ISO 27001 BİLGİ GÜVENLİĞİ SİSTEMİ KURMA AŞAMALARI NELERDİR

ISO 27001 BİLGİ GÜVENLİĞİ SİSTEMİ KURMA AŞAMALARI NELERDİR

Kısaca:

•Varlıkların sınıflandırılması,
•Gizlilik, bütünlük ve erişebilirlik kriterlerine göre
varlıkların değerlendirilmesi,
•Risk analizi yapılması,
•Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi,
•Dokümantasyon oluşturulması,
•Kontrollerin uygulanması,
•İç tetkik,
•Kayıtların tutulması,
•Yönetimin gözden geçirmesi,
•Belgelendirme şeklindedir.

Detaylı anlatacak olursak;
Kurulum Aşamalarına geçmeden önce BGYS ile ilgili bilinmesi gereken gerçeklerden bahsetmek gerekir.  Öncelikle sağlıklı işleyiş ve yarar sağlaması açısından BGYS kurulum isteği kurumun üst yönetimi tarafından benimsenmelidir. Üst yönetim desteği BGYS’nin başarıya ulaşması açısından hayati öneme sahiptir. Öncelikle üst yönetim BGYS’nin gerekliliğine ve faydasına inanmalıdır. Bu birincil şarttır. Diğer önemli bir husus, BGYS kurulumu bir BT ürünü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumun iş yapma tarzını etkileyen köklü bir sistemdir ve kurumu tümden etkiler. Tüm kademelerdeki çalışanların işini yaparken bilgi güvenliği prensiplerine uygun hareket etmesini gerekli kılar. Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim sürecinin sonucu olacaktır. Bir önceki bölümde bahsedildiği gibi BGYS sürekli bir gelişim sürecidir.
BGYS ile ilgili en yaygın yanlış kanılardan bir tanesi de bunun sadece kurumun BT bölümüne ait bir iş olduğunun düşünülmesidir. BGYS bir teknoloji meselesi veya teknik bir iş değildir. Tüm kurumun aktif halde katılımıyla hedefine ulaşabilecek bir sistemdir. En üst kademe yöneticiden en alt seviye çalışana kadar katılım ve destek şarttır. Aksi halde BGYS’den beklenen faydanın elde edilmesi mümkün değildir. Etkin bir BGYS kurulumu konusunda ilk yapılması gereken işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır. Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kurum içindeki her bölümden temsilcilerden oluşur. Bilgi işlem, iç denetim, muhasebe, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyondayer almalıdır. Komisyon temsilcileri bilgi güvenliği konusunda deneyimli ve bilgili, bununyanında kendi bölümlerini temsil edebilme yetkisine sahip kişiler olmalıdır. Komisyon temsilcileri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değilse mutlaka BGYS eğitimleri almalıdır. Tüm bölümlerden temsilcilerin komisyonda yer alması BGYS’nin başarı şansını arttırır. BGYS’in kurumun tamamına nüfuz  etmesini kolaylaştırır. Kurum çapındaki güvenlik ihtiyaçlarının daha etkin bir biçimde farkında olunmasını sağlar. Bu durum BGYS’in doğru planlanması ve sağlıklı işlemesi açısından hayati öneme sahiptir. Her bölümden bir temsilcinin katılımı yönetim ve teknik kadro arasındaki iletişim kopukluğunu gidermeye de yarar. Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği komisyonu sayesinde BGYS ile ilgili görev ve sorumluluklar da kurum içinde dağıtılmış olur. Daha önce de belirtildiği gibi BGYS sadece BT bölümüne ait bir iş değildir.

BGYS konusunda temel başvuru kaynakları ISO/IEC 27001 ve ISO/IEC 27002 standartlarıdır. BGYS kurulumu öncesinde bu standartların mutlaka dikkatlice okunup anlaşılması gerekmektedir. BGYS kurulumu TS ISO/IEC 27001:2005’teki “4.2.1 BGYS’nin Kurulması” ve TS 13268-1 “4.3 BGYS’nin kurulması” başlıkları altında detaylı olarak açıklanmaktadır.

Etiket : ISO 27001 BİLGİ GÜVENLİĞİ SİSTEMİ KURMA AŞAMALARI NELERDİR