ISO 27001 Denetimi Nedir? Neler Kapsar? Ne İşe Yarar?

Metalaştırılmış veri dünyamızda, siber güvenlik standartlarının çok yüksek ve keskin olması gerekir. Çoğu şirket, hemen teknolojiyle ilgili olmasa bile, sonunda kendilerini içeriden kuşanma ihtiyacıyla karşılaşacaktır.

On yıldan fazla bir süre önce Uluslararası Standartlar Örgütü, ISO 27001 adlı bir spesifikasyonu kabul etti. Peki bu tam olarak nedir?

Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?

Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kuruluşun dışarıdan gelen veri ihlallerine ve diğer türdeki siber tehditlere karşı ana savunma hattıdır.

Etkili bir BGYS, korunan bilgilerin gizli ve güvenli kalmasını, kaynağa sadık kalmasını ve onunla çalışma iznine sahip kişiler tarafından erişilebilir olmasını sağlar.

İLGİLİ İÇERİK
Kötü Amaçlı Yazılım TrickBot Nedir? Bilgisayarınızı Nasıl Koruyabilirsiniz?

Yaygın bir hata, bir BGYS'nin bir güvenlik duvarı veya diğer teknik koruma araçlarından daha fazla olmadığını varsaymaktır. Bunun yerine, tam entegre bir BGYS, şirketin kültüründe ve mühendis olsun ya da olmasın her çalışanda olduğu gibi mevcuttur. BT departmanının çok ötesine geçer.

Bu sistemin kapsamı, yalnızca resmi politika ve prosedürden öte, ekibin sistemi yönetme ve iyileştirme becerisini de içerir. Yürütme ve protokolün gerçekte uygulanma şekli çok önemlidir.

Bu, risk yönetimi ve azaltma için uzun vadeli bir yaklaşım benimsemeyi içerir. Bir şirketin müdürlerinin, özellikle çalıştıkları sektörle ilgili risklere yakından aşina olmaları gerekir. Bu kavrayışla donanmış olarak, çevrelerine buna göre duvarlar inşa edebilecekler.

ISO 27001 Tam Olarak Nedir?

2005 yılında, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), 10 yıl önce BSI Grubu tarafından ilk kez kurulan bir güvenlik yönetimi standardı olan BS 7799'u yeniledi.

Artık resmi olarak ISO/IEC 27001:2005 olarak bilinen ISO 27001, bilgi güvenliği yönetiminde örnek teşkil eden şirketlere verilen uluslararası bir uyumluluk standardıdır.

Esasen, bir şirketin bilgi güvenliği yönetim sisteminin karşı tutulabileceği sıkı bir standartlar topluluğudur. Bu çerçeve, denetçilerin daha sonra sistemin sağlamlığını bir bütün olarak değerlendirmelerine olanak tanır. Şirketler, müşterilerine ve müşterilerine, verilerinin kendi duvarları içinde güvende olduğuna dair güvence vermek istediklerinde bir denetim yapmayı seçebilirler.

Bu hükümler koleksiyonuna şunlar dahildir: güvenlik politikası, varlık sınıflandırması, çevre güvenliği, ağ yönetimi, sistem bakımı ve iş sürekliliği planlaması ile ilgili özellikler.

ISO, orijinal BSI tüzüğünün tüm bu yönlerini yoğunlaştırdı ve bugün bildiğimiz versiyona damıttı.

Politikayı İncelemek

Bir şirket ISO 27001 denetiminden geçtiğinde tam olarak ne değerlendirilir?

Standardın amacı, uluslararası düzeyde etkili ve güvenli bilgi politikasını resmileştirmektir. Sorun çıkmadan önce önlemek isteyen proaktif bir duruşu teşvik eder.

ISO, güvenli bir BGYS'nin üç önemli yönünü vurgular:

1. Sürekli analiz ve risk kabulü: buna hem mevcut riskler hem de gelecekte kendilerini gösterebilecek riskler dahildir.

2. Sağlam ve güvenli bir sistem: Bu, teknik anlamda var olan sistemi ve ayrıca kuruluşun yukarıda belirtilen risklere karşı kendini korumak için kullandığı güvenlik kontrollerini içerir. Bunlar şirkete ve sektöre bağlı olarak çok farklı görünecektir.

3. Kendini adamış bir liderler ekibi: Bunlar, organizasyonu savunmak için kontrolleri fiilen uygulayan kişiler olacaktır. Sistem ancak dümende çalışanlar kadar etkilidir.

İLGİLİ İÇERİK
Solucan Virüsü Nedir ve Bilgisayarınıza Nasıl Bulaşır?

Katkıda bulunan bu üç temel faktörün analiz edilmesi, denetçinin belirli bir şirketin güvenli bir şekilde çalışma yeteneğinin daha eksiksiz bir resmini çizmesine yardımcı olur. Sürdürülebilirlik, yalnızca kaba teknik güce dayanan bir BGYS'ye tercih edilir.

Var olması gereken önemli bir insan unsuru vardır. Şirket içindeki kişilerin verileri ve BGYS'leri üzerinde kontrol uygulama biçimleri her şeyin üstünde tutulur. Bu kontroller, verileri gerçekten güvende tutan şeydir.

ISO 27001 Ek A Nedir?

Belirli "kontroller" örnekleri sektöre bağlıdır. ISO 27001 Ek A, şirketlere operasyonlarının güvenliği üzerinde resmi olarak tanınan 114 kontrol aracı sunar.

Bu kontroller on dört sınıflandırmadan birine girer:

A.5— Bilgi ve Güvenlik Politikaları : Bir şirketin izlediği kurumsallaştırılmış politika ve prosedürler.

A.6— Bilgi Güvenliği Organizasyonu : BGYS çerçevesi ve uygulanması ile ilgili olarak organizasyon içinde sorumluluğun atanması. Garip bir şekilde, tele-çalışmayı ve şirket içindeki cihazların kullanımını yöneten politika da burada yer alıyor .

A.7— İnsan Kaynakları Güvenliği : işe başlama, işten ayrılma ve çalışanların kuruluş içindeki rollerini değiştirme ile ilgilidir. Eğitim ve öğretimdeki tarama standartları ve en iyi uygulamalar da burada özetlenmiştir.

A.8— Varlık Yönetimi : işlenen verileri içerir. Varlıklar, bazı durumlarda departman hatlarında bile envantere alınmalı, muhafaza edilmeli ve gizli tutulmalıdır. Her bir varlığın mülkiyeti açıkça belirlenmelidir; bu madde, şirketlerin kendi iş kollarına özel bir "Kabul Edilebilir Kullanım Politikası" hazırlamalarını tavsiye etmektedir.

A.9— Erişim Kontrolü : verilerinizi kimin kullanmasına izin verilir ve erişimi yalnızca yetkili çalışanlarla nasıl sınırlandıracaksınız? Bu, teknik anlamda şartlı izin belirlemeyi veya şirketinizin kampüsündeki kilitli binalara erişimi içerebilir.

A.10— Kriptografi : öncelikle şifreleme ve aktarım halindeki verileri korumanın diğer yolları ile ilgilenir. Bu önleyici tedbirler aktif olarak yönetilmelidir; ISO, kuruluşların, veri güvenliğiyle ilgili derin nüanslı zorlukların tümüne tek boyutlu bir çözüm olarak şifrelemeyi düşünmelerini caydırır.

A.11— Fiziksel ve Çevresel Güvenlik : İster gerçek bir ofis binasında ister sunucularla dolu küçük, klimalı bir odada olsun, hassas verilerin bulunduğu her yerin fiziksel güvenliğini değerlendirir.

A.12— Operasyon Güvenliği : Şirketinizin işleyişi söz konusu olduğunda iç güvenlik kurallarınız nelerdir? Bu prosedürleri açıklayan belgeler, yeni ortaya çıkan iş ihtiyaçlarını karşılamak için sık sık tutulmalı ve revize edilmelidir.

Değişim yönetimi, kapasite yönetimi ve farklı departmanların ayrılması bu başlık altına girer.

A.13— Ağ Güvenliği Yönetimi : Şirketinizdeki her bir sistemi birbirine bağlayan ağların hava geçirmez olması ve dikkatle bakılması gerekir.

Güvenlik duvarları gibi her şeyi yakalayan çözümler, sık doğrulama kontrol noktaları, resmileştirilmiş aktarım politikaları gibi şeylerle desteklendiğinde veya örneğin şirketinizin verilerini işlerken genel ağların kullanımını yasaklayarak daha da etkili hale gelir .

C.14— Sistem Edinimi, Geliştirme ve Bakım : Şirketinizde halihazırda bir BGYS yoksa, bu madde ideal bir sistemin masaya ne getirdiğini açıklar. BGYS kapsamının üretim yaşam döngünüzün her yönünü kapsamasını sağlamanıza yardımcı olur.

Dahili bir güvenli geliştirme politikası, mühendislerinize, işe başladıkları günden itibaren uyumlu bir ürün oluşturmak için ihtiyaç duydukları bağlamı verir.

A.15— Tedarikçi Güvenlik Politikası : Şirketiniz dışında üçüncü taraf tedarikçilerle iş yaparken, onlarla paylaşılan verilerin sızdırılmaması veya ihlal edilmemesi için ne gibi önlemler alınmaktadır?

C.16— Bilgi Güvenliği Olay Yönetimi : İşler ters gittiğinde, şirketiniz sorunun gelecekte nasıl raporlanacağı, ele alınacağı ve önleneceği konusunda muhtemelen bir çerçeve sağlar.

ISO, bir tehdit tespit edildikten sonra şirket içindeki yetkili kişilerin hızlı ve büyük bir önyargıyla hareket etmesini sağlayan misilleme sistemleri arar.

A.17— İş Sürekliliği Yönetiminin Bilgi Güvenliği Unsurları : Bir felaket veya operasyonlarınızı geri dönülmez şekilde kesintiye uğratan diğer olası olmayan bir olay durumunda, şirketin ve verilerinin iyi durumda olmasını sağlamak için bir planın yürürlükte olması gerekir. iş normal seyrinde devam eder.

Buradaki fikir, bir kuruluşun böyle zamanlarda güvenliğin sürekliliğini korumanın bir yoluna ihtiyacı olduğudur.

C.18— Uygunluk : Son olarak, bir şirketin ISO 27001 sertifikasyonunun gerekliliklerini karşılamak için abone olması gereken sözleşmelerin fiili sözleşmesine geldik. Yükümlülükleriniz önünüzde düzenlenmiştir. Yapmanız gereken tek şey noktalı çizgiyi imzalamak.

ISO, uyumlu şirketlerin yalnızca yukarıda listelenen kategorilere uyan kontroller kullanmasını artık gerektirmez. Bununla birlikte, şirketinizin BGYS'sinin temelini oluşturmaya yeni başlıyorsanız, liste başlamak için harika bir yerdir.

İLGİLİ İÇERİK
HTTPS Nedir ? HTTPS Neden Önemlidir?

BGYS'nizi bir denetim için hazırlamak, bugün çalışıyor olsanız bile durum tespiti yapmak kadar basittir. Belgeler her zaman muhafaza edilmeli ve arşivlenmelidir, bu da size yeterlilik iddialarınızı yedeklemeniz gerektiğine dair kanıt sağlar.

Tıpkı ortaokuldaki gibi: ödevi yaparsın ve notu alırsın. Müşteriler güvende ve sağlam ve patronunuz sizden çok memnun. Bunlar öğrenilmesi ve korunması gereken basit alışkanlıklardır.
Daha yeni Daha eski