Yeni Nesil ISO 27001 2017 Standardına Uyumluluğunun Sağlanması

ISO 27001 Bilgi Güvenliği Yönetim Sistemlerinin hazırlanması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi için bir çerçeve sağlayan uluslararası kabul görmüş bir standarttır. EK-A ISO 27001 uyumluluk kılavuzu standardıyla eşleştirilmelidir. Bilindiği üzere iso 27001 bilgi güvenliği kurulum kılavuzudur.

16.04.2020 - 04:44 Yayınlanma

Yeni Nesil ISO 27001 2017 Standardına Uyumluluğunun Sağlanması

ISO 27001 siber güvenlik prosedürleri

ISO 27001, kuruluşunuzu bilgi varlıklarınızın korunmasına aktif olarak dahil etmek için prosedürler içerir. Bunlardan birkaçı kuruluşunuzun bilişim teknolojileri yönetimin risklerine maruz kalma oranını tanımlamayı ve önemli envanter kayıtlı varlıklarınızı ve konumlarınızı belirlemektir. Bunlara ek olarak uygun ISO 27001 kontrollerinin seçilmesiyle en etkili teknolojileri seçmek gerekmektedir.

ISO 27001 dokümanları hazırlanır ve sonrasında denetime tabi tutulurken en çok aranan dokümanlar bgys politikalarından oluşmaktadır. EK-A kontrol listesinde yer alan maddeleri karşılayan birer politika hazırlanması bu anlamda yerinde ve doğru bir karar olacaktır.

ISO 27001 belgesi, kuruluşların kendilerinin ve müşterilerinin gizli bilgilerini güvende tutmalarına ve yönetmelerine yardımcı olan bir iso belgesidir. Bilgi bir kurumun iş sürekliliğini sağlamasında en önemli değerlerinden birisidir. Birçok varlığın kaybedilmesi durumunda belki telafisi mümkün olduğu halde maalesef bilgi bir kez elden gittiğinde yapılacak pek bir şey kalmamış demektir.

ISO 27001'e Nasıl Uyum Sağlanır?

ISO 27001 uyumluluk kılavuzu bilgi güvenliği standardının ISO 27001 kontrollerini nasıl izlediğini ve raporladığını gösterir ve güvenlik duruşunuzu güçlendirmek ve geliştirmek için merkezi bir görünüm ekler. Teknoloji şunları sağlar:

Bilgi teknolojileri için risk yönetimi, uyumluluk izleme, kurumsal güvenlik kurum çapında olay görünürlüğü ağ güvenliği tehditleri ve koruyucu izleme güvenlik açığı değerlendirmesi ve güvenlik politikasının iyileştirilmesi BT güvenliği ve uyumluluk yönetimi, güvenlik bilgileri ve olay yönetimidir.

ISO 27001 alabilmeyi mümkün kılan şartlar BGYS hedeflerinizin hazır olması mutlaka web sitenizde herkesin erişimine açık olacak şekilde paylaşılmış bilgi güvenliği politikasının hazırlanması ve bilgi güvenliği nedir gibi bilgilerin sadece üst yönetim seviyesinde kalmayıp mutlaka tüm personel ile birlikte hareket edilecek şekilde yetkinliklere göre eğitimler planlanmalı ve gerçekleştirilmelidir.

Sızma Testleri (Penetrasyon)

Sistemlerinizi, uygulamalarınızı, verilerinizi güvende tutmak için kaynak ve personel ayırmak ilk akla gelen çözümdür. Ancak gerçekte ne kadar güvende olduğunuzu bilmenin asıl yolu; alanında uzman kişilerin sisteminize manuel olarak penetrasyon testlerini düzenli aralıklarla uygulamasıdır. Bu hizmet sonucunda alacağınız raporlar ve değerlendirmeler, bugünü değil geleceğinizi kurtaracak kritiklikte olabilir. Bilgi güvenliğinizi tehdit eden risklere karşı önleminizi şimdiden almak istiyorsanız. Hizmetlerimizle ilgili detaylı bilgi almak için penetrasyon firmalarıyla iletişime geçebilirsiniz.

ISO 27001 İçin Penetrasyon Testi Nedir?

Bir şirketin, yazılımsal sistem veya uygulamalarının güvenliğini kontrol etmek amacıyla başvurulan yöntemlerden biri penetrasyon yani sızma testleridir.

Bu testlerin iç ve dış olarak iki gruba ayrıldığını belirtmek gerekir. Denetimde herhangi birisi geçerli olarak kabul görülüyor olsa da gerçekte her iki sızma testinin de yapılması işletmenin menfaati gereğidir.

Günümüz teknoloji ve internet dünyasında kullanılan sistemler, hiç olmadığı kadar birbirine bağlı ve her gün gerçekleştirilen siber saldırı sayısı tahmin edilemeyecek kadar fazladır. Diğer taraftan kurumların sistemlerine saldıran hacker sayısı ve yetkinliği işletmelerinizin sahip olduğu güvenlik uzmanlarının sayısı ve yetkinliğine kıyasla çok daha fazladır.

Kurumlar sistemlerini koruyacak donanım ve yazılımlara yatırım yaparak, defansif savunma olarak adlandırılan savunmacı güvenlik yöntemini yaygın olarak kullanırlar. Ofansif savunma olarak adlandırılan güvenlik yöntemi ise, kurumların sahip oldukları tüm bilişim sistemlerindeki güvenlik zafiyetlerini, bir hacker gibi düşünebilen alanında uzman üçüncü bir göze kontrol ettirmesi ve çıkan rapora göre aksiyonlar almasıdır.

Unutmamak gerekir ki, gerçekleştirilen siber saldırılar şirketlerin hem itibar hem de para kaybı yaşamasına sebep olmaktadır. Nasıl mı? Yaşanmış bazı siber saldırı senaryolarını kurgulayıp örneğin e-ticaret sitenizin veya fiziksel mağazaları olan bir perakende şirketinin bütün müşteri kredi kartı bilgilerinin istenmeyen kişilerin eline geçmesi, istenmeyen şekilde ele geçirilmesi yazılım sistemlerine yapılan siber saldırı ile yaşanan maddi kayıp teknoloji markasının, çok uzun yıllar emek sarf ederek geliştirdiği bir teknolojiyle ilgili tüm dokümanların ve yazılımın çalınması bir kurumun elektronik ortamdaki iç yazışmalarının ele geçirilmesi gibi çok sayıda örnekten söz edilebilir.

ISO 27001: 2013 standardı, etkili bir bilgi güvenliği yönetim sistemi kurmak ve sürdürmek için tasarlanmış uluslararası bir standarttır. ISO 27001 BGYS bilgi güvenliği yönetimi bilişim teknoloji üzerine tehditleri, güvenlik açıklarını ve etkilerini dikkate alarak kuruluşun bilgi güvenliği risklerini sistematik olarak ele almak ve değerlendirmek gerekebilir. Kabul edilemez kabul edilen riskleri ele almak için tutarlı ve kapsamlı bir bilgi güvenliği kontrolleri paketi ve / veya diğer risk tedavisi formlarını tasarlamak ve uygulamak ve de bilgi güvenliği kontrollerinin kurumun bilgi güvenliği ihtiyaçlarını sürekli olarak karşılamaya devam etmesini sağlamak için kapsayıcı bir yönetim süreci benimsemek muhakkak etkili seçim olacaktır.

ISO 90012015 ve ISO 27001:2017 Arasındaki Fark Nedir?

ISO 9001:2015 müşterilerin en iyi kaliteli, anlayışlı isabetli hizmetler almasını ve hizmet ve ürünlerimizin sürekli olarak iyileştirilmesini sağlayan bir kalite yönetim sistemidir. Kuruluş içi kalite yönetim sistemlerini tanımak ve işletmenizin kapsamı ve boyutlarına göreceli (hizmetler ve araştırma geliştirme ve yazılım geliştirme sürdürme ve saklama) ama o kadar da etkin bir güvenlik seviyesinin sağlanması amacıyla ISO 9001 kaliteyi yönetmek için bir risk değerlendirme ve azaltma yaklaşımı benimser. Kalite yönetim sistemi temel yapıyı temsil ederken birden fazla standard ile bir araya getirilmesi üst düzey yapısal bakış açısıyla mümkün olmaktadır.

ISO 27001 BGYS ISO 9001'in aksine, uygun araştırma yöntemine bağlı standart yolları ve standartları tanımlayan 'sınıfının en iyisi' kurallı bir standardıdır. Örneğin, telefon görüşmeleri yaparken, standart görüşmeci başına doğrulanması gereken minimum görüşme sayısını ve çalışmalarının kalitesini sağlama yöntemlerini tanımlar.

ISO 27001 ile ISO 9001 aynı şekilde bir risk değerlendirme ve azaltma yaklaşımı kullanan bir bilgi güvenliği standardıdır. İçeriğinde EK-A içerisinde 114 kritik bilgi güvenliği kontrolü (ISO 27002'de listelenen) barındıran bir bilgi güvenliği yönetim sistemi olarak kurulmuştur. Çok sayıda bilişim riskleri dahil olmak üzere erişim kontrolü, paylaşımlı ve paylaşımsız ağ güvenliklerinin sağlanması, kriptografik yaklaşımlar, fiziksel güvenlik, dış tedarik süreçlerinde bilgi güvenliğinin yönetimi, uygunluk ve olay yönetimleri olarak sıralanabilir.