Danışmanlık

ISO 27001

Bilindiği gibi gelişen teknolojiyle beraber sektör ve endüstriden bağımsız olarak, bilginin ve buna bağlı olarak bilgi ve iletişim teknolojilerinin kullanımı büyük ölçüde yaygınlaşmıştır. Günümüzde belediyelerden üretim tesislerine, turizm firmalarından bankalara kadar her yerde bilgisayar ve ilgili donanım ve yazılımların farklı boyutlarda, ancak yaygın olarak kullanıldığını görmekteyiz. Bütün bu kullanım ağı içerisinde gerçekleştirilen faaliyetlerde, bilginin edinilmesi ve kullanılması kadar bilginin korunması ve güvenli bir biçimde saklanması da büyük önem taşımaktadır. Geçmişte bilginin kapalı kapılar ardında fiziksel önlemlerle güvende tutulması sağlanabiliyorken, artık insanların oturdukları yerden bu fiziksel önlemlerin hiçbiri ile karşı karşıya gelmeden bilgiye erişmesi mümkün olabilmektedir. Doğal olarak bilginin sahibi kişi ve kuruluşlar, genellikle bu bilgiyi korumak için yaygın olarak bilinen ve kullanılan bazı önlemlere başvurmaktadır. Ancak orta ve büyük ölçekli işletmelerin ve kurumların karmaşık yapıları ve bu yapılar üzerindeki insan faktörü, bilişim sistemlerinde zayıf noktalar oluşmasına imkan vermektedir. Bu noktada, bilgi güvenliği konusunda geliştirilen ve bu alanda en iyi uygulamaları kapsayan standart ve metodolojilerin uygulanması ihtiyacı doğmaktadır. Bu standartlar arasında en yaygın ve dünyaca kabul edilebilir konumda olan standart ISO 27001'dir.

ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Bu standart yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak amacıyla tasarlanmıştır. Büyük ya da küçük bütün kuruluşların, bulunduğu bölgeden bağımsız bu standardı uygulaması mümkündür. Özellikle bilişim, finans, kamu, güvenlik ve sağlık sektörü gibi bilginin korunmasının kritik olduğu alanlarda bu standardın uygulanması bir gerekliliktir. ISO 27001 standardı güvenlik için kuruluşlara nasıl bir yol sunmaktadır?

Bilgi, kuruluşlar için önemli bir varlıktır. Bu varlık, yapı içerisinde yazılı dokümanlar, bilgisayar dosyaları, elektronik postalar, sms, vb. şekillerde bulunabilir, saklanabilir veya aktarılabilir. Bilgi güvenliği, bilginin gizliliğinin (confidentiality), bütünlüğünün (integrity) ve erişilebilirliğinin (availability) korunmasıdır. Öncelikle ISO 27001, güvenliğin araçlarla (yazılım) değil süreç yaklaşımıyla çözülmesini aşılamayı hedeflemektedir. Çünkü hiçbir yazılım tamamen güvenli değildir ve kullanıcı hatalarının tümünü engelleyemez. ISO 27001 Güvenlik Teknikleri: BGYS: Gereksinimler dokümanı, bir Bilgi Güvenliği Yönetim Sistemi'ni kurmak, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır.

ISO 27001 5 ana madde, 11 ana kotrol maddesi ve 133 kontrolden oluşur:

• Ana maddeler:

  • Bilgi Güvenliği Yönetim Sistemi (BGYS)
  • Yönetim Sorumlulukları
  • İç BGYS Denetimleri
  • BGYS'nin Yönetimsel Gözden Geçirilmesi
  • BGYS'nin Geliştirilmesi

• Ana kontrol maddeleri:

  • Güvenlik Politikası
  • Bilgi Güvenliği Organizasyonu
  • Varlık Yönetimi
  • İnsan Kaynakları Güvenliği
  • Fiziksel ve Çevresel Güvenlik
  • İletişim ve İşletme Yönetimi
  • Erişim Kontrolü
  • Bilgi Sistemleri Devralma, Geliştirme ve Bakımı
  • İş Sürekliliği Yönetimi
  • Uyum

Alangoya Bilgi Teknolojileri, bu sürecin başından ISO 27001 standardının belgelendirilmesi aşamasına kadar, aktif katılım ve danışmanlık hizmetleri ile kuruluşlara destek vermektedir. Bu hizmetlerin bazıları:

1. 1. Aşama

   1. Kurum varlıklarının analizi ve dokümantasyonu (varlık envanteri)
   2. Sızma (penetrasyon) testlerinin yapılması
   3. Kavramsal testler
   4. Kullanıcı anketlerinin yapılması
   5. Bileşen testleri
   6. Risklerin tespit edilmesi (değerlendirme) ve risk analizi dokümanlarının hazırlanması
   7. BGYS politika ve prosedürlerinin hazırlanması
   8. Bilgi işlem BGYS ve farkındalık eğitimleri
   9. Son kullanıcı eğitimleri

2. 2. Aşama

   1. Risk analizlerinde ortaya çıkan açıkların giderilmesi
   2. BGYS sisteminin entegrasyonu ve PUKÖ döngüsünün aktif hale getirilmesi
   3. İç denetimin yapılması
   4. Belgelendirme için başvuru ve gerekli takipler

3. Ek Hizmetler

   • İhtiyaç duyulan sistem ve güvenlik yazılımlarının kurulması, yapılandırılması ve yönetimi
   • Sistem entegrasyonu
   • Yazılım geliştirme kod ve güvenlik danışmanlığı
   • Ek hizmetler ile ilgili bütün eğitimler

ISO 27001, danışmanlık ve diğer hizmetlerimiz ile ilgili bilgi almak veya sorularınızı iletmek için lütfen bize yazın. Size yardımcı olmaktan mutluluk duyarız.

ITIL/COBIT

ITIL, Bilgi Teknolojisi Altyapı Kütüphanesi (IT Infrastructure Library) anlamına gelmektedir. Bilişim hizmetleri alanındaki en iyi uygulamaların (best practices) bir araya getirilmesi ile oluşturulmuş bir kütüphanedir. Bir metodoloji olarak da tanımlanabilir, çünkü uygulanması sonucu bilişim hizmetlerinde dikkate değer iyileşmeler elde etmek mümkündür.

ITIL metodolojisi küçük ya da büyük ölçekli bütün kuruluşlarda uygulanabilir. Uygulama hedefleri:

• Maliyetlerin düşürülmesi
• Kapasite planlaması
• Erişilebilirliğin arttırılması
• Kaynakların daha verimli kullanılması
• Hizmet kalitesinin ölçülmesi ve arttırılması

olarak özetlenebilir. Olay Yönetimi, Problem Yönetimi, Değişiklik Yönetimi, Konfigürasyon Yönetimi, Sürüm Yönetimi, Kullanılabilirlik Yönetimi, Kapasite Yönetimi, Hizmet Seviyesi Yönetimi gibi alanları kapsar.

COBIT (Control Objectives for Information and Related Technology - Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri), bilgi teknolojileri yönetimi için hazırlanan bir modeldir. Kurum ve işletmelerin iş hedefleri doğrultusunda kalite, güvenlik ve hukuksal ihtiyaçlara cevap verecek şekilde istenen hizmetleri sağlaması amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar.

COBIT içerisinde 4 ana başlık ve bu başlıklar altında toplam 34 süreç bulunmaktadır. Ana başlıklar şunlardır:

1. Planlama ve Organizasyon
2. Edinim ve Kurulum
3. Hizmet ve Destek
4. İzleme ve Değerlendirme