7 Mart 2012 Çarşamba

ISO 27001

ISO/IEC  27001:2005  -  Bilişim  Teknolojisi -  Güvenlik  Teknikleri -  Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler standardı , bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (ISMS –  Information  Security  Management  System)  kurmak, geliştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak amacıyla hazırlanmıştır. ISO/IEC 27001, bilgi güvenlik yönetim standardıdır. Bir dizi bilgi güvenlik yönetim gereksinimlerini tanımlar. Gereksinim bir ihtiyaç,  beklenti  ya  da  zorunluluktur.Çok  çeşitli  türden  gereksinimler  vardır. Bunların  bazıları  güvenlik  gereksinimleri,  sözleşmelere  bağlı  gereksinimler, yönetimsel gereksinimler, düzenleyici ya da yasal gereksinimleri içerir.

ISO/IEC  27001 standardının amacı, bilgi güvenlik yönetim sistemi (BGYS) kurmak  ve  bakımını  sürdürmektir. ISO/IEC  27001  standardı  her  türlü  kuruluşa uygulanabilir. Kuruluşun ne yaptığı ya da büyüklüğü önemli değildir. ISO/IEC 27001 standardı,  kuruluşun  bilgi  güvenlik  yönetim  gereksinimleri  ve  gerekliliklerini karşılamaya yardımcı olur.


Bu standart ISO tarafından 14 Ekim 2005 tarihinde yayınlanmış ve ISO/IEC 27000 standart serisi altında yerini almıştır. Bilgi güvenliği yönetim sistemi ile ilgili belgelendirilebilen bir standardıdır.


Türkiye'de ise, ISO tarafından kabul edilen, ISO/IEC 27001:2005 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu'nun 2 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek, “TS ISO/IEC 27001 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimleri “adıyla yayınlanmıştır.

ISO/IEC 27000 standart serisi altında yer alan diğer bir standart; ISO/IEC 27002:2005 - Bilişim Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenlik Yönetimi için Uygulama  Kılavuzu’dur.  Bu  standardın  önceki  adı    ISO/IEC  17799:2005’dir.

Temmuz 2007 tarihinde, ISO tarafından yapılan teknik bir düzenlemeyle ISO/IEC 17799:2005  standardının  adı,  ISO/IEC  27002:2005  olarak  değiştirilmiştir.  Bu standart, bilgi güvenliği yönetimi sistemi (BGYS)  oluşturmak için gereken 11 ana başlık altında yapılandırılmış 133 adet güvenlik kontrolü tanımlayan bir uygulama kılavuzudur.


Bilgi Güvenliği Nedir?
Bilgi güvenliği, aşağıdaki konularda bilginin korunmasını sağlar :

Gizlilik:  Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi.

Bütünlük:  Bilginin  ve  işleme  yöntemlerinin  doğruluğunun  ve bütünlüğünün sağlanması. Yetkisiz kişilerce değiştirilememesi.

Erişebilirlik:  Yetkilendirilmiş  kullanıcıların,  gerek  duyulduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi.

Bilgi güvenliği, politikalar, süreçler, prosedürler, organizasyonel yapılar,yazılım ve donanım işlevleri  gibi  uygun  bir  kontrol  kümesi  uygulanarak başarılabilir.


BGYS - Bilgi Güvenliği Yönetim Sistemi nedir? 
Bilgi  güvenliği  yönetim  sistemi,  bilgi  güvenliği  kurmak,  gerçekleştirmek, işletmek,  izlemek,  gözden  geçirmek,  sürdürmek  ve  geliştirmek  için,  iş  riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır.

Yönetim  sistemi,  kurumsal  yapıyı,  politikaları,  planlama  etkinliklerini, sorumlulukları, uygulamaları, prosedürleri, süreçleri ve kaynakları içerir.

Hiç yorum yok:

Yorum Gönder