TS ISO/IEC 27001 ve Uluslararası Akreditasyonu
Günümüzde, sadece çalışanlarıyla değil, müşterileri, iş ortakları ve hissedarlarıyla birlikte tanımlanan kurumlarda, bilginin gizliliği, bütünlüğü ve ulaşılabilirliğine ilişkin güven ortamının yaratılması, stratejik bir önem taşımaktadır.
Merkezi güvenlik sisteminde gerçek anlamda güvenliğin yönetilebilmesi için şirketler, TS ISO/IEC 27001 standardında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.
Bu sayede oluşturulan sistem, sadece teknoloji ile değil aynı zamanda tüm kurum çalışanlarının da katılımıyla uygulanan iş süreçlerinden oluşur ki bu da sistemin devamlılığın sağlanmasının garantisidir.
Bilgi Güvenliği Yönetim Sistemi standardı ISO 17799 adıyla uluslararası bir standart olarak geçerlilik kazanmış, Türk Standardları Enstitüsü tarafından Türkçeye tercüme edilerek TS ISO/IEC 17799 başlığı altında Türk standardı olarak yayınlanmıştır.
Standard ISO tarafından revize edilerek 2005 yılında ISO IEC 27001 olarak yeninen yayınlanmış, aynı tarihlerde dilimize çevrilerek Türk standardı olarak kabul edilmiştir.
Türk Standardlar Enstitüsünün eğitimli ve deneyimli uzman ekibi ile 2005 yılı başından beri devam ettirdiği TS ISO/IEC 27001 standard eğitimi ve Sistem Belgelendirmesi çalışmaları 16-19 Aralık 2008 tarihlerinde TÜRKAK tarafından (Denetim Ekibi Alman Akreditasyon Kurumu TGA personeli Sn. Norbert BORZECK ve TGA teknik uzmanı Sn İbrahim KAPLAN) yapılan bir denetim sonrasında akredite edilmiştir.
TSE Personel ve Sistem Belgelendirme Merkezi Başkanlığı bünyesinde yürütülen faaliyetler kapsamında verilen TS ISO/IEC 27001 belgesi belgelendirilen kuruluş ve Türk Standardları Enstitüsü arasında yapılan sözleşme çerçevesinde enstitü tarafından kuruluş adına düzenlenen, kuruluşun başvuruya esas olan yönetim sisteminin incelenerek, ilgili yönetim sistemi standardına uygun bulundugunu gösteren, geçerlilik süresi üç yıl olan belgedir.
Süreç; kuruluşun başvurusunun değerlendirilme aşaması ile başlayarak planlama ile devam eder. Merkez ve bölgelerdeki planlama sorumluları tarafından tetkik durumlarına göre gerçekleştirilecek faaliyetler Aşama I Tetkik (Masa Başı), Aşama I Tetkik (Saha), ÖnTetkik, Belgelendirme (Aşama II), Belge Yenileme olarak aylık plana alınır.
Müracaat eden kuruluş yapılan tetkik sonucu yönetim sisteminin ilgili standard şartlarına uygun oldugunun belirlenmesi ve TSE Yürütme Komitesinin olumlu karar vermesi ile belge almaya hak kazanır.
Türk Standardları Enstitüsü belgelendirme süreci tetkik ekibi yanında Yürütme, İtiraz ve Tarafsızlığı koruma komitelerinin görev aldığı, gizlilik, belge sözleşme yönetimi ve müşteri şikayetleri değerlendirme yükümlülüklerinin çalıştırıldığı bütünsel bir süreç ve ekip işidir.
Belgelendirilmiş bir Bilgi Güvenliği Yönetim Sisteminde kritik iş çıktıları resimde görüldüğü gibidir ve Bilgi sistemlerini, ağları, sahiplerini bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden koruyarak bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar
Şekil 1 Bilgi Güvenliği Yönetim Sistemde Kritik İş Çıktıları
Kuruluşlar için Temel Seviye Yol Haritası
Kapsamın Tanımlanması
Ekip oluşturulması ve Stratejinin Belirlenmesi
Eğitim İhtiyacının Değerlendirilmesi
Bilgi varlıklarının saptanması
Bilgi varlıklarının değerinin belirlenmesi
Risk belirlenmesi
Sızma/Daliş/Entegrasyon/Teknik Uyum Testleri
Risk Analizi
Kontrollerden istenen güvence derecesinin belirlenmesi
Kontrol Hedeflerinin ve Kontrollerin Saptanması
Dokümantasyonun hazırlanması
Prosedürlerin ve dokümanların uygulamaya alınması
İç Denetimlerin yapılması
Yönetimin Gözden Geçirilmesinin yapılması
Belgelendirme için başvuru
Belgelendirmenin gerçekleşmesi
KAYNAK: Microsoft
Konu: ts isoiec 27001 ve uluslararasi akreditasyonu 