ISO 27001 belgesi standardı, her geçen gün büyümekte olan ISO/IEC 27000 standart serilerinin bir parçası olup, Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından Ekim 2005’te yayınlanmış bir Bilgi Güvenliği Yönetim Sistemi standardıdır. Standardın tam adı; ‘ISO/IEC 27001 – Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi Sistemleri – Şartlar’ olarak geçmektedir ama genel olarak ISO 27001 belgesi standardı olarak bilinmektedir.
Eğitim süresi katılımcı sayısına göre 1 veya 2 gün olarak planlanmaktadır.
ISO 27001 belgesi standardı, güvenlik kontrol amaçlarını listeleyen ve güvenlik kontrolünün sınırları konusunda öneri sunan ISO/IEC 27002 Bilgi Güvenliği Yönetimi için Uygulama Kuralları ile birlikte uygulanmalıdır. ISO/IEC/27002 uygulama çözümü önerilerine göre kurulmuş Bilgi Güvenliği Yönetim Sistemi uygulayan firmalar aynı zamanda ISO/IEC 27001 standardının şartlarını da yerine getirmiş olurlar. Ama sistemin belgelendirmesi firmanın tercihine kalmıştır (belgelendirmenin, firma hissedarları tarafından zorunlu tutulmaması halinde)
ISO 27000 27001 Belgelendirme
Organizasyonların ISO/IEC 27001 belgesi standardına göre belgelendirilmeleri, dünya çapında belli sayıda ki akredite olmuş kuruluş tarafından yapılmaktadır. ISO/IEC 27001 belgesi standardının farklı ülkelerde ki versiyonlarına göre (mesela JIS Q 27001 Japonya versiyonudur) belgelendirilmeleri, ISO /IEC 27001 belgesini vermede akredite olmuş kuruluşlar tarafından yapılabilir. Belgelendirme denetilemeleri, genellikle ISO 27001 baş denetçileri tarafından yürütülmektedir.
Yönetim sistemlerinin belirli standartlara uygunluğunu onaylayan kuruluşlar “belgelendirme kuruluşu”, “tescil kuruluşu, ”, “değerlendirme ve tescillendirme firmaları”, “belgelendirme tescil firmaları şirketleri” gibi isimlerle bilinmektedir.
ISO 27001 belgelendirme ve danışmanlık süreci, diğer ISO yönetim sistemi belgelendirmelerinde olduğu gibi üç aşamalı bir denetleme sürecini içermektedir:
- Aşama 1, firmanın güvenlik politikasının, Uygulanabilirlik Beyanının (SoA) ve risk değerlendirme planı zorunlu dokümanlarının olup olmadığının ve içeriklerinin kontol edildiği, bir “masa üstü” gözden geçirmesidir.
- Aşama 2, Uygulanabilirlik Beyanı’nda ve Risk Değerlendirme Planı’nda yer alan bilgi güvenliği kontrollerinin varlığının ve etkinliğinin detaylı ve derinlemesine denetlendiği aşamadır.
- Aşama 3, daha önceden belgelendirilmiş olan organizasyonunun, standardın şartlarını hala yerine getirip getirmediğini görmek için yapılan takip denetimidir. Belgelendirme, sistemin kuruluş amacına uygunluğunun sürdürülmesi amacını taşıyan periyodik gözden geçirmeleri de kapsamaktadır.
ISO/IEC 27002
ISO/IEC 27002, büyümekte olan ISO/IEC ISMS standart serisinin bir parçasıdır. ISO/IEC 27000 serisi, ISO ve IEC tarafından yayınlanmış Bilgi Güvenliği Standartlarıdır. 2007 temmuzunda, diğer ISO/IEC 27000 serisi standartlarla aynı çatı altında toplamak için ISO/IEC 17799 standardı ISO/IEC 27002 olarak yeniden numaralandırılmıştır ve Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi İçin Uygulama Kuralları olarak isimlendirilmiştir. Şu anda uygulanmakta olan standart, 2000 yılında BS (İngiliz Standardı) 77991:1999’dan kelime kelime kopyalanarak oluşturulan ISO/IEC’nin ilk basımının revize edilmiş halidir.
ISO 27002, Bilgi Güvenliği Yönetim Sistemini uygulamak, yerleştirmek ve sürekliliğini sağlamak ile sorumlu olan kişilere bilgi güvenliği yönetimi için en iyi uygulama çözümleri ile ilgili öneriler getirir. Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:
- Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),
- Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)
- Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)
Standardın Başlıkları
Giriş bölümlerinin ardından, standart aşağıda belirtilen on iki bölümü kapsar:
- Risk değerlendirmesi
- Güvenlik Politikası – Yönetimin taahhüdü
- Bilgi güvenliği organizasyonu – Bilgi güvenliği yönetimi
- Varlık yönetimi – Bilgi ile ilgili varlıkların sınıflandırılıması ve envantere işlenmesi
- İnsan kaynakları güvenliği – Çalışanların organizasyona katılması, organizasyon içinde yer değiştirmesi ya da organizasyondan ayrılmaları sonucunda ortaya çıkabilecek güvenlik durumları.
- Fiziki ve çevresel güvenlik – Bilgisayar tesislerinin güvenliği
- İletişim ve operasyon yönetimi – Sistem ve ağ üzerinde kullanlan teknik güvenlik kontrollerinin yönetimi.
- Erişim Kontrolü – Sistemlere, ağa, uygulamalara, fonksiyonlara ve verilere erişim haklarının sınırlandırılması.
- Bilgi sistemlerinin oluşturulması, geliştirilmesi ve bakımlarının gerçekleştirilmesi – Uygulamalarının içine güvenlik sisteminin inşa edilmesi.
- Bilgi güvenliği olay yönetimi – Bilgi güvenliği ihlallerinin öngörülmesi ve en uygun şekilde karşılık verilmesi.
- İş Sürekliliği Yönetimi – Hassas iş süreçlerinin ve sistemlerinin korunması, bakımlarının gerçekleştirilmesi ve kurtarılması.
- Uygunluk – Bilgi güvenliği politikalarına, standartlarına, kanunlara ve düzenlemelere uygunluğun sağlanması.
Her bölümde bilgi güvenliği kontrolleri ve hedefleri belirlenmiş ve başlıklar halinde yazılmıştır. Bu hedeflere ulaşmada kullanılan en iyi uygulama çözümleri genellikle bilgi güvenliği kontrolleri olarak da kabul edilmektedir. Her kontrol için uygulama rehberliği sağlanır. Aşağıda belirtilen durumlarda bazı kontroller zorunlu tutulmayabilir:
- Her organizasyondan, kendi yapısına özel durumlara uygun kontrolleri seçmeden önce kendine özgü şartları tanımlaması için yapılandırılımış bir bilgi güvenliği risk değerlendirme prosesi kurmayı tahhüt etmesi beklenir. Bu konuyu kapsayan ISO 27005 gibi standartlar olduğu gibi, standardın giriş bölümü de risk değerlendirme prosesinin ana hatlarını vermektedir.
- Genel amaçlı bir standartta muhtemel kontrollerin tümünü sıralamak pratik olarak mümkün değildir. ISO 27001 27002 standartları için hazırlanmış olan sektör bazlı uygulama kılavuzlarının telekom, finans, sağlık ve diğer sektörlerdeki uyarlamalar için de tavsiye verebilir olması beklenir.
Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.
ISO 27001 ‘den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001′in yönetim sistemi öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.
Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
ISO 27001 Faydaları
- Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
- Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
- İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
- İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgilen korunacağından ilgili tarafların güvenini kazanır.
- Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
- Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
- Çalışanların motivasyonunu arttırır.
- Yasal takipleri önler.
- Yüksek prestij sağlar.