ISO 27001:2005

TS ISO / IEC 27001:17799 Bilgi Gvenlii Ynetimi in Uygulama Prensipleri

(Information Technology Code of Practice for Information Security Management) Bilgi Gvenlii Ynetim Sistemi (BGYS) standard, tm kurulu trlerini (rnein, ticari kurulular, kamu kurumlar, kar amal olmayan kurulular) kapsar. Bu standard, dokmante edilmi bir BGYSyi kuruluun tm ticari riskleri balamnda kurmak, gerekletirmek, izlemek, gzden geirmek, srdrmek ve iyiletirmek iin gereksinimleri kapsar. Bamsz kurulularn ya da taraflarn ihtiyalarna gre zelletirilmi gvenlik kontrollerinin gerekletirilmesi iin gereksinimleri belirtir. BGYS, bilgi varlklarn koruyan ve ilgili taraflara gven veren yeterli ve orantl gvenlik kontrollerini salamak iin tasarlanmtr. lgili Standard TS ISO/IEC 27001:2005 Bilgi teknolojisi Gvenlik Teknikleri - Bilgi Gvenlii Ynetim Sistemleri Gereksinimler ISO 27001 bilgi gvenlii ynetim sistemi hakknda dikkat edilmesi gereken temel noktalar aada zetlendii gibidir. Bilgi gvenlii standard BS 7799-2nin revize edilip 2005in sonlarnda ISO 27001:2005 olarak deitirilmesiyle yrrle giren bu standart kurumlarn bilgi gvenlii ynetim sistemi kurmalar iin gereklilikleri tanmlamaktadr. Bunun yan sra ISO 17799:2002 numaral standart ISO 17799:2005 bilgi teknolojileri gvenlik teknikleri en iyi uygulamalar rehberi olarak revize edilip yaynlanmtr ve ISO 27001e gre kurulacak bir BGYSnin nasl gerekletirilebileceine dair aklamalar ierir. Bilgi gvenlii ynetim sistemi , kurumunuzdaki tm bilgi varlklarnn deerlendirilmesi ve bu varlklarn sahip olduklar zayflklar ve kar karya olduklar tehditleri gz nne alan bir risk analizi yaplmasn gerektirir. Kurum kendine bir risk ynetimi metodu semeli ve risk ileme iin bir plan hazrlamaldr. Risk ileme iin standartta ngrlen kontrol hedefleri ve kontrollerden seimler yaplmal ve uygulanmaldr. Planla-uygula-kontrol et-nlem al (PUK) evrimi uyarnca risk ynetimi faaliyetlerini yrtmeli ve varln risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar almay srdrmelidir. ISO 27001 Kurumlarn risk ynetimi ve risk ileme planlarn , grev ve sorumluluklar, i devamll planlarn , acil durum olay ynetimi prosedrleri hazrlamasn ve uygulamada bunlarn kaytlarn tutmasn gerektirir. Kurum tm bu faaliyetlerin de iinde yer ald bir bilgi gvenlii politikas yaynlamal ve personelini bilgi gvenlii ve tehditler hakknda bilinlendirmelidir. Seilen kontrol hedeflerinin llmesi ve kontrollerin amacna uygunluunun ve performansnn srekli takip edildii yaayan bir sre olarak bilgi gvenlii ynetimi ancak

1/2

ISO 27001:2005

ynetimin aktif destei ve personelin katlmclyla baarlabilir. Kurum ierisinde bu almalar yrtecek BGYS takmnn ve BGYS yneticisinin bilgi gvenlii ynetimi konusunda iyi eitimli olmalar gerekmektedir. Risk ynetimi, politika oluturma, gvenlik prosedrlerinin hazrlanmas ve uygun kontrollerin seilerek uygulanmas aamalarnda uzman destei ve danmanlk almalar faydal olacaktr. ISO 27001den bahsederken kartrlan ve dikkatle ayrlmas gereken ey ISO 27001in YNETM SSTEM ngrmesidir. ISO 27001 size nasl virs bulamayacan anlatmaz. Bilgisayar anza saldrganlarn nasl szabileceini sylemez. Size toplam bilgi gvenlii ve yaayan bir sre olarak bilgi gvenliinin nasl ynetileceini tanmlar. ISO 27001 Bilgi Gvenlii Ynetim Sistemi kurmann yararlar Bilgi varlklarnn farkna varma: Kurulu hangi bilgi varlklarnn olduunu, deerinin farkna varr. Sahip olduu varlklar koruyabilme: Kuraca kontroller ile koruma metotlarn belirler ve uygulayarak korur. sreklilii: Uzun yllar boyunca iini garanti eder. Ayrca bir felaket halinde, ie devam etme yeterliliine sahip olur. lgili taraflar ile bar halinde olma: Bata tedarikileri olmak zere, bilgileri korunacandan ilgili taraflarn gvenini kazanr. Bilgiyi bir sistem sayesinde korur, tesadfe brakmaz. Mterileri deerlendirirse, rakiplerine gre daha iyi deerlendirilir. alanlarn motivasyonunu arttrr. Yasal takipleri nler Yksek prestij salar ISO 27001 Bilgi Gvenlii Sistemi Kurma Aamalar : Varlklarn snflandrlmas Gizlilik , btnlk ve eriebilirlik kriterlerine gre varlklarn deerlendirilmesi Risk analizi Risk analizi ktlarna gre uygulanacak kontrolleri belirleme Dokmantasyon oluturma Kontrolleri uygulama tetkik Kaytlar tutma Ynetimin gzden geirmesi Belgelendirme

2/2