ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİNİ ALMAK ZORUNLU MU?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin alınması zorunluluğu kamu ve özel sektör olarak incelenebilir.
Özel Sektör de ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ıso 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.
Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Elektronik Haberleşme Yönetmeliğinin 11. maddesi ÜÇÜNCÜ BÖLÜM
İşletmecilerin Yükümlülükleri Elektronik haberleşme güvenliğini sağlama yükümlülüğü
MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir.
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.
Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar
10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir.
2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.
05/08/2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir.
2006 / 38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır.
16 Eylül 2012 Pazar
4 Aralık 2011 Pazar
İş Sürekliliği, Bilgi Güvenliği, BT Yönetişimi Danışmanlığı
İş sürekliliği, bilgi güvenliği ve BT yönetişimi alanında 10 yıldan fazla deneyime sahip profesyonellerin buluştuğu BTYÖN'ün hizmetlerinden bazıları:
Bilgi Güvenliği Yönetim Sistemi Danışmanlığı - ISO 27001
Sızma Testi ( Penetrasyon testi)
İş Sürekliliği Yönetim Sistemi Danışmanlığı - ISO 22301
Bilgi Teknolojileri Servis Yönetim Sistemi Danışmanlığı - ISO 20000
ITIL Süreç Danışmanlığı
Common Criteria - Ortak Kriterler Danışmanlığı
http://www.btyon.com.tr/danismanlik.php
Bilgi Güvenliği Yönetim Sistemi Danışmanlığı - ISO 27001
Sızma Testi ( Penetrasyon testi)
İş Sürekliliği Yönetim Sistemi Danışmanlığı - ISO 22301
Bilgi Teknolojileri Servis Yönetim Sistemi Danışmanlığı - ISO 20000
ITIL Süreç Danışmanlığı
Common Criteria - Ortak Kriterler Danışmanlığı
http://www.btyon.com.tr/danismanlik.php
27 Ekim 2010 Çarşamba
ISO 27001 Denetim Listesi
"ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler standardı BGYS kurmak isteyen kuruluşun risk analizi çalışmasının ardından çeşitli kontrolleri devreye sokarak mevcut riskleri tedavi etmesini ve kabul edilebilir risk seviyesinin altına indirmesini şart koşmaktadır. Bu kontroller ISO/IEC 27002 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri standardında detaylı olarak açıklanmaktadır.
Bu doküman ISO/IEC 27002 standardı referans alınarak hazırlanmıştır. Dokümanın amacı, ISO/IEC 27001 kapsamında denetim gerçekleştirecek kişilere kılavuzluk etmektir."
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0013-iso-iec-27001-denetim-listesi.html
Bu doküman ISO/IEC 27002 standardı referans alınarak hazırlanmıştır. Dokümanın amacı, ISO/IEC 27001 kapsamında denetim gerçekleştirecek kişilere kılavuzluk etmektir."
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0013-iso-iec-27001-denetim-listesi.html
Veri Yedekleme Kılavuzu
Bilgi, bir kurumun en önemli varlıkları arasındadır. Herhangi bir nedenle kullanılamaz duruma gelmesi bilginin kritikliği derecesinde kuruma zarar verir. Bu sebeple bilgi sınıflandırılmalı ve kaybı durumunda tekrar elde edilmesi için gereken planlama yapılmalıdır.
Bu kılavuzda yedekleme kavramları ve teknolojileri tanıtılmış, sonrasında yedekleme politikası ve planı üzerine tavsiyeler verilmiştir.
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0010-veri-yedekleme-kilavuzu.html
Bu kılavuzda yedekleme kavramları ve teknolojileri tanıtılmış, sonrasında yedekleme politikası ve planı üzerine tavsiyeler verilmiştir.
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0010-veri-yedekleme-kilavuzu.html
İş Sürekliliği Yönetim Sistemi Kurulum Kılavuzu
"İş sürekliliği, kurumun kritik iş süreçlerinin devamlılığını sağlamak, sağlanamadığı durumlarda ön görülen kesinti süreleri içerisinde yeniden çalışır hale getirmek için gerçekleştirilen çalışmalara verilen isimdir. Kritik iş süreçlerinin her zaman çalışır vaziyette bulunması arzu edilen durumdur. Fakat zaman içerisinde süre gelen olaylar nedeni ile süreçlerin kesintiye uğraması kaçınılmazdır. İş süreçlerinde kesintiye neden olaylar küçük ve kısa zamanda telafi edilebilir olaylar olabileceği gibi, ciddi felaketler de olabilir."
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0009-is-surekliligi-yonetim-sistemi-kurulum-kilavuzu.html
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0009-is-surekliligi-yonetim-sistemi-kurulum-kilavuzu.html
ISO 27001 Bilgi Güvenliği Bilinçlendirme Süreci Oluşturma Kılavuzu
"Bu doküman bir BGYS kapsamında bilgi güvenliği bilinçlendirme ve eğitim süreci oluşturma ve yürütme konusunda yol gösterici bilgiler vermeyi hedeflemektedir. Bilinçlendirme süreci tasarlama (planlama), geliştirme, uygulama ve iyileştirme adımlarından oluşan bir yaşam döngüsü içinde sunulmaktadır. Bu doküman ayrıca bilinçlendirme süreci gereksinimlerinin nasıl belirleneceği, bir eğitim planının nasıl geliştirileceği ve süreç için finansal desteğin nasıl sağlanacağını anlatmaktadır."
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0008-bilgi-guvenligi-bilinclendirme-sureci-olusturma-kilavuzu.html
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0008-bilgi-guvenligi-bilinclendirme-sureci-olusturma-kilavuzu.html
ISO 27001 Bilgi Sistemleri Kabul Edilebilir Kullanım Politikası Oluşturma Kılavuzu
"Bilgi sistemleri; iletişim, yeni müşteri bulma, yeni pazarlara açılma, iş ortaklarıyla daha yakından çalışma gibi pek çok konuda kurumlar için yenilikler ve avantajlar getirmektedir. Bu sebeple kurumlar internet ve iletişim alt yapısına büyük yatırımlar yapmaktadır. Büyük bütçeler ayrılarak gerçekleştirilen bu sistemlerin amacına uygun biçimde ve kurum çıkarları doğrultusunda kullanılmasını sağlamak için kabul edilebilir kullanım politikaları oluşturmak gerekmektedir.
Bu kılavuzun amacı bilgi sistemleri için kabul edilebilir kullanım politikalarının doğru oluşturulmasını sağlamaktır. Bunun için bu politikaların neden gerekli olduğu, içerisinde neler bulunması gerektiği ve örnek politikalar bu kılavuzda yer almaktadır."
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0007-bilgi-sistemleri-kabul-edilebilir-kullanim-politikasi-olusturma-kilavuzu.html
Bu kılavuzun amacı bilgi sistemleri için kabul edilebilir kullanım politikalarının doğru oluşturulmasını sağlamaktır. Bunun için bu politikaların neden gerekli olduğu, içerisinde neler bulunması gerektiği ve örnek politikalar bu kılavuzda yer almaktadır."
http://www.bilgiguvenligi.gov.tr/bilgi-guvenligi-yonetimi-dokumanlari/uekae-bgys-0007-bilgi-sistemleri-kabul-edilebilir-kullanim-politikasi-olusturma-kilavuzu.html
Kaydol:
Kayıtlar (Atom)