ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
Bilgi Güvenliği Yönetim Sistemi deyimi ilk kez 1998 yılında BSI (British Standards Institute) tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. Bu standart daha sonra Uluslararası Standartlar Kurumu ISO tarafından kabul edilmiş ve ISO/IEC 27001:2005 olarak yayınlanmıştır.
Standart sektör gözetmeksizin türü ve büyüklüğü ne olursa olsun tüm kurum veya kuruluşlara uygulanabilir bir standart olarak çıkarılmıştır.
ISO 27001 ve ISO 27002 Arasındaki Fark Nedir?
ISO/IEC 27001, bilgi güvenliği için yönetim sistemi uygulama gereksinimlerini içerir. ISO/IEC 27002 ise bilgi güvenliğini geliştirmek için kullanabilecek uygulamaları içermektedir. ISO/IEC 27001, onaylayabileceğiniz bir standarttır, ISO/IEC 27002 ise bilgi güvenliği kontrolleri için popüler, uluslararası kabul görmüş bir uygulama standardıdır.
ISO/IEC 27002, ISO/IEC 27001 gibi resmi bir spesifikasyon değildir. Genel, tavsiye niteliğinde bir belgedir. Bilginin gizliliği, bütünlüğü ve kullanılabilirliğine yönelik kabul edilemez riskleri azaltmak için bir dizi bilgi güvenliği kontrollerini açıklar. Kuruluşlar, rehberlik için ISO/IEC 27002 ‘yi kullanarak kabul edilemez risklerini azaltmak için uygun bilgi güvenliği kontrollerini seçerek ve uygulayarak kendi bilgi risklerini belirler ve değerlendirir.
Bir ISO standardının tipik ömrü beş yıldır. Bu süre sonunda standardın geçerliliğini sürdürüp sürdüremeyeceğine, revizyona ihtiyacı olup olmadığına veya geri çekilmesine karar verilir. ISO/IEC 27002 Standardı en son 2013 yılında yayımlanmıştır, yeni sürümü ise 9 yıl sonra 15 Şubat 2022 ‘de yayımlanarak 2013 sürümünün yerini almıştır. ISO/IEC 27001 Standardının revize edilmiş sürümü de 25 Ekim 2022 ‘de yayımlanmıştır.
ISO/IEC 27002:2022’deki Yenilikler Nelerdir?
“Bu belge, uygulama kılavuzu da dâhil olmak üzere bir dizi genel bilgi güvenliği kontrolleri sağlar. Bu belge, kuruluşlar tarafından kullanılmak üzere tasarlanmıştır: (a) ISO/IEC27001’e dayalı bir bilgi güvenliği yönetim sistemi (BGYS) bağlamında; (b) uluslararası kabul görmüş en iyi uygulamalara dayalı bilgi güvenliği kontrollerini uygulamak için; (c) kuruluşa özel bilgi güvenliği yönetim kılavuzları geliştirmek için.” [Kaynak: ISO/IEC 27002:2022]
-
İlk olarak, güncellenen ISO/IEC 27002 standardının başlığından “uygulama kuralları” ibaresi çıkarılmıştır. Bu değişiklik, bilgi güvenliği kontrollerinin amacını daha iyi yansıtmaktadır.
-
ISO/IEC 27002:2013 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrolleri için uygulama kuralları
-
ISO/IEC 27002:2022 Bilgi güvenliği, siber güvenlik ve gizlilik koruması – Bilgi güvenliği kontrolleri
-
-
Standardın kendisi önceki sürümden önemli ölçüde daha uzundur. Kontroller yeniden sıralanmış ve güncellenmiştir. Standart ile ilgili bazı kontroller birleştirilip, kaldırılmış ve yeni kontroller eklenmiştir. ISO/IEC 27002 Standardının 2013 sürümünde 114 kontrol maddesi bulunmaktadır. 2022 sürümünde ise 93 kontrol maddesi bulunmaktadır. Bu kontroller “Organizasyonel, İnsan, Teknolojik ve Fiziksel” olmak üzere 4 gruba ayrılarak sınıflandırılmıştır.
-
ISO/IEC 27002:2022 sürümünün NIST Siber Güvenlik Çerçevesini referans aldığı görülmektedir. NIST Siber Güvenlik Çerçevesinde bulunan 5 temel işlev dikkate alınarak “Belirleme, Koruma, Tespit Etme, Müdahale Etme ve Kurtarma” olmak üzere Siber Güvenlik Kavramları eklenmiştir.
