ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kuruluşların sahip olduğu en değerli varlıklarından biri olan bilgilerin güvenliğinin sağlanması, muhafaza edilmesi ve yönetilmesinde sistematik bir yaklaşım sunan uluslararası bir standarttır.

Kuruluşların sahip oldukları bilgi varlıkları; finansal raporlar, fikri mülkiyet hakları, çalışan bilgileri, ürün formülasyonu, stratejik yönetim tutanakları, müşteri bilgileri, tedarikçi bilgileri, ticari bilgiler, tasarım bilgileri, özel üretim bilgileri gibi farklı nitelikte ve farklı hassasiyete (Halka Açık, Gizli, Çok Gizli, Sır vb) sahip bilgi varlıklarından oluşmaktadır. Bilginin sınıflandırılmasıyla ilgili yöntemlere Blog yazımızdan (Bilgi Varlıklarının Sınıflandırılması) erişebilirsiniz.

ISO 27001 Bilgi Güvenliği Yönetim Sistemine ihtiyaç duyan kuruluşlar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kamu, finans, sağlık ve Bilgi Teknolojileri sektörleri başta olmak üzere tüm kuruluşlar için bilgi güvenliğinin sağlanması için bir yöntem sunmaktadır. Tüm kuruluşların sahip oldukları kuruma özgü bilgiler mevcuttur ve bunların güvenliğinin sağlanması tüm kuruluşlar için önem arz etmektedir.

    • Özellikle yakın zamanda yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında tüm kuruluşların sahip oldukları kişisel verilerin muhafazası yasal bir zorunluluk haline gelmiş olup, ISO 27001 Bilgi Güvenliği Yönetim Sisteminin etkin uygulanmasıyla kuruluşların bu yükümlülüklerini sistematik bir yaklaşımla yerine getirmesi sağlanmaktadır. Kişisel Verilerin Korunması Kanunu ile ilgili kuruluşların yükümlülüklerini ve alınması gereken tedbirleri Blog yazımızdan (KVKK ile ilgili Yükümlülükler) erişebilirsiniz.
    • Öte yandan internet altyapısı olmadan iş süreçlerini yönetmenin mümkün olmadığı günümüzde internet altyapısını kullanan, personeline, ziyaretçilerine internet erişimini açan kuruluşların 5651 Sayılı İnternet Ortamında Yapılan Yayınları Düzenleyen Kanun kapsamında alınması gereken tedbirler de ISO 27001 Bilgi Güvenliği Yönetim Sistemiyle birlikte ele alınmakta ve sistematik olarak yönetilmektedir.
    • Ayrıca Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik kapsamında Yetkilendirilmiş Yükümlü Statüsüne (YYS) sahip olmak isteyen kuruluşlar, yönetmelik gereği hem ISO 9001 Kalite Yönetim Sistemini, hem de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmakla yükümlüdür. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kapsamını “gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetlerinin bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı güvenlik önlemleri” olacak şekilde belirleyen yönetmelik ile kuruluşlara uluslararası geçerliliğe sahip Yetkilendirilmiş Yükümlü Statüsü (Authorised Ecomomic Operator-AEO) getirilmektedir. Yetkilendirilmiş Yükümlü Statüsüne (YYS-AEO) sahip olmak için uygulama esaslarına ilgili Blog yazımızdan erişebilirsiniz.
    • Enerji Piyasası Düzenleme Kurulu’nun (EPDK) Lisans Yönetmeliklerinde de zorunlu bir şart haline getirilen ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile kurumsal bilişim altyapısının ve endüstriyel kontrol sistemlerinin yönetiminde bilgi güvenliğinin sistematik olarak sağlanması amaçlanmıştır.
    • Maliye Bakanlığına bağlı Gelir İdaresi Başkanlığının (GİB) kontrolündeki E Fatura işlemlerinde “Özel Entegratör Yetkisi” almak isteyen kuruluşların da ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları, uygulamaları ve belgelendirilmesi zorunlu hale getirilmiştir. Ayrıca bu kuruluşların ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi ile ISO 22301 İş Sürekliliği Yönetim Sistemine de sahip olmaları istenmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin Amaçları

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile kuruluşlar risk yönetimi süreci uygulayarak sahip oldukları bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korur ve ilgili taraflara risklerin yeterince yönetildiği konusunda güven verir.

  • ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile kuruluşlar öncelikle sahip oldukları bilgi varlıklarının envanterini çıkararak bunların farkına varır. Sahip oldukları bilgi varlıklarının hassasiyetlerine göre sınıflandırılması sağlanarak hangi bilginin güvenliğinin hangi derecede sağlanması gerektiği belirlenir.
  • Bilgi güvenliği yönetim sistemi, bir risk yönetimi süreci uygulayarak bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korur ve ilgili taraflara risklerin yeterince yönetildiği konusunda güven verir. Bilgi varlıklarının güvenliğini zaafiyete uğratacak potansiyel riskler önceden belirlenerek kontrol altına alınır.
  • Bilgi Güvenliğinin 3 sac ayağı; Gizliliği, Bütünlüğü ve Erişebilirliği entegre bir şekilde ele alınır ve sistematik bir şekilde yönetilir;
    • Gizlilik esasına uygun olarak; bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması sağlanır. Yetkisiz kişilerin bilgiye erişimi engellenir. Herkes “bilmesi gerektiği kadar” bilgiye erişir.
    • Bütünlük esasına göre; Bilginin içeriğinin doğru, güncel ve geçerli olması garanti altına alınır. Yetkisiz kişiler tarafından değiştirilmemesi, yanlışlıkla silinmemesi için gerekli kontroller sağlanır. Doğru yedekleme metotları ile olası veri kayıpları önlenir.
    • Erişilebilirlik esası doğrultusunda; Bilgiye ihtiyaç duyulduğunda kesintisiz ulaşılabilmesi güvence altına alınır.  Bilgi, olması gereken yerde ve gerektiğinde kullanıma hazır, ulaşılabilir olmalıdır. Bu amaçla tüm altyapının uygun hale getirilmesi sağlanır.
  • Beklenmedik bir durumda alınması gereken tedbirler, acil durum müdahale yöntemleri de BGYS ile tanımlanır ve iş sürekliliğinin sağlanması için yol haritası önceden belirlenir.
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınları düzenleyen Kanun kapsamında alınması gereken tedbirler BGYS ile birlikte ele alınmakta ve kuruluşun internet altyapısı uygun hale getirilmektedir. İlgili Blog Yazımızı inceleyebilirsiniz. (5651 İnternet Yasasıyla İlgili Yükümlülükler)
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veriler korunması için BGYS ile birlikte etkin bir süreç tanımlanmakta, alınması gereken tedbirler belirlenerek yasal şartların yerine getirilmesi sağlanmaktadır. İlgili Blog Yazımızı inceleyebilirsiniz. (KVKK ile İlgili Yükümlülükler)
  • İlgili taraflarla (Müşteriler, Tedarikçiler, Çalışanlar, vd) karşılıklı ihtiyaç ve beklentiler doğrultusunda paylaşılan bilgilerin sistematik bir şekilde korunacağı taahhüt altına alınır ve  karşılıklı güven sağlanır.

Bilgi Güvenliği Risk Yönetim Yaklaşımı 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kuruluşların bilgi varlıklarının güvenliğini sağlamak için “Risk Yönetim Yaklaşımı” ile sistematik bir yaklaşım öngörmektedir. Bilgi Güvenliği Risk Yönetimi Yaklaşımı ile bilgi güvenliği zaafiyetine neden olacak tehditlerin önceden belirlenerek, bu tehditlerin ortaya çıkma ihtimali ile ortaya çıktığında oluşturacağı etkinin analiz edilmesi ve değerlendirilmesi sağlanmaktadır. Bilgi güvenliğinde zaafiyete neden olabilecek başlıca tehditlere Blog yazımızdan (Bilgi Güvenliği Tehditleri) erişebilirsiniz.

ISO 27001 ile risk yönetimi ve risk işleme planları, görev, yetki ve sorumluluklar, iş sürekliliği planları, acil/beklenmedik durumların yönetimi ile ilgili uygulama esasları tanımlanmaktadır. Bilgi güvenliğiyle ilgili risklerin yönetilmesinde uygulama esaslarını Blog yazımızdan (Bilgi Güvenliği Risk Yönetimi) erişebilirsiniz.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kurulumu

ISO 27001 BGYS’nin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirmesinde PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsüne uygun olarak sistematik bir şekilde planlanma, uygulama, kontrol, gözden geçirme ve sürekli iyileştirme aşamaları uygulanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kurulması ve işletilmesiyle ilgili iş akışımız ve uygulama adımları için Blog yazımızı (ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulum Süreci) inceleyebilirsiniz.

Tüm yönetim sistemleri için kilit role sahip PUKÖ Metodolojisi ile ilgili standart şartlarının planlanması, uygulanması, kontrolü ve kontrol sonucu tespit edilen hususlara karşı önlem alınması sağlanmaktadır. PUKÖ Metodolojisinin ilgili standardın amaç ve kapsamına uygun yorumlanması esastır.

ISO 27001 BGYS standardı için PUKÖ Metodolojisinin uygulanmasını aşağıdaki gibi yorumlayabiliriz;

  • Planla: BGYS’nin ISO 27001 standart şartlarına, mevzuat şartlarına, müşteri ve diğer ilgili tarafların ihtiyaç ve beklentilerine uygun kurulması için iş planı hazırlanır. Kuruluşun bilgi varlıklarının envanteri çıkarılır. Tüm bilgi varlıkları gizlilik, bütünlük ve erişilebilirlik açısından değerlendirilir. Bilgi varlıklarının değerine göre sınıflandırma yapılır, hassasiyeti belirlenir. BGYS uygulama esasları belirlenir; Bilgi Güvenliği Politikası, BGYS Hedefleri, Bilgi Güvenliği Kontrol Yöntemleri (Proses, Prosedür, Talimat), Bilgi Güvenliği Risk ve Fırsatları, Bilgi Güvenliği Görevleri (Görev, Yetki, Sorumluluk), İş Sürekliliği Planları, Beklenmedik (Acil) Durum Planları gibi BGYS uygulama esasları tanımlanır ve uygulama aşamaları planlanır. ISO 27001 BGYS’nin işletilmesinde bilgi güvenliğini zaafiyete uğratacak potansiyel riskler ile bilgi güvenliğinde zaafiyeti önleyecek iyileştirme fırsatları belirlenir. Risklerin önlenmesi için alınması gereken tedbirler ile iyileştirme fırsatlarının yakalanması için yapılması gerekenler belirlenir, sorumluluk verilir ve termine uygun faaliyet planlaması yapılır.
  • Uygula: Bilgi Güvenliği risklerinin önlenmesi ve iyileştirmelerin yapılması için planlanmış olan kontrol faaliyetleri, BGYS dokümantasyon şartlarına uygun olarak  gerçekleştirilir.
  • Kontrol et: BGYS’nin uygulanmasında ISO 27001 standart şartlarına, mevzuat şartlarına, müşteri ve diğer ilgili tarafların ihtiyaç ve beklentilerine, BGYS dokümantasyon şartlarına uygunluğun kontrol edilmesi, denetlenmesi sağlanır ve kontrol sonuçları üst yönetim tarafından gözden geçirilir.
  • Önlem al: Kontrol sonucu tespit edilen uygunsuzlukların kök neden analizi yapılarak tekrarını önleyici kalıcı tedbirlerine alınması sağlanır. BGYS’nin sürekli iyileştirilmesi için belirlenmiş fırsatların yakalanması, sürekli iyileştirmeyi sağlayan faaliyetlerin sistematik olarak ele alınması sonucu elde edilen verilerin yeniden “Planla” aşamasına girdi teşkil ederek servis süreçlerinin yeniden planlanması sağlanır.

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sisteminin Şartları

İlk olarak BS 7799 Ulusal Standart olarak yayımlanan Bilgi Güvenliği Yönetim Sistem Standardı, ISO ve IEC’nin ortaklaşa kurduğu JTC 1 Teknik Komitesi (Joint Technical Committee) tarafından Uluslarası Standarda dönüştürülmüştür.

ISO 27000 serisi standartlar, ISO ve IEC’nin ortaklaşa kurduğu JTC 1 Teknik Komitesi (Joint Technical Committee) tarafından, kuruluşların sahip oldukları bilgi varlıklarının güvenliğini sağlamada sistematik bir yöntem oluşturmak amacıyla hazırlanmıştır. Bu standartlara Blog yazımızdan (ISO 27000 Serisi Standartlar) erişebilirsiniz.

2000 yılında ISO/IEC 17799, Ekim 2005 yılında ISO 27001 standardı olarak yürürlüğe giren Bilgi Güvenliği Yönetim Standardı, Ekim 2013 yılında yayımlanan son versiyon ile Annex SL Yüksek Seviye Yapıya (Blog yazımıza bakabilirsiniz) kavuşan yeni standardın şartları aşağıdaki gibi 10 ana maddede oluşmaktadır. Eylül 2014 ve Aralık 2015 yılında baskı hatası ve ufak değişiklikler yayınlanmıştır, fakat yürürlükte olan standart halen ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistem standardıdır. ISO 27001 Standardının bugüne kadarki gelişimini Blog yazımızdan (ISO 27001 Standardının Tarihsel Gelişimi) inceleyebilirsiniz.

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistem Standart Maddeleri

  • 1 Scope (Kapsam
  • 2 Normative references (Atıf Yapılan Referanslar; Standart, Doküman vb)
  • 3 Terms and definitions (Terimler ve Tarifler)
  • 4 Context of the organization (Kuruluşun Bağlamı)
      • 4.1 Understanding the organization and its context (Kuruluşun ve bağlamının anlaşılması)
      • 4.2 Understanding the needs and expectations of interested parties (İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması)
      • 4.3 Determining the scope of the information security management system (Bilgi Güvenliği Yönetim Sisteminin kapsamının belirlenmesi)
      • 4.4 Information security management system (Servis Yönetim Sistemi)
  • 5 Leadership (Liderlik)
    • 5.1 Leadership and commitment (Liderlik ve taahhüt)
    • 5.2 Policy (Politika – Bilgi Güvenliği Politikası)
    • 5.3 Organizational roles, responsibilities and authorities (Kurumsal görev, sorumluluklar ve yetkiler)
  • 6 Planning (Planlama)
    • 6.1 Actions to address risks and opportunities (Risk ve fırsatları belirleme faaliyetleri)
    • 6.2 Information security objectives and planning to achieve them (Bilgi Güvenliği hedefleri ve bunlara erişmek için planlama)
  • 7 Support (Destek)
    • 7.1 Resources (Kaynaklar)
    • 7.2 Competence (Yetkinlik)
    • 7.3 Awareness (Farkındalık)
    • 7.4 Communication (İletişim)
    • 7.5 Documented information (Dokümante edilmiş bilgi)
  • 8 Operation of the service management system (Servis Yönetim Sistemi operasyonu)
    • 8.1 Operational planning and control (Operasyonel planlama ve kontrol)
    • 8.2 Information security risk assessment (Bilgi Güvenliği Risk Değerlendirmesi)
    • 8.3 Information security risk treatment (Bilgi Güvenliği Risk İşleme)
  • 9 Performance evaluation (Performans değerlendirme)
    • 9.1 Monitoring, measurement, analysis and evaluation (İzleme, ölçme, analiz ve değerlendirme)
    • 9.2 Internal audit (İç denetim)
    • 9.3 Management review (Yönetim gözden geçirme)
  • 10 Improvement (İyileştirme)
    • 10.1 Nonconformity and corrective action (Uygunsuzluk ve düzeltici faaliyet)
    • 10.2 Continual improvement (Sürekli iyileştirme)
  • Annex A Reference control objectives and controls (Ek A Referans kontrol amaçları ve kontroller)

ISO/IEC 27001:2013 Standardının son kısmında yer alan Ek A (Annes A) bilgi güvenliğiyle ilgili Uygulanabilirlik Bildirgesinin içeriğini oluşturmaktadır. Standardın etkinliği için mümkün olduğunca tüm bu şartların uygulanabilirliği sağlanmalıdır. Ek A maddelerinin içeriği ve uygulama esaslarıyla ilgili Blog Yazımızı (Ek A Uygulanabilirlik Bildirgesi Şartları) inceleyebilirsiniz.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kurulmasında, uygulanmasında, kontrolünde ve etkinliğinin sürekli iyileştirilmesinde sunduğumuz proje yönetimi ve danışmanlık hizmetleriyle yanınızdayız.

“Bilginiz, sırrımızdır” esasına uygun müşterilerle, tedarikçilerle, çalışanlarla ve bilgilerini paylaştığımız tüm taraflarla karşılıklı güveni amaçlayan, bilgi varlıklarınızın tüm süreçlerde etkin bir şekilde belirlenmesini ve güvenliğini sağlayan etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) için rehberiniz; KALİBRE – 444 9001