ISO 27001 nedir?

ISO 27001 ve KVKK

Bilgi güvenliği ISO 27001 ile kurallaştırılmıştır. Dolayısı ile ISO 27001 KVKK sürecinde yapılması gerekenleri bir sisteme dönüştürmüş ve kişisel verilerin korunması kanuna uygun çalışabilmek için bir gereklilik haline gelmiştir. Comel, firmaların ISO 27001 sertifikasyonu için gerekli teknik alt yapı kurulumlarını ve danışmanlık hizmetlerini sunar.

ISO 27001 nedir?

(ISO) tarafından Uluslararası Elektroteknik Komisyonu (IEC) ile ortaklaşa yayınlanan bilgi güvenliğine odaklanan önde gelen uluslararası standarttır. Her ikisi de uluslararası standartlar geliştiren lider uluslararası kuruluşlardır.

kvkk cezalar
veri sorumlusu kimdir

Neden ISO 27001?

ISO 27001, herhangi bir büyüklükteki veya herhangi bir sektördeki kuruluşların, bir Bilgi Güvenliği Yönetim Sisteminin (ISMS) benimsenmesiyle bilgilerini sistematik ve uygun maliyetli bir şekilde korumalarına yardımcı olmak için geliştirilmiştir.

ISO27001 Danışmanlık

Comel, 1991’den beri birçok firmaya Kurumsal İş Çözümleri, Sistem Entegrasyon, Bilgi Güvenliği kapsamında “GELECEĞİNİZİ YÖNETEN ÇÖZÜMLER” vizyonu ile verimliliği arttıran, operasyon maliyetlerini düşüren çözümler oluşturmaktadır.

KVKK uyum sürecinizde kişisel verilerin korunmasına yönelik alınacak teknik tedbirlere ISO 27001 sertifikası ile global standartlar ve güvenlik sağlamaktadır..

ISO 27001 süreçlerinde amaç ;

  • Gizlilik : Sadece yetkili kişilerin bilgiye erişme hakkı
  • Dürüstlük : Bilgileri yanlızca yetkili kişiler değiştirebilir
  • Kullanılabilirlik : Bilgiye gerektiğinde sadece yetkili kişilerin erişebilmesi gerekir.
  • Bilgi güvenliği açısından paydaşları ve şirketin beklentilerini tanımlamak
  • Bilgi için hangi risklerin mevcut olduğunu belirleme
  • Belirlenen beklentileri karşılamak ve riskleri ele almak için kontrolleri (güvenceler) ve diğer etki azaltma yöntemlerini tanımlamak
  • Bilgi güvenliği ile neyin başarılması gerektiği konusunda net hedefler belirlemek
  • Tüm kontrolleri ve diğer risk değerlendirme çözümlerini uygulamak
  • Uygulanan kontrollerin beklendiği gibi çalışıp çalışmadığını sürekli ölçmek
  • Tüm bilgi güvenliği sisteminin daha iyi çalışmasını sağlamak için sürekli iyileştirme yapmak

ISO 27001

Neden ISO 27001'e ihtiyacınız Var?

Bir şirketin bu bilgi güvenliği standardının uygulanmasıyla elde edebileceği dört temel iş avantajı vardır:

Yasal gerekliliklere uyun – bilgi güvenliği ile ilgili giderek artan sayıda yasa, yönetmelik ve sözleşme gereksinimi vardır ve iyi haber şu ki, çoğu ISO 27001 uygulanarak çözülebilir – bu standart size mükemmel bir yöntem sağlar.

Rekabet avantajı elde edin – şirketiniz sertifika alır ve rakipleriniz onaylanmazsa, bilgilerini güvende tutmaya duyarlı olan müşterilerin gözünde onlara karşı bir avantajınız olabilir.

Daha düşük maliyetler – ISO 27001’in ana felsefesi, güvenlik problemlerinin olmasını önlemektir – büyük ya da küçük her problemin maliyeti vardır. Bu nedenle, onları önleyerek şirketiniz çok fazla para tasarrufu sağlayacaktır. Ve en iyisi – ISO 27001’e yatırım, elde edeceğiniz maliyet tasarruflarından çok daha küçük.

