ISO 27001, bilgi güvenliğini kurumsal ortamda sağlamak için geliştirilmiş
uluslararası bir standarttır. Kitabımızın amacı bilgi güvenliği temellerini
açıklamak ve ISO 27001 – Bilgi Güvenliği Yönetim Sistemi’nin kurumlarda
uygulanmasına yardımcı olmaktır.
Birinci bölümde “bilgi güvenliği” konusunda temel bilgiler yer
almaktadır. Bilgi nedir, tehditler nelerdir ve temel olarak bilgi güvenliği
nasıl sağlanır. İkinci bölümde tümüyle standardın maddeleri ele alınmıştır.
Maddeler, uygulayıcı gözüyle yorumlanarak yapılacak çalışmalar açıklanmıştır.
Üçüncü ve dördüncü bölümde Bilgi Güvenliği Yönetim Sisteminin süreçleri ve bu
süreçler temelinde yapılacak çalışmalar sıralı bir düzen içinde – fark
analizinin yapılması, varlık envanterinin çıkarılması, risk analizi, kontrollerin
belirlenmesi, iş sürekliliğinin sağlanması ve diğer gerekli konular
açıklanmaktadır. Beşinci bölümde bu süreçte gerekli olan dokümantasyon hakkında
genel bilgiler ve doküman örnekleri yer almaktadır. Altıncı ve sonraki
bölümlerde ise iç tetkik, düzeltici faaliyetler ve iyileştirme işlemlerine
yönelik temel bilgiler yer almaktadır.
ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sisteminin kurulması
ve sürdürülmesi iki yönlü bir çalışmadır. Bunlardan birincisi yönetimsel,
ikincisi de teknik (bilgisayar altyapısı) yönlerdir. ISO 27001, ISO 9001 gibi
bir “yönetim sistemi”dir, roller ve sorumlulukların tanımlanması, dokümantasyon
hazırlanması, iç tetkiklerin ve düzeltici faaliyetlerin yapılması vb. konuları
aynen içerir. Teknik taraf ise bilgi güvenliğini sağlamada kullanılacak bilgisayar
sistemleri ve teknolojilerdir. Firewall ile internet erişiminin kontrol edilmesi,
bilgisayar ağları, dosyalara erişim, loglama, anti-virüs vb. araçların
kullanımı gibi “teknik” işlerdir.
Hiç yorum yok:
Yorum Gönder