
3 Terimler ve tarifleri
3.1 Varlýk
3.2 Kullanýlabilirlik
3.3 Gizlilik
3.4 Bilgi güvenliði
3.5 Bilgi güvenliði olayý
3.6 Bilgi güvenliði ihlal olayý
3.7 Bilgi güvenliði yönetim sistemi
3.8 Bütünlük
3.9 Artýk risk
3.10 Riskin kabulü
3.11 Risk analizi
3.12 Risk deðerlendirme
3.13 Risk derecelendirme
3.14 Risk yönetimi
3.15 Risk iþleme
3.16 Uygulanabilirlik bildirgesi
4 Bilgi güvenliði yönetim sistemi
4.1 Genel gereksinimler
4.2 BGYS’nin kurulmasý ve yönetilmesi
4.3 Dokümantasyon gereksinimleri
5 Yönetim sorumluluðu
5.1 Yönetimin baðlýlýðý
5.2 Kaynak yönetimi
6 BGYS iç denetimleri
7 BGYS’yi yönetimin gözden geçirmesi
7.1 Genel
7.2 Gözden geçirme girdisi
7.3 Gözden geçirme çýktýsý
8 BGYS iyileþtirme
8.1 Sürekli iyileþtirme
8.2 Düzeltici faaliyet
8.3 Önleyici faaliyet
ISO/IEC 27001 Ýle ilgili Terim ve Kavramlar
Bilgi Güvenliði Yönetim Sistemi (BGYS): Bilgi güvenliðini kurmak, gerçekleþtirmek, iþletmek, izlemek, gözden geçirmek, sürdürmek ve geliþtirmek için, iþ riski yaklaþýmýna dayalý tüm yönetim sisteminin bir parçasý.
Risk analizi: Kaynaklarý belirlemek ve riski tahmin etmek amacýyla bilginin sistematik kullanýmý.
Risk deðerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk derecelendirme: Riskin önemini tayin etmek amacýyla tahmin edilen riskin verilen risk kriterleri ile karþýlaþtýrýlmasý prosesi.
Risk yönetimi: Bir kuruluþu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacýyla kullanýlan koordineli faaliyetler .
Risk iþleme: Riski deðiþtirmek için alýnmasý gerekli önlemlerin seçilmesi ve uygulanmasý prosesi.
Uygulanabilirlik bildirgesi: Kuruluþun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarýný ve kontrolleri açýklayan dokümante edilmiþ bildir |
