Bilgi Güvenlik Standartları: ISO 27001

ISO 27001, alanında çalışmak için bilmeniz gereken, bilgi güvenliği yönetimi için oldukça saygın bir uluslararası standarttır. ISO 27001, herhangi bir boyuttaki organizasyonda etkili güvenlik yönetimi için gerekli olan işlemleri ve kayıtları tanımlamak için bilgi güvenliği yönetim sistemi (ISMS) terimini kullanır.

Standardın tam adı Bilişim teknolojisi - Güvenlik teknikleri; Bilgi güvenliği ma n yönetmelik - İhtiyaçlar . Bu karmaşık ad standartın iki büyük bölümüyle ilgilidir.

Gereksinimler

Standardın gereksinimler bölümü, bir kuruluşun İSYS'yi düzgün bir şekilde yönetmesi için gerekli özellikleri açıklar. İhtiyaçlar bölümü aşağıdakilerden oluşur:

  • Kuruluşun içeriği: Bir organizasyonda standardın amaçlanan kapsamı

  • Liderlik: Etkin bir İSYS ve güvenlik politikasını sürdürmek için yürütme yönetimi taahhüdü ve güvenlikle ilgili rol ve sorumlulukları resmi olarak kurma

  • Planlama: Risk değerlendirmesi ve risk tedavisi gibi faaliyetler

  • Destek: Güvenlik ile ilgili gerekli kaynakları, eğitim ve iletişimi sağlamak

  • Belgeli bilgi: Güvenlik ile ilgili belgeler ve kayıtlarla ilgili tutarlı uygulamalar

  • Operasyon: Risk değerlendirmeleri yapma ve risk tedavisi yapma

  • Performans değerlendirmesi: Güvenlik izleme, iç denetim ve yönetim gözden geçirme

  • İyileştirme: Güvenlik süreçlerini ve kontrollerini zaman içinde daha iyi hale getirmek için fırsatları izlemek ve ele geçirmek.

Denetimler

ISO 27001'in denetimler bölümünde, aşağıdaki kategorilerde organize edilen bir dizi endüstri standardı denetimler bulunur:

  • Bilgi güvenliği ilkeleri

  • Bilgi güvenliğinin organizasyonu

  • İnsan kaynakları güvenliği

  • Varlık

  • Erişim kontrolü

  • Kriptografi

  • Fiziksel ve çevresel güvenlik

  • Operasyon güvenliği

  • İletişim güvenliği

  • Sistem edinimi, geliştirilmesi ve bakımı

  • Tedarikçi ilişkileri

  • Bilgi güvenliği olay yönetimi < İş sürekliliği yönetiminin bilgi güvenliği yönleri

  • Uyumluluk

  • ISO 27001 uyumlu hale getirme

ISO 27001'i standart olarak kullanarak güvenlik yönetim sistemini geliştirmek isteyen bir kuruluş aşağıdaki faaliyetlerden geçirecektir:

Boşluk analizi :

  • Uyumun sağlanmasında ilk adım olan bir boşluk analizi ya organizasyon tarafından ya da bir dış uzman tarafından yerine getirilir.Bir boşluk analizi, organizasyonun hangi gereksinimleri ve kontrolleri yaptığı ve uymaması gerektiğini anlamasına yardımcı olur. İyileştirme:

  • Kuruluşun uyumlu olmadığı tüm gereksinimler ve kontroller için, personelini (eğitim gibi), süreçleri ve teknolojileri uyumlu hale getirmek için değişiklikler yapabilirsiniz. Dış denetim:

  • Harici denetim yoluyla uygunluğu göstermek isteyen bir organizasyon, yetkili bir güvenlik değerlendirme firmasını, ayrıntılı bir denetim raporu ve uygunluğa ilişkin görüş ile denetim yapmak üzere görevlendirebilir. Sertifikasyon ve kayıt:

  • Bir kuruluş, bir organizasyonu ISO 27001 ile uyumlu olarak belgelendirmeye ve kaydettirmeye yetkili olan bir kuruluşu istihdam ederek daha kaliteli bir dış denetime tabi tutmayı seçebilir. Avantajı, denetim firmasının ISO 27001 denetimleriyle yüksek bir seviyede tutulmasıdır. ISO 27001 sertifikası genellikle dış denetime kıyasla daha pahalıdır, ancak bazı durumlarda gerekli olabilir. Bir organizasyondaki kişiler, eğitim alabilir ve

ISO 27001 İç Denetçi sertifikası kazanabilir. ISO 27001 uyumluluğunu taahhüt eden kuruluşlar, çoğunlukla bir ya da daha fazla çalışanı için bu sertifikayı alacaklar; bu eğitimle, ISO 27001 gereklilikleri ve kontrollerinin anlamını daha iyi anlayacak olan uygunluğun belirlenmesi için uygun teknikler yanı sıra bu eğitim de alınıyor. ISO 27001 standardının tek bir kullanıcı kopyasına maliyeti yaklaşık 300 $ 'dır. Bu maliyet, bu yüksek kalite standardının daha geniş bir şekilde benimsenmesini önleyen tek bariyerdir.