ISO 27001
Bilgi Güvenliği Yönetimi
ISO/IEC 27001, Bilgi Güvenliği Yönetimi
Sistemi (BGYS) gereksinimlerini tanımlayan
tek denetlenebilir uluslararası standarttır. ISO
27001, organizasyon bünyesinde BGYS yapısının
kurulmasına, gerçekleştirilmesine işletilmesine,
izlenmesine, sürdürülmesine, ve iyileştirilmesine
ve hassas varlıkların/bilgilerin korunmasını
BT Danışmanlık Hizmetleri
Bilgilerin Gizliliği, Bütünlüğü ve Erişilebilirliği her alanda
sağlanmalıdır;
• Bilgi Güvenliği Politikası
• Bilgi Güvenliği Yönetim Organizasyonu
• Varlık Yönetimi
• İnsan Kaynakları ve Kullanıcı Sorumlulukları
ve yönetilmesine ilişkin standart bir süreç
• Fiziksel ve Çevresel Güvenlik
yaklaşımını benimsemektedir.
• İletişim ve Operasyon Yönetimi
• Erişim Kontrolü
ISO27001 Standardı, organizasyonların ihtiyaçlarına göre
özelleştirilmiş güvenlik kontrollerinin oluşturulabilmesi
için gereksinimlerin belirlenmesine katkı sağlamaktadır.
Söz konusu standart kapsamında, ortaya konulan
gereksinimlerin dış unsurlardan bağımsız olması,
standardın tüm kuruluşlar için uygulanabilir olmasına
olanak sağlamaktadır.
• Bilgi Sistemleri Satın Alma, Geliştirme ve Bakımı
• Bilgi Güvenliği Olay Yönetimi
• İş Sürekliliği Yönetimi
• Uyum
BGYS Planlama, Tasarım ve Uygulama Döngüsü
Önlem Al Planla BGYS
PUKÖ
(PUKO)
Kontrol Et Uygula Uluslararası Standardizasyon Organizasyonu (ISO) ve
Uluslararası Elektroteknik Komisyonu(IEC) tarafından
ortaklaşa yayınlanan ISO 27001 standardı, bir
organizasyonun, risklerini değerlendirmesi, yönetmesi ve
kontrol etmesi adımlarında yol göstermektedir. Standart
PUKÖ (Planla, Uygula, Kontrol Et, Önlem Al) döngüsü,
kapsamlı bir Bilgi Güvenliği Yönetim Sistemi (BGYS)
geliştirilmesi ve uygulanması için etkin bir modeldir.
Bilgi Güvenliği Yönetim Sisteminin Faydaları
> ISO 27001 Sertifikasyonu ve Bilgi Güvenliği Yönetim Sisteminin Faydaları
Uluslararası Kabul Gören Bilgi Güvenliği Yönetimi Standardı
• Organizasyonların, sürdürülebilir bir Bilgi Güvenliği Yönetim yapısı
oluşturması ve söz konusu yapının etkinliğini ölçmesine olanak
sağlamaktadır.
Süreçlerin İyileştirilmesi
• Organizasyonların, insan, süreç ve teknoloji seviyelerinde
bilgi güvenliğini arttırırken, risklerinin de periyodik olarak
değerlendirilmesine olanak sağlamaktadır.
Standardizasyon - Verimlilik ve Otomasyon
• Organizasyonların, Bilgi Güvenliği Yönetim sürecini üst seviyelere
taşıyabilmesine yardımcı olan süreçleri standartlaştırarak
verimliliği artırmaktadır.
Rakiplere Karşı Rekabet Avantajı
• ISO27001 sertifikasyonu, sağladığı üst düzey risk değerlendirme
modeliyle organizasyonların rakiplerinden ayrıştırmaktadır.
Uyum
• ISO27001 standardının uluslararası kabul görmüş olması,
organizasyonların yerel ve uluslararası mevzuatlara uyum sürecini
kolaylaştırmaktadır.
Yatırım Dönüşüm Analizi
• ISO27001 standardı, organizasyonların Bilgi Güvenliği alanında
gerçekleştirdiği yatırım sonuçlarının ölçülebilmesine olanak
sağlamaktadır.
İş Ortakları İhtiyaçlarına Uyum
• ISO27001 standardının, belirli bir Bilgi Güvenliği uyum çerçevesi
oluşturmasıyla iş ortakları tarafından anahtar bir unsur olarak
algılanmaktadır.
Kritik Varlıkların Belirlenmesi ve Farkındalığın Arttırılması
• ISO27001 standardı ile organizasyon için kritik olan varlıkların
belirlenerek, bu varlıklara ilişkin risklerin etkin olarak tespit
edilmesi ve yönetilmesi sağlanmaktadır.
> KPMG olarak ISO 27001 (BGYS) konusunda organizasyonlara yardım için bir 5-fazlı bir yaklaşım izlemekteyiz:
• Organizasyonda ISO27001 Bilgi Güvenliği
Sertifikasının oluşturulacağı kapsamın
belirlenmesi, sertifikasyon sürecinin en
önemli ve ilk adımıdır. KPMG, sertifika
alınmak istenen süreçlerin, bölümlerin etkin
bir şekilde belirlenmesi ve oluşturulmasında
destek sağlamaktadır.
Adım 1:
Kapsam
Adım 2:
Durum Analizi
• KPMG tarafından mevcut kontrol ortamı ile
hedeflenen BGYS yapısı değerlendirilerek
her iki kontrol ortamı arasında farklılıkların
belirlenmesi ve bu farklılıkların giderilmesine
yönelik izlenecek yol haritasının
oluşturulması sağlanmaktadır.
• Durum analizi ve oluşturulan yol haritası
doğrultusunda Bilgi Güvenliği Yönetim
Sistemi kurulumu gerçekleştirilmektedir. Bu
kapsamda;
> BGYS Çerçevesinin Belirlenmesi
> BGYS aktörleri (Bilgi Güvenliği Yönetici, Bilgi Güvenliği Denetçileri vb.)
> Risk yönetimi metodolojisinin tanımlanması
> Kritik varlıkların ve varlık envanterinin belirlenmesi sağlanmaktadır.
• BGYS yapısı kapsamında kontrollerin tesis
edilmesi ve organizasyonda farkındalığın
artmasına yönelik çalışmalar yürütülmekte
olup,
Adım 3:
BGYS Bileşenleri
Adım 4:
Risk Analizi
> Bilgi Güvenliği farkındalık programı,
> Bilgi Güvenliği politika/ prosedürleri,
> Bilgi Güvenliği uyum ve izleme
prosedürleri, oluşturularak BGYS yapısının
etkin olarak yürütülmesi ve takip edilmesi
sağlanmaktadır.
• Kontrol hedeflerine ulaşmak amacıyla, rol
ve sorumlulukların atanmasını içeren Risk
Yönetim Planının oluşturulması,
• Varlık envanterine dayanarak, varlıklar
üzerindeki risklerin değerlendirilmesi
konusunda destek verilmesi ve bu kapsamda;
Adım 5:
Uygulama Çerçevesi
> Tehditlerin belirlenmesi
> Zafiyetlerin belirlenmesi
> Risklerin belirlenmesi
> Risklerin sınıflandırılması
sağlanmaktadır.
İhtiyacınız
• Bilgi güvenliği açıklarının neden olduğu finansal ve itibar
kayıplarının önlenmesi,
• Bilgi güvenliği konusunda organizasyon bünyesinde kontrol
ortamının ve farkındalığın desteklenmesi,
• Hassas bilgileri yöneten destek hizmeti kuruluşlarının,
müşterilerine bilgilerinin koruma altında olduğunun
güvencesini sağlaması.
KPMG Yetkinlikleri
• Profesyonel Ekip Çalışması
• Uyum İhtiyaçları Analizi
KPMG Size Nasıl Yardımcı Olabilir?
• BT Yönetişim Alanında Tecrübe
KPMG, ISO27001 uyum hizmetleri kapsamında
organizasyonlara aşağıdaki alanlarda süreç boyunca
liderlik sağlar;
• Uluslararası Deneyim ve Bilgi Birikimi
• Bilgi Teknolojileri ve Güvenlik Stratejileri Alanında Tecrübe
• En İyi Uygulamaların Paylaşımı
• ISO 27001 konusunda durum analizlerinin
gerçekleştirilmesi; anahtar sorumlulara eğitimler
verilmesi, üst düzey uygulama iş planı oluşturulması.
• Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulumu,
politika/prosedür gereksinimlerinin belirlenmesi
ve dökümante edilmesi, BGYS ölçüm ve izleme
prosedürlerinin geliştirilmesi.
• Mevcut BGYS yapısının, sertifikasyon süreci öncesinde
değerlendirmesi ve varsa eksikleri düzeltmeye yönelik
önerilerde ve aksiyonlarda bulunulması.
İletişim:
Akis Bağımsız Denetim ve Serbest
Muhasebeci Mali Müşavirlik A.Ş.
Tanıl Durkaya
Bilgi Sistemleri Danışmanlık
Hizmetleri, Direktör
İstanbul, Türkiye
T: + 90 (216) 681 90 00
F: + 90 (216) 681 90 90
E: [email protected]
Sezgin Topçu
Bilgi Sistemleri Danışmanlık
Hizmetleri, Müdür
İstanbul, Türkiye
T: + 90 (216) 681 90 00
F: + 90 (216) 681 90 90
E: [email protected]
Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli
güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel
durumuna uygun bir uzman görüşü almaksızın, bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International
Cooperative bir İsviçre kuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative’e bağlıdır. KPMG
International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanın KPMG International Cooperative’e veya
bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.
© 2013 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative’in üyesi bir Türk şirketidir.
kpmg.com.tr
KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Türkiye’de basılmıştır.
Download

ISO 27001 Bilgi Güvenliği Yönetimi (PDF 159KB)