T. C.
TÜRK STANDARDLARI
ENSTİTÜSÜ
TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ,
TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ
Sunucu: Gürol GÖKÇİMEN
25.10.2014
Türk Standardları Enstitüsü
1
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
 Güvenlik; toplum yaşamında yasal düzenin
aksamadan yürütülmesi, kişilerin korkusuzca
yaşayabilmesi durumudur. (TDK)
 Bilgi Güvenliği; Bilginin gizliliği, bütünlüğü ve
kullanılabilirliğinin korunması. Ek olarak,
doğruluk, açıklanabilirlik, inkâr edememe ve
güvenilirlik gibi diğer özellikleri de kapsar.
(TS ISO/IEC 27001:2005)
25.10.2014
Türk Standardları Enstitüsü
2
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Bilgi Güvenliği Neden Gereklidir?
 Değerlerimizi korumak için;


25.10.2014
Varlıklarımız,
Bilgilerimiz (adli, ticari ve teknolojik).
Türk Standardları Enstitüsü
3
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Bilgi Güvenliği Neden Gereklidir?
 Geleceğimizi korumak için;



25.10.2014
Kuruluşun imajı
Güvenilirlik
Süreklilik
Türk Standardları Enstitüsü
4
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Bilgi Güvenliğini Hangi Kuruluşlar
Uygulamalıdır?






