BS 10012 Kişisel Bilgi Güvenliği Yönetim Sistemi standardı
Şirketlerin Veri Koruma Yasası 1998 (the Data Protection Act 1998) ile uyumlu bir yönetim sistemi kurmaları ve sürdürmeleri için kullanılan iyi uygulama (best practice) standardıdır.
BS 10012 Kişisel Bilgi Güvenliği Yönetim Sistemi Standardı, kişisel bilgi yönetimi ile ilgilidir ilk standarttır.
BS 10012 içinde belirtilen çerçeve takip ederek, kuruluşların sakladıkları verilerin güvenliği artırılabilir, daha iyi veri işleme ve veri transferlerinin yönetilmesi, yasal gerekliliklere uyum sağlanabilir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğinin sistemli olarak yapılmasını ve oluşan risklerin yok edilmesi/kabul edilebilir seviyeye çekilmesini istemektedir.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, her sektör ve büyüklükteki kuruluşa uygulanabilen bir standarttır.
ISO/IEC 27001:2013 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURULUMU FAALİYETLERİ
1. Danışmanlık hizmeti aşağıdaki aşamalarda gerçekleştirilecektir.
1.1 Kapsam Belirleme ve Proje Planlaması;
1.1.1 Projenin ilk aşamasında ISO/IEC 27001:2013 standardında belirlenen kapsam ve politika ile uyumlu bir Kapsam belirlenecektir.
1.1.2 Kuruluş, ISO/IEC 27001 çalışması için bir proje ekibi oluşturulacak ve şirketimiz ile birlikte çalışmalara etkin katkı vermeleri sağlanacaktır.
1.1.3 Kapsam belgelerinin taslakları şişrketimiz tarafından hazırlanacak ve daha sonra Kuruluş tarafından gözden geçirilecek, gerekliyse değiştirilecek ve onaylanacaktır.
1.1.4 Net bir kapsam belirlemesinin ardından nihai proje planı oluşturulacak ve BGYS kuruluşunu izleyen adımların bu plan çerçevesinde yürütülmesi sağlanacaktır.
1.2 Standardın zorunlu maddelerinin gerçekleştirilmesi, dokümante edilmesi;
Bu aşamada ISO/IEC 27001:2013 Standardının Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Yönetilmesi maddesi yerine getirilecektir. Ayrıntılar aşağıdadır.
1.2.1 BGYS’nin kurulması,
1.2.2 BGYS’nin gerçekleştirilmesi ve işletilmesi,
1.2.3 BGYS’nin izlenmesi ve gözden geçirilmesi,
1.2.4 BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi, maddeleri gerçekleştirilecektir.
1.3 Mevcut durumun belirlenmesi – Açıklık (gap) Analizi;
Mevcut durumu belirlemek için bir açıklık analizi yapılacaktır. Açıklık analizinin sonucunda şirketimiz Kuruluş’unuzun hali hazırdaki durumunun ISO/IEC 27001 standardına uygunluğunu
gösteren “Mevcut Durum Raporu” sunacaktır.
1.4 Politikanın belirlenmesi;
Kuruluş’nun kapsamı içerisindeki ana faaliyetlerine uygun, şekilde bir politika beyanı hazırlanacak ve dokümante edilecektir.
1.5 Risk değerlendirme metodolojisinin belirlenmesi;
Kuruluş’nun iş gereksinimlerini karşılayacak, ISO/IEC 27005 Standardına uygun bir risk değerlendirme metodolojisi hazırlanarak Kuruluş’nun onayına sunulacaktır.
1.6 Risk analizinin yapılması;
1.6.1 Projenin bu aşamasında BGYS kurulumunu ilgilendiren bilgi toplama ve mevcut durum analizi aktiviteleri gerçekleştirilecektir. Bu kapsamda ilk aktiviteler olarak bilgi varlıklarının (information assets) belirlenmesi ve bunların değerlemesi (valuation) gerçekleştirilecek, sonuçları varlık envanteri ve değerleri listesi olarak hazırlanacaktır.
1.6.2 Varlık envanteri Kuruluş’nun proje sorumlulularına teslim edildikten ve onaylandıktan sonra bu varlıklara yönelik tehditler belirlenecektir. Tehdit belirleme risk analizi ile takip
edilecektir. Risk analizi uzmanlarımız tarafından ISO/IEC 27005 standardında belirlenen risk analizi çerçevesi ile uyumlu olacak şekilde gerçekleştirilecektir.
1.7 Risk değerlendirmesinin yapılması ve Kontrollerin belirlenmesi;
1.7.1 Risk analizi raporu tamamlanır tamamlanmaz risk değerlendirme raporu hazırlanacaktır.
Risk analiz raporunun taslağı Kuruluş’nun proje sorumlusu tarafından onaylandığında nihai halini alacaktır. Bu rapor risklerin yönetilmesine ilişkin sonraki tüm eylemlerin
bazını oluşturacaktır.
1.7.2 Tespit edilen varlıkların zafiyetleri ve bu varlıklara yönelik tehditler belirlenecektir.
1.7.3 Tehditlerin olma olasılığı ve hasar dereceleri belirlenerek “Risk Değerlendirme Raporu”
hazırlanacaktır.
1.7.4 Risk analizi ve değerlendirmesi tamamlandığında, belirlenen risklerin maliyet-etkin biçimde nasıl ele alınacağının planlaması gerçekleştirilecektir. Uzman personel tüm
risklerin giderilemeyeceğini göz önünde bulunduracak ve metodoloji risklerin kabulü ve/veya transferi seçeneklerini de kapsar nitelikte olacaktır.
1.7.5 Bu aşamadaki önemli aktivite risklere karşı alınacak önlemlerin planlamasıdır Önlem planlamasında riskler ve potansiyel önlemler ISO/IEC 27001:2013 kontrol hedefleri ve
ifadeleri ve ISO/IEC 27002:2013 en iyi uygulamaları ile bir arada değerlendirilecektir.
1.7.6 Önlem planlaması ve kontrollerin seçimi tamamlandığında Uygulanabilirlik Bildirgesi düzenlenecek ve yayınlanacaktır. Uygulanabilirlik Bildirgesi hangi ISO/IEC 27001:2013
kontrollerinin gerçekleştirildiğini ve hangilerinin gerçekleştirilmediğini gerekçeleri ile birlikte içermelidir.
1.8 Prosedürlerin ve ilgili dokümantasyonun oluşturulması kapsamında;
1.8.1 Bilgi güvenliği politikası,
1.8.2 BYGS kapsam dokümanı,
1.8.3 BGYS’ni destekleyen prosedürler;
1.8.3.1 BGYS Organizasyonu Prosedürü,
1.8.3.2 İnsan Kaynakları Prosedürü,
1.8.3.3 Varlık Yönetimi Prosedürü,
1.8.3.4 Erişim Kontrolü Prosedürü,
1.8.3.5 Kriptografi Prosedürü,
1.8.3.6 Fiziksel ve Çevresel Güvenlik Prosedürü,
1.8.3.7 İşletim Güvenliği Prosedürü,
1.8.3.8 Haberleşme güvenliği
1.8.3.9 Sistemleri Temini Geliştirme ve Bakım Prosedürü,
1.8.3.10 Tedarikçi ilişkileri
1.8.3.11 Bilgi güvenliği ihlal olayı yönetimi Prosedürü,
1.8.3.12 İş sürekliliği yönetiminin bilgi güvenliği hususları
1.8.3.13 Uyum Prosedürü,
1.8.4 Varlık Envanteri Listesi,
1.8.5 Risk değerlendirme raporu,
1.8.6 BGYS faaliyetlerinin etkin işletilmesi ve gereksinimlere uygunluğun kanıtı olan kayıtlar,
1.8.6.1 İç Denetim Prosedürü,
1.8.6.2 Risk Değerlendirme ve Yönetimi Prosedürü
1.8.6.3 Dokümanların ve Kayıtların kontrolü Prosedürü,
1.8.6.4 Düzeltici Faaliyetler Prosedürü,
Prosedürleri ve dokümantasyon hazırlanacak ve hazırlanan prosedürlerin devreye alınmasında Kuruluş’nun personeli ile birlikte çalışılacaktır.
1.9 Tüm güvenlik kontrollerinin gerçekleştiriminin ardından etkinlik ölçümü için metrikler tanımlanacak ve periyodik olarak BGYS etkinliğinin ölçümü ve sürekli iyileştirilmesi
planlanacaktır. Etkinlik ölçüm planı, risk durumunu sürekli iyileştirmek için neler yapılması gerektiğini gösterecek bir kılavuz oluşturacaktır.
1.10 Farkındalık eğitiminin gerçekleştirilmesi;
1.10.1 Tüm kontrollerin devreye alınması ve etkinlik ölçüm sisteminin aktif hale getirilmesi için gerekli bilinçlendirme ve yaygınlaştırma çalışmaları yürütülecektir.
1.10.2 Kapsam dahilindeki tüm çalışanlara bilinçlendirme maksatlı farkındalık eğitimlerinin yüzyüze veya online olarak verilecektir.
1.10.3 Farkındalık eğitimi kapsamında proje için öngörülen süre göz önüne alınarak, eğitmenlerin eğitilmesi modeli ile tüm Kuruluş’nun ve Bilgi Güvenliği Yönetim Sistemi ile ilgili çalışanlarının BGYS gereklerine uyum için yapmaları gerekenler ve uymamaları halinde söz konusu olacak olumsuz sonuçları çalışanlarla paylaşılacaktır.
1.10.4 Eğitim ortamı Kuruluş tarafından sağlanacaktır.
1.11 İç denetimin yapılması;
BGYS’nin ISO/IEC 27001:2013 ile uyumlu halde olup olmadığının bağımsız bir denetim ile belirlenmesi amacıyla, Cymsoft, Kuruluş’nun personeli ile birlikte, oluşturulan BGYS’nin standart gereksinimleri ile uyumlu durumda olup olmadığını belirleyecektir.
1.12 Yönetimin gözden geçmesi toplantısının yapılması;
Gerçekleştirilen BGYS’nin uygulama sonuçları iç denetim sonuçlarıyla birlikte yönetime sunulacak ve yönetimin onayı alınacaktır.
2. Belgelendirme Başvurusu;
Gerçekleştirimin sonunda, Kuruluş’nun bağımsız olarak, TÜRKAK tarafından ISO/IEC 27001:2013
konusunda akredite olmuş bir belgelendirme kuruluşuna, BGYS’ni ISO/IEC 27001:2013 uyumluluğu için belgelendirme başvurusu yapabilecek duruma gelmesi hedeflenmektedir. Kuruluşunuz danışmanlık ekibinin herhangi bir kısıtı olmadan, dilediği belgelendirme kuruluşunu seçerek, belgelendirme sürecini, seçtiği belgelendirme kuruluşu ile yürütebilecektir.
3. Yazılım kurulumu;
İstendiği taktirde, Varlık Envanteri ve Risk Değerlendirmesi çalışmalarında, danışmanlık hizmeti süresince kullanılmak üzere, şirketimiz tarafından Kuruluşa Cymsoft aracılığıyla Smart Information Security Management System (SISMS) yazılımı, kuruluş tarafından sağlanacak ortama kurulacaktır.
4. Öngörülen hizmet şekli (adam/gün);
Danışmanlık hizmeti, proje planı kapsamında, karşılıklı mutakabat çerçevesinde belirlenecek tarihlerde olmak üzere, 26 adam/gün yerinde, 20 adam/gün uzaktan destek şeklinde gerçekleştirilecek olup, İç Denetim Faaliyeti ve Belgelendirme Denetiminin ilk aşamasında (Belge denetimi) kuruluşun personeli ile birlikte faaliyette bulunulacak ve çalışılacaktır.
Bu kapsamdaki faaliyetlerimiz Dr.Cemal Gemci danışmanlığında ve yönetiminde gerçekleştirilmektedir.
Ayrıntılı bilgi ve teklif almak için info@eralpdanismanlik.com.tr adresinden bizimle iletişime geçebilirsiniz.
Yetkilendirilmiş Yükümlü Sertifikası (YYS) Kapsamında (ISO27001) Bilgi Güvenliği Yönetim Sistemi
Başvuru, gümrük mevzuatına göre serbest bölgeler dâhil Türkiye Gümrük Bölgesinde yerleşik ve en az üç yıldır faaliyette bulunan gerçek veya tüzel kişilerin imza yetkisine sahip yasal temsilcileri tarafından yapılır (Üç yıldan daha az süredir faaliyette bulunan firmaların başvuruda bulunmaları mümkün olmakla birlikte, bu firmaların durumları Bakanlıkça ayrıca değerlendirilir).
Yetkilendirilmiş Yükümlü Sertifikası başvurusu gümrük müşaviri tarafından yapılamaz. Başvuru, şirket merkezinin ticaret siciline kayıtlı bulunulan yere en yakın gümrük müdürlüğünün bağlı olduğu bölge müdürlüğüne yapılır.
ÖRNEK 1: Başvuru sahibinin şirket merkezinin ticaret siciline kayıtlı olduğu yer Manisa ise, buraya en yakın gümrük müdürlüğü Manisa Gümrük Müdürlüğü olduğundan, başvuru bu gümrük müdürlüğünün bağlı olduğu Ege Gümrük ve Ticaret Bölge Müdürlüğü’ne yapılır. ÖRNEK 2: Başvuru sahibinin şirket merkezinin ticaret siciline kayıtlı olduğu yer Çerkezköy ise, buraya en yakın gümrük müdürlüğü Çerkezköy Gümrük Müdürlüğü olduğundan başvuru bu gümrük müdürlüğünün bağlı olduğu Trakya Gümrük ve Ticaret Bölge Müdürlüğü’ne yapılır.
ISO 9001 VE ISO 27001 SERTİFİKALARI
ISO 9001 ve ISO 27001 sertifikaları, Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları (örneğin Türkiye’de Türk Akreditasyon Kurumu) tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenmiş olmalıdır. Bu sertifikalar ilgili akreditasyon kurumunun markasını taşımalıdır. ISO 9001ve ISO 27001 sertifikalarının en güncel versiyonları ibraz edilmelidir. Örneğin, bu Rehberin yayınlandığı tarih itibariyle ISO 9001:2008 ile ISO 27001:2005 güncel sertifikalardır. Bu sertifikaların, yetkilendirilmiş yükümlü sertifikası başvuru tarihinde geçerliliğini koruyor olmaları gerekir. T.C. Gümrük ve Ticaret Bakanlığı-Yetkilendirilmiş Yükümlü Sertifikası Başvuru Rehberi 15 Bu sertifikaların aslı yerine düzenleyen kuruluş tarafından onaylanmış örneği de ibraz edilebilir. Bu sertifikalar olmadan yapılacak başvurular incelenmeksizin reddedileceğinden, yetkilendirilmiş yükümlü sertifikası için başvuruda bulunulmadan önce bu sertifikalar mutlaka temin edilmiş olmalıdır.
http://www.gtb.gov.tr/data/51c7e976487c8e0a98f15f8e/yy_firma_basvuru_rehberi.pdf
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğinin sistemli olarak yapılmasını ve oluşan risklerin yok edilmesi/kabul edilebilir seviyeye çekilmesini istemektedir.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, her sektör ve büyüklükteki kuruluşa uygulanabilen bir standarttır.
Ayrıntılı bilgi ve teklif almak için info@eralpdanismanlik.com.tr adresinden bizimle iletişime geçebilirsiniz.
ISO/IEC 20000 Bilgi Teknolojileri Hizmet Yönetimi
ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi Standardı
Servis sonrası hizmet sunan Bilgi teknoloji firmalarının düzenlemek ve kurumsal yapısını oluşturmak için hazırlanmış bir standarttır.
ISO/IEC 20000-2:2012
Information technology — Service management — Part 2: Guidance on the application of service management systems
ISO/IEC TR 20000-9:2015
Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services
ISO/IEC TR 20000-10:2015
Information technology — Service management — Part 10: Concepts and terminology
ISO/IEC 27013:2015
Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ISO/IEC TR 20000-11:2015
Information technology — Service management — Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®
ISO 27031 Bilişim Sektöründe İş Sürekliliği Standartı
ISO 27031 İş Sürekliliğine Hazırlık için Bilgi ve İletişim Teknolojileri Standartı
Bilgi teknolojileri şirketlerinde hizmetlerin sürekli ve kesintisiz olarak devam ettirilebilmesi için gerekli standartları sağlar.
Yazar Hakkında
