26 Temmuz 2014 Cumartesi

ISO 27001:2013

ISO 27001 Bilgi Güvenliği Standardı

ISO 27001:2013 Bilgi Güvenliği Standardı

Bir şirketin kendi ürünlerine, iş süreçlerine, pazarlama stratejilerine, müşterilerine yönelik her türlü bilgi, onun en değerli varlığı sayılmaktadır. Kurumlar sahip oldukları bilgiyi koruyabildikleri ve kullanabildikleri ölçüde başarılı olabilirler.
ISO 27001 ULUSLARARASI BİLGİ GÜVENLİĞİ YÖNETİMİ STANDARD’ıdır.
ISO 27001, organizasyon bünyesinde bir bilgi güvenliği yönetim sistemi (BGYS) yapısının kurulmasına, gerçekleştirilmesine işletilmesine, izlenmesine, sürdürülmesine ve iyileştirilmesine ve hassas varlıkların/bilgilerin korunmasını ve yönetilmesine ilişkin standart bir süreç yaklaşımını benimsemektedir.
Türkiye'de ise, ISO tarafından kabul edilen, ISO/IEC 27001:2005 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu'nun 2 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek, “TS ISO/IEC 27001 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimleri“ adıyla yayınlanmıştır.
ISO/IEC 27001:2013 
2013 yılı başlarında taslak sürümleri yayınlanan ISO 27001 ve ISO 27002 Bilgi Güvenliği Yönetim Sistemi Standartlarının 25.09.2013 tarihinde yeni sürümleri yayınlandı. ISO 27001:2013, ISO22301:2012 –İş Sürekliliği Yönetim Sistemi ile gelen Annex SL ile uyumlu olacak şekilde hazırlanmıştır. Zorunlu maddeler ve Ek A kontrollerinde değişiklikler vardır. Bu değişiklikler yeni maddeler, kaldırılan ve değiştirilen maddeler olarak gruplanabilir.
UYGULAMA
ISO 27001 belgesi için kurum ve kuruluşların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları uygulamaları gerekmektedir.
Bizim genel aşamamız şu şekildedir.

´  1. Karar Verilmesi – Üst yönetim desteği
´  2. Ekibin (Takımın) Belirlenmesi – Bu işle ilgilenecek IT personeli
´  3. Bilgi Güvenliği Yönetim Sistemi (BGYS) tanımı ve Kapsamı – Sürecin ve gerekli dokümantasyonun anlaşılması
´  4. Politika Beyannamesinin yazılması ve onaylanması
´  5. Bilgi Varlıklarının belirlenmesi
´  6. Risk Değerlendirmesi – Risklerin belirlenmesi ve derecelendirilmesi, değerlendirilmesi ve risk işlem planının çıkarılması gerekiyor.
´  7. İlgili Politika ve Prosedürlerin yazılması
´  8. Diğer Dokümantasyon Gereksinimleri - Kontrollerin Seçimi, Uygulanabilirlik Bildirgesi
´  9. Farkındalık Eğitimleri
´  10. İç Tetkik
´  11. Belgelendirme için başvuru
Örnek dokümanlar: 
Gönderen zaman:

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)