25.10.2014
Kamu kuruluşları
Hastaneler
Bankalar
Okullar
…
Bilgilerim kıymetli diyen tüm kuruluşlar
Türk Standardları Enstitüsü
5
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Bilgi güvenliğini tam olarak nasıl
sağlarım ?
Hiçbir şekilde
25.10.2014
Türk Standardları Enstitüsü
6
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Bilgi güvenliğini nasıl kurup
geliştirebilirim?
Sistemli bir bilgi güvenliği yönetimi ile
25.10.2014
Türk Standardları Enstitüsü
7
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
1- Bilgi varlıklarımızı belirleriz
İnsan kaynaklarımız,
Sunucularımız,
Yazılımlar,
Kayıtlarımız,
Network altyapısı,
Bina ve çalışma alanlarımız,
Denetim araçlarımız,
İzleme araçlarımız,
Dokümanlarımız
.
.
25.10.2014
Türk Standardları Enstitüsü
8
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
2- Varlıklarımızın üzerindeki tehditleri belirleriz
Hastalık
Yangın
Hırsızlık
?
Sabotaj
Virüs
Arıza
Elektrik kesintisi
Deprem
Yetkisiz erişim
Bilinçsizlik
25.10.2014
Türk Standardları Enstitüsü
9
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
3- Zafiyetlerimizi (açıklıklar) belirleriz
Yangın
Hastalık
Sabotaj
Hırsızlık
Yangın ikazının olmaması
?
Yetersiz anti virüs
Virüs
Arıza
Dayanıksız yapı
Jenarator olmaması
Elektrik kesintisi
Bilinçsizlik Erişim Kontrolsüzlüğü
Deprem
Yetkisiz erişim
İç Tehdit
25.10.2014
Türk Standardları Enstitüsü
10
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
4- Riskleri azalmak için karşı önlemler alırız
Hastalık
Yangın
Hırsızlık
Sabotaj
Virüs
?
Arıza
Elektrik kesintisi
Deprem
Yetkisiz erişim
Bilinçsizlik
25.10.2014
Türk Standardları Enstitüsü
X
11
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Risk Analizi ve Yönetimi
25.10.2014
Türk Standardları Enstitüsü
12
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Tarihçe
 BSI kuruluşu hazırlamıştır
 BS 7799 daha sonra ISO
tarafından 2000 yılında ISO
17799 olarak kabul edildi.
 2005 yılında ISO/IEC
27001:2005’i yayınladı
 Mart 2006 ; TS ISO/IEC 27001
25.10.2014
Türk Standardları Enstitüsü
13
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
 Planla
 (BGYS’nin kurulması)
 BGYS politikası, amaçlar, hedefler, süreçler ve
prosedürlerin geliştirilmesi
 Uygula
 (BGYS’nin gerçekleştirilmesi ve işletilmesi)
 BGYS politikası, kontroller, süreçler ve prosedürlerin
işletilmesi
25.10.2014
Türk Standardları Enstitüsü
14
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
 Kontrol Et
(BGYS’nin izlenmesi ve gözden geçirilmesi)
 BGYS politikası, amaçlar ve süreç performansının
değerlendirilmesi, uygulanabilen yerlerde ölçülmesi ve
sonuçların rapor edilmesi
 Önlem al
(BGYS’nin sürekliliğinin sağlanması ve
iyileştirilmesi)
 Yönetimin gözden geçirme sonuçlarına dayalı olarak,
düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi
25.10.2014
Türk Standardları Enstitüsü
15
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Standart Ana Hatları
Bilgi güvenliği yönetim sistemi
4.1 Genel gereksinimler
4.2 BGYS’nin kurulması ve yönetilmesi
4.3 Dokümantasyon gereksinimleri
5
Yönetim sorumluluğu
5.1 Yönetimin bağlılığı
5.2 Kaynak yönetimi
6
BGYS iç denetimleri
4
25.10.2014
Türk Standardları Enstitüsü
16
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
BGYS’yi yönetimin gözden geçirmesi
7.1 Genel
7.2 Gözden geçirme girdisi
7.3 Gözden geçirme çıktısı
8
BGYS iyileştirme
8.1
Sürekli iyileştirme
8.2
Düzeltici faaliyet
8.3
Önleyici faaliyet
7
25.10.2014
Türk Standardları Enstitüsü
17
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Ek A Kontrol Maddeleri
A.5 Güvenlik politikası
A.6 Bilgi güvenliği organizasyonu
A.7 Varlık yönetimi
A.8 İnsan kaynakları güvenliği
A.9 Fiziksel ve çevresel güvenlik
A.10 Haberleşme ve işletim yönetimi
A.11 Erişim kontrolü
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.13 Bilgi güvenliği ihlal olayı yönetimi
A.14 İş sürekliliği yönetimi
A.15 Uyum
25.10.2014
Türk Standardları Enstitüsü
18
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
Uygulama Süreci
•
Kapsamın Belirlenmesi
•
Ekip Oluşturulması ve Stratejinin Belirlenmesi
•
Bilgi Varlıklarının tespiti
•
Bilgi Varlıklarının Değerinin Belirlenmesi ve tehditleri
•
Risk Belirlenmesi , Analiz edilmesi,
•
Kontrollerden Beklenen Güvenlik İyileşmesinin
değerlendirilmesi
•
Kontrol Hedeflerinin ve Kontrollerin Saptanması
•
Uygulanabilirlik bildirgesi hazırlanması
•
İç Tetkik, YGG
Belgelendirme için başvuru
25.10.2014
Türk Standardları Enstitüsü
19
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
SONUÇ
Teknik ve teknoloji bağımlı standart değildir.
Belli bir ürün veya teknolojiye dayalı değildir.
Her sektörde ve değişik ölçekli kuruluşlarda
uygulanabilir
Riski düşürerek güvenliği artırma
amaçlanmaktadır.
Güvenlik seviyesini her kuruluş kendi belirler.
25.10.2014
Türk Standardları Enstitüsü
20
Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001
SONUÇ
Kurumlara Yönetsel, Fiziksel ve Teknik
geniş bir güvenlik görüşü sunar
Uluslararası kabul görmüş bir standarttır.
Güvenlik ile ilgili kanun, düzenleme ve
standartlarla uyumludur.
İşin devamlılığını amaçlanmaktadır.
Yasal mevzuatlara uyumu garantiler.
25.10.2014
Türk Standardları Enstitüsü
21
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
 Bilgi Teknolojisi
Bilgiye hizmet eden her türlü ekipman
 Hizmet
Müşterinin ulaşmak istediği sonuçları kolaylaştırmak
yoluyla müşteri için değer sağlama yolları
 Hizmet Yönetim Sistemi
Hizmet sağlayıcının hizmet yönetim faaliyetlerinin
yönlendirilmesi ve denetimi
25.10.2014
Türk Standardları Enstitüsü
22
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
 İş hayatımızda ve gündelik yaşantımızda bilgi
teknolojileri büyük yer tutmaktadır
 e- ….. Çoğalıyor
 İdari
 Ticari
 Sosyal
25.10.2014
Türk Standardları Enstitüsü
23
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
BT Hizmet yönetimi kuruluşun iç/dış müşterilerine verdiği
bilgi teknolojisi hizmetlerini, sistem yaklaşımı ile
yönetmesi işlemidir.
 BS 15000 adı altında 2000 yılında yayımlanmış,
 2005 yılında ISO/IEC 20000-1 olarak yayımlanmış
 2011 yılında ise revize olmuştur
25.10.2014
Türk Standardları Enstitüsü
24
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
25.10.2014
Türk Standardları Enstitüsü
25
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
25.10.2014
Türk Standardları Enstitüsü
26
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
25.10.2014
Türk Standardları Enstitüsü
27
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
Hizmet yönetim sisteminin amaçları
 Hizmetlerin sürdürülebilirliği,
 Hizmetleri izleyebilmek
 Kompleksliği yönetmek,
 Değişimi yönete bilmek,
 Müşteri gereksinimlerini karşılamak ve
memnuniyetini sağlamak.
25.10.2014
Türk Standardları Enstitüsü
28
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
Standardın Ana Hatları
4
Hizmet yönetim sisteminin genel şartları
 4.1
 4.2
 4.3
 4.4
 4.5
5
Yeni ya da değişen hizmetlerin tasarımı ve geçişi
 5.1
 5.2
 5.3
 5.4
25.10.2014
Yönetim sorumluluğu
Diğer tarafların yürüttüğü süreçlerin yönetişimi
Dokümantasyon yönetimi
Kaynak Yönetimi
Sistemin kurulumu ve iyileştirilmesi
Genel
Yeni veya değişen hizmeti planlama
Yeni veya değişen hizmetin tasarımı ve geliştirilmesi
Yeni veya değişen hizmetin geçişi
Türk Standardları Enstitüsü
29
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
6






