ISO 27001 BGYS - DEUkisi.deu.edu.tr/mete.eminagaoglu/YBS4004-hafta3-4-5.pdf · ISO 27001 ALANLARI (DOMAINS) 1. Güvenlik Politikası 2. Bilgi Güvenliği Organizasyonu 3. Varlık

Y B S 4004 Sistem Güvenliği

ISO 27001 BGYS

Hazırlayan: Dr. Öğr. Üyesi Mete Eminağaoğlu


• Bilgi Güvenliği – Temel Kavramlar• ISO 27001 Nedir?• ISO 27001 Alanları ve ilgili Kontroller• ISO 27001’de Bilgi Güvenliği Yönetim Sistemi• ISO 27001 Sertifikasyon Süreci• ISO 27001’in Faydaları• Örnek Uygulamalar

SUNUM PLANI


Bilgi Güvenliği – Temel Kavramlar

Bilgi:

Bilgi, bir kurum, şirket, vb için değer ifade eden ve sürekli güvenliğinin

sağlanması gereken varlıktır.

BS ISO 17799:2000

Bilgi birçok halde ve durumda bulunabilir ve işlenebilir. Bir kağıda

yazılmış, çıktı halinde, elektonik ortamda saklanabilir, elektronik

ortamda, posta yoluyla veya konuşurken iletilebilir.


Güvenlik yönetimi ve bilgi güvenliğinin en genel kapsamda temel amacı:

Şirketlerin elektronik ortamda bulunan her türlü veri ve bilgisinin;

Gizliliğini (Confidentiality), Bütünlüğünü (Integrity), Erişilebilirlik / sürekliliğini (Availability)

...sağlamaktır.



Şirket

Stratejileri

GüvenlikPolitikaları, Standartları,

Prosedürleri

Güvenlikle ilgili Çözümler, Uygulamalar, Teknolojik Altyapı

Uyum, Bilinç, Bilgilendirme, Şirket bütününde yaygınlaşması

Erişilebilirlik / Kullanılabilirlik (Availability)


Eğitim

Uygulama

Güvenlik

Politikaları,

Prosedürleri,

Standartları

BGYSSüreç

Döngüsü


Bilgi Güvenliği sürecini sağlamada farklı yöntemler ve yapılanma şekilleri uygulanabilir.

Tüm yöntemler ve standartların ortak noktası, sürecin yönetilmesi, uygulanması, güncellenmesi,

sürekli canlı ve etkin kılınmasıdır.


Bilgi Güvenliği Yönetimi ve Denetiminde, belli başlı standartlar ve en çok bilinen, uygulanan evrensel modeller:

ISO 27001 (eski BS 7799:1,2, ISO 17799)

COBIT

ISACA

ITIL

GASSP

HIPAA

SOX


ISO 27001

BS 7799-1:1999

BS 7799-2:1999, 2002

ISO 17799:2000

BS 7799-2:2002 Spec. for ISMS (also audits)

ISO / IEC 17799:2000 Code of Practice for ISMS

ISO / IEC 27001:2005 Code of Practice for ISMS


ISO 27001;

Measurable,Scalable,

Repeatable

Teknik Standart değildir

Teknoloji bağlantılı değildir

Common Criteria, vb amaçlı değildir

BGYS (İng. ISMS) altında bir “Framework” olarak oluşturulmuştur.

11 Alan (Domain)

39 Kontrol Amacı

133 Kontrol


ISO 27001 ALANLARI (DOMAINS)

1. Güvenlik Politikası

2. Bilgi Güvenliği Organizasyonu

3. Varlık Yönetimi

4. İnsan Kaynakları Güvenliği

5. Fiziksel ve Çevresel Güvenlik

6. Haberleşme ve İşletim Güvenliği

7. Erişim Kontrolü

8. Bilgi Sistemleri Edinim, Geliştirme ve Bakımı

9. Bilgi Güvenliği İhlal Olayı Yönetimi

10. İş Sürekliliği Yönetimi

11. Yasal Uyum


ISO 27001 KONTROLLER

A.5.1 Bilgi Güvenliği Politikası

A.5.1.1 Bilgi Güvenliği politika dökümanı

A.5.1.2 Gözden geçirme ve değerlendirme



A.6 Bilgi Güvenliği Organizasyonu

A.6.1 İç OrganizasyonA.6.1.1 Yönetimin bilgi güvenliğine bağlılığıA.6.1.2 BG KoordinasyonuA.6.1.3 BG - Sorumlulukların atanmasıA.6.1.4 Bilgi işleme için yetki süreciA 6.1.5 Gizlilik anlaşmalarıA.6.1.6 Otoritelerle iletişimA.6.1.7 Özel faaliyet grupları ile iletişimA.6.1.8 BG’nin bağımsız birimlerce gözden geçirilmesi ve denetimi



