799 Bilgi Güvenliği Yönetim Sistemi

   BS7799 Bilgi Güvenliği Yönetim Sistemi

- İşletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların ya da rakiplerinizin ulaşımı ne kadar kolay?
- Sahip olduğunuz bu önemli varlığı, "bilgi” 'yi nasıl koruyorsunuz? Bunun için bir sisteminiz var mı? 

Bu soruların cevabı yakın zamanda tek bir noktada birleşecek gibi görünmekte. Çünkü günümüzde bilginin korunmasını amaçlayan BS 7799 Bilgi Güvenliği Yönetim Sistemi standardının kullanımı hızla artıyor.

Bugün kullandığımız yönetim sistemi standartlarının yaratıcısı olan BSI, yeni ürünü ile ilgili çalışmalarına hız verdi. 1979 yılında BS 5750 adıyla yayınladığı bugünün ISO 9001 Kalite Yönetim Sistemi standardını, 1992 yılında BS 7750 adıyla yayınladığı bugünün ISO 14001 Çevre Yönetim Sistemi standardını, 1996 yılında BS 8800 adıyla yayınladığı bugünkü OHSAS 18001 İş Sağlığı ve Güvenliği Yönetim Sistemi spesifikasyonunu hazırlayan BSI, bugün BS 7799:2002 revizyonu uygulamada olan ve ilk olarak 1995 yılında yayınladığı BS 7799 Bilgi Güvenliği Yönetim Sistemi Uygulama Örnekleri ile geleceği şekillendirmeye devam ediyor. 

BS7799 Bilgi Güvenliği Yönetim Sistemi 

Bir işletmenin kurumsal varlıkları nelerdir? 
Finansal varlıklar, binalar, otomobiller, üretim makineleri, çalışanlar, çalışma masaları, vs. Bu listede olmayan ancak kurumsal varlıklar arasında belki en önemlisi ve kaybedildiğinde tekrar kazanılması en zor olanı “kurumsal bilgi” dir. 

Kurumsal bilgi pek çok farklı şekilde oluşabilir, depolanabilir, saklanabilir ve dağıtılabilir. Örneğin firmaların bilgisayarlarında, çalışanların hafızasında, çalışma masaları üzerindeki kağıtlarda ve evraklarda, faks makinelerinde hatta çöp kutularında ve öğle yemeklerinde yapılan sohbetlerin içeriğinde bile tahmin edemeyeceğiniz kadar önemli ve büyük boyutta bilgi bulunmaktadır. 

- Peki işletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların ya da rakiplerinizin ulaşımı ne kadar kolay? 
- Sahip olduğunuz bu önemli varlığı - “bilgi” yi - nasıl koruyorsunuz? 
- Bunun için bir sisteminiz var mı? 

Bu soruların cevabı yakın zamanda tek bir noktada birleşecek gibi görünmekte. Çünkü günümüzde bilginin korunmasını amaçlayan BS 7799 Bilgi Güvenliği Yönetim Sistemi standardının kullanımı hızla artıyor. Bilginin güvenliği son yıllara kadar işletmelerin Bilgi Teknolojileri Departmanlarına verilmiş bir görev olarak algılanmaktaydı. Ancak, bilginin korunması bir işletmenin tüm bölümlerinin, tüm çalışanlarının görevidir. Bunun gerçekleşmesi ise bilgi güvenliği yönetim sisteminin uygulanması ve sürdürülmesi ile mümkün olmaktadır. 

BSI–British Standards Institution tarafından geliştirilmiş olan bu standardın gelişimini aşağıdaki gibi özetleyebiliriz. 

1993 – Uygulanabilirlik Şartnamesi (Code of Practice) 
1995 – İngiliz Standardı (British Standard ) 
1998 – BS 7799 Bölüm 2 (BGYS için gereklilikler) 
1999 – BS 7799 Bölüm 1 ve güncellenmiş Bölüm 2 (Tutarlı çift) 
2000 – BS ISO/IEC 17799: 2000 (BS 7799-1: 2000) 
2002 – BS 7799-2: 2002 

BS 7799 Bölüm 1; 2000 yılında Uluslararası Standardizasyon Kurumu tarafından tanındı ve BS ISO/IEC 17799:2000 olarak yayınlandı. 
İkinci bölüm hâlâ BS 7799-Bölüm 2 olarak kullanılmaktadır. 

BS ISO/IEC 17799:2000; bilgi güvenliği yönetim sistemini kurmak için işletmelere kılavuz görevi görecek nitelikte bir dokümandır. 
BS 7799-2 Ek A’daki kontrollerin nasıl uygulanacağına yönelik detaylı açıklamalar içermektedir. 

Toplam 12 bölümden oluşan standardın bölümleri aşağıdaki gibidir. 

01. Kapsam 
02. Terimler ve tarifler 
03. Güvenlik politikası 
04. Örgütsel güvenlik 
05. Varlık sınıflandırması ve denetimi 
06. Personel güvenliği 
07. Fiziki ve çevresel güvenlik 
08. İletişim ve işletim yönetimi 
09. Erişim kontrolü 
10. Sistem geliştirilmesi ve devam ettirilmesi 
11. İş sürekliliği yönetimi 
12. Uygunluk

ISO 17799 temelinde bilginin aşağıdaki niteliklerinin korunması yatmaktadır.

Gizlilik: Bilginin sadece erişim izni olanlar için erişilebilir olmasının sağlanması, 

Bütünlük: Bilginin ve bilgi işleme yöntemlerinin yeterliliğinin ve doğruluğunun sağlanması, 

Ulaşılabilirlik: Yetkisi olan kullanıcıların gerekli olduğunda bilgiye ve ilişkili varlıklara ulaşmasının sağlanması. 

BS 7799-2 ise; Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması ve dökümante edilmesi için gereklilikleri tanımlar, organizasyonlarca ihtiyaç duyulan güvenlik kontrollerini içerir. Belgelendirme BS 7799–2’ ye göre gerçekleştirilir. 

BS 7799-2 standardı 2002’de gerçekleştirilen güncelleme ile diğer yönetim sistemi standartları ile daha uyumlu hale getirilmiştir. Diğer yönetim sistemi standartları ile benzerlik gösteren iki temel nokta süreç yönetimi yaklaşımı ve PUKİ (Planla-Uygula-Kontrol Et-İyileştir) döngüsü olarak bilinen modeldir. 

Bilgi güvenliği yönetim sisteminin uygulanmasında süreç yönetimi yaklaşımının benimsenmesi ile özellikle aşağıdaki konularda fayda sağlanmaktadır;
- Süreçlerin tanımlanması 
- Süreçlerin belirlenmesi yoluyla firma varlıklarının ve dolayısıyla korunması hedeflenen bilginin belirlenmesi 
- Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi 
- Bilgi Güvenliği Yönetim Sistemi politikasının ve hedeflerinin belirlenmesi 
- Varlık sahiplerinin ve sorumluluklarının belirlenmesi 
- Risklerin yönetimi için uygulanacak kontrollerin belirlenmesi 
- Bilgi Güvenliği Yönetim Sistemi’nin etkinliğinin ölçülmesi 
- İzleme ve ölçüm sonuçlarına bağlı olarak sürekli iyileştirmenin yapılması 

"Planla-Uygula-Kontrol Et-İyileştir" (PUKİ) olarak bilinen model Bilgi Güvenliği Yönetim Sisteminin de temellerinden birisidir. BS 7799-2 açısından bu döngüyü incelediğimizde standart gerekliliklerini aşağıdaki gibi bu döngüye yerleştirebiliriz. 

"Planla" aşamasının kapsamı :
- Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi.
- Bilgi Güvenliği Yönetim Sistemi politikasının belirlenmesi. 
- Hedeflerin belirlenmesi.
- Risklerin belirlenmesi.
- Risklerin değerlendirilmesi.
- Kontrol hedeflerinin ve kontrollerin seçilmesi.
- Uygulanabilirlik Şartnamesinin hazırlanması.

"Uygula" aşamasının kapsamı :
- Risk Değerlendirme/Sağaltım (Treatment) Planının hazırlanması.
- Risk Değerlendirme/Sağaltım (Treatment) Planının uygulanması.
- Kontrol hedeflerine göre seçilmiş kontrollerin uygulanması.

"Kontrol Et" aşamasının kapsamı :
- Gözetim süreçlerini uygulamak.
- Planlanmış aralıklarla Bilgi Güvenliği Yönetim Sistemi iç denetimlerini gerçekleştirmek.
- Bilgi Güvenliği Yönetim Sisteminin etkinliğini belli aralıklarla ölçmek ve değerlendirmek. 
- Kalan risk seviyesini ve kabul edilebilir risk seviyesini gözden geçirmek.

"İyileştir" aşamasının kapsamı :
- Belirlenmiş iyileştirmeleri uygulamak.
- Gerekli düzeltici ve önleyici faaliyetleri uygulamak.
- Sonuçların ve yapılan işlemlerin iletişimini sağlamak. 
- İyileştirmelerin düşünülmüş hedeflere ulaşıp ulaşmadığını değerlendirmek.

İşletmelerin BS 7799 belgelendirmesine olan talebi her geçen gün artmaktadır. İlk BSI 7799 belgelendirmesi 1999 yılında BSI tarafından gerçekleştirilmiştir. Belge alan ilk kuruluş İngiltere’de bulunan "The Co-Operative Bank" isimli e-bankacılık yapan bir işletmedir. Şimdilerde dünyada BS 7799 belgesine sahip 1000’in üzerinde firma bulunmaktadır. Türkiye’de BS 7799–2 belgeli firma sayısı henüz bir elin parmakları kadar ancak önümüzdeki yıllarda çok sayıda BS 7799–2 belgelendirmesinin yapılması beklenmektedir.

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: 799 Bilgi Güvenliği Yönetim Sistemi GÃ¶nderim ZamanÄ±: 28-03-2011 Saat 09:59
	BS7799 Bilgi Güvenliği Yönetim Sistemi - İşletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların ya da rakiplerinizin ulaşımı ne kadar kolay? - Sahip olduğunuz bu önemli varlığı, "bilgi” 'yi nasıl koruyorsunuz? Bunun için bir sisteminiz var mı? Bu soruların cevabı yakın zamanda tek bir noktada birleşecek gibi görünmekte. Çünkü günümüzde bilginin korunmasını amaçlayan BS 7799 Bilgi Güvenliği Yönetim Sistemi standardının kullanımı hızla artıyor. Bugün kullandığımız yönetim sistemi standartlarının yaratıcısı olan BSI, yeni ürünü ile ilgili çalışmalarına hız verdi. 1979 yılında BS 5750 adıyla yayınladığı bugünün ISO 9001 Kalite Yönetim Sistemi standardını, 1992 yılında BS 7750 adıyla yayınladığı bugünün ISO 14001 Çevre Yönetim Sistemi standardını, 1996 yılında BS 8800 adıyla yayınladığı bugünkü OHSAS 18001 İş Sağlığı ve Güvenliği Yönetim Sistemi spesifikasyonunu hazırlayan BSI, bugün BS 7799:2002 revizyonu uygulamada olan ve ilk olarak 1995 yılında yayınladığı BS 7799 Bilgi Güvenliği Yönetim Sistemi Uygulama Örnekleri ile geleceği şekillendirmeye devam ediyor. BS7799 Bilgi Güvenliği Yönetim Sistemi Bir işletmenin kurumsal varlıkları nelerdir? Finansal varlıklar, binalar, otomobiller, üretim makineleri, çalışanlar, çalışma masaları, vs. Bu listede olmayan ancak kurumsal varlıklar arasında belki en önemlisi ve kaybedildiğinde tekrar kazanılması en zor olanı “kurumsal bilgi” dir. Kurumsal bilgi pek çok farklı şekilde oluşabilir, depolanabilir, saklanabilir ve dağıtılabilir. Örneğin firmaların bilgisayarlarında, çalışanların hafızasında, çalışma masaları üzerindeki kağıtlarda ve evraklarda, faks makinelerinde hatta çöp kutularında ve öğle yemeklerinde yapılan sohbetlerin içeriğinde bile tahmin edemeyeceğiniz kadar önemli ve büyük boyutta bilgi bulunmaktadır. - Peki işletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların ya da rakiplerinizin ulaşımı ne kadar kolay? - Sahip olduğunuz bu önemli varlığı - “bilgi” yi - nasıl koruyorsunuz? - Bunun için bir sisteminiz var mı? Bu soruların cevabı yakın zamanda tek bir noktada birleşecek gibi görünmekte. Çünkü günümüzde bilginin korunmasını amaçlayan BS 7799 Bilgi Güvenliği Yönetim Sistemi standardının kullanımı hızla artıyor. Bilginin güvenliği son yıllara kadar işletmelerin Bilgi Teknolojileri Departmanlarına verilmiş bir görev olarak algılanmaktaydı. Ancak, bilginin korunması bir işletmenin tüm bölümlerinin, tüm çalışanlarının görevidir. Bunun gerçekleşmesi ise bilgi güvenliği yönetim sisteminin uygulanması ve sürdürülmesi ile mümkün olmaktadır. BSI–British Standards Institution tarafından geliştirilmiş olan bu standardın gelişimini aşağıdaki gibi özetleyebiliriz. 1993 – Uygulanabilirlik Şartnamesi (Code of Practice) 1995 – İngiliz Standardı (British Standard ) 1998 – BS 7799 Bölüm 2 (BGYS için gereklilikler) 1999 – BS 7799 Bölüm 1 ve güncellenmiş Bölüm 2 (Tutarlı çift) 2000 – BS ISO/IEC 17799: 2000 (BS 7799-1: 2000) 2002 – BS 7799-2: 2002 BS 7799 Bölüm 1; 2000 yılında Uluslararası Standardizasyon Kurumu tarafından tanındı ve BS ISO/IEC 17799:2000 olarak yayınlandı. İkinci bölüm hâlâ BS 7799-Bölüm 2 olarak kullanılmaktadır. BS ISO/IEC 17799:2000; bilgi güvenliği yönetim sistemini kurmak için işletmelere kılavuz görevi görecek nitelikte bir dokümandır. BS 7799-2 Ek A’daki kontrollerin nasıl uygulanacağına yönelik detaylı açıklamalar içermektedir. Toplam 12 bölümden oluşan standardın bölümleri aşağıdaki gibidir. 01. Kapsam 02. Terimler ve tarifler 03. Güvenlik politikası 04. Örgütsel güvenlik 05. Varlık sınıflandırması ve denetimi 06. Personel güvenliği 07. Fiziki ve çevresel güvenlik 08. İletişim ve işletim yönetimi 09. Erişim kontrolü 10. Sistem geliştirilmesi ve devam ettirilmesi 11. İş sürekliliği yönetimi 12. Uygunluk ISO 17799 temelinde bilginin aşağıdaki niteliklerinin korunması yatmaktadır. Gizlilik: Bilginin sadece erişim izni olanlar için erişilebilir olmasının sağlanması, Bütünlük: Bilginin ve bilgi işleme yöntemlerinin yeterliliğinin ve doğruluğunun sağlanması, Ulaşılabilirlik: Yetkisi olan kullanıcıların gerekli olduğunda bilgiye ve ilişkili varlıklara ulaşmasının sağlanması. BS 7799-2 ise; Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması ve dökümante edilmesi için gereklilikleri tanımlar, organizasyonlarca ihtiyaç duyulan güvenlik kontrollerini içerir. Belgelendirme BS 7799–2’ ye göre gerçekleştirilir. BS 7799-2 standardı 2002’de gerçekleştirilen güncelleme ile diğer yönetim sistemi standartları ile daha uyumlu hale getirilmiştir. Diğer yönetim sistemi standartları ile benzerlik gösteren iki temel nokta süreç yönetimi yaklaşımı ve PUKİ (Planla-Uygula-Kontrol Et-İyileştir) döngüsü olarak bilinen modeldir. Bilgi güvenliği yönetim sisteminin uygulanmasında süreç yönetimi yaklaşımının benimsenmesi ile özellikle aşağıdaki konularda fayda sağlanmaktadır; - Süreçlerin tanımlanması - Süreçlerin belirlenmesi yoluyla firma varlıklarının ve dolayısıyla korunması hedeflenen bilginin belirlenmesi - Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi - Bilgi Güvenliği Yönetim Sistemi politikasının ve hedeflerinin belirlenmesi - Varlık sahiplerinin ve sorumluluklarının belirlenmesi - Risklerin yönetimi için uygulanacak kontrollerin belirlenmesi - Bilgi Güvenliği Yönetim Sistemi’nin etkinliğinin ölçülmesi - İzleme ve ölçüm sonuçlarına bağlı olarak sürekli iyileştirmenin yapılması "Planla-Uygula-Kontrol Et-İyileştir" (PUKİ) olarak bilinen model Bilgi Güvenliği Yönetim Sisteminin de temellerinden birisidir. BS 7799-2 açısından bu döngüyü incelediğimizde standart gerekliliklerini aşağıdaki gibi bu döngüye yerleştirebiliriz. "Planla" aşamasının kapsamı : - Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi. - Bilgi Güvenliği Yönetim Sistemi politikasının belirlenmesi. - Hedeflerin belirlenmesi. - Risklerin belirlenmesi. - Risklerin değerlendirilmesi. - Kontrol hedeflerinin ve kontrollerin seçilmesi. - Uygulanabilirlik Şartnamesinin hazırlanması. "Uygula" aşamasının kapsamı : - Risk Değerlendirme/Sağaltım (Treatment) Planının hazırlanması. - Risk Değerlendirme/Sağaltım (Treatment) Planının uygulanması. - Kontrol hedeflerine göre seçilmiş kontrollerin uygulanması. "Kontrol Et" aşamasının kapsamı : - Gözetim süreçlerini uygulamak. - Planlanmış aralıklarla Bilgi Güvenliği Yönetim Sistemi iç denetimlerini gerçekleştirmek. - Bilgi Güvenliği Yönetim Sisteminin etkinliğini belli aralıklarla ölçmek ve değerlendirmek. - Kalan risk seviyesini ve kabul edilebilir risk seviyesini gözden geçirmek. "İyileştir" aşamasının kapsamı : - Belirlenmiş iyileştirmeleri uygulamak. - Gerekli düzeltici ve önleyici faaliyetleri uygulamak. - Sonuçların ve yapılan işlemlerin iletişimini sağlamak. - İyileştirmelerin düşünülmüş hedeflere ulaşıp ulaşmadığını değerlendirmek. İşletmelerin BS 7799 belgelendirmesine olan talebi her geçen gün artmaktadır. İlk BSI 7799 belgelendirmesi 1999 yılında BSI tarafından gerçekleştirilmiştir. Belge alan ilk kuruluş İngiltere’de bulunan "The Co-Operative Bank" isimli e-bankacılık yapan bir işletmedir. Şimdilerde dünyada BS 7799 belgesine sahip 1000’in üzerinde firma bulunmaktadır. Türkiye’de BS 7799–2 belgeli firma sayısı henüz bir elin parmakları kadar ancak önümüzdeki yıllarda çok sayıda BS 7799–2 belgelendirmesinin yapılması beklenmektedir. Saygılar.