ISO / IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Nedir ?
ISO (International Organization for Standardization) /IEC The International Electrotechnical Commission 27001, bilgi güvenliğinin nasıl yönetileceğine dair uluslararası bir standarttır. Bilgi Güvenliği Yönetim Sistemi (BGYS) için spesifikasyonu belirler.
Standart ilk olarak 2005 senesinde yayınlanmış, sonrasında 2013 senesinde revize edilmiştir. Bilgi güvenliği yönetim sistemi standardının uygulama yaklaşımı; kuruluşların insanları, süreçleri ve teknolojiyi ele alarak bilgi güvenliğini yönetmelerinden geçer.
ISO sadece bilgi güvenliği ve onu nasıl yönettiğinizle ilgilenmektedir. Bu konuda CobiT ’ten (Control Objectives for Information and Related Technology) daha detaylıdır. CobiT ve ISO 27001’i birlikte kullanabilirsiniz.
Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?
BGYS, kurumsal bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini (CIA) güvence altına almaya yönelik bütünsel bir yaklaşımdır.
İnsanları, süreçleri ve teknolojiyi içeren politikalar, prosedürler ve diğer kontrollerden oluşur.
Düzenli bilgi güvenliği risk değerlendirmeleriyle bilgilendirilen bir BGYS, bilgi varlıklarınızı güvende tutmak için verimli, risk tabanlı ve teknolojiden bağımsız bir yaklaşımdır.
ISO 27001 ve Risk Yönetimi
Risk yönetimi, ISO/IEC ISMS 'nin temel taşını oluşturur. Tüm bilgi güvenliği yönetim sistemi projeleri, hangi güvenlik kontrollerinin uygulanacağını ve sürdürüleceğini belirlemek için düzenli bilgi güvenliği risk değerlendirmelerine tabiidir.
Standart, bölüm 6.1.2'de risk değerlendirmesi ve risk tedavisi de dahil olmak üzere risk yönetimi süreci için gereksinimlerini tanımlar.
ISO/IEC 27001 standardının 6.1.2 Bölümü, ISO 27001 risk değerlendirme prosedürünün şunları yapması gerektiğini belirtir:
- 1. Belirli bilgi güvenliği risk kriterlerini oluşturmanız ve sürdürmeniz gerekir. Bir risk yönetimi çerçevesi oluşturabilirsiniz. Bunlar, riskleri nasıl tanımlamayı düşündüğünüzü, risk sahipliğini kime atayacağınızı, risklerin bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini nasıl etkilediğini ve riskin tahmini etkisini ve oluşma olasılığını hesaplama yöntemini yöneten kurallardır. Resmi bir risk değerlendirme metodolojisinin dört konuyu ele alması ve üst yönetim tarafından onaylanması gerekir;
- * Temel Güvenlik Kriterleri Risk Ölçeği
- * Senaryo veya Varlığa Dayalı Risk Değerlendirmesi Risk İsteği
- 2. Tekrarlanan risk değerlendirmelerinin “tutarlı, geçerli ve karşılaştırılabilir sonuçlar ürettiğinden” emin olmanız önemlidir. Riskleri tanımlayabilirsiniz. Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini etkileyebilecek risklerin belirlenmesi, risk değerlendirme sürecinin en çok zaman alan kısmıdır.
- Bilgi Teknolojileri Yönetişimi, varlığa dayalı bir risk değerlendirme sürecinin izlenmesini önerir. Bir bilgi varlıkları listesi geliştirmek, başlamak için iyi bir yerdir. Bilgilerin basılı kopyalarını, elektronik dosyaları, çıkarılabilir ortamları, mobil cihazları ve fikri mülkiyet gibi maddi olmayan varlıkları içeren mevcut bir bilgi varlıkları listesinden çalışmak en kolayı olacaktır.
- 3. Bilgi güvenliği yönetim sistemi kapsamındaki bilgilerin gizliliğinin, bütünlüğünün ve erişilebilirliği kaybıyla ilişkili riskleri belirlemelisiniz. Riskleri analiz edip her varlık için geçerli olan tehditleri ve güvenlik açıklarını belirleyebilirsiniz. Örneğin, tehdit “mobil cihaz hırsızlığı” olabilir ve güvenlik açığı “mobil cihazlar için resmi politika eksikliği” olabilir. Risk kriterlerinize göre etki ve olasılık değerleri atayabilirsiniz.
- 4. Bu risklerin sahiplerini belirleyebilirsiniz. Riskleri değerlendirebilirsiniz. Her bir riski önceden belirlenmiş kabul edilebilir risk seviyelerinize göre tartmanız ve hangi risklerin hangi sırayla ele alınması gerektiğini önceliklendirmeniz gerekmektedir.
- 5. Bilgi güvenliği risklerini belirli kriterlere göre analiz edip ve değerlendirebilirsiniz. Risk tedavi seçeneklerini seçebilirsiniz. Riskleri tedavi etmek için önerilen 4 yol önerilir;
- * Riski ortadan kaldırarak “önlemek”.
- * Güvenlik kontrollerini uygulayarak riski “değiştirmek”.
- * Riski üçüncü bir tarafla “paylaşmak”(sigorta yoluyla veya dış kaynaklı).
- * Riski “tutmak” (risk, belirlenmiş risk kabul kriterleri dahilindeyse).
ISO 27001 Ana Maddeleri
Standardın 10 yönetim sistemi maddesi şöyledir;
- 1. Kapsam
- 2. Atıf yapılan standart ve/veya dokümanlar
- 3. Terimler ve tarifler
- 4. Kuruluşun bağlamı
- 5. Liderlik
- 6. Planlama
- 7. Destek
- 8. İşletim
- 9. Performans Değerlendirme
- 10. İyileştirme
ISO 27001 Faydaları
- * Verilerinizi nerede olursa olsun korur. Basılı, dijital veya bulutta olan her türlü bilgiyi korur.
- * Saldırı direncinizi arttırır. Kuruluşunuzun siber saldırılara karşı dayanıklılığını arttırır.
- * Bilgi güvenliği maliyetinizi azaltır. Yalnızca ihtiyacınız olan güvenlik kontrollerini uygulayarak bütçenizden en iyi şekilde yararlanmanıza yardımcı olur.
- * Gelişen güvenlik tehditlerine yanıt verir. Hem ortamdaki hem de kuruluş içindeki değişikliklere sürekli uyum sağlamanızı sağlar.
- * Şirket kültürünü geliştirir. BGYS insanları, süreçleri ve teknolojiyi kapsar ve personelin riskleri anlamasını ve güvenliği günlük çalışma uygulamalarının bir parçası olarak benimsemesini sağlar.
- * Sözleşme yükümlülüklerini yerine getirir. Sertifikasyon, kuruluşunuzun veri güvenliğine olan bağlılığını gösterir ve yeni iş için teklif verirken değerli bir kimlik bilgisi sağlar.
Bilginin her şey sayıldığı günümüzde rekabet koşullarını yakalamak isteyen ve müşterilerine bilginin güvenli aktarımını sağlamak isteyen şirketler daha çok tercih edilmektedir. Bankalar, bilgi saklamayı gerektiren sektörler, film, dizi, nüfus müdürlükleri, tüm devlet kurumları, devletle çalışan firmalar çokça tercih etmektedirler. Kendi müşterilerinden ISO 27001 talep eden şirketlerin sayısı gün geçtikçe artmaktadır. Çünkü kopyalanmış ve henüz tescil edilmemiş bilgilerin kaybolması veya çalınması gibi durumlar itibar ve güvenlik açısından oldukça önemli konulardır.