7


25.10.2014
Hizmet sunma prosesi
6.1
Hizmet seviyesi yönetimi
6.2
Hizmetin rapor edilmesi
6.3
Hizmetin sürekliliğinin ve elverişliliğinin
yönetimi
6.4
Hizmetlerinin bütçelenmesi ve muhasebesi
6.5
Kapasite yönetimi
6.6
Bilgi güvenliği yönetimi
İlişki prosesleri
7.1
İş ilişkisi yönetimi
7.2
Tedarikçi yönetimi
Türk Standardları Enstitüsü
30
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1
8


9



25.10.2014
Çözüm prosesleri
8.1
Olay ve hizmet istek yönetimi
8.2
Sorun yönetimi
Kontrol prosesleri
9.1
Konfigürasyon yönetimi
9.2
Değişiklik yönetimi
9.2
Yayım ve sürüm yönetimi
Türk Standardları Enstitüsü
31
SONUÇ
Temel prensip süreç yönetimi ile iyileşmek ve
sağlıklı gelişmektir.
• Hizmetlerini etkin bir izleme, gözden geçirme ve
iyileştirme süreciyle geliştirmek isteyen,
• Kusursuz ve kesintisiz hizmet sunmak isteyen,
• Tutarlı bir yaklaşımla tedarikçileri, müşterilerini
isterlerini yönetmek isteyen,
• Hizmet sunma kabiliyetini göstermek isteyen
hizmet sağlayıcılara yardımcı olur.
25.10.2014
Türk Standardları Enstitüsü
32
Dinlediğiniz için
teşekkür ederiz
Sorularınızı
alabilirmiyim
?
25.10.2014
Türk Standardları Enstitüsü
33
Download

Gürol Gökçimen BGYSHYS sunumu