Anasayfa / Blog / ISO/IEC 27002 Bilgi Güvenliği İçin Uygulama Kodu

ISO/IEC 27002 Bilgi Güvenliği İçin Uygulama Kodu

Aynı risk yönetimi gibi bilgi güvenliği yönetimi de kurum ve kuruluşların varlık güvenliği açısından sonra derece önemli, bir o kadar da geniş çaplı bir standarttır. ISO 27002 standardı her türden ve ölçekten firmanın sistemine rahatlıkla uygulanabilir yapıdadır. Firmaların işleyişi açısından bazı özel farklılıklar gözlenip bu farklılıklara bağlı olarak standart uygulamasında değişiklikler yapılması gerekse bile her firma açısından genel ve ortak bir uygulama sağlayarak, hem firmanın teknik güvenliğini sağlayarak uluslararası çapta oluşabilecek uyumsuzlukların ortadan kalkmasına yardımcı olur.

Her ikisi de ISO 27000 ailesi mensubu olan ISO 27001 ve ISO 27002 standartları arasında kıyas yapmak gerekirse 27001 standardını düzgün işleyen bir Bilgi Güvenliği Yönetimi uygulaması için mecburi gereklilikler bütünü olarak adlandırırken, ISO 27002’nin bir sertifika standardından daha çok bir bilgi güvenliği uygulaması için gerekenler bütünü veya kılavuzu olduğunu söyleyebiliriz. ISO 27002’de sıralandırılan gereklilikler arasından firma uygulayabileceklerini seçebilir veya kendi bünyesine göre değiştirebilir.

Bilgi Güvenliği Yönetim Sistemi Standardı, firmaların yönetim şekillerine Bilgi Güvenliği Yönetim Sistemi uygulaması sırasında uygulanacak kontrollerin seçimi için bir referans olması amacıyla veya genel geçer bilgi güvenliği kontrol yollarının kurum veya kuruluşa uygulanması ve bu uygulama yöntemlerinin açıklanması amacıyla geliştirilmiştir.

Varlıklar, sürekli olarak bilinçli veya bilinçsiz tehditlere maruz kalırlar. İşteki, sistemdeki, dış işleyiş sistemindeki değişimler, bilgi güvenliği konusunda yeni sorunlar çıkarabilirler. Risklerin bir kurum veya kuruluş üzerindeki etkileri her zaman göz önünde bulundurulmalıdır. Etkili bir bilgi güvenliği sistemi riskleri ve etkilerini belirli ölçüde azaltır ve varlıklarının gücünü ve dayanıklılığını arttırır.

Ayrıca bu standart gelişmekte olan endüstrinin risk çevresindeki belirli bilgi güvenliği yönetimi kılavuzları ile donanmasını sağlar.

Her türden ve ölçekten kurum ve kuruluş elektronik, fiziki ve fiili bilgiler de dahil olmak üzere pek çok bilgiyi toplar, işler, kaydeder ve gereken yerlere dağıtır.

Bilginin değeri, tanım amaçlı yazılı kelimeler, sayılar ve gerekli görsel kaynak ile ölçülür. Bilgi, konsept, fikirler ve markalar soyut bilgi türlerine örnektir. Birbirine bağlı sistemlerin olduğu bir dünyada, bilgi ve buna bağlı süreçler, işlemler, sistemler ve bunların çalışmasını sağlayan çalışanlar, bir firmanın çalışma sistemi için önemlidir ve büyük zararlara uğrama ihtimaline karşı güvenlik gerektirmektedirler.

Bilgi güvenliği sağlamak için, politikalar, prosesler, prosedürler ve organizasyon planlarını da içeren belirli kontrol mekanizmalarının uygulanması gerekmektedir. Pek çok kurum ve kuruluş ISO 27002’nin şartları çerçevesinde güvenli bulunmaz. Güvenliğin tam olması için teknik durumlar çerçevesinde de ele alınan bir kurum ve kuruluş yönetim şekli ve güvenlik uygulaması gerekmektedir.

ISO 27002, bir uygulama anahtarı gibi düşünülebilir. Uygulama için tavsiyeler ve yöntemler içerir ve ISO 27001 kadar resmi bir yapıya sahip değildir. Firmanın güvenliğini, bütünlüğünü ve itibarını tehlikeye atan durumların saptanması, tanımlanması ve engellenmesi konularında doküman sağlar. Bu standart, durumla alakalı güvenlik kontrolleri çevresinde bütünleşmiştir. Pek çok kontrol kendi aralarında bölümlere ayrılabilecekken olası çelişkilerden kaçınmak için hepsi bütünleşmiş hatta bazı standartlar ile de bağlantıları kurulmuştur.

ISO 27001 Standardında bulunan Ek-A kontrollerinin detaylı olarak anlatıldığı bu standarttaki maddeler;

A.5 ile Başlayıp A.18 e kadar giden EK-A maddeleri ise

5. Bilgi Güvenliği Politikaları / Information Security Policies

6. Bilgi Güvenliği Organizasyonu / Organization of Information Security

7. İnsan Kaynakları Güvenliği / Human Resource Security

8. Varlık Yönetimi / Asset Management

9. Erişim Kontrolü / Access Control

10. Kriptografi / Cryptography

11. Fiziksel ve Çevresel Güvenlik / Physical and Environmental Security

12. Operasyon Güvenliği / Operations Security

13. İletişim Güvenliği / Communications Security

14. Sistem Edinim, Geliştirme ve Bakım / System acquisition, Development and Maintenance

15. Tedarikçi İlişkileri / Supplier Relationships

16. Bilgi Güvenliği Olay Yönetimi / Information Security Incident Management

17. İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönleri / Information Security Aspects of Business Continuity Management

18. Uyum / Compliance maddeleridir.

 

Bilgi Güveliği İçin Gereken Örnek Politikalar:

Bilgi güvenliği için gereken politikalar dikkatle gözden geçirilmeli ve eğer devamlılık için özel değişimler yapılası gerekliyse bunlara karar verilmelidir. Yönetim tarafında onaylanıp yayımlanmış bir politika seti hazırlanmalıdır. Bu aşamaya KONTROL politikası denir.

Her politikanın yönetim sorumluluğunu kavramış ve gelişim gerekliliğini anlamış bir sahibinin bulunması gerekmektedir. Denetim fırsatları ve bilgi güvenliği için gereken yaklaşımlar da gözden geçirilir. Buna ise UYGULAMA politikası denir. Uygulama politikası, iş stratejilerini, yasaları, kontratları, regülasyonları,  bilgi güvenliğinin anlam ve açılımını, zarar ve hassasiyetler ile başa çıkma ve elemine etme aşamasını içerir.

Ancak daha düşük seviyelerde ise giriş kontrolü, bilgi sınıflandırması, fiziksel ve çevresel güvenlik destek, bilgi geçişi, kötü yazılımdan korunma, iletişim güvenliği gibi başlıklar çerçevesinde bilgi güvenliği ele alınır.

Kontrol edin...

ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir? ISO 27001, Uluslararası Standart …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı
ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi