ISO 27001 Bilgi Güvenliği Yönetim Sistemi için 2013 Yılında Gelen Yenilikler ve Temel Bilgiler

1. ISO27001 Temel Bilgiler
ve
2013 Versiyonu ile Gelen
Değişiklikler

2. İçerik
1. Temel Yönetim Sistemi Kavramları
2. ISO27001:2013 Özet Kapsamı
3. 2013 Versiyonu ile Gelen Farklar

3. I. TEMEL YÖNETİM SİSTEMİ
KAVRAMLARI

4. DEMING DÖNGÜSÜ

5. TEMEL BAŞARI (HEDEFE ULAŞMA) METODU
Amacı belirle
Amaçla ilgili
kapsamı
belirle
Amaca ulaşmayı
riske sokabilecek
durumları belirle
Bu riskleri ele
alma imkanlarını
değerlendir
Riskleri ele al
Kontrol
operasyonları
nı yürüt

6. SÜREKLİ YÖN VERME, İZLEME VE ÖLÇME
Risk değerlendirme sürecini yürüt
Kontrol etkinliklerini ve risk yönetim sürecini
değerlendir
Gerekli iyileştirmeleri gerçekleştirildiğinden emin ol
Amaçlar veya amaçla ilgili kapsamda olan değişiklikler
karşısında gerekli ek çalışmaları gerçekleştir
YÖNETİŞİM (GOVERNANCE)

7. II. ISO27001:2013 ÖZET
KAPSAMI

8. ISO27001 NEDİR ?
ISO27001 ‘BİLGİ
GÜVENLİĞİ
PROBLEMİ’NİN
YÖNETİLEBİLMESİ İÇİN
GELİŞTİRİLMİŞ OLAN
‘YÖNETİM SİSTEMİ
GEREKSİNİMLERİ’Nİ
İÇEREN STANDART
BELGESİDİR

9. ISO27001 BÖLÜMLERİ
Madde 4 - Kuruluşun bağlamı
• 4.1 Kuruluşun ve bağlamının anlaşılması
• 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
• 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
Madde 5 - Liderlik
• 5.1 Liderlik ve bağlılık
• 5.2 Politika
• 5.3 Kurumsal roller, sorumluluklar ve yetkiler
Madde 6 - Planlama
• 6.1 Risk ve fırsatları ele alan faaliyetler
• 6.1.1 Genel
• 6.1.2 Bilgi güvenliği risk değerlendirmesi
• 6.1.3 Bilgi güvenliği risk işleme
• 6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama

10. ISO27001 BÖLÜMLERİ
Madde 7 - Destek
• 7.1 Kaynaklar
• 7.2 Yeterlilik
• 7.3 Farkındalık
• 7.4 İletişim
• 7.5 Yazılı bilgiler
• 7.5.1 Genel
• 7.5.2 Oluşturma ve güncelleme
• 7.5.3 Yazılı bilgilerin kontrolü

11. ISO27001 BÖLÜMLERİ
Madde 8 - İşletim
• 8.1 İşletimsel planlama ve kontrol
• 8.2 Bilgi güvenliği risk değerlendirme
• 8.3 Bilgi güvenliği risk işleme
Madde 9 - Performans değerlendirme
• 9.1 İzleme, ölçme, analiz ve değerlendirme
• 9.2 İç tetkik
• 9.3 Yönetimin gözden geçirmesi
Madde 10 - İyileştirme
• 10.1 Uygunsuzluk ve düzeltici faaliyet
• 10.2 Sürekli iyileştirme

12. ISO27001 EK-A BÖLÜMLERİ
A5 Bilgi Güvenliği Politikaları
A6 Bilgi Güvenliği Organizasyonu
A7 İnsan Kaynakları Güvenliği
A8 Varlık Yönetimi
A9 Erişim Kontrolü
A10 Kriptografi
A11 Fiziksel ve Çevresel Güvenlik
A12 İşletim Güvenliği
A13 Haberleşme Güvenliği
A14 Sistem Temini, Geliştirme ve Bakımı
A15 Tedarikçi İlişkileri
A16 Bilgi Güvenliği İhlal Olayı Yönetimi
A17 İş Sürekliği Yönetiminin Bilgi Güvenliği Hususları
A18 Uyum

13. PERİYODİK YÖNETİŞİM FAALİYETLERİ
• 6.1.2 Bilgi güvenliği risk değerlendirmesi
• 7.3 Farkındalık
• 7.4 İletişim
• 8.2 Bilgi güvenliği risk değerlendirme
• 9.1 İzleme, ölçme, analiz ve değerlendirme
• 9.2 İç tetkik
• 9.3 Yönetimin gözden geçirmesi
• 10.1 Uygunsuzluk ve düzeltici faaliyet

14. III. 2013 VERSİYONU İLE GELEN
FARKLAR

15. 2013 VERSİYONU FARKLARI
Yeni Madde: Madde 4 Kuruluşun Bağlamı
• Kuruluşun ve bağlamının anlaşılması (4.1) maddesiyle ilgili
analiz ve dokümantasyonun gerçekleştirilmesi
• İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması (4.2)
maddesi ile ilgili analiz ve dokümantasyonun
gerçekleştirilmesi

16. 2013 VERSİYONU FARKLARI
Yeni Madde: Madde 7.4 İletişim
• Madde 7.4’ün gerektirdiği iletişim programının hazırlanması

17. 2013 VERSİYONU FARKLARI
Yeni Yaklaşım: Hedefleme ve Ölçme Bağlantısı, Hedefleme ile
İlgili Detaylı Tanımlama
• Bilgi güvenliği politikası’nın bilgi güvenliği hedeflerini içerecek
biçimde güncellenmesi
• Bilgi güvenliği hedeflerinin belirlenmesi, bu hedeflerin
sonuçlarının nasıl değerlendirileceğinin ve standardın
gerektirdiği diğer hedef özelliklerinin tespiti
• İzlenecek ve ölçülecek kontrol güvenlik süreç ve kontrollerinin
güvenlik hedefleri ile ilişkili biçimde tanımlanması ve
ölçümlerin gerçekleştirilmesi

18. 2013 VERSİYONU FARKLARI
Yeni Yaklaşım: Risk Değerlendirme Yaklaşımı ile ilgili
Değişikliklerin Değerlendirilmesi
• Risk analizi çalışmasında risk sahiplerinin belirlenmesi ve
belirtilmesi
• Risk analizinde getirilen daha gevşetilmiş yaklaşım ile
düzenleme ihtiyaçlarının birlikte değerlendirilmesi ve gerekli
görülürse yaklaşım değişikliğinin gerçekleştirilmesi

19. 2013 VERSİYONU FARKLARI
Yeni Yaklaşım: Bilgi Güvenliği ile ilgili (Temel) Rol ve
Sorumlulukların Net Biçimde Atanması ve İletişimi
• Bilgi güvenliği ile ilgili rol ve sorumlulukların resmi biçimde
atanması ile ilgili çalışmaların ve dokümantasyonun yapılması

20. 2013 VERSİYONU FARKLARI
İçerik Değişikliği: Uygulanabilirlik Bildirgesi’nin 2013
Versiyonuna Uygun Olarak Yeniden Düzenlenmesi
• Uygulanabilirlik bildirgesinin Ek-A’daki değişikliklere uygun
biçimde yeniden düzenlenmesi (114 kontrol alanının gözden
geçirilmesi) (133 -> 114)

21. 2013 VERSİYONU FARKLARI
İçerik Değişikliği: BGYS prosedürlerinin elden geçirilmesi
• Mevcut BGYS prosedürlerinin ISO27001:2013’teki
değişiklikleri yansıtacak biçimde güncellenmesi (Risk Analiz
Prosedürü, BGYS Planlama, Uygulama ve Kontrol Etme
Prosedürü, v.d.)

22. BTRisk Hakkında
2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri bilgi
güvenliği problemine yönetim kurulu seviyesinden sistem odası uygulamasına kadar uzanan alanda çözüm üretmektedir.
BTRisk bilgi güvenliği problemini görünür hale getirerek algılanmasını, anlaşılmasını ve dolayısıyla ele alınmasını mümkün hale
getirmektedir.
BTRisk bilgi güvenliği problemine karşı geliştirdiği yaklaşımları gerçek hayat koşullarında test etmiş ve uygulanabilir hale getirmiştir.
Bilgi güvenliği ve BT yönetişim hizmet alanlarımız aşağıdaki gibidir:
Pentest Hizmetleri
Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Bilgi Güvenliği Operasyon Hizmetleri
Teknik Güvenlik Denetim Eğitimleri
Yönetişim ve Denetim Eğitimleri
Özgün ürünlerimiz aşağıdaki gibidir:
5651 Uyumlu Wi-Fi ve Kablolu Bilgi Güvenliği Risk Analizi Tek Kullanımlık Parola
Ağ Hotspot Çözümü ve Denetim Uygulaması Çözümü

23. blog.btrisk.com @btrisk /btrisktv /btrisk