-
Kategorileştirmeyi kolaylaştırmak için 93 kontrolün her biri “Kontrol Tipi, Bilgi Güvenliği Özellikleri, Siber Güvenlik Kavramları, Operasyonel Yetenekler ve Güvenlik Alanları” olmak üzere 5 “öznitelik” seti ile etiketlenmiştir.
ISO/IEC 27001 BGYS'nin Faydaları
-
Risklerinizi takip etmenizi sağlar.
-
Bilgi varlıklarının belirlenmesi ve takip edilmesini sağlar.
-
Bilgi varlıklarının sorumlularının belirlenmesini sağlar.
-
Bilgi varlıklarına yönelik tehditlerin belirlenmesini sağlar.
-
Bilgi varlıklarına yönelik tehditlerin kullanacağı açıklıkların belirlenmesini sağlar.
-
Bilgi sistemlerinin kabul edilebilir erişimini sağlar.
-
Bilgi varlıklarının gizliliğini sağlar.
-
Bilgi varlıklarının bütünlüğünü sağlar.
-
İş sürekliliğini sağlar.
-
Personelin, iş ortaklarının güvenlik konusunda farkındalığının arttırılmasını sağlar.
-
Kurum kaynaklarının etkin kullanılmasının sağlar.
-
Yasa ve Yönetmeliklere uyumu sağlar.
-
Üst Yönetimin bilgi güvenliğine olan desteğini kanıtlar.
ISO/IEC 27001 BGYS Belgesi Alma Zorunluluğu Olan Firmalar
-
Kamu İhale Kanunu’na göre Bilişim sektörüne ve Savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten, satışını yapan firmalara
-
Elektrik Piyasası Düzenleme Kurulu (EPDK) Elektrik Piyasası Lisans Yönetmeliğine göre OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100 MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesislerine,
-
Elektrik Piyasası Düzenleme Kurulu (EPDK) Doğalgaz Piyasası Lisans Yönetmeliğine göre İletim ve Dağıtım Lisansı sahibi firmalara
-
Elektrik Piyasası Düzenleme Kurulu (EPDK) Petrol Piyasası Lisans Yönetmeliğine göre Rafinerici Lisansı Sahibi firmalara
-
Maliye Bakanlığı Gelir İdaresi Başkanlığı E-fatura konusunda Özel Entegretör olacak firmalara,
-
Bilgi Teknolojileri ve İletişim Kurumu (BTK) yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ ile Elektronik Haberleşme Güvenliğini sağlama yükümlülüğü olan firmalara,
-
Gümrük ve Ticaret Bakanlığı Gümrük İşlerini Kolaylaştırma Yönetmeliği kapsamında Yetkili Yükümlü Sertifikası (YYS) alacak İthalat ve İhracatçı firmalara ISO 27001 BGYS belgesi alması zorunluluğu getirilmiştir.
ISO/IEC 27001 BGYS Uyum Danışmanlığı ve Denetim Hizmetimiz
ISO 27001 BGYS Uyum Danışmanlığı hizmetimiz kapsam dokümanının belirlenmesi aşaması ile başlayıp her türlü analiz, uygulama, dokümantasyon, eğitim ve test çalışmalarını yaparak müşterilerimizi ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uyumlu hale getirip, ISO 27001 BGYS belgelerini almalarını sağlıyoruz. Belgenin alımı sonrasında her türlü konunuzda da sizlere destek olmaya devam etmekteyiz.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında BGYS’in kurulumu, işletilmesi, izlenmesi, gözden geçirilmesi ve sürdürülmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) metodolojisi kullanılmaktadır.
Standardın gereklilikleri doğrultusunda yılda en az bir kez iç denetim çalışmaları gerçekleştirilmesi gerekmektedir. İç denetim süreçlerinizde de yanınızdayız.
Ulusan Bilişim olarak; ISO/IEC 27001 BGYS Başdenetçi sertifikalarına sahip uzman danışman kadromuz ile ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı uyum süreci konusundan sizlere destek vermekteyiz.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Uyum Danışmanlığı veya Denetim Hizmetimiz hakkında bilgi almak ve ek sorularınız için e-posta ve iletişim numaramızdan veya İletişim Formu üzerinden bizlere ulaşabilirsiniz.