11 Mart 2012 Pazar

ISO/IEC 27001:2005 Standardı ve Süreç Yaklaşımı

ISO/IEC 27001:2005 standardı, bir kuruluşun BGYS’sini oluşturmasında,süreç yaklaşımını benimser. Kuruluşun görevlerini etkin bir şekilde yapabilmesi için,etkinliklerini tanımlaması ve yönetmesi gerekmektedir. Her etkinlik bir süreç olarak düşünülebilir.  Bir  sürecin  çıktısı,  bu  süreci  izleyen  başka  bir  sürecin  girdisini
oluĢturur.

Bir  kuruluş  içerisinde,  tanımları  ve  bunların  etkileşimi  ve  yönetimleriyle birlikte  süreçlerin  oluşturduğu  bir  sistem  uygulaması  “süreç  yaklaşımı”  olarak tanımlanabilir.

Bilgi güvenliği yönetimi süreç yaklaşımı, kullanıcılarını aşağıdaki konuların öneminin vurgulanmasını özendirir:

a)  İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi gereksinimini anlamak,
b)  Kuruluşun  tüm iş risklerini yönetmek anlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek,
c)  BGYS’nin performansı ve etkinliğini izlemek ve gözden geçirmek,
d)  Nesnel ölçmeye dayalı olarak sürekli iyileştirmek.

Bu  standart,  tüm  BGYS  süreçlerini  yapılandırmada  uygulanan  “Planla-Uygula-Kontrol Et-Önlem al” (PUKÖ) modelini benimser.

ISO/IEC 27001:2005 standardı,ISO 9001 ve ISO 14001 ile uyumludur. Bu standart, bir kuruluşun BGYS’sini ilgili yönetim sistemi gereksinimleriyle uyumlu yapabilmesi ya da bütünleştirilebilmesi için tasarlanmıştır.

Neleri içerir?
Bu standart, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar,yani tüm kuruluşları kapsar. Bu standart, bir kuruluşun tüm ticari riskleri anlamında belgelenmiş bir BGYS’yi kurması, gerçekleştirmesi, izlemesi, gözden geçirmesi, sürdürmesi ve iyileştirmesi için gereksinim duyduğu konularını içerir.

BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

Bir  kuruluşun  ISO  27001  sertifikasına  sahip  olması,  kurumun  güvenlik risklerini  bildiği,  yönettiği,  belli  risklerde  ortadan  kaldırmak  için kaynak  ayırdığı anlamına gelir.  Yoksa ISO 27001 Bilgi Güvenliği Yönetim Sistemine sahip olmak, kurumların yüzde yüz güvenlik seviyesine sahip olduklarını söylemesi anlamına gelmez. Zaten, yüzde yüz güvenlik seviyesine ulaşmak olası değildir.

Hiç yorum yok:

Yorum Gönder