IT Danışmanlığı - VİZYONER

İçeriğe git

Ana menü:



ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir ?

ISO 27001 şirketlerin kendilerine özel, hassas ve şirket içinde kalması elzem olan bilgilerini korumaya yönelik “Bilgi Güvenliği Yönetim Sistemi (BGYS)” kurulmasını amaçlayan, standardize eden ve sertifikalayan sistematik bir yaklaşımdır. BGYS sisteminin temeli firma içindeki varlıkların ve bilgilerin sınıflandırılması ve hassasiyetlerinin belirlenmesi üzerine kurulur. Varlıklar; fiziksel, gerçek ve tüzel kişiler (çalışanlar, müşteriler, tedarikçiler, firmanın imajı), yazılımlar, bilgiler ve alınan hizmetler olarak sınıflanır. Bu sınıflandırma ile BGYS; firma için çalışanları, kritik her türlü bilgi varlıklarını, kurum için önemli ve gizli yazılı ya da elektronik ortamdaki her türlü dökümanı, iş süreçlerini, iş sürekliliğini ve bilgi teknolojilerini kapsar. 2013 yılından itibaren ISO/IEC 27001:2013 versiyonu kulanılmakta ve sertifikalandırılmaktadır.



ISO 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Danışmanlığımız

ISO 27001 her ne kadar bir bilgi teknolojileri yoğun bir sistem olarak görülse de aslında bu tam olarak doğru değildir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi ; Firma çalışanlarını, her türlü önemli bilgi varlıklarını, güvenlik ve insan kaynakları, varsa arge ve üretim, satınalma ve satış birimleri başta olmak üzere şirketinizin tüm iş süreçlerini kapsayan temel bir politikaya dayanır. Bu kapsamda ;



ISO 27001 Kurulum Aşamalarımız

1. Mevcut Durum Analizi:

- Mevcut yapının, süreçlerin, yaklaşımların incelenmesi
- Departmanlarla mülakat toplantıları, mevcut kayıtların ve dokümantasyonun incelenmesi
- BGYS Komitesinin kurulması
- Komite görev dağılımlarının yapılması


2. Hazırlık :

- BGYS dokümantasyon formatının oluşturulması
- BGYS kapsamının ve politikasının belirlenmesi
- Personel ISO/IEC 27001 Farkındalık ve Temel Bilgilendirme eğitimin verilmesi
- Bilgi sınıflandırılmasının yapılması ve varlık envanterinin oluşturulması


3. Bilgi Teknolojileri ile ilgili politika, prosedür ve uygulamalar :

- Alt yapı, donanım, sistem ve son kullanıcı desteği
- Yazılım geliştirme ve yeni yazılımları devreye alma ile ilgili uygulamalar
- Sistem odaları, uygulamalar ve donanımların güvenlik ve iş sürekliliği konularındaki yeterlilikleri
- Veritabanı ve yazılım güvenliği
- Kimlik yönetimi, kullanıcı yönetimi, yetki ve yetkili kullanıcıların yönetimi
- Bilgi sızması engelleme uygulamaları, şifre yönetim sistemleri
- Yedekleme ve yedekten geri dönme uygulamaları
- Zararlı kod, mobil kod, ve veri sızmasına karşı kontroller
- Veri güvenliği uygulamalarının paylaşılması
- Ağ güvenliği uygulamalarının paylaşılması
- Zayıflık tarama ve yama uygulamalarının paylaşılması
- Penetrasyon (Sızma Testi) yaptırılması


4. İnsan Kaynakları ile ilgili politika, prosedür ve uygulamalar :

- Alt yapı, donanım, sistem ve son kullanıcı desteği
- Yazılım geliştirme ve yeni yazılımları devreye alma ile ilgili uygulamalar
- Sistem odaları, uygulamalar ve donanımların güvenlik ve iş sürekliliği konularındaki yeterlilikleri
- Veritabanı ve yazılım güvenliği
- Kimlik yönetimi, kullanıcı yönetimi, yetki ve yetkili kullanıcıların yönetimi
- Bilgi sızması engelleme uygulamaları, şifre yönetim sistemleri
- Yedekleme ve yedekten geri dönme uygulamaları
- Zararlı kod, mobil kod, ve veri sızmasına karşı kontroller
- Veri güvenliği uygulamalarının paylaşılması
- Ağ güvenliği uygulamalarının paylaşılması
- Zayıflık tarama ve yama uygulamalarının paylaşılması
- Penetrasyon (Sızma Testi) yaptırılması


4. İnsan Kaynakları ile ilgili politika, prosedür ve uygulamalar :

- Mevcut çalışanlarla ilgili politika ve prosedürlerin gözden geçirilmesi ve eksikliler varsa güncellenmesi, yenilerinin hazırlanması
- Gizlilik sözleşmeleri ve sözleşmelerdeki gizlilik ile ilgili maddelerin incelenmesi
- İnsan kaynakları personel bilgi güvenliği sözleşmelerinin uyarlanması, yoksa yazılması
- Özlük dosyaları ve zimmet kayıtları uygulamaları
- İhlal olayları yönetim prosedürlerinin oluşturulması
- Çalışan güvenliği ve sağlığı ile ilgili uygulamalar
- Yasalara, tüzüklere ve yükümlülüklere uygun prosedürlerin oluşturulması
- Tüm varlıkların kabul edilebilir kullanımlarının tanımlanması, yayınlanması ve uygulanması
- Bilgi güvenliği hakkında personelin farkındalığını pekiştirecek eğitim, toplantı, afiş ve motive edici uygulamaların yapılması


5. Fiziksel güvenlik ve iş sürekliliği ile ilgili politika, prosedür ve uygulamalar :

- Fiziksel alanlardaki güvenlik sistemleri (kartlı geçiş, parmak izi uygulamaları, kamera sistemleri)
- Yangın, sel gibi doğal afetlere karşın alınan önlemler
- Kritik fiziksel varlıkların bakımı ile ilgili prosedürler ve uygulamalar
- İş sürekliliği ile ilgili felaket senaryoları, alınan önlemler ve test uygulamaları


6. Tedarikçi ve müşteri yönetimi ile ilgili politika, prosedür ve uygulamalar :

- Depo, yükleme alanı gibi yerlerin yetkisiz kişilerce erişiminin engellenmesi ve izlenmesi
- Tedarikçilerle sözleşmeler, gizlilik maddeleri ve tedarikçi değerlendirme sistemleri
- Müşterilerle bilgi alışverişi yöntemleri, sözleşmeler ve gizlilik maddeleri
- Kapasite planlama uygulamaları


7. Risk Analizi :

- Varlık envanterinin incelenmesi ve eksikliklerin tamamlanması
- Varlıklarla ilgili tehditlerin belirlenmesi
- Risklerin derecelendirilmesi
- Risk azaltma yöntemlerinin belirlenmesi
- Risk işleme planının uygulanması


8. İç Denetim :

- Uygunluk bildirgesinin doldurulması (SoA)
- İç denetim aşamalarının planlanması ve gerçekleştirilmesi
- ISO 27001 iç denetimin yapılması
- İç denetim raporunun hazırlanması
- İç denetim bulgularının kapatılması


9. Sürekli İyileştirme : Düzeltici ve Önleyici Faaliyetlerin uygulanması :

- İç denetim sırasında tespit edilen uygunsuzluklar için düzeltici işlemleri başlatma , takip ve sonuçlandırma
- Sürekli iyileştirme adına performans değerlendirmeleri yapılması. Risk değerlemenin tekrar gözden geçirilmesi


10. Yönetimin Gözden Geçirme Toplantısının gerçekleştirilmesi (YGG) :

- YGG toplantılarının formatının ve gündem maddelerinin belirlenmesi
- Yönetim Gözden Geçirme (YGG) toplantısının gerçekleştirilmesi
- YGG Tutanağının hazırlanması ve onaya sunulmasının takibi.




ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurumunuza Ne Katar ?

Günümüzde etkili işleyen bir “Bilgi Güvenliği” alt yapısı olmadan hiçbir kurum veya kuruluş imajını, piyasadakini güvenini ve dolayısıyla varlığını uzun süre koruyamaz. BGYS aracılığı ile ilgili tarafların, özellikle de müşterilerinizin ve önemli tedarikçilerinizin bilgi güvenliği konusunda size duydukları güveni teminat altına alırsınız. En önemlisi de “Bilgi Güvenliğini” iş süreçlerinizin önemli bir parçası olarak gördüğünüzü ve uygulamaya almış olduğunuzu belgelersiniz.. “Bilgi Güvenlği Sisteminizi” firmanızda her kademede ve iş süreçlerinizde önemser ve yaşatırsınız. Bu kapsamda BGYS sisteminin faydalarını özetleyecek olursak ;

 
Ana Sayfa | Hakkımızda | Hizmetlerimiz | Ürünlerimiz | Referanslar | İş Ortaklarımız | Blog | İletişim | Genel Site Haritası
Copyright 2017. All rights reserved by Vizyoner.
İçeriğe dön | Ana menüye dön