A.6 Bilgi Güvenliği Organizasyonu

A.6.2 Dış Taraflar

A.6.2.1 Risklerin tanımı / belirlenmesiA.6.2.2 Müşterilerle ilgilenirken güvenliği ifade etmeA.6.2.3 Üçüncü şahıs anlaşmalarında güvenliği ifade etme



A.7 Varlık (Asset) Yönetimi

A.7.1 Varlıkların Sorumluluğu

A.7.1.1 Varlıkların EnvanteriA.7.1.2 Varlıkların SahipliğiA.7.1.3 Varlıkların kabul edilebilir kullanımı



A.7.2 Bilgi Sınıflandırması

A.7.2.1 Sınıflandırma kılavuzları

A.7.2.2 Bilgi etiketlemesi ve işleme

Top Secret

Secret

Confidential

Sensitive but unclassified

Unclassified

Sensitive but unclassified

until 1/1/2007



A.8 İnsan Kaynakları Güvenliği

A.8.1 İstihdam Öncesi

A.8.1.1 Roller ve sorumluluklar

A.8.1.2 Referans tarama

A.8.1.3 İstihdam koşulları



A.8.2 Çalışma Esnasında

A.8.2.1 Yönetim sorumluluklarıA.8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimiA.8.2.3 Disiplin süreçleri




A.8.3 İstihdamın sonlandırılması veya değiştirilmesi

A.8.3.1 Sonlandırma sorumluluklarıA.8.3.2 Varlıkların iadesiA.8.3.3 Erişim haklarının kaldırılması



A.9 Fiziksel ve Çevresel Güvenlik

A.9.1 Güvenli Bölgeler

A.9.1.1 Fiziksel güvenlik çevresiA.9.1.2 Fiziksel giriş kontrolleriA.9.1.3 Oda, ofis, fasilite güvenliğiA.9.1.4 Dış ve çevresel tehditlere karşı korumaA.9.1.5 Güvenli alanlarda çalışmaA.9.1.6 Açık erişim, dağıtım ve yükleme alanları



A.9 Fiziksel ve Çevresel Güvenlik

A.9.2 Ekipman Güvenliği

A.9.2.1 Teçhizat yerleştirme ve korumaA.9.2.2 Destek hizmetleri A.9.2.3 Kablolama güvenliğiA.9.2.4 Teçhizat bakımıA.9.2.5 Kuruluş dışındaki teçhizatın güvenliğiA.9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar

kullanımıA.9.2.7 Mülkün kurum dışına çıkarılması



A.10 Haberleşme ve İşletim Yönetimi

A.10.1 Operasyonel prosedürler ve sorumluluklar

A.10.1.1 Dokümante edilmiş işletim prosedürleriA.10.1.2 Değişim yönetimiA.10.1.3 Görev ayrımlarıA.10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı




A.10.2 Üçüncü taraf hizmet sağlama yönetimi

A.10.2.1 Hizmet sağlamaA.10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirmeA.10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme




A.10.3 Sistem planlama ve kabulü

A.10.3.1 Kapasite planlamasıA.10.3.2 Sistem kabulü




A.10.4 Zararlı ve mobil kodlara karşı koruma

A.10.4.1 Zararlı koda karşı kontrollerA.10.4.2 Mobil koda karşı kontroller




A.10.5 Yedekleme

A.10.5.1 Bilgi Yedekleme




A.10.6 Ağ Güvenliği Yönetimi

A.10.6.1 Ağ kontrolleriA.10.6.2 Ağ hizmetleri güvenliği




A.10.7 Medya işleme

A.10.7.1 Taşınabilir ortam yönetimiA.10.7.2 Medyanın yok edilmesiA.10.7.3 Bilgi işleme prosedürleriA.10.7.4 Sistem dokümantasyonu güvenliği




A.10.8 Bilgi Değişimi

A.10.8.1 Bilgi değişim politikaları ve prosedürleriA.10.8.2 Değişim anlaşmalarıA.10.8.3 Aktarılan fiziksel ortamA.10.8.4 Elektronik mesajlaşmaA.10.8.5 İş bilgi sistemleri




A.10.9 Elektronik Ticaret Hizmetleri

A.10.9.1 Elektronik ticaretA.10.9.2 Çevrimiçi işlemlerA.10.9.3 Herkese açık bilgi




A.10.10 İzleme

A.10.10.1 Denetim kaydetmeA.10.10.2 Sistem kullanımını izlemeA.10.10.3 Kayıt bilgisinin korunmasıA.10.10.4 Yönetici ve operatör kayıtlarıA.10.10.5 Hata kaydıA.10.10.6 Saat senkronizasyonu



A.11 Erişim Kontrolleri

A.11.1 Erişim kontrolü için iş gereksinimi

A.11.1.1 Erişim kontrolü politikası




A.11.2 Kullanıcı Erişim Yönetimi

A.11.2.1 Kullanıcı kaydıA.11.2.2 Yetki yönetimiA.11.2.3 Kullanıcı parola yönetimiA.11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi




A.11.3 Kullanıcı sorumlulukları

A.11.3.1 Parola kullanımıA.11.3.2 Gözetimsiz kullanıcı teçhizatıA.11.3.3 Temiz masa ve temiz ekran politikası




A.11.4 Ağ erişim kontrolü

A.11.4.1 Ağ hizmetlerinin kullanımına ilişkin politikaA.11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulamaA.11.4.3 Ağlarda teçhizat tanımlamaA.11.4.4 Uzak tanı ve yapılandırma portu korumaA.11.4.5 Ağlarda ayrımA.11.4.6 Ağ bağlantı kontrolüA.11.4.7 Ağ yönlendirme kontrolü




A.11.5 İşletim Sistemi Erişim Kontrolü

A.11.5.1 Güvenli oturum açma prosedürleriA.11.5.2 Kullanıcı kimlik tanımlama ve doğrulamaA.11.5.3 Parola yönetim sistemiA.11.5.4 Yardımcı sistem programlarının kullanımıA.11.5.5 Oturum zaman aşımıA.11.5.6 Bağlantı süresinin sınırlandırılması




A.11.6 Uygulama ve bilgi erişim kontrolü

A.11.6.1 Bilgiye erişim kısıtlamasıA.11.6.2 Hassas sistem yalıtımı




A.11.7 Mobil bilgi işleme ve uzaktan çalışma

A.11.7.1 Mobil bilgi işleme ve iletişimA.11.7.2 Uzaktan çalışma



A.12 Bilgi sistemleri edinim, geliştirme ve bakımı

A.12.1 Bilgi sistemlerinin güvenlik gereksinimleri

A.12.1.1 Güvenlik gereksinim analizleri ve belirlenmesi




A.12.2 Uygulamalarda doğru işleme

A.12.2.1 Giriş verisi geçerliliğiA.12.2.2 İç işleme kontrolüA.12.2.3 Mesaj bütünlüğüA.12.2.4 Çıkış verisi geçerliliği




A.12.3 Kriptografik Kontroller

A.12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika

A.12.3.2 Anahtar yönetimi




A.12.4 Sistem dosyalarının güvenliği

A.12.4.1 Operasyonel yazılımın kontrolüA.12.4.2 Sistem test verisinin korunmasıA.12.4.3 Program kaynak koduna erişim kontrolü




A.12.5 Geliştirme ve destek süreçlerinde güvenlik

A.12.5.1 Değişim kontrol prosedürleriA.12.5.2 İşletim sistemindeki değişikliklerden sonra teknik

gözden geçirmeA.12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalarA.12.5.4 Bilgi sızmasıA.12.5.5 Dışarıdan sağlanan yazılım geliştirme




A.12.6 Teknik açıkların yönetimi

A.12.5.1 Teknik açıkların kontrolü



A.13 Bilgi Güvenliği Olay Yönetimi

A.13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi

A.13.1.1 Bilgi güvenliği olaylarının rapor edilmesiA.13.1.2 Güvenlik zayıflıklarının rapor edilmesi

A.13.2 Bilgi güvenliği olayları ve iyileştirmelerin yönetilmesi

A.13.2.1 Sorumluluklar ve prosedürlerA.13.2.2 Bilgi güvenliği ihlal olaylarından öğrenmeA.13.2.3 Kanıt toplama



A.14 İş Sürekliliği Yönetimi

A.14.1 İş Sürekliliği Yönetiminin Bilgi Güvenliği Hususları

A.14.1.1 Bilgi güvenliğini iş sürekliliği yönetim sürecine dahil etme

A.14.1.2 İş sürekliliği ve risk değerlendirmeA.14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme

ve gerçekleştirmeA.14.1.4 İş sürekliliği planlama çerçevesiA.14.1.5 İş sürekliliği planlarını test etme,

sürdürme ve yeniden değerlendirme



A.15 Uygunluk / Uyum

A.15.1 Yasal konulara uygunluk

A.15.1.1 Uygulanabilir yasaları tanımlanmaA.15.1.2 Sınai mülkiyet haklarıA.15.1.3 Kurum kayıtlarının korunmasıA.15.1.4 Veri güvenliği ve kişisel bilgilerin mahremiyetiA.15.1.5 Bilgi işleme fasilitelerinin suistimalden korunmasıA.15.1.6 Kriptografik kontrolleri düzenleme



A.15 Uygunluk / Uyum

A.15.2 Güvenlik politikası ve teknik uygunluğun gözden geçirilmesi

A.15.2.1 Güvenlik poltikasına uyumA.15.2.2 Teknik uyum kontrolleri, denetimleri



A.15 Uygunluk / Uyum (Compliance)

A.15.3 Bilgi sistemleri denetim konuları

A.12.3.1 Bilgi sistemleri denetim kontrolleriA.12.3.2 Bilgi sistemleri denetim araç / gereçlerinin korunması


DİKKAT !

Tüm kontrol maddeleri, her durumda, her kurum / şirkette uygulanabilir veya gerekli değildir;

veya,

sadece belli bir sistem, alan, kullanıcıya kısmen uygulanabilirdir.


Yönetim Sistemleri;

Şirket / kurum politika ve hedeflerine erişmek ve bunlara erişecek unsurları belirleme amaçlı sistemlerdir.

Bilgi Güvenlik Yönetim Sistemleri de (ISMS);

Yönetim sisteminin bir parçası olup, “iş riskleri”ni temel alarak bilgi güvenliğinin oluşturulması, uyarlanması, işletilmesi, izlenmesi, gözden geçirilmesi, bakım ve geliştirilmesini sağlamayı hedefler.


İç Yönetim

Çalışanlar

Hissedarlar İç Denetimler

Toplum

Bütünlük Gizlilik

Kullanılabilirlik

Risk

Bilgi Güvenliği Yönetimi Evreni – İdeal Yönetici Bakışı:


Bilgi Güvenlik Yönetim Sistemlerinin tasarımı, uygulanması, ve güvenliğin yönetimi, denetimi, yapılanması;

O şirket / kuruma özgü iş gereksinimleri, iş stratejileri, yapısı, kültürü, büyüklüğü, hedefleri, bunlara yönelik güvenlik gereksinimleri ve süreçlerden yola çıkar / çıkmalıdır.


Standartların çoğunda, Bilgi Güvenliği Yönetimi için bir program ve bir yönetim sistemi (BGYS), buna uygun bir yapılanma önerilir. ISO 27001’de PDCA metodolojisi vardır;



ISO 27001 BGYS Dökümantasyon Kırılımları:

1. Düzey: Politikalar (Kim, niçin?)

2. Düzey: Prosedürler (Kim, ne, ne zaman, nerede ?)

3. Düzey: Detaylı dökümanlar, standartlar, formlar, akış diagramları,

vb (Nasıl ?)

4. Düzey: Kayıtlar, kanıtlar - 1,2,3. düzey dökümanların uygunluk ve

uyum denetimine yardımcı (log’lar, sistem kayıtları, audit trails,

erişim kayıtları, vb)


Üst Yönetim Sorumlulukları:

Üst yönetim taahhüt ve sahiplenmesi

Kaynak yönetimi

Kaynak sağlama / atama

Bilinçlendirme, eğitim, öğretim

BGYS’nin Üst Yönetimce Takip ve Değerlendirilmesi:

Genel

Girdilerin gözden geçirilmesi

Çıktıların gözden geçirilmesi

İç Denetimler

BGYS’nin Geliştirilmesi / İyileştirilmesi:

Sürekli Geliştirmeler

Düzeltici (Corrective) Aksiyonlar

Önleyici (Preventive) Aksiyonlar


Kimler, hangi rol ?

Risk analiz ve değerlendirmesi ? BGYK + risk uzmanları

Bilgi güvenliği ve ISMS yönetimi ? BGYK

Politikalar ? BGYK

Uygulama ? BT ekipleri

Denetim ? Auditor

Yaptırım ? İK, Üst yönetim


Board of Directors

CISOCIO

Policy Management• Policies and standards

• Risk assessment/profiling

• Policy compliance and consulting

• Awareness training

• Business security architecture

Security Administration• Platform/application user management

Security Engineering• Minimum platform standards• Technical security architecture

Incident Response• ID threat + solution

BISO

CEO

Business Unit Management


Bilgi Güvenliği Yönetim Kurulu

Bilgi Güvenliği Yönetim Kurulu / Komitesi, daha çok, bir tür yönlendirme komitesi (steering) ve aynı zamanda icra kurulu (executive) mantığında çalışırlar.

Kimler, hangi görev ?

CEO / Grup Md. / Gn. Md. BaşkanİK koord. / Md ÜyeMali İşler koord. / Md. ÜyeTemel iş kolları / şirket Gn. Md. ÜyeBT koord. / BT Gn. Md. ÜyeCISO / Bilgi Güvenlik Md. ÜyeMali Denetim ÜyeHukuk Üye


CEO

CSO orCISO

CorporateLegal

ISM Board

HumanResources

IT/CIO

System Activation

Initial Response

Size Up

Resource Activation

Ongoing Management

Incident Conclusion/”Mop Up”

Post-Incident Analysis

Co

mm

un

ica

tio

ns

Tra

ck

ing

Command

PlanningFinance/Admin

CommandStaff

LogisticsOperations


Politikalar: Bilgi Güvenlik politikasındaki üst düzey olan dokümanlardır. (Genel – tüm çalışanlar)

Güvenlik Standartları: Spesifik teknolojileri kullanarak kurumlarda bilgi güvenliğini sağlamaktadırlar ve uyulması şart olan kurallardır.

Güvenlik prosedürleri: Güvenlik politikalarının hayata geçirilmesi için gereken en alt düzeydeki detaylı adımlardır.


Güvenlik Politikaları, kurumların güvenlik stratejisini yansıtan kurallar bütünüdür

Güvenlik gereksiniminin nedeniGüvenlik seviyesi Güvenlik rol ve sorumluluklarıYaptırımlar

Güvenlik Prosedürleri ve Standartları , kurumda güvenliğin nasıl sağlanacağına yönelik kurallar bütünüdür


Üst Yönetim tarafından yazılan Politika

Genel Organizasyon Politikaları

Politikalar

Standartlar

Detaylı Prosedürler


Küçük/orta boyutlu işletmeler için tek politika yeterli olabilir.

Büyük boyutlu organizasyonlar şirket içi farklı departmanlar/sistemler için farklı politikalara ihtiyaç duyabilir.

Politikalar;

Basit ve öz olmalıdır

Üst düzey politika tek sayfada toplanmalıdır

Alt düzey politikaya herkes tarafından erişilebilmelidir


Üst Düzey Politika Örneği:

Üst düzey yönetim güvenlik forumunun oluşturulmasıBireysel olarak güvenlik bilinçlendirmesine yönelik eğitim ihtiyacıRisk yönetimi yaklaşımıBu standart altında sertifikasyon alınması ve güncellemesi taahhütüÖzel politikalara referans

(Tehlike) Olasılık planı Veri yedeklemesi gereksinimiVirüs, vb karşı korunmaİnternete-postaSistem ve verilere erişimin kontrolüGüvenlik olaylarının raporlanmasıDisiplin kurallarıvb


Tüm Politikalarda Bulunan Bölümler:

Bilgi güvenliğinin tanımı, objektifleri, kapsamı, amacı ve bilgi paylaşımındaki rolü

Üst yönetimin, bilgi güvenliğinin sağlanması için gerekli desteği nasıl sağlayacağını açıklayan bildirisi

Güvenlik politikasına ait prosedür, ilke ve usullerin özeti

Bilgi güvenlik politikasının ihlali durumunda uygulanacak prosedürler

Bilgi güvenliğinin sağlanmasında personel ve yönetime düşen sorumlulukların tanımı

Ve son olarak bilgi güvenliliğinin nasıl sağlanacağını belirten prosedürlerinbulunduğu bölümlere referans

Politikayı belirleyen ve onaylayan

Politika adı, tarih, versiyon no, önceki versiyonlar, güncelleme takip bilgileri


Politikalar nasıl etkin uygulanır / uygulatılır ?

Kurumda risk analiz ve değerlendirmesi yapılmış olmalı,

Azaltılacak risklere yönelik önceliklendirilmiş şekilde o kurum için en gerekli ve uygulanabilir, gerçekçi politikalar hazırlanmalı

Üst yönetim desteği ve sahiplenmesi

Bilgilendirme, yaygınlaştırma,

Kurum geneli bilinçlendirme,

Ne kadar uyulduğu / uyulmadığının denetimi

Disiplin süreçleri, yaptırımlar


Statement of Applicability (SOA)

Güvenlik kontrollerinden hangilerine kurumda gerek görüldüğü ve uygulanılabilir olduğunun formal dökümantasyonudur

ISO 27001’de geçen bir metodolojidir

SOA’nın benzerleri farklı ISMS veya denetim, risk yönetimi standartlarında bulunur

BS7799-2 Standartlarındaki denetimlerde 1. aşamada incelenen belgelerden biridir

Risk değerlendirme çalışmaları sonrası, risk yönetimi kapsamında kullanılır


Statement of Applicability

Risk değerlendirmesiyle hangi kontrollerin uyarlanacağı belirlenecektir. SOA, hangi kontrollerin gerekli / ilgili olduğunun kanıtıdır.

2. Aşamadaki denetim planı için yardımcı kaynaktır

Çok detaylı olmamalıdır, kurum gizliliği ve güvenliği için tehlikeli olabilir, ayrıca mutlaka SOA dökümanlarında yeterli klerans tanımı olmalıdır.


Statement of Applicability

Clause No Control

Objective

Control Applicable

? (Y/N)

Reference

Document A.3 Security Policy

A.3.1 Inf. Sec. Policy A.3.1.1 Inf Sec Policy

document

Y S-000101 Policy

A.3.1.2 Review &

evaluation

Y S-000101 Policy

....

....

A.4 Security Organization

....

A.4.3 Outsourcing A.4.3.1 Sec. Req. in

outsourcing contracts

N N/A

.... A.6 Personnel Security

....

A.6.2 User training A.6.2.1 Inf Sec education

and training

Y HR-000404

Personnel Procedure

...


ISO27001 BGYS’de en kritik başarı faktörü;

Üst yönetimin isteği, desteği, sahiplenmesidir.


1. AŞAMA: BGYS’nin oluşturulması (5 – 14 ay)

2. AŞAMA: Hazır hale gelinmesi, karar alınarak sertifika için başvuru yapılması

3. AŞAMA: Dış bağımsız denetime (sertifika verecek yetkili kuruluş; IRCA, UKAS, vb) alınması ve başarılı sonuçlanması durumunda sertifika alınması (1-2 ay)

ISO27001 SERTİFİKASYON SÜRECİ


ISO27001 SERTİFİKASYON SÜRECİ – 1.AŞAMAKISIM A

• Sertifikasyonun ve BGYS’nin kapsamının oluşması• Ön Analiz ve Planlama;• Kapsam netleşmesi• Görev ve sorumlukların tespiti • İş Planı• Yöntem seçimi• Planlama Raporu• Bilişim Eğitimleri (Proje ekipleri ve Bilişim Yetkilileri İçin) • Kapsam Konusu Envanter Tespiti ve Bilgi Sınıflandırma• Dahili Bilişim Penetrasyon ve Açık Bulma Testleri• Güvenlik Risklerinin belirlenmesi ve Rapor• Güvenlik Önlemlerinin Tespiti• ISO27001 Güvenlik Politikalarının Hazırlanması• ISO 27001 Güvenlik Prosedürlerinin Hazırlanması• ISO 27001 Güvenlik Denetimi ve Kontrolu


ISO27001 SERTİFİKASYON SÜRECİ – 1.AŞAMAKISIM B

• Güvenlik Politika ve Prosedürlerinin personel ve hedef kullanıcılara duyurulması

• Danışmanlık kapsamında tespit edilen güvenlik önlemlerinin Yönetim tarafından uygulamaya konmak üzere yıllık plana alınması

• Bilgi Güvenlik Olay Takibinin kurulması • Bilgi Güvenlik Yönetimi için Görev ve Sorumlulukların

belirlenmesi• Kullanıcı eğitimleri


• BGYS yapılanmasının sertifikasyona hazır hale gelmesi ve bu konuda yönetim kararı çıkması

• Sertifikayı veren resmi kuruluşa başvuru yapılması(Başvuruda kapsam belirtilir)

ISO27001 SERTİFİKASYON SÜRECİ – 2.AŞAMA


SertifikaFaz 2

Ön denetim

Karar

Faz 1

•Denetim Firması = İş Ortağı

• İsteğe bağlı ön denetim

•Faz 1 - Doküman inceleme

•Faz 2 – Saha denetimi

•Sürecin onaylanması ve sertifika basımı

ISO27001 SERTİFİKASYON SÜRECİ – 3. AŞAMA


Bilgi Güvenliği Denetimlerinde (ISO 27001) başta genel bilgi güvenliği pol. olmak üzere, öncelikle politika ve sonrasında da ilgili prosedür ve standart dökümanları incelenir. Ayrıca, tüm dökümanların standardize hazırlanıp hazırlanmadığı da incelenir.

ISACA, COBIT, vb denetimlerde, denetim odak, kapsam ve amacına göre, politika ve / veya ilgili prosedür ve standartların dökümanları denetlenir.

Tüm denetim yöntem ve stand.da, kurumun iş yapısı ve büyüklüğü ne olursa olsun, genel bilgi güvenliği politikasının olması beklenir.

ISO27001 SERTİFİKASYON SÜRECİNDEDENETİMLER


ISO 27001 Sertifikasyon Sürecindeki Zorunlu Konular

Tehdit Etkisi ve Olasılığı

Kontrol Seçimi ve Uygulama

Varlıkların Envanteri

• Çalışanlar• Kağıt Dokümanlar• Yazılım Varlıkları, Programlar• Fiziksel Varlıklar• Şirket imajı• Servisler• Đş Ortakları• Tedarikçiler

• Doğal Afetler• Yetersiz kaynak• Farkında olmama• Fiziksel paylaşım • Sözleşme gereklilikleri • Sistem kaynaklı riskler• Geçikme

• Standart Ek A • Diğer kontroller• Önlem Al• Riski kabul et• Görmezden gel..!• Çözüm Planı

BGYS


Şirketlerde Sertifikasyon Sürecindeki Uygulamalar

Yönetim Desteği Güvenlik

Forumu

Olay Yönetimi

İş SürekliliğiFiziksel

İzleme

EğitimFarkındalık

Politika

Olmazsa olmaz güvenlik bileşenleri şirketten şirkete farklılık gösterebilir.

Hukuk

Denetim


• Gizlilik sağlanır. • Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.• Bütünlük sağlanır. • Bilgiye ulaşılabilirlik, sürekliliği sağlanır.• Rakiplerinizin bir adım önüne geçmenizi sağlar. • Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki

taahhüdünüzden dolayı güven hissederler. • Uluslararası ihalelere katılılımda şart olan ISO/IEC 27001:2005 gereklerini

sağlanmış olursunuz. • Bilgi güvenlik ihlallerinin çıkaracağı büyük zarar ve masrafları oldukça azaltır

ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir. • İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara

kanıtlamanıza yardımcı olur. • Türkiye’de bu yapılanmayı ve sertifikasyonu başarmış olan az sayıdaki

kurumlardan birisi olacaksınız.

ISO 27001 - FAYDALARI


• Organizasyonun tüm aşamalarında ve birimlerinde güvenliğe taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.

• Kurumunuz genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.

• Donanım ve veriye daha güvenilir erişim sağlanır.

• Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.

• Düzenli olarak gerçekleştirilen denetimler sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur.

• Müşterileriniz, iş ortaklarınız ve tüm kamuoyu nezdinde prestijinizi arttırır, size; tanıtım, reklam ve pazarlama çalışmalarınızda artı değer katar.

• Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini koruyabilmesi için gereken kontrollerin firma içinde yerleştirilmesi ve uygulanmasına temel olur.

• Personelin bireysel beceri, iş ve kariyer gelişimlerine katkıda bulunur.



• Müşterileriniz, iş ortaklarınız ve tüm kamuoyu nezdinde prestijinizi arttırır, size; tanıtım, reklam ve pazarlama çalışmalarınızda artı değer katar.

• Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.

• Bilgi güvenliği, kurum kültürünüzün bir parçası haline gelir.

• İş ortaklarınız veya size hizmet veren 3. şahıs firmaların; sizin standartlarınıza yükselmesi ve size daha güvenli, kaliteli hizmet vermelerini sağlatır.

• İş süreçlerinizde risk azaltımı yanı sıra, iş süreçlerinizde kalite de artar, kalite güvencesine katkı sağlar.

• Kurumunuzdaki iş uygulamaları ve ilgili teknolojilerin, sistemlerin kalite ve performanslarını da arttırır.

• Yönetimsel yapılarınızda iş etkinliği ve kaliteyi arttıracak değişimlere de katkı sağlar.

• Personelin iş yapış şekillerini iyileştirerek performanslarını arttırır.



Örnek Uygulamalar – Global Bilgi A.Ş.

1.5 yıllık bir süreçte ISO 27001 sertifikasyonunu aldı

Doğru Başlangıç, Doğru İnsanlar, Doğru Kapsam seçimiyle başarıldı

Bilgi güvenliğinde Ölçülebilir İlerleme (Risklerde % 60 azalma) sağlandı

Yönetim Desteği çok önemliydi

Şirket kültürüne uygun çözümlerle gidildi

İnsanlarda değişim yönetimi sağlandı

Eğitim ve İletişim büyük katkı yaptı


Örnek Uygulamalar – TürkTraktör A.Ş.

2 yıllık bir süreçte ISO 27001 sertifikasyonunu aldı

Sadece güvenlik değil, iş süreçleri ve BT’de kalitede artış sağlandı

Organizasyon yapıları değişti ve düzeldi

Personelde bilgi güvenliği bilinci oluştu

Kurumda bilgi güvenliği kültürü gelişmeye başladı

Gizli kalan riskler ortaya çıktı ve azaltıldı

Maddi ve manevi kayıplar ciddi düzeyde (yıllık ALE oranı % 48) azaldı

Kurum içi iletişim, koordinasyon, yönetimsel kararlarda hız ve etkinlik arttı


Örnek Uygulamalar – Tusaş Havacılık ve Uzay Sanayi A.Ş.

ISO 27001 sertifikasyonunu aldı

Üretim, montaj ve ilgili süreçleri kapsadılar

Kapsamı ve hedefi önceden ve doğru belirleyerek başardılar

Güvenlik yanı sıra, hizmet ve üretim kalitesinde de artış sağlandı

Türkiye’de kendi sektöründe sertifikayı alan ilk kurum olmasıyla rakiplerine avantaj sağlıyor

Faaliyet alanındaki uluslararası gereksinimlere ve regülasyonlara uyumu hızlı ve etkin bir şekilde sağladılar

Çalışanların; kuruma bağlılığı,etkinliği ve bilgi kalitesinde büyük artış oldu


"The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards.

Even then, I wouldn't stake my life on it."

Gene Spafford,Computer Operations and Head of Security Technology (COAST) Project

% 100 Güvenlik, % 100 Uyum, 0 risk ...?


TEŞEKKÜR EDERİM

Dr. METE EMİNAĞAOĞLU

Documents

ISO 27001 BGYS - DEUkisi.deu.edu.tr/mete.eminagaoglu/YBS4004-hafta3-4-5.pdf · ISO 27001 ALANLARI (DOMAINS) 1. Güvenlik Politikası 2. Bilgi Güvenliği Organizasyonu 3. Varlık