13 Eylül 2018

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi

Bilgi, kuruluşunuzun faaliyetleri ve belki devamı için büyük bir önem taşır. ISO/IEC 27001 Belgesi değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur. ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır. ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

ISO 27001:2013 KİMİ İLGİLENDİRİR?

ISO 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi büyük öneme sahip olduğu alanlarda özellikle gereklidir. ISO 27001, bilgi teknolojileri taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir. Müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir. ISO 27001 alma zorunluluğu olan sektörler şunlardır:

Görev sözleşmesi imzalayan firmalar.

İmtiyaz sözleşmesi imzalayan firmalar.

Uydu haberleşme hizmeti veren firmalar.

Altyapı işletmeciliği hizmeti veren firmalar.

Sabit telefon hizmeti veren firmalar.

GMPCS mobil telefon hizmeti veren firmalar.

Sanal mobil şebeke hizmeti veren firmalar.

İnternet servis sağlayıcıları.

Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar.

E-fatura özel entegratör yetkisi almak isteyen firmalar.

Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçı firmalar.

Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar.

Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar

ISO 9001:2015 Faydaları

Sunulan hizmetler konusunda güvence vermek,

Çalışanlarda kalite bilincini arttırmak ve çalışanların memnuniyetlerini sağlamak,

Tedarikçilerin seçiminde, değerlendirilmesinde ve takibinde kolaylık sağlamak,

Kurum içi yetki ve sorumlulukların tespitinde ve dağıtılmasında kolaylık sağlamak,

Kurum faaliyetlerinin standartlaştırılmasını sağlayacak dokümantasyonu (altyapıyı) oluşturulmak,

Geçmişe yönelik kayıtların düzenli bir şekilde tutulmasını sağlayacak altyapıyı oluşturulmak,

Veriler ve istatistiksel ölçümler doğrultusunda durum analizlerini yapılabilmek ve geleceğe yönelik kararlarda bu analiz sonuçlarını kullanmak,

Uygun olmayan ürün/hizmetleri en aza indirmek,

Zaman ve diğer kaynakların daha etkin kullanımı ile verim artışını sağlamak.

ISO/IEC 27001 İle İlgili Terim Ve Kavramlar

Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.

Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.

Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.

Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi. Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.

Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.

Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.

İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.

İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.

Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.

Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.

Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.

Yasal takipleri önler.

Yüksek prestij sağlar.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurma Aşamaları:

Varlıkların sınıflandırılması.

Gizlilik, bütünlük ve erişe bilirlik kriterlerine göre varlıkların değerlendirilmesi.

Risk analizi.

Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme.

Dokümantasyon oluşturma.

Kontrolleri uygulama.

İç tetkik.

Kayıtları tutma.

ISO 27001 Belgesi Nerelerde Zorunludur

(EPDK), Petrol, Elektrik, Doğalgaz Piyasası’ndaki Firmalar26.12.2014 tarihli ve 29217 sayılı Resmî Gazete ‘de yayımlanan değişikliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK), Petrol, Elektrik, Doğalgaz Piyasası’ndaki firmalar için ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmayı zorunlu hale getirmiştir.

Söz konusu piyasalardaki lisans sahipleri 01.03.2016’dan itibaren Türk Akreditasyon Kurumu’ndan (TÜRKAK) akredite olmuş bir belgelendirme kurumundan ISO 27001 belgesini almakla yükümlüdür.

Yetkilendirilmiş Yükümlü Statüsü Kapsamındaki FirmalarT.C. Gümrük ve Ticaret Bakanlığı tarafından, 10 Ocak 2013 tarihli Resmî Gazete’ de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında hayata geçirilen, Yetkilendirilmiş Yükümlü statüsü; gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına (ISO 27001 ve ISO 9001) sahip firmalara veriliyor. Söz konusu statüye sahip üretici ve ihracatçı firmaların ilk avantajı olan yerinde gümrükleme ile ihracata yönelik gümrük işlemleri firmanın kendi tesislerinde kolaylıkla yapılıyor. Gümrüğe gelmesine ve gümrükte beklemesine gerek kalmayan firma, kendi tesisinde güvenle işlemlerini gerçekleştiriyor. Böylelikle hem zamandan hem de operasyon maliyetlerinden tasarruf ediyor. Ayrıca, gerçekleştirilen sertifikasyon sayesinde söz konusu firmaların piyasadaki prestiji de artıyor.

T.C. Gümrük ve Ticaret Bakanlığı’nca hazırlanan, “150 soruda Yetkilendirilmiş Yükümlü Statüsü” kitapçığı için arama yapınız.

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği için arama yapınız.

Fatura Hizmeti Verecek Özel Entegratör FirmalarGelir İdaresi Başkanlığı- Denetim ve Uyum Yönetimi Daire Başkanlığı’nın Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda, e-Fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgeleri alma zorunluluğu getirildiği bildirilmektedir. Özel Entegratör Firma

Bilgi güvenliği için TS ISO IEC 27001 veya ISO 27001 belgelerine.

İş sürekliliği (Societal security – Business continuity) için ISO 22301 belgesine.

Bilgi Teknolojileri Hizmet Yönetimi Sistemi için TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.