Daha iyi organizasyon – tipik olarak, hızlı büyüyen şirketlerin süreçlerini ve prosedürlerini durduracak ve tanımlayacak zamanları yoktur – sonuç olarak, çalışanlar genellikle ne, ne zaman ve kim tarafından yapılması gerektiğini bilmezler. ISO 27001’in uygulanması bu tür durumların çözümlenmesine yardımcı olur, çünkü şirketleri ana süreçlerini (güvenlikle ilgili olmayanlar bile) yazmaya teşvik eder ve çalışanlarının kaybettiği zamanı azaltmalarını sağlar.

ISO 27001 Nasıl Çalışır?

ISO 27001’in bağımsız çalışmadığına dikkat etmek önemlidir. Bunun yerine, mevcut güvenlik risklerini incelemek ve mevcut tehditlere ve güvenlik açıklarına dayalı olarak uygun önlemleri almak için yönetim tarafından veri girişi gerektirir. Yönetim, mevcut sorunları ele almak için kendi güvenlik kontrollerini veya diğer risk yönetimi biçimlerini (riskten kaçınma veya risk transferi) yaratmalı ve uygulamalıdır.

En iyi uygulama, ISO 27001 onaylı kapsamlı bir güvenlik yönetim sürecini benimsemektir. Bu, güvenlik denetimlerinizin kuruluşunuz için gerekli olan standartları sürekli olarak karşılamasını sağlar.

Bununla birlikte, böyle bir sistem olsa bile, tehditlere yanıt vermek ve sistemde iyileştirmeler ve değişiklikler yapmak için zaman zaman manuel işlem yapmanız gerekecektir. Güvenlik kontrolleri çok önemlidir, bu nedenle sisteminizin mümkün olduğunca verimli çalışmasını sağlamak için gerekli zamanı ayırmanız çok önemlidir. Comel olarak 1991 yılından bu yana pek çok müşterimiz için sistem iyileştirmeleri ve teknik alt yapı desteği vermekteyiz. Sizlerde işletmenizi bize emanet edin ve sıkıntılardan uzak kalın.

ISO 27001 için Gereksinimler Nelerdir?

ISO 27001 için zorunlu gereklilikler 4-10 arasındaki maddelerinde tanımlanmıştır – bu, tüm bu gereksinimlerin standarda uymak istiyorsa bir kuruluşta uygulanması gerektiği anlamına gelir. Ek A’daki kontroller, yalnızca Uygulanabilirlik Beyanında geçerli olarak beyan edildiği takdirde uygulanmalıdır.

Bölüm 4-10 arasındaki gereksinimler aşağıdaki gibi özetlenebilir:

Madde 4: Kuruluşun bağlamı – dış ve iç meseleleri, ilgili tarafları ve onların gereksinimlerini anlamak ve ISO 27001 kapsamını tanımlamak için gereksinimleri tanımlar.

Madde 5: Liderlik – üst yönetim sorumluluklarını, üst düzey Bilgi Güvenliği Politikasının rollerini ve sorumluluklarını ve içeriğini belirler.

Madde 6: Planlama – risk değerlendirmesi, risk tedavisi, Uygulanabilirlik Beyanı, risk tedavisi planı ve bilgi güvenliği hedeflerinin belirlenmesi için gereksinimleri tanımlar.

Madde 7: Destek – kaynakların kullanılabilirliği, yeterlilikler, farkındalık, iletişim ve belge ve kayıtların kontrolü için gereksinimleri tanımlar.

Madde 8: Operasyon – risk değerlendirmesi ve tedavisinin yanı sıra bilgi güvenliği hedeflerine ulaşmak için gerekli kontrolleri ve diğer süreçleri tanımlar.

Madde 9: Performans değerlendirme – izleme, ölçme, analiz, değerlendirme, iç denetim ve yönetimin gözden geçirilmesi için gereksinimleri tanımlar.

Madde 10: İyileştirme – Uygunsuzluklar, düzeltmeler, düzeltici faaliyetler ve sürekli iyileştirme gerekliliklerini tanımlar.

ISO 27001 ile gelen Politika ve Kontroller

ISO 27001 Ek A’da A.5 ila A.18 bölümlerinde düzenlenen 14 “alan” vardır. Bölümler aşağıdakileri kapsar:

A.5. Bilgi güvenliği politikaları : Bu bölümdeki kontroller, bilgi güvenliği politikalarının nasıl ele alınacağını açıklamaktadır.

A.6. Bilgi güvenliğinin organizasyonu : Bu bölümdeki kontroller, dahili organizasyonunu (ör. Roller, sorumluluklar, vb.) Tanımlayarak ve proje yönetimi gibi bilgi güvenliğinin organizasyon açısından durumu aracılığıyla bilgi güvenliğinin uygulanması ve işletilmesi için temel bir çerçeve sağlar. , mobil cihazların kullanımı ve uzaktan çalışma.

A.7. İnsan kaynakları güvenliği : Bu bölümdeki kontroller kuruluşun kontrolü altındaki kişilerin güvenli bir şekilde işe alınmasını, eğitilmesini ve yönetilmesini sağlar; ayrıca disiplin cezası ve anlaşmaların feshi ilkeleri de ele alınmaktadır.

C.8. Varlık yönetimi : Bu bölümdeki kontroller, bilgi güvenliği varlıklarının (ör. Bilgi, işleme cihazları, depolama cihazları, vb.) Tanımlanmasını, güvenlikleri için sorumlulukların belirlenmesini ve insanların bunları önceden tanımlanmış sınıflandırmaya göre nasıl ele alacaklarını bilmelerini sağlar. seviyeleri.

A.9. Erişim kontrolü : Bu bölümdeki kontroller, gerçek iş ihtiyaçlarına göre bilgi ve bilgi varlıklarına erişimi sınırlar. Kontroller hem fiziksel hem de mantıksal erişim içindir.

A.10. Şifreleme : Bu bölümdeki kontroller, bilgilerin gizliliğini, gerçekliğini ve / veya bütünlüğünü korumak için şifreleme çözümlerinin uygun kullanımı için temel sağlar.

A.11. Fiziksel ve çevresel güvenlik : Bu bölümdeki kontroller, fiziksel alanlara yetkisiz erişimi engeller ve ekipman ve tesislerin insan veya doğal müdahalelerle tehlikeye atılmasını önler.

A.12. İşlem güvenliği : Bu bölümdeki denetimler, işletim sistemleri ve yazılımlar da dahil olmak üzere bilgi sistemlerinin veri kaybına karşı güvenli ve korunmasını sağlar. Ayrıca, bu bölümdeki denetimler olayları kaydetme ve kanıt oluşturma, güvenlik açıklarının periyodik olarak doğrulanması ve denetim faaliyetlerinin işlemleri etkilemesini önlemek için önlemler alma araçlarını gerektirir.

A.13. İletişim güvenliği : Bu bölümdeki kontroller, ağ altyapısını ve servislerini ve bunlardan geçen bilgileri korur.

A.14. Sistem alımı, geliştirilmesi ve bakımı : Bu bölümdeki kontroller, yeni bilgi sistemleri satın alırken veya mevcut olanları yükseltirken bilgi güvenliğinin dikkate alınmasını sağlar.

A.15. Tedarikçi ilişkileri : Bu bölümdeki denetimler, tedarikçiler ve ortaklar tarafından gerçekleştirilen dış kaynaklı etkinliklerin de uygun bilgi güvenliği denetimlerini kullanmasını sağlar ve üçüncü taraf güvenlik performansının nasıl izleneceğini açıklar.

A.16. Bilgi güvenliği olay yönetimi : Bu bölümdeki kontroller, güvenlik olaylarının ve olaylarının doğru iletişimini ve işlenmesini sağlamak, böylece zamanında çözebilecekleri bir çerçeve sunmaktadır; ayrıca delilleri nasıl koruyacaklarını ve tekrarlarını önlemek için olaylardan nasıl öğreneceklerini de tanımlarlar.

A.17. İş sürekliliği yönetiminin bilgi güvenliği yönleri : Bu bölümdeki kontroller, aksaklıklar sırasında bilgi güvenliği yönetiminin sürekliliğini ve bilgi sistemlerinin kullanılabilirliğini sağlar.

A.18. Uyumluluk : Bu bölümdeki kontroller, yasal ve sözleşmeye bağlı ihlallerin önlenmesi ve bilgi güvenliğinin uygulanıp uygulanmadığını ve ISO 27001 standardının tanımlanan politikalarına, prosedürlerine ve gereksinimlerine göre etkili olup olmadığını denetlemek için bir çerçeve sunmaktadır.

Bu alanlara daha yakından bakıldığında, bilgi güvenliğini yönetmenin yalnızca bilgisayar ve network güvenliği (yani güvenlik duvarları, virüsten korunma vb.) İle ilgili değil, aynı zamanda süreçleri yönetme, yasal koruma, insan kaynaklarını yönetme, fiziksel koruma vb.

Uygulamadan sertifikasyona kadar projeniz boyunca size destek olabiliriz. Size nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi için

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir