ISO 27001 Denetimi Nedir ve Şirketimin Bir Denetime İhtiyacı Var mı?

Metalaştırılmış veri dünyamızda, siber güvenlik standartlarının çok yüksek ve keskin olması gerekir. Çoğu şirket, hemen teknolojiyle ilgili olmasa bile, sonunda kendilerini içeriden kuşanma ihtiyacıyla karşılaşacaktır.

On yıldan fazla bir süre önce, Uluslararası Standartlar Örgütü, ISO 27001 adlı bir spesifikasyonu kabul etti. Peki tam olarak nedir? Bir ISO 27001 denetimi, bir organizasyonun iç işleyişi hakkında bize ne söyleyebilir? Ve şirketinizin denetlenip denetlenmeyeceğine nasıl karar veriyorsunuz?

Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?

Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kuruluşun ana savunma hattıdır. veri ihlalleri ve diğer siber tehdit türleri dışarıdan.

Etkili bir BGYS, korunan bilgilerin gizli ve güvenli kalmasını, kaynağa sadık kalmasını ve onunla çalışma iznine sahip kişiler tarafından erişilebilir olmasını sağlar.

Yaygın bir hata, bir BGYS'nin bir güvenlik duvarı veya diğer teknik koruma araçlarından daha fazla olmadığını varsaymaktır. Bunun yerine, tam entegre bir BGYS, şirketin kültüründe ve mühendis olsun ya da olmasın her çalışanda olduğu gibi mevcuttur. BT departmanının çok ötesine geçer.

Bu sistemin kapsamı, yalnızca resmi politika ve prosedürden öte, ekibin sistemi yönetme ve iyileştirme becerisini de içerir. Yürütme ve protokolün gerçekte uygulanma şekli çok önemlidir.

Bu, risk yönetimi ve azaltma için uzun vadeli bir yaklaşım benimsemeyi içerir. Bir şirketin müdürlerinin, özellikle çalıştıkları sektörle ilgili risklere yakından aşina olmaları gerekir. Bu kavrayışla donanmış olarak, çevrelerine buna göre duvarlar inşa edebilecekler.

ISO 27001 Tam Olarak Nedir?

2005 yılında Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyon (IEC), ilk kez BSI Group tarafından 10 yıl önce kurulan bir güvenlik yönetimi standardı olan BS 7799'u yeniledi Önceden.

Artık resmi olarak ISO/IEC 27001:2005 olarak bilinen ISO 27001, bilgi güvenliği yönetiminde örnek teşkil eden şirketlere verilen uluslararası bir uyumluluk standardıdır.

Esasen, bir şirketin bilgi güvenliği yönetim sisteminin karşı tutulabileceği sıkı bir standartlar topluluğudur. Bu çerçeve, denetçilerin daha sonra sistemin sağlamlığını bir bütün olarak değerlendirmelerine