Bilgi Güvenliği

ISO 27001 Politikaları

11 Haziran 2020 yorumlara kapalı
ISO 27001 Politikaları

ISO 27001 Bilgi Güvenliği, uluslararası bir standarttır. Kurum ve kuruluşların, kendilerinin, çalışanlarının ve müşterilerinin verilerini, güvende tutmalarına ve yönetmelerini sağlayan bir ISO belgesidir. Bilgi ve veri, kuruluşlar için en önemli hazine olarak sayılmaktadır ve kaybedildiğinde geri dönülemez zararlar açabilmektedir. ISO 27001 Bilgi Güvenliği Yönetimi ise verilerin hem gizliğini hem de güvenli şekilde saklanmasını sağlayacak bir dizi önlemleri barındırır. Belgenin verdiği zorunluluklar ile, kurum ve kuruluşlar, finansal verilerini, fikri mülkiyetlerini, istihdam ettiği personeller ve çalışanların kişisel bilgilerini ve müşterilerinin bilgilerini korurlar. Kurum ve kuruluşlar ISO 27001 belgesi almak istediğinde bir dizi politikalara da uymayı taahhüt eder.

ISO 27001 Bilgi Güvenliği Yönetimi Politikaları

ISO 27001 belgesi almak ve ISO 27001 standartlarını uygulamak için ISO 27001 danışmanlık kuruluşlarından destek almak gerekmektedir. Bu kuruluşlar, firmanız veya kuruluşunuz için gerekli politikalar konusunda eğitimler vererek, verilerinizin güvende ve gizli şekilde tutulmasını sağlayacaklardır. Aynı zamanda bu belge, ISO 27001 belgesine önem veren, diğer kurum ve kuruluşlar tarafından da, ticart konusunda firmanızı ön plana çıkartacaktır. Bilgi sistemlerinizi güvende tutup, veri güvenliğindeki riski yüzde oranında artıracaktır.

ISO 27001 belgesi alırken ve yönetirken bir dizi önlem ve politikalar almak zorundasınız. ISO 27001 politikaları nelerdir ve ne için gereklidir?

ISO 27001 politikaları, kurum veya kuruluşunuzun fikri ve mülki bilgilerini, finans bilgilerinizi, önem derecesi yüksek dokümanlarınızı korumak için alınacak tedbirlerdir. Aynı zamanda, çalışanlarınızın kişisel ve resmi bilgileri ile müşterilerinizin kişisel bilgilerini, gizleme ve koruma adına alınmış tedbirlerdir. Buna göre, ISO 27001 politikaları şu şekildedir;

  • İçeriden veya dışarıdan, bilinmesi halinde veya bilinmemesi halinde, gelebilecek her türlü tedbire karşı önlemler almak.
  • Önem taşıyan bilgilere, belgelere, dokümanlara veya görsellere yetkisiz girişlerin önlenmesini sağlamak.
  • Bilgilerin doğruluk ve bütünlüğü sağlamak.
  • Belirli bilgi ve belgelere sadece yetkisi olan kişilerin erişimi. Kısaca yetkilendirme yapmak.
  • Personel güvenlik politikası
  • Virüs, spy gibi zarar verici yazılımlar için antivirüs politikası
  • Bilgilerin tutulduğu, sunucuların bulunduğu sistem odasının güvenliğini, sağlayıp yetkisiz girişlerin erişmemesini sağlamak.
  • Bilgi teknolojilerindeki, sunucu gibi donanımların güvenliği ve sürekliliğini sağlamak.
  • Oluşabilecek veri kaybına karşı, yedekleme politikası belirlemek ve denetlemek. Yani bilgi sistem yedekleme politikası oluşturmak
  • Veri imha politikaları oluşturup, kişisel bilgiler içeren ve önemli bilgilerin imha prosedürü oluşturmak
  • Personel güvenlik politikası oluşturmak.
  • Bilgi Güvenliği Yönetimi eğitimlerini tüm personele vererek bilinçlendirmeyi ve farkındalığı sağlamak.

Kısaca ISO 27001 politikaları bu şekildedir. Bu politikalar, tamamen bilgi güvenliği, kişisel verileri koruma ve gizli tutma işlemleri gerekmektedir. Politikaların dışında ISO 27001 prosedürleri de bulunmaktadır.

ISO 27001 Bilgi Güvenliği Yönetimi Prosedürleri

ISO 27001 politikaları, genel olarak ISO 27001 Bilgi Güvenliği Yönetiminizin ana ağacını belirlemektedir. Daha sonra da bir dizi prosedürleri uygulamanız gerekecektir. ISO 27001 için prosedürleri şu şekilde sıralayabiliriz.

  • Değişim yönetimleri politikası
  • Bilgi ve yazılım alışverişi prosedürleri
  • Sunucu güvenliği prosedürleri
  • Risk yönetimleri prosedürü
  • Disiplik prosedürü
  • Olay ve yetki ihlalleri prosedürü
  • İşin süreklilik arz etmesi prodüsürü
  • Kullanıcı hesapları yönetim talimatları
  • Şifre politikaları (şifrelerin ne sıklıkta değiştirileceği, şifrelerde uymanız gereken komplikasyonlar)
  • Antivirüs programları talimatları
  • Sistem odası giriş çıkış ve yetki prosedürleri
  • Sistem odası kullanım talimatı
  • Sunucu bakım talimatları
  • Yedek cihazları kullanma ve bakım talimatları
  • Yedek silme ve imha prosedürleri
  • Varlıkları teslim prosedürleri
  • Kişisel verileri koruma kanununa uyumluluk prosedürleri
  • Yeni bilgisayarlar için kontrol listesi
  • Yazılım gereksinimleri belirleme prosedürleri
  • Web, VPN gibi uygulamalar için güvenlik prosedürleri

ISO 27001 aşamaları bu şekilde olmakla birlikte, daha çok fazla sayıda prosedür belirlenebilir. Tabi bu politikalar ve prosedürler de ISO 27001 belgesi için yetmeyecek ve log ismi verilen günlük kayıtlarını da belirli periyotlarda saklamanız gerekecektir. Aşağıdaki bilgi güvenliği dokümanlarını kayıt altına etmeniz gerekecektir.

  • Bilgi güvenliği risk değerlendirmeleri
  • Olay ihlalinde bulunduğunda ortaya çıkan kayıtlar
  • Üçüncü taraf ile yapılan sözleşmeler
  • Envanter kayıtları
  • Sızma testleri ve yapılan sızma testlerinin logları (günlük kayıtları)
  • Envanterlerin kayıtları
  • Bilgi Güvenliği Mevzuatına uygunluğu gösteren kayıtlar.

Görüldüğü üzere, ISO 27001 Bilgi Güvenliği Yönetimi politikalar ve prosedürleri, verilerin güvenlik ve gizlilik politikalarını içermektedir. Belirlenen politikalar ve prosedürler, kurum ve kuruluşlar için, riski minimum seviyeye indirmek amaçlı gerçekleştirilen eylemlerdir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile, aslında kendinizi, kurum veya kuruluşunuzu, çalışanlarınızı ve müşterilerinizi güvence altına olur ve verilerinin güvenliğini sağlamış olursunuz. Bu kriterler aynı zamanda ISO 27001 neden gereklidir sorusunun da cevabı mahiyetinde olmaktadır.