SlideShare a Scribd company logo

Iso 27001

Download as PPTX, PDF
A
Alperen Albayrak

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Technology
1 of 19
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 140307016 – Alperen Albayrak 140307021 – Burak Karaismailoğlu
İÇERİK • Bilgi Nedir? • Bilgi Güvenliği Nedir? – Bilgi Güvenliğini Sağlayıcı Önlemler • ISO Nedir? • ISO 27001 Nedir? – ISO 27001 Standardının Yapısı – ISO 27001 EK-A Kontrolleri ve Standartları – ISO 27001 Standardının Genel Özellikleri – ISO 27001 Kimileri İlgilendirir? – ISO 27001 Uygulamanın Avantajları • Bilgi Güvenliği Yönetim Sistemi – ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları – Bilgi Güvenliği Yönetim Sistemi Neden Gereklidir? • ISO 27001 Sertifikası Nasıl Alınır? • Kaynakça 2
Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi, kuruluşunuzun faaliyetleri ve devamı için büyük bir önem taşır. 3 BİLGELİK, iyi-kötü, doğru-yanlış, etik veya etik değil değerlendirmelerinin yapılabildiği yerdir. BİLGİ, zamanla farklı kaynaklardan sentezlenen enformasyonun teorilere veya yapılara oturtulmasıdır. Tecrübe ve öngörülerden etkilenir. ENFORMASYON, verinin bir bağlamı içersinde anlamlı şekilde düşünülmesidir. Verirnin amacı ve bir anlamı oluşur. VERİ, gelen mesajların anlamlandırılmamış halidir. Knowledge Pyramid
Erişilebilirlik (Availability) • Bilgi yetkili kullanıcı için istediği zaman erişilebilir olmalıdır. Bütünlük (Integrity) • Bilgi yalnızca yetkili kullanıcı tarafından değiştirilebilir olmalıdır. Gizlilik (Confidentiality) • Bilgiyi yalnızca yetkili kullanıcı görebilmelidir.  Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ortadan kaldırılma ve hasar verilmesini önlemek olarak tanımlanır.  “Gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir.  Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur. 4
Bilgi Güvenliğini Sağlayıcı Önlemler Çalışanlar için güvenlik farkındalığı eğitimi Bilgi altyapısı için katmanlı bir güvenlik sistemi oluşturma Periyodik sızma testleri yaptırma Giren/çıkan veri trafiğini izleme Anti-virüs ve zararlı yazılım önleyici çözümler kullanma Kullanıcı adı ve parola dışında farklı erişim kontrolleri kullanma Uygulama yazılım açıklarını minimize etme, bunları güncel tutma Veri sınıflandırma standardı oluşturma ve uygulama Gizli bilgiler için şifreleme teknikleri kullanma Gizli bilgilere erişimi kısıtlama 5
 Uluslararası Standartlar Organizasyonu'nun kısaltılmış halidir.  1947 yılında kurulmuş olup, merkezi İsviçre'nin Cenevre Şehri'ndedir.  Kuruluş amacı; dünya çapında geçerliliği olacak şekilde standartlar yayınlamak ve böylelikle ürünlerin/hizmetlerin uluslararası dolaşımına katkıda bulunmaktır. nternational tandardization rganization 6
 ISO 27001 BGYS (Bilgi Güvenliği Yönetim Sistemi); ISO'nun (Uluslararası Standartlar Kuruluşu) en kapsamlı standartlarından bir tanesidir.  Kurum ve kuruluşların hayatlarını sürdürebilmeleri ve varlık değerlerini artırabilmeleri için gerekli en değerli varlıkları olan "BİLGİ“’yi korumayı amaçlar.  Diğer ISO sertifikalarında olduğu gibi kendi kapsamındaki sistemin kurulmasından, güvenliğinden, devamlılığından, geliştirilmesi ve denetlenmesinden sorumludur.  Bütün bunları yaparken gizlilik, bütünlük ve erişilebilirlik durumlarını göz önüne alarak değerlendirir.  ISO 27001 güvenlik üzerine oluşturulan bir standart olmasının yanı sıra bütünlük ve erişilebilirlik kapsamında kaynak yönetimi, sistemlerin izlenmesi, envanter yönetimi, olayların yönetilmesi, iş sürekliliği, risk yönetimi gibi bir çok kavramı kapsamına almaktadır. 7
8  Standardın kapsamı  Atıf yapılan standartlar  Terimler tarifler  Kuruluşun bağlamı  İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması  Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi  Bilgi güvenliği yönetim sistemi  Liderlik  Politika  Kurumsal roller, sorumluluklar ve yetkiler  Planlama  Destek  Operasyon  Performans Değerlendirme  İzleme, ölçme, analiz ve değerlendirme  Yönetimin gözden geçirmesi  İyileştirme
9  A.5 Bilgi Güvenliği Politikası  A.6 Bilgi Güvenliği Organizasyonu  A.7 İnsan Kaynakları Güvenliği  A.8 Varlık Yönetimi  A.9 Erişim Kontrolü  A.10 Kriptografi  A.11 Fiziksel ve Çevresel Güvenlik  A.12 İşletim Güvenliği  A.13 İletişim Güvenliği  A.14 Sistem Edinim, Geliştirme ve Bakım  A.15 Tedarikçi İlişkileri  A.16 Bilgi Güvenliği Olay Yönetimi  A.17 İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönü  A.18 Uyum
 Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.  İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.  Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.  Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.  Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez. 10 ISO 27001’den bahsederken karıştırılan ve dikkatle alınması gereken şey ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz. Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
 ISO 27001 Bilgi Güvenliği Sistemi, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.  ISO 27001 sertifikasyonu, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir. 11
 Müşteri, tedarikçi, çalışan ve tüm taraflara güven verir  Ulusal ve uluslar arası pazarlarda rekabet gücünü arttırır  Bilginin gizlilik, erişebilirlik ve bütünlüğünü sağlar  Yasal yükümlülüklere uyumun kontrolü için bir yapı oluşturur  Bilgi varlıklarına yönelik tehditlere karşı önlemler alır  Riskler analiz edilir ve işlenerek etkileri azaltılır  Bilgi varlıklarını koruyacak bir yönteme sahip olunur  Bilgi güvenliği açıkları tespit edilir ve tedbirleri alınır  Acil durumlara verilen tepki kabiliyeti gelişir  İş sürekliliğini kesintiye uğratacak durumlar azaltılır  Kuruluşun yönetim sistemine değer katar  Her türlü veri kaybı ihtimallerini ortadan kaldırır  Sürekli iyileştirme yapabilmek için imkân verir 12
13  Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.  Sisteminin Kurulmasının Planlaması  Organizasyondaki altyapıyla ilgili bilgilerin toplanması  yapılan işin niteliği  misyon  yerleşim noktaları  Risk yönetimini gerçekleştirecek sorumlular ,  Mevcut durumda organizasyonun güvenlik durumu,  BGYS’nin kapsamını belirleyecek bilgiler; lokasyonlar, işlemler, iş fonksiyonları, bilgi, bilgi teknolojileri,  BGYS’nin kapsamının belirlenmesi,  BGYS’nin hedefi ,  BGYS’nin kurulması için çalışma programının oluşturulması,  BGYS’nin kurulması ve sürekliliği için gerekli olan süreçlerin belirlenmesi.
 Varlıkların sınıflandırılması,  Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,  Risk analizi, (Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.)  Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,  Dokümantasyon oluşturma,  Kontrolleri uygulama,  Kayıtları tutma,  Yönetimin gözden geçirmesi,  Belgelendirme. 14
15  Güvenlik teknolojiden ziyade insan faktörüne bağlıdır,  Çalışanlar yabancılardan daha fazla tehdit oluşturur.  Güvenlik bir zincir gibidir, en zayıf halkası kadar kuvvetlidir.  Güvenliğin üç faktörü vardır, İşlevsellik, maliyet ve risk derecesi,  Güvenlik bir durumdur, çalışan bir süreç değildir kontrolü daha zordur, “Güvenlik bir yönetimsel sorun değil, bütünüyle teknik bir konudur”
 Kuruluş, Bilgi Güvenliği Yönetim Sistemi standardın gereksinimlerini karşılayacak şekilde kurduktan sonra, bu sistemin belgelendirilmesi için bir sertifikasyon kuruluşu ile anlaşır.  Sertifikasyon kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereksinimlerini karşılayıp karşılamadığını tespit etmek üzere bir sertifikasyon denetimi yapar.  Bu denetim sonucunda sertifikasyon kuruluşu, kurulmuş olan bilgi güvenliği sisteminin ilgili standardın gereksinimlerinin yeterince karşılandığına karar verirse, kuruluşun bilgi güvenliği sistemini belgelendirir. 16
17
http://www.ocdanismanlik.com/iso-27001-bilgi-guvenligi-yonetim-sistemi.asp http://www.btyon.com.tr/iso-27001-belgesi.php https://www.kiwa.com.tr/iso-27001-kiwa http://www.isobelgesi.gen.tr/ https://www.iso.org/ http://www.belgelendirme.com.tr/belgelendirme-standartlari/iso-27001-standart/177- iso-27001-bilgi-guvenligi-gereksinimi-nedir http://www.bmtrada.com.tr/27001BrosurA4.pdf http://www.kum.com.tr/post/iso-270012013-standardinin-yapisi-ve-maddeleri http://www.btyon.com.tr/iso27001-bgys-uygulama-egitimi.php
Iso 27001

Recommended

Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet Bilişim
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuLostar
 
PCI DSS Hizmetler Sunumu
PCI DSS Hizmetler SunumuPCI DSS Hizmetler Sunumu
PCI DSS Hizmetler SunumuATEŞ SÜNBÜL
 
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAINLostar
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

Recommended

Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet Bilişim
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuLostar
 
PCI DSS Hizmetler Sunumu
PCI DSS Hizmetler SunumuPCI DSS Hizmetler Sunumu
PCI DSS Hizmetler SunumuATEŞ SÜNBÜL
 
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAINLostar
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİFerhat CAMGÖZ
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme YazılımıKişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme YazılımıSAYGIN SAMAN
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 ismsRECIPA
 
Iso27001 2013 bilgilendirme
Iso27001 2013 bilgilendirmeIso27001 2013 bilgilendirme
Iso27001 2013 bilgilendirmeATİLLA ÜSKÜPLÜ
 
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİTURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİMEB Adalar Halk Eğitim Merkezi
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
 
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Marketing& Communication
 
Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?ALİ CAN AKSAKAL
 
Mirsis Kurumsal Tanıtım
Mirsis Kurumsal TanıtımMirsis Kurumsal Tanıtım
Mirsis Kurumsal TanıtımMirsis Bilgi Teknolojileri
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarSalih Islam
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiBGA Cyber Security
 
18 sayfalar.pdf
18 sayfalar.pdf18 sayfalar.pdf
18 sayfalar.pdfYunusEmreKK1
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
ISO ve Diğer Standartlar.pptx.pptx
ISO ve Diğer Standartlar.pptx.pptxISO ve Diğer Standartlar.pptx.pptx
ISO ve Diğer Standartlar.pptx.pptxHakan ATAY
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
1 ISO 9001’in Avantajları
1 ISO 9001’in Avantajları1 ISO 9001’in Avantajları
1 ISO 9001’in AvantajlarıHARUN PEHLIVAN
 
NSS Teknoloji KVKK Sunumu
NSS Teknoloji KVKK SunumuNSS Teknoloji KVKK Sunumu
NSS Teknoloji KVKK SunumuSAYGIN SAMAN
 
Mercure
MercureMercure
MercureNooshafarin Mir-Abdollahi
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY
 

More Related Content

What's hot

ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİFerhat CAMGÖZ
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme YazılımıKişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme YazılımıSAYGIN SAMAN
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 ismsRECIPA
 

What's hot (6)

ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
 
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme YazılımıKişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
Kişisel Verileri Dinamik Maskeleme - Silme ve Anonimleştirme Yazılımı
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 isms
 
Iso27001 2013 bilgilendirme
Iso27001 2013 bilgilendirmeIso27001 2013 bilgilendirme
Iso27001 2013 bilgilendirme
 

Similar to Iso 27001

ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
 
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Marketing& Communication
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarSalih Islam
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
ISO ve Diğer Standartlar.pptx.pptx
ISO ve Diğer Standartlar.pptx.pptxISO ve Diğer Standartlar.pptx.pptx
ISO ve Diğer Standartlar.pptx.pptxHakan ATAY
 
1 ISO 9001’in Avantajları
1 ISO 9001’in Avantajları1 ISO 9001’in Avantajları
1 ISO 9001’in AvantajlarıHARUN PEHLIVAN
 
NSS Teknoloji KVKK Sunumu
NSS Teknoloji KVKK SunumuNSS Teknoloji KVKK Sunumu
NSS Teknoloji KVKK SunumuSAYGIN SAMAN
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY
 
KOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi Sistemleri
KOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi SistemleriKOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi Sistemleri
KOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi SistemleriOnur Sümer
 
Usulsuzluk veri analizi_turkce
Usulsuzluk veri analizi_turkceUsulsuzluk veri analizi_turkce
Usulsuzluk veri analizi_turkceekinilhan2005
 
guvenlik yonetim 106.pdf
guvenlik yonetim 106.pdfguvenlik yonetim 106.pdf
guvenlik yonetim 106.pdfYunusEmreKK1
 
Kurumsal Risk Yönetimi Eğitimi
Kurumsal Risk Yönetimi Eğitimi Kurumsal Risk Yönetimi Eğitimi
Kurumsal Risk Yönetimi Eğitimi Gokhan Polat
 

Similar to Iso 27001 (20)

TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİTURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
 
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
 
Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?
 
Mirsis Kurumsal Tanıtım
Mirsis Kurumsal TanıtımMirsis Kurumsal Tanıtım
Mirsis Kurumsal Tanıtım
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
 
18 sayfalar.pdf
18 sayfalar.pdf18 sayfalar.pdf
18 sayfalar.pdf
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
ISO ve Diğer Standartlar.pptx.pptx
ISO ve Diğer Standartlar.pptx.pptxISO ve Diğer Standartlar.pptx.pptx
ISO ve Diğer Standartlar.pptx.pptx
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
 
1 ISO 9001’in Avantajları
1 ISO 9001’in Avantajları1 ISO 9001’in Avantajları
1 ISO 9001’in Avantajları
 
NSS Teknoloji KVKK Sunumu
NSS Teknoloji KVKK SunumuNSS Teknoloji KVKK Sunumu
NSS Teknoloji KVKK Sunumu
 
Mercure
MercureMercure
Mercure
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri Katalogu
 
KOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi Sistemleri
KOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi SistemleriKOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi Sistemleri
KOBİ'ler için Bilgi Yönetimi ve Yönetim Bilgi Sistemleri
 
Usulsuzluk veri analizi_turkce
Usulsuzluk veri analizi_turkceUsulsuzluk veri analizi_turkce
Usulsuzluk veri analizi_turkce
 
guvenlik yonetim 106.pdf
guvenlik yonetim 106.pdfguvenlik yonetim 106.pdf
guvenlik yonetim 106.pdf
 
Kurumsal Risk Yönetimi Eğitimi
Kurumsal Risk Yönetimi Eğitimi Kurumsal Risk Yönetimi Eğitimi
Kurumsal Risk Yönetimi Eğitimi
 

Iso 27001

  • 1. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 140307016 – Alperen Albayrak 140307021 – Burak Karaismailoğlu
  • 2. İÇERİK • Bilgi Nedir? • Bilgi Güvenliği Nedir? – Bilgi Güvenliğini Sağlayıcı Önlemler • ISO Nedir? • ISO 27001 Nedir? – ISO 27001 Standardının Yapısı – ISO 27001 EK-A Kontrolleri ve Standartları – ISO 27001 Standardının Genel Özellikleri – ISO 27001 Kimileri İlgilendirir? – ISO 27001 Uygulamanın Avantajları • Bilgi Güvenliği Yönetim Sistemi – ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları – Bilgi Güvenliği Yönetim Sistemi Neden Gereklidir? • ISO 27001 Sertifikası Nasıl Alınır? • Kaynakça 2
  • 3. Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi, kuruluşunuzun faaliyetleri ve devamı için büyük bir önem taşır. 3 BİLGELİK, iyi-kötü, doğru-yanlış, etik veya etik değil değerlendirmelerinin yapılabildiği yerdir. BİLGİ, zamanla farklı kaynaklardan sentezlenen enformasyonun teorilere veya yapılara oturtulmasıdır. Tecrübe ve öngörülerden etkilenir. ENFORMASYON, verinin bir bağlamı içersinde anlamlı şekilde düşünülmesidir. Verirnin amacı ve bir anlamı oluşur. VERİ, gelen mesajların anlamlandırılmamış halidir. Knowledge Pyramid
  • 4. Erişilebilirlik (Availability) • Bilgi yetkili kullanıcı için istediği zaman erişilebilir olmalıdır. Bütünlük (Integrity) • Bilgi yalnızca yetkili kullanıcı tarafından değiştirilebilir olmalıdır. Gizlilik (Confidentiality) • Bilgiyi yalnızca yetkili kullanıcı görebilmelidir.  Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ortadan kaldırılma ve hasar verilmesini önlemek olarak tanımlanır.  “Gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir.  Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur. 4
  • 5. Bilgi Güvenliğini Sağlayıcı Önlemler Çalışanlar için güvenlik farkındalığı eğitimi Bilgi altyapısı için katmanlı bir güvenlik sistemi oluşturma Periyodik sızma testleri yaptırma Giren/çıkan veri trafiğini izleme Anti-virüs ve zararlı yazılım önleyici çözümler kullanma Kullanıcı adı ve parola dışında farklı erişim kontrolleri kullanma Uygulama yazılım açıklarını minimize etme, bunları güncel tutma Veri sınıflandırma standardı oluşturma ve uygulama Gizli bilgiler için şifreleme teknikleri kullanma Gizli bilgilere erişimi kısıtlama 5
  • 6.  Uluslararası Standartlar Organizasyonu'nun kısaltılmış halidir.  1947 yılında kurulmuş olup, merkezi İsviçre'nin Cenevre Şehri'ndedir.  Kuruluş amacı; dünya çapında geçerliliği olacak şekilde standartlar yayınlamak ve böylelikle ürünlerin/hizmetlerin uluslararası dolaşımına katkıda bulunmaktır. nternational tandardization rganization 6
  • 7.  ISO 27001 BGYS (Bilgi Güvenliği Yönetim Sistemi); ISO'nun (Uluslararası Standartlar Kuruluşu) en kapsamlı standartlarından bir tanesidir.  Kurum ve kuruluşların hayatlarını sürdürebilmeleri ve varlık değerlerini artırabilmeleri için gerekli en değerli varlıkları olan "BİLGİ“’yi korumayı amaçlar.  Diğer ISO sertifikalarında olduğu gibi kendi kapsamındaki sistemin kurulmasından, güvenliğinden, devamlılığından, geliştirilmesi ve denetlenmesinden sorumludur.  Bütün bunları yaparken gizlilik, bütünlük ve erişilebilirlik durumlarını göz önüne alarak değerlendirir.  ISO 27001 güvenlik üzerine oluşturulan bir standart olmasının yanı sıra bütünlük ve erişilebilirlik kapsamında kaynak yönetimi, sistemlerin izlenmesi, envanter yönetimi, olayların yönetilmesi, iş sürekliliği, risk yönetimi gibi bir çok kavramı kapsamına almaktadır. 7
  • 8. 8  Standardın kapsamı  Atıf yapılan standartlar  Terimler tarifler  Kuruluşun bağlamı  İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması  Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi  Bilgi güvenliği yönetim sistemi  Liderlik  Politika  Kurumsal roller, sorumluluklar ve yetkiler  Planlama  Destek  Operasyon  Performans Değerlendirme  İzleme, ölçme, analiz ve değerlendirme  Yönetimin gözden geçirmesi  İyileştirme
  • 9. 9  A.5 Bilgi Güvenliği Politikası  A.6 Bilgi Güvenliği Organizasyonu  A.7 İnsan Kaynakları Güvenliği  A.8 Varlık Yönetimi  A.9 Erişim Kontrolü  A.10 Kriptografi  A.11 Fiziksel ve Çevresel Güvenlik  A.12 İşletim Güvenliği  A.13 İletişim Güvenliği  A.14 Sistem Edinim, Geliştirme ve Bakım  A.15 Tedarikçi İlişkileri  A.16 Bilgi Güvenliği Olay Yönetimi  A.17 İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönü  A.18 Uyum
  • 10.  Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.  İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.  Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.  Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.  Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez. 10 ISO 27001’den bahsederken karıştırılan ve dikkatle alınması gereken şey ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz. Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
  • 11.  ISO 27001 Bilgi Güvenliği Sistemi, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.  ISO 27001 sertifikasyonu, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir. 11
  • 12.  Müşteri, tedarikçi, çalışan ve tüm taraflara güven verir  Ulusal ve uluslar arası pazarlarda rekabet gücünü arttırır  Bilginin gizlilik, erişebilirlik ve bütünlüğünü sağlar  Yasal yükümlülüklere uyumun kontrolü için bir yapı oluşturur  Bilgi varlıklarına yönelik tehditlere karşı önlemler alır  Riskler analiz edilir ve işlenerek etkileri azaltılır  Bilgi varlıklarını koruyacak bir yönteme sahip olunur  Bilgi güvenliği açıkları tespit edilir ve tedbirleri alınır  Acil durumlara verilen tepki kabiliyeti gelişir  İş sürekliliğini kesintiye uğratacak durumlar azaltılır  Kuruluşun yönetim sistemine değer katar  Her türlü veri kaybı ihtimallerini ortadan kaldırır  Sürekli iyileştirme yapabilmek için imkân verir 12
  • 13. 13  Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.  Sisteminin Kurulmasının Planlaması  Organizasyondaki altyapıyla ilgili bilgilerin toplanması  yapılan işin niteliği  misyon  yerleşim noktaları  Risk yönetimini gerçekleştirecek sorumlular ,  Mevcut durumda organizasyonun güvenlik durumu,  BGYS’nin kapsamını belirleyecek bilgiler; lokasyonlar, işlemler, iş fonksiyonları, bilgi, bilgi teknolojileri,  BGYS’nin kapsamının belirlenmesi,  BGYS’nin hedefi ,  BGYS’nin kurulması için çalışma programının oluşturulması,  BGYS’nin kurulması ve sürekliliği için gerekli olan süreçlerin belirlenmesi.
  • 14.  Varlıkların sınıflandırılması,  Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,  Risk analizi, (Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.)  Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,  Dokümantasyon oluşturma,  Kontrolleri uygulama,  Kayıtları tutma,  Yönetimin gözden geçirmesi,  Belgelendirme. 14
  • 15. 15  Güvenlik teknolojiden ziyade insan faktörüne bağlıdır,  Çalışanlar yabancılardan daha fazla tehdit oluşturur.  Güvenlik bir zincir gibidir, en zayıf halkası kadar kuvvetlidir.  Güvenliğin üç faktörü vardır, İşlevsellik, maliyet ve risk derecesi,  Güvenlik bir durumdur, çalışan bir süreç değildir kontrolü daha zordur, “Güvenlik bir yönetimsel sorun değil, bütünüyle teknik bir konudur”
  • 16.  Kuruluş, Bilgi Güvenliği Yönetim Sistemi standardın gereksinimlerini karşılayacak şekilde kurduktan sonra, bu sistemin belgelendirilmesi için bir sertifikasyon kuruluşu ile anlaşır.  Sertifikasyon kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereksinimlerini karşılayıp karşılamadığını tespit etmek üzere bir sertifikasyon denetimi yapar.  Bu denetim sonucunda sertifikasyon kuruluşu, kurulmuş olan bilgi güvenliği sisteminin ilgili standardın gereksinimlerinin yeterince karşılandığına karar verirse, kuruluşun bilgi güvenliği sistemini belgelendirir. 16
  • 17. 17