Günümüzde, sadece çalisanlariyla degil, müsterileri, is ortaklari ve hissedarlariyla birlikte tanimlanan kurumlarda, bilginin gizliligi, bütünlügü ve ulasilabilirligine iliskin güven ortaminin yaratilmasi, stratejik bir önem tasimaktadir.
Merkezi güvenlik sisteminde gerçek anlamda güvenligin yönetilebilmesi için sirketler, TS ISO/IEC 27001 standardinda belirtilen bilgi güvenligi yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.
Bu sayede olusturulan sistem, sadece teknoloji ile degil ayni zamanda tüm kurum çalisanlarinin da katilimiyla uygulanan is süreçlerinden olusur ki bu da sistemin devamliligin saglanmasinin garantisidir.
Bilgi Güvenligi Yönetim Sistemi standardi ISO 17799 adiyla uluslararasi bir standart olarak geçerlilik kazanmis, Türk Standardlari Enstitüsü tarafindan Türkçeye tercüme edilerek TS ISO/IEC 17799 basligi altinda Türk standardi olarak yayinlanmistir.
Standard ISO tarafindan revize edilerek 2005 yilinda ISO IEC 27001 olarak yeninen yayinlanmis, ayni tarihlerde dilimize çevrilerek Türk standardi olarak kabul edilmistir.
Türk Standardlar Enstitüsünün egitimli ve deneyimli uzman ekibi ile 2005 yili basindan beri devam ettirdigi TS ISO/IEC 27001 standard egitimi ve Sistem Belgelendirmesi çalismalari 16-19 Aralik 2008 tarihlerinde TÜRKAK tarafindan (Denetim Ekibi Alman Akreditasyon Kurumu TGA personeli Sn. Norbert BORZECK ve TGA teknik uzmani Sn Ibrahim KAPLAN) yapilan bir denetim sonrasinda akredite edilmistir.
TSE Personel ve Sistem Belgelendirme Merkezi Baskanligi bünyesinde yürütülen faaliyetler kapsaminda verilen TS ISO/IEC 27001 belgesi belgelendirilen kurulus ve Türk Standardlari Enstitüsü arasinda yapilan sözlesme çerçevesinde enstitü tarafindan kurulus adina düzenlenen, kurulusun basvuruya esas olan yönetim sisteminin incelenerek, ilgili yönetim sistemi standardina uygun bulundugunu gösteren, geçerlilik süresi üç yil olan belgedir.
Süreç; kurulusun basvurusunun degerlendirilme asamasi ile baslayarak planlama ile devam eder. Merkez ve bölgelerdeki planlama sorumlulari tarafindan tetkik durumlarina göre gerçeklestirilecek faaliyetler Asama I Tetkik (Masa Basi), Asama I Tetkik (Saha), ÖnTetkik, Belgelendirme (Asama II), Belge Yenileme olarak aylik plana alinir.
Müracaat eden kurulus yapilan tetkik sonucu yönetim sisteminin ilgili standard sartlarina uygun oldugunun belirlenmesi ve TSE Yürütme Komitesinin olumlu karar vermesi ile belge almaya hak kazanir.
Türk Standardlari Enstitüsü belgelendirme süreci tetkik ekibi yaninda Yürütme, Itiraz ve Tarafsizligi koruma komitelerinin görev aldigi, gizlilik, belge sözlesme yönetimi ve müsteri sikayetleri degerlendirme yükümlülüklerinin çalistirildigi bütünsel bir süreç ve ekip isidir.
Belgelendirilmis bir Bilgi Güvenligi Yönetim Sisteminde kritik is çiktilari resimde görüldügü gibidir ve Bilgi sistemlerini, aglari, sahiplerini bilgisayar destekli sahtekârlik, casusluk, sabotaj, yikicilik, yangin ve sel gibi çok genis kaynaklardan gelen tehdit ve tehlikelerden koruyarak bilginin gizliligi, güvenilirligi ve elverisliligi; rekabet gücünün, nakit akisinin, karliligin, yasal yükümlülüklerin ve ticari imajin korunmasi ve sürdürülmesini saglar.
Sekil 1 Bilgi Güvenligi Yönetim Sistemde Kritik Is Çiktilari
Kuruluslar için Temel Seviye Yol Haritasi
- Kapsamin Tanimlanmasi
- Ekip olusturulmasi ve Stratejinin Belirlenmesi
- Egitim Ihtiyacinin Degerlendirilmesi
- Bilgi varliklarinin saptanmasi
- Bilgi varliklarinin degerinin belirlenmesi
- Risk belirlenmesi
- Sizma/Dalis/Entegrasyon/Teknik Uyum Testleri
- Risk Analizi
- Kontrollerden istenen güvence derecesinin belirlenmesi
- Kontrol Hedeflerinin ve Kontrollerin Saptanmasi
- Dokümantasyonun hazirlanmasi
- Prosedürlerin ve dokümanlarin uygulamaya alinmasi
- Iç Denetimlerin yapilmasi
- Yönetimin Gözden Geçirilmesinin yapilmasi
- Belgelendirme için basvuru
- Belgelendirmenin gerçeklesmesi
KAYNAK: Microsoft
