ISO 27001 nedir? Ne(den) gereklidir?

Standartlar hayatımız içerisinde tekdüze bir sistematiği sağlayan unsurlardandır. Dolayısıyla bilgi güvenliğinde sistematik kurmak ve işletmek önemli olduğundan ISO 27001 standardı bizim yolumuza aydınlatan bir meşale görevi görmektedir.

ISO/IEC 27001, 10 bölüme ve Ek A’ya bölünmüştür. 0’dan 3’e kadar olan bölümler giriş niteliğindedir (ve uygulama için zorunlu değildir), ancak 4’ten 10’a kadar olan bölümler zorunludur – yani tüm gereksinimlerinin bir kuruluşta uygulanması gerekir. Ek A’daki kontroller, ancak Uygulanabilirlik Bildirimi’nde uygulanabilir olduğu beyan edildiği takdirde uygulanmalıdır.

Uluslararası ISO / IEC Direktifleri Organizasyonunun Ek SL’sine göre, ISO 27001’deki bölüm başlıkları ISO 22301: 2012 ve ISO 9001: 2015 ile aynı standartların daha kolay entegrasyonunu sağlamaları için aynıdır.

Bölüm 0: Giriş – ISO 27001’in amacını ve diğer yönetim standartlarına uygunluğunu açıklar.

Bölüm 1: Kapsam – bu standardın herhangi bir organizasyon türüne uygulanabileceğini açıklar.

Bölüm 2: Normatif referanslar – terimlerin ve tanımların verildiği standart olarak ISO / IEC 27000’i ifade eder.

Bölüm 3: Terimler ve tanımlar – yine ISO / IEC 27000’i ifade eder.

Bölüm 4: Organizasyonun içeriği – bu bölüm PDCA (Plan-Do-Check-Ack) döngüsündeki Plan aşamasının bir parçasıdır ve dış ve iç konuları, ilgili tarafları ve bunların gereklerini anlamak ve BGYS kapsamını tanımlamak için gereklilikleri tanımlar.

Bölüm 5: Liderlik – bu bölüm PDCA döngüsündeki Plan aşamasının bir parçasıdır ve üst düzey Bilgi güvenliği politikasının rollerini ve sorumluluklarını ve içeriğini belirleyerek üst yönetim sorumluluklarını tanımlar.

Bölüm 6: Planlama – bu bölüm PDCA döngüsündeki Plan aşamasının bir parçasıdır ve risk değerlendirmesi, risk tedavisi, Uygulanabilirlik Bildirimi, risk tedavi planı ve bilgi güvenliği hedeflerinin belirlenmesi için gerekli şartları tanımlar.

Bölüm 7: Destek – bu bölüm PDCA döngüsündeki Plan aşamasının bir parçasıdır ve kaynakların kullanılabilirliği, yeterlilikler, farkındalık, iletişim ve belgelerin ve kayıtların kontrolü için gereksinimleri tanımlar.

Bölüm 8: Operasyon – bu bölüm, PDCA döngüsündeki Do aşamasının bir parçasıdır ve risk değerlendirme ve tedavisinin yanı sıra bilgi güvenliği hedeflerine ulaşmak için gereken kontrol ve diğer süreçlerin uygulanmasını tanımlar.

Bölüm 9: Performans değerlendirmesi – bu bölüm, PDCA döngüsündeki Check fazının bir parçasıdır ve izleme, ölçme, analiz, değerlendirme, iç denetim ve yönetim gözden geçirme gereksinimlerini tanımlar.

Bölüm 10: İyileştirme – bu bölüm PDCA döngüsündeki uygulama fazının bir parçasıdır ve uygunsuzluklar, düzeltmeler, düzeltici eylemler ve sürekli iyileştirme için gereklilikleri tanımlar.

 

Ek A – bu ek, 14 bölüme (A.5 ila A.18 bölümleri) yerleştirilmiş 114 kontrol (koruma) kataloğu sunmaktadır.

Zorunlu Yazılı Kayıt Olması Gerekenler:

ISO 27001, aşağıdaki belgelerin yazılmasını gerektirir:

BGYS kapsamı (madde 4.3)

Bilgi güvenliği politikası ve hedefleri (madde 5.2 ve 6.2)

Risk değerlendirmesi ve risk tedavi metodolojisi (madde 6.1.2)

Uygulanabilirlik Bildirgesi (madde 6.1.3 d)

Risk tedavisi planı (madde 6.1.3 e ve 6.2)

Risk değerlendirme raporu (madde 8.2)

Güvenlik rollerinin ve sorumluluklarının tanımı (madde A.7.1.2 ve A.13.2.4)

Varlıkların envanteri (madde A.8.1.1)

Varlıkların kabul edilebilir kullanımı (madde A.8.1.3)

Erişim kontrol politikası (madde A.9.1.1)

BT yönetimi için çalışma prosedürleri (madde A.12.1.1)

Güvenli sistem mühendisliği ilkeleri (madde A.14.2.5)

Tedarikçi güvenlik politikası (madde A.15.1.1)

Olay yönetim prosedürü (madde A.16.1.5)

İş sürekliliği prosedürleri (madde A.17.1.2)

Yasal, düzenleyici ve sözleşme gereksinimleri (madde A.18.1.1)

 

Zorunlu üretilmesi gereken kayıtlar:

Eğitim, beceri, deneyim ve niteliklerin kayıtları (madde 7.2)

İzleme ve ölçüm sonuçları (madde 9.1)

İç denetim programı (madde 9.2)

İç denetimlerin sonuçları (madde 9.2)

Yönetim değerlendirmesinin sonuçları (madde 9.3)

Düzeltici faaliyetlerin sonuçları (madde 10.1)

Kullanıcı etkinliklerinin, istisnaların ve güvenlik olaylarının kayıtları (madde A.12.4.1 ve A.12.4.3)

Elbette, bir şirket gerekli gördüğü takdirde ek güvenlik belgeleri yazmaya karar verebilir.

ISO 27001 Belge/Sertifika Nasıl Alınır?

Kuruluşlar, standardın tüm zorunlu maddeleriyle uyumlu olduklarını kanıtlamak için sertifika alabilirler.

Bir kuruluşun sertifikalı olması için, standardın önceki bölümlerde açıklandığı şekilde uygulanması ve daha sonra belgelendirme kuruluşu tarafından gerçekleştirilen sertifikasyon denetiminden geçmesi gerekir.

 

Sertifika denetimi aşağıdaki adımlarda gerçekleştirilir:

Aşama 1 denetimi (Belge incelemesi) – denetçiler tüm belgeleri gözden geçirecektir.

Aşama 2 denetimi (Ana denetim) – denetçiler, bir şirketteki tüm faaliyetlerin ISO 27001 ve BGYS belgeleriyle uyumlu olup olmadığını kontrol etmek için yerinde denetim gerçekleştirir.

Gözetim ziyaretleri – sertifika düzenlendikten sonra, 3 yıllık geçerliliği boyunca denetçiler, şirketin BGYS’lerini sürdürüp sürdürmediğini kontrol edecektir.