Bilgi Güvenliğine : Kuruluşların Bilgi varlıklarının Gizliliği,Bütünlüğü ve Erişilebilirliği konusunda alınan ve uygulanan önlemler bütünüdür denebilir.
Kuruluşun Bilgi varlıklarının kullanılan ağda kısıtlanmasından, temiz masa ve temiz ekran, Server odası güvenliğinden, İnternet kullanıcılarının ziyaret ettikleri sitelerin kaydının tutulmasına kadar pek çok uygulamalar bütünüdür.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, anlaşıldığı üzere bir yönetim sistemi olmasının yanı sıra bir Bilgi Güvenliği uygulamaları bütünüdür.Bir Yönetim Sistemi kuracak, uygulayacak ve sürekli geliştirecek ayrıca teknik pek çok güvenlik kurallarına uymak zorunda olunacaktır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulamaları Nelerdir?
Kuruluşumuzda ISO 27001 Kurmak için ilk başta Standardın ana maddelerini iyi anlayarak uygulamak , daha sonra EK-A ‘nın bizden istediği şartları yerine getirmemiz gerekmektedir.
ISO 27001 Standardının Maddeleri:
1.Kapsam
2.Atıf yapılan standard ve/veya dokümanlar
3.Terimler ve tarifler
4.Kuruluşun bağlamı, Burada Bilgi Güvenliğini etkileyecek iç ve dış unsurları analiz ederek belirlememiz , Beklentilerini tayin etmemiz gerekmektedir. Müşterilerin geri dönüşleri, yasal zorunluluklar, Sözleşmelerden doğan zorunluluklar…vb.
Bilgi Güvenliği Yönetim Sisteminin Kapsam ve sınırları tayin edilmelidir. Bilgi Güvenliği Kuruluşun hangi birimleri için uygulanacak , iç ve dış hususlar önemsenerek belirlenmelidir.
5.Liderlik, Bir Yönetim Sistemi Yöneticilerin teşviki ve desteği olmadan uygulanması oldukça zordur.Kuruluşa ait Bilgi güvenliği Politikalarının oluşturulması, Yönetim Sisteminin etkin bir şekilde yürütülmesi ve sürekli iyileştirilmesi, Hedeflerin belirlenmesi, Gerek duyulan kaynakların tespiti ve temini , Hepsi bir liderlik gerektirmektedir ve Standart bu uygulamaları beklemektedir.
Her personelin Görevleri , yetki, ve sorumlulukları belirlenmeli, kim hangi süreçte yer alacak bilmelidir. Bu uygulamalar yine yönetimin önderliğinde gerçekleştirilmelidir.Daha sonra Personelin ve süreçlerin Performansları değerlendirilmelidir.
6.Planlama, Bilgi Güvenliği Yönetim Sisteminin uygulanması sürecinde karşılaşılabilecek riskler belirlenmeli, Derecelendirilmeli, azaltılabilmesi için gerekli çalışmalar yürütülmeli ya da artık risk olarak değerlendirilmelidir.Riskler bir doküman olarak oluşturulmalı, olasılığı derinlemesine incelenmelidir.
Hedeflerin ne olduğu değerlendirilmeli, bu süreçte kimlerin ne şekilde yapılandırılması gerektiği tayin edilmelidir , takip edilmeli ve değerlendirilmelidir.
7.Destek, Süreçlerin daha etkin sürdürülebilmesi için destekler neler olabilir değerlendirilmelidir.Kaynak ihtiyacından personelin yetkinliğine, iç ve dış ast üst ilişkisinin belirlenmesinden, gerektiğinde dış taraflar ile nasıl iletişim kurabileceğimize, dokümanların ve kayıtların oluşturulması ve nasıl muhafaza edileceği belirlenmelidir.
8.İşletim, Kuruluş süreçleri planlamalı, uygulamalı ve kontrol etmelidir. Bir dış kaynak kullanımı durumunda bu süreci de kontrolü altında tutmalıdır.Riskleri değerlendirmeli ve işlemelidir.
9.Performans değerlendirme, Gerek duyulan her süreci ve performansı izlemeli ,ölçmeli ve değerlendirmelidir.
Yılda en az bir sefer , Bağımsız İç Tetkik uygulamalı ve raporlayarak gerekli düzeltici faaliyetleri uygulamalıdır.
Yönetim Bilgi Güvenliği Yönetim Sisteminin işleyişinden haberdar olmalı ve yılda en az bir sefer Yönetimi Gözden Geçirme Yaparak hem ihtiyaç duyulan eksikliklerin ve gerekliliklerin farkında olmalı ,hemde Kaynak ihtiyaçlarını öğrenerek çözümleri konuşmalıdır.
10.İyileştirme, Gerek İç tetkikler sonucunda, gerekse personel talepli oluşan uygunsuzlukların farkına varılarak, bu uygunsuzlukların bir daha ortaya çıkma olasılığını ortadan kaldırmak amacıyla kök nedeni belirlenerek, Düzeltici faaliyetler gerçekleştirilmelidir.
Sürekli Süreçleri iyileştirmek için çalışmaları etkin olarak sürdürmelidir.
Standardın ana maddelerine ek olarak uygulanması gereken EK -A uygulamarı:
- Bilgi Güvenliği Politikaları oluşturulmalı ve sürekli gözden geçirilmelidir.
- Bilgi Güvenliği Yönetim Sistemindeki Görev dağılımları belirlenmelidir.
- Mobil Cihaz ve Uzaktan Bilgilere erişim için güvenlik önlemleri sıkı tutulmalıdır.
- Yeni Personel alınması durumunda Güvenlik araştırması detaylı yaptırılmalıdır.Bilgi Güvenliği Sözleşmeleri imzalanmalıdır.
- Yönetim personelinden Bilgi Güvenliği konusunda maximum özeni ve davranışı göstermesini sağlamalı, Farkındalığı sağlamalı ve bir disiplin Prosesi olmalıdır.
- Personelin işten çıkarılması durumunda sisteme girişi engellenmeli ve yerine gelecek personel görev ve sorumluluklarının bilincinde olmalıdır.
- Varlıkların kaydı tutulmalı, alınması ve verilmesi durumlarının da kayıtları tutulmalıdır.
- Bilgi varlıkları sınıflandırılmalı,gizlilik derecesi yüksek olan bilgiler ayrı kodlanmalı ve muhafaza edilmelidir.
- Taşınabilen bilgi depolama aygıtları, güvenli tutulmalı, imhası durumunda önlemleri üst seviyede alınmalıdır.
- Ağ kullanımında ve bilgilere erişimde şifreleme ve yetkiler belirli kişilere kısıtlanmalıdır.
- Kriptografik kontrollerin uygulanması.
- Fiziki ortamın ve çalışma ortamının güvenliği ile ilgili uygulamalar.
- Kuruluş içerisinde ve dışında sahip olunan varlık ve teçhizatın güvenliği ile ilgili alınan önlemler.
- Değişiklik yönetimi, işletim ve Kullanılan Enerji ve kapasite belirlenmelidir.
- Bilgilerin düzenli olarak yedeklenmesi ve kötücül yazılımlardan korunma uygulamaları.
- Bir ihlal yaşanması durumunda kaydının alınarak gerekli çalışmaların yürütülmesi.
- Bilgi transferi konusunda alınan güvenlik uygulamaları.
- Bilgi Güvenliğinde ihtiyaç duyulan gereksinimler olduğunda nasıl davranılacağının tayini.
- Tedarikçinin kuruluşa gelmesi durumunda alınan Bilgi Güvenliği önlemleri.
- İş sürekliliği planının yapılması, İş sürekliliğini etkileyebilecek durumların değerlendirilmesi,belirlenmesi, kayıt edilmesi.
- Yasalara ve imzalanan sözleşmelere uyum.
- Bilgi Güvenliğinin sürdürülebilirliğini sağlamak.