COBIT ITIL ve ISO27001

ISO ve Standartlara Genel Bakış, ISO 27001’ye göre Bilgi ve Bilgi Güvenliği – Bölüm 1

 

Herkesin bir yerlerden duyduğu ISO 27001 Bilgi Güvenliği Yönetim Sistemi hakkında bilgi aktaracağım bu serinin başında, ISO, standartları, ISO 27001’ye göre bilgi ve bilgi güvenliği hakkında kısa kısa bilgiler vermek istiyorum.

 

 

 

image001

 

 

 

International Organization for Standardization (IOS, Uluslararası Standartlar Örgütü) bütün teknik ve teknik dışı konularda uluslararası standartlar geliştiren ve yayınlayan dünyanın en büyük kuruluşudur. Teşkilatın merkezi Cenevre, İsviçre’de olup 1947 yılında kurulmuştur.

 

 

 

image002

 

 

 

Şu anda 163 üye ülkeye sahip olan kuruluşa; Türkiye, Türk Standartları Enstitüsü (TSE) ile üye ülkeler arasındadır.

 

 

Dikkat ettiyseniz International Organization for Standardization kısaltılmışı aslında IOS’dur. Peki ISO nereden geliyor? Teşkilatın İngilizcedeki adı International Organization for Standardization (IOS), Fransızcadaki adı Organisation Internationale de Normalisation (OIN)’dir. Farklı dillerde farklı kısaltmalar kullanılmasının önüne geçmek ve buna da bir standart getirmek için teşkilat, Yunanca “eşit” anlamına gelen “isos” kelimesinden “ISO” kısaltmasını türetmiştir. Hangi ülke hangi dili kullanırsa kullansın bu kısaltmayı kullanmaktadır.

 

 

Peki standart nedir ve faydaları nelerdir?

 

 

Basit anlamda standart, birşeyler yapmak için üzerinde anlaşılmış ve tekrarlanabilir yoldur. Standart, teknik spesifikasyonlar içeren ya da kesin kriterler ile tasarlanmış tutarlı kurallar, kılavuzluk bilgileri veya tanımlamalar içeren basılı bir dokümandır. Standartlar kullandığımız birçok eşyanın ya da hizmetin etkinliğini ve güvenilirliğini artırmak ve hayatı kolaylaştırmak için hazırlanırlar. Genel uygulamaları değil, üzerinde anlaşılmış en iyi uygulamaları tarifler.

 

 

Standartlar gönüllü kullanım için tasarlanırlar, herhangi bir yasal düzenleme tarafından dayatılmazlar. Ancak bazı durumlarda yasalar, uygunluğun sağlanabilmesi için standartları referans olarak gösterebilir ve zorunlu tutabilir. Örneğin kredi kartlarının fiziksel özellikleri ve boyutları ile ilgili standart olan BS EN ISO/IEC 7810:1996. Kredi kartlarının bütün dünyadaki bütün ilgili makinelerde kullanılabilmesi için bu standart zorunlu kılınmıştır.

 

 

Her standart kollektif bir çalışmanın ürünüdür. Üretici komiteleri, kullanıcılar, araştırma kurumları, hükümet departmanları, tüketiciler bir araya gelerek teknolojinin ve sosyal hayatın ihtiyaçlarına en iyi cevabı verebilecek uygulamaları bir araya getirirler ve bir taslak oluştururlar.

 

 

Standartlar her büyüklükteki kuruluş için yenilikçiliği destekleyen ve verimliliği artıran en güçlü araçlardır. Standartlara uyumlu çalışma rekabet gücünü, karlılığı artırır, yeni pazarlara girmenizi sağlar. Standartlar bir kuruluşun:

 

 

ü  Müşteri güvenini sağlamasına

ü  Pazardaki liderliğini göstermesine

ü  Rekabetçi avantajlar sağlamasına

ü  En iyi uygulamaları geliştirmesine ve sürdürmesine yardım eder.

 

 

ISO’nun Yayınladığı ve Sıklıkla Görebileceğiniz Standartlardan Bazıları

 

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

 

 

ISO 20000 Bt Hizmet Yönetimi

 

 

ISO 9001 Kalite Yönetim Sistemi

 

 

ISO 14001 Çevre Yönetimi

 

 

ISO 22000 Gıda Güvenliği Yönetimi

 

 

ISO 50001 Enerji Yönetimi

 

 

Standart İsimlerinin Açıklaması

 

 

Standartlara ait bazı logolar ve isimler göreceksiniz. Bunları kısaca açıklamak gerekirse:

 

 

 

image003

 

 

 

K-Q TS ISO EN 9001:2008

 

 

K-Q: ISO 9001 Kalite Yönetimi olduğu için K, türkçe Kalitenin baş harfi, Q ise ingilizce Quality’nin baş harfidir. Bu kısaltma genelde ülke ülke değişebileceği gibi her standart içinde farklıdır. Mesela ISO 22000 Gıda Güvenliği Yönetimindeyse G-F yani Gıda (G) – Food (F)’dur.

 

 

TS: Türk Standardı

 

 

ISO: Uluslar arası Standart Enstitüsü.

 

 

EN: Avrupa Normu

 

 

9001: Standart Numarası

 

 

2008: Revizyon Yılı

 

 

ISO, standartları belirli aralıklar ile gözden geçirmekte ve uygulayıcıların görüşleri ve ihtiyaçları doğrultusunda gerekli revizyonları yaparak yeniden yayınlamaktadır.

 

 

 

image004

 

 

 

TS ISO/IEC 27001:2005’de gördüğünüz gibi ISO gibi bir kurum olan International Electrotechnical Commission (IEC), Uluslararası Elektroteknik Komisyonu’da bu standart’a katkı sağlıyor ve kabul ediyor.

 

 

TS ISO/IEC 27001:2005’ye göre Bilgi;

 

 

 

image005

 

 

 

“Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.” ISO 27001

 

 

Günümüz koşullarına baktığımızda bilginin önemi ve korunma gereksinimi her geçen gün daha da artmaktadır. Gelişen ve değişen çalışma ortamları, bilginin biçimini değiştirdiği gibi bilginin çeşitli zayıflıklardan ve tehditlerden etkilenmesi olasılığını da artırmıştır.

 

 

Bilgi saklanma biçimlerine göre aşağıdaki gibi sınıflandırılabilir.

 

 

Ø  Yazılı (sözleşmeler, faturalar vb) tüm belgelerde

Ø  Elektronik ortamlarda (sunucularda, ortak alanlarda, bilgisayarlarda, usb belleklerde vb)

Ø  Sözle (telefon konuşmalarında vb.), e-posta ve ya posta olarak taşınabilir ortamlarda

Ø  Çalışanların hafızalarında (şifreler, ticari bilgiler vb)

 

 

Hızla değişen teknolojiyle bu biçimlerden bazıları sonlanabileceği gibi yenileri de eklenebilir. İşte bu değişim ve gelişimden dolayı sürekli olarak bilginin güvenliğinin tekrar ve tekrar sorgulanması ve kontrol edilmesi gerekmektedir.

 

 

TS ISO/IEC 27001:2005’ye göre Bilgi Güvenliği;

 

 

 

image006

 

 

 

“Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özeklileri de kapsar.” olarak tanımlanmaktadır.

 

 

Yukarıdaki cümleye ekleme yapabileceğimiz aşikârdır ama bilginin güvenliğinden bahsederken temelde üç unsurdan bahsetmemiz gereklidir. Bunlar;

 

 

Kullanılabilirlik, yetkili bir kişi, varlık veya prosesin bilgiyi talep ettiğinde bilginin erişilebilir ve kullanılabilir olma özelliğidir. Sorun veya problem olması durumu da dâhil olmak üzere bilgi her durumda yetkilisi tarafından erişilebilir ve kullanılabilir olmalıdır.

 

 

Gizlilik, bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir olmaması ya da açıklanmamasını gerektirir. Bilginin aynı anda hem kullanılabilirliğinin olması hem de gizliliğinin sağlanması çok hassas bir konudur ve çok dikkat edilmelidir.

 

 

Bütünlük, kullanılabilirliği ve gizliliği sağlanmış bilginin kasıtlı veya kasıtsız olarak içeriğinin değiştirilmemiş olmasını ifade eder. Depolandığı yerde ve aktarılırken doğru ve tam olduğunun yani doğru şekilde işlendiğinin ve yetkisiz bir şekilde değiştirilmediğinden garantilenmesi gerekir.

 

 

Kaynaklar:

www.iso.org

http://www.bsi-turkey.com/

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu