Bilgi Güvenliği

Bilgi Güvenliği ve diğer ilgili standartlar

DUYURU

‘ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standardı için Türkak akreditasyonu ile belgelendirme talebinde bulunan\ bulunacak olan tüm firmaların dikkatine: 

01.11.2023 tarihinde veya sonrasında başlayan herhangi bir ilk belgelendirme tetkiki ve yeniden belgelendirme tetkiki, ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi standardına göre yapılacaktır.’
 

ISO/IEC 27001, BGYS için gereklilikleri ortaya koyan bir standarttır. Bilgilerin düzenli olarak maruz kaldığı tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur. Standart, risk değerlendirmesi, belirlenen risklere kontrollerin uygulanması, tanımlanan risklerin izlenmesi, kontrol yönetimi sistemlerinin bakımı v.b. gibi, risk yönetimi ile ilgili konulara odaklanmıştır.

Bilgi güvenliği yönetim sistemi, organizasyondaki bilgi varlıklarının değerlendirilmesini, bu varlıkların zayıflıklarını ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizinin yapılmasını gerektirir. Organizasyon bir risk yönetimi metodunu seçmeli ve risklere karşı bir plan hazırlamalıdır.

Organizasyon, planla-uygula-kontrol et-önlem al çevrimi içinde risk yönetimi faaliyetlerini yürütmeli ve çalışmaları, riskler kabul edilebilir bir düzeye getirilene kadar sürdürmelidir.

Bu standart, organizasyonların büyüklüğüne bakılmaksızın, BGYS’nin kurulması, bakımı ve idamesi ile ilgili kurumlara yardım etme ve belgelendirme amacıyla oluşturulmuştur. ISO/IEC 27001 standardı diğer yönetim standartlarıyla (ISO 9001, ISO 14001) uyumlu olarak geliştirildiğinden, yönetim standartlarının gerekliliklerini de yerine getirmektedir.

ISO 27001 organizasyonların risk yönetimi planlarını, görev ve sorumluluk tanımlarını, iş devamlılığı planlarını, acil durum yönetimi prosedürlerini hazırlamasını zorunlu tutar. Uygulamada bunlara ilişkin kayıtların tutulması gerekir. 

ISO 27001 Bilgi Güvenliği Sistemini Kurma Aşamaları :

  • Varlıkların (Assets) sınıflandırılması
  • Varlıkların, gizlilik, bütünlük ve erişebilirlik kriterlerine göre değerlendirilmesi
  • Risk analizi
  • Risk analizinin sonuçlarına göre, uygulanacak kontrollerin belirlenmesi
  • Dokümantasyonun oluşturulması
  • Kontrollerin uygulanması
  • İç tetkiklerin yapılması
  • Kayıtları tutulması
  • Yönetimin gözden geçirmesi
  • Belgelendirme

TÜV teknik Kontrol ve Belgelendirme A.Ş., ISO 27001 Bilgi Güvenliği Sistemine göre belgelendirme ve eğitim hizmetlerini sunmaktadır.