Kalitest, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
TÜRKAK akreditasyonuna sahip ilk belgelendirme kuruluşudur.
ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile ISO/IEC JTC 1 Teknik Komitesi tarafından oluşturulmuş standarttır. Bu standard, ISO tarafından kabul edilen, ISO/IEC 27001 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu tarafından Türk Standardı (TS ISO/IEC 27001) olarak kabul edilerek yayımlanmıştır.
ISO/IEC 27001 BGYS Standardının Faydaları
| Rekabet avantajı
Karlılık
İmaj
Yasalara, Düzenlemelere, SözleşmenŞartlarına Uyumluluk
Güvenlik
Risk farkındalığı
Bilgi varlıklarını ihtiyaca en uygun şekilde koruma altına alır,
Bilgi varlıklarına yönelik tehditlerden koruyarak iş sürekliliği sağlar. |
ISO/IEC 27001 BGYS Standardının Tarihçesi
ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandırıldı)
ISO/IEC 27001 yeni yayınlandı – Ekim 2005
ISO/IEC 27001 BGYS Standardının Prensipleri
Kuruluş, dokümante edilmiş bir BGYS’yi, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geliştirmelidir. Bu standardın bir gereği olarak, PUKÖ modeli aşağıdaki gereklilikler için kullanılır:
| BGYS’nin kurulması ve yönetilmesi:
BGYS’nin gerçekleştirilmesi ve işletilmesi
BGYS’nin izlenmesi ve gözden geçirilmesi
BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi |
ISO/IEC 27001 Serisi Standartlar
ISO/IEC 27002 Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri
Diğer Yönetim Sistemleri ile Uyumluluk
Standart diğer sistemler ile uyum
ISO 9001:2000 ve ISO 14000:2004 ile uyumludur.
Yönetim sistemlerinin entegrasyonu mümkündür.
ISO/IEC 27001 Standardının Madde Başlıkları
0.1 Genel
0.2 Proses yaklaşımı
0.3 Diğer yönetim sistemleriyle uyumluluk
1 Kapsam
1.1 Genel
1.2 Uygulama
2 Atıf yapılan standardlar ve/veya dokümanlar
3 Terimler ve tarifleri
3.1 Varlık
3.2 Kullanılabilirlik
3.3 Gizlilik
3.4 Bilgi güvenliği
3.5 Bilgi güvenliği olayı
3.6 Bilgi güvenliği ihlal olayı
3.7 Bilgi güvenliği yönetim sistemi
3.8 Bütünlük
3.9 Artık risk
3.10 Riskin kabulü
3.11 Risk analizi
3.12 Risk değerlendirme
3.13 Risk derecelendirme
3.14 Risk yönetimi
3.15 Risk işleme
3.16 Uygulanabilirlik bildirgesi
4 Bilgi güvenliği yönetim sistemi
4.1 Genel gereksinimler
4.2 BGYS’nin kurulması ve yönetilmesi
4.3 Dokümantasyon gereksinimleri
5 Yönetim sorumluluğu
5.1 Yönetimin bağlılığı
5.2 Kaynak yönetimi
6 BGYS iç denetimleri
7 BGYS’yi yönetimin gözden geçirmesi
7.1 Genel
7.2 Gözden geçirme girdisi
7.3 Gözden geçirme çıktısı
8 BGYS iyileştirme
8.1 Sürekli iyileştirme
8.2 Düzeltici faaliyet
8.3 Önleyici faaliyet
ISO/IEC 27001 İle ilgili Terim ve Kavramlar
Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler .
Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir |
