ISO/IEC 27001

Genel Bakış

ISO/IEC 27001 korumak için yönergeleri sağlayan ve Bilgi Güvenlik Yönetim Sistemi (ISMS) ni sürekli geliştiren uluslarasası bir standarttır.  Ekim 2005’te yayınlandığından beri dünya çapında 7,300’ün üzerinde organizasyon tarafından ISO/IEC 27001 ile uyumlu bir şekilde sertifikalanmıştır. 

Ticari işletmeler, kar amacı gütmeyen organizasyonlar, devlet kuruluşları boyutu, kültürü, coğrafyası ne olursa olsun bütün standart kuruluşları kapsar. Yönergeler şu şekilde uygulanabilir:

  • Güvenlik gereksinimlerinin ve hedeflerin oluşturulması;
  • Güvenlik riskleri üzerinde kontrolün sağlanması;
  • Yasal ve endüstri gereksinimlerine uyum sağlanması;
  • Bilgi güvenliğinin gözden geçirilmesi ve süreçlerin kontrolünün oluşturulması;
  • Prosedürler, kurallar, standartlar ve politikalar ile uyum düzeyinin denetlenmesi; ve
  • ISMS hakkında bilgi ile tedarikçi ve iş ortakları sağlanması.

Zorluklar

Bilgi güvenliği kurumsal güvenlik sorumluluğudur. Bu bir IT izole girişimi olarak görülemez, daha ziyade bu bir iş strateji sorunudur. Bu perspektifte kuruluşlar gizli, hassas, özel ve sınıflandırılmış bilgileri korumak için çaba harcarlar. Sistem operasyonel kontrolün sağlanmasına yardımcı olur, fakat yeterli kurallar, prosedürler ve uygulamalar olmadan bilgi güvenliği şirket için risk olmaya devam edecektir.  

ISO/IEC 27001 bilgi güvenliği için yeni bir yönetim anlayışı getirir, Bilgi Yönetim Sistemini (ISMS) oluşturmak, sürdürmek, ve sürekli geliştirmek için organizasyonlara yardım eder. PDCA modelini  (Plan-Do-Check-Act) kullanarak, ISO/IEC 27001 organizasyonların güvenlik yönetim süreçlerini yapılandırılmasına yardımcı olur. Ayrıca, ilkelerin uygulanması için sağlam bir model standardı sağlar. Aşağıdakiler gibi:

  • Risk değerlendirmesi;
  • Güvenlik tasarımı;
  • Güvenlik için implementasyon;
  • Güvenlik yönetimi.

                               Daha Fazla Bilgi   Online Demo 

​Modül Uyumluluk ve Gereklilikler                             




 ​ ​SE Action Plan
SE Aksiyon  Planı
** 
  • Bilgi güvenlik planlarınızı günceller.
  • ISMS etkinlik ve aksiyon kayıtlarını korur.
  • ISMS gelişimlerinizi uygular.
  • Uygun düzeltici aksiyonları alır.
  • Uygun önleyici aksiyonları alır.
  • Öğrendiğiniz güvenlik derslerini uygular.
  • ISMS’nizin etkinliğini sürekli arttırmak için düzeltilmiş aksiyonlarınızı kullanır.
  • ISMS’nizin etkinliğini sürekli arttırmak için önleyici aksiyonlarınızı kullanır.
Potansiyel uygunsuzlukların ortaya çıkmasını engellemek için önleyici aksiyon prosedürü oluşturulur.




  ​SE Audit
SE Denetim
  • Güvenlik gereksinimleri karşıladığında onaylanır.
  • ISMS’nizin iç denetimini düzenli olarak gerçekleştirir.
  • ISMS’nin iç denetim prosedürlerini oluşturur ve belgeler.
  • İç denetimlerin nasıl olması gerektiğini çözer.
  • Planlanan aralıklarla iç denetimlerinizi çizelgeler.
  • Her iç ISMS denetiminin kapsamını netleştirir.
  • Her iç denetim için denetim kriterlerini belirtir.
  • ISMS iç denetim metodunuzu tanımlar.
  • ISMS iç denetimizi seçer.
  • Düzenli iç ISMS denetimlerini yürütür, organizasyonunuzun ISMS kontrollerini, süreçlerini ve prosedürlerini denetler..
ISMS’nizin etkinliğini sürekli arttırmak için güvenlik denetim sonuçlarınızı kullanır. 
SE BI
SE İş Zekası
​Yönetim sisteminin uygunluğunu ve etkinliğini göstermek için veri tanılama, toplama ve analiz etmeye yardımcı olur.
SE Competence
  • ​​Bütün ISMS personeli uzmandır ve kendilerine verilen görevi gerçekleştirir.
  • ISMS’nizi etkileyen personel performans işleri için yetkinlik belgelerinin kayıtlarını tutar. 



SE Document
SE Doküman
    
  • Organizasyonunuzun ISMS politkasını tanımlar.
  • Kararları belgeleyen kayıtları oluşturur.
  • Organizasyonunuzun ISMS’sini belgeler.
  • ISMS belgelerinizi kontrol eder ve korur.
  • ISMS belgelerini kontrol etmek için prosedür oluşturur.
  • Organizasyonunuzun ISMS’i için kayıtları oluşturur ve sürdürür.
ISMS’nizin etkinliğini sürekli arttırmak için güvenlik politikanızı kullanır.
SE Maintenance   
            SE Vaka                
  • Asıl belirsizlikleri tespit eder.
  • Belirsizlikler ve güvenlik olayları üzerinehareket geçmel için prosedür tanımlar.
Uygunuzlukları tespit etmek için organizasyonunuzun olay yönetim prosedürünü kullanır. 






SE Performance
SE Performans
  • Organizasyonunuzun ISMS değişiklerinin istenilen hedeflere ulaştığından emin olur.
  • ISMS’nin oluşturulması, implementasyonu, operasyonu, gözlemlenmesi, izlenmesi, bakımı ve ilerlemesi ile yönetiminize destek sağladığını ispatlar.
  • Organizasyonunuzun yönetici insanları tarafından ISMS’nin planlanan aralıklarla incelendiğinden emin olur.
  • ISMS’nizin devam eden uygunluğunun, yeterliliğinin ve etkinliğinin performansını inceler.
  •  Organizasyonunuzun ISMS’sinin değiştirilmeye veya iyileştirmeye ihtiyacı olup olmadığını değerlendirir. 
  • Bilgi sistemi politikasının değiştirilmeye veya iyileştirimeye ihtiyacı olup olmadığını değerlendirir.
  • ISMS’yi etkileyen olaylara yanıt vermek için yönetim gözlem kararları ve aksiyonlarını oluşturur.
  • İnceler:
  • Öncelikli yönetici gözlem sunuçlarını;
  • Önceki ISMS ölçüm sonuçlarını;
  • Önceki düzeltici aksiyonların durumunu;
  • ISMS’nizi geliştirmek için fırsatları;
  • ISMS’nizi etkileyebilecek değişiklikleri.

SE Process
SE Problem Analizi
  • Uygunsuzlukları ve nedenlerini araştırır ve ortadan kaldırır.
  • Uygunsuzlukların ve nedenlerinin zamanında ortadan kaldırıldığından emin olmak için aksiyonları takip eder.
  • Düzeltici aksiyonların gerçekten alındığını doğrular.
  • Doğrulama aktivitelerinizin sonuçlarını raporlar.
Ana nedenleri belirlemek için organizasyonunuzn düzeltilmiş aksiyon prosedürlerini kullanır. 





SE Process
SE Süreç
  • Organizasyonunuzun ISMS’ni uygulamak ve işletmeden  önce yönetimden yetki alır
  • Organzasynunuzun ISMS kaynaklarını yönetir.
  • Organizasyonunuzun güvenlik prosedürlerini uygular.
  • ISMS’nizin düzenli değerlendirmelerini gerçekleştirir.
  • İlgili tüm taraflarla ISMS değişikliklerini bildirir.
  • Organizasyonunuzn ISMS kaynak ihtiyaçlarını belirler.
  • ISMS ihtiyaçlarınıza kaynak sağlar.
  • organizasyonunuzun bilgi güvenlik proseslerinin iş gereksinimlerini desteklemeyi sağlamak amacıyla gerekli olacak kaynakları belirler.
  • ISMS’nizin yönetim değerlendrime sonuçlarına uygun olarak tepki göstermek için gerekli olacak kaynakları belirler.
ISMS’nizin etkinliğini sürekli arttırmak için izleme sürecinizi kullanır. 
SE Project
SE Proje
**
  • Programlar ve portföylerin biliçli ve eğitsel uygulama yapar.
ISMS’nizin iç denetim projesi ve aktivitelerini planlar. 






SE Risk
SE Risk
*     
                               
  • Risk değerlendirmesi yaklaşımını tanımlar.
  • Organizasyonunuzun güvenlik risklerini tanımlar.
  • Organizasyonunuzun güvenlik risklerini analiz eder ve değerlendirir.
  • Risk değerlendirme opsiyonları ve aksiyonlarını tanımlar ve değerlendirir.
  • Kontrol hedeflerini seçer ve süpriz riskleri kontrol eder.
  • Kalan riskleri yönetimin onayladığından emin olur. (sonra kalan tüm risklerinize iyileştirme kararlarını uygular. those).
  • Organizasyonuzun spesifik kontrol hedeflerini ve amaçlarını listeleyerek bir Uygulanabilirlik Açıklaması hazırlar.
  • Organizasyonuzun bilgi güvenlik risklerini yönetmek için bir risk iyileştirme planı geliştirir.
  • Organizasyonuzun Risk iyileştirme planını uygular
  • Organizasyonunuzun güvenlik kontrollerini uygular.
  • ISMS’nizi gözlemlemek ve değerlendirmek için prosedürleri kullanır.
  • Düzenli olarak risk değerlendirmelerinizi inceler.
  • Düzenli olarak kalan riskleri inceler.
Düzeli olarak risklerin kabul edilebilirlik seviyesini inceler. 
SE Training
SE Eğitim
*
  • Organizasyonuzun eğitsel programını uygular.
  • Organizasyonunuzun ISMS personel eğitimini ve istihdam aktivitelerinin etkinliğini değerlendirir.
Bilgi güvenlik aktivitelerinin ne kadar önemli olduğunun personelin farkında olduğundan emin olur.

* Premium Paket 
** SE Suite Pakedi 
¹ SE Aksiyon arayüzü ile gerçekleştirilen aktiviteler

Daha fazlası için:        http://www.softexpert.com/regulation-iso9000.php        Copyright © SoftExpert Software for Performance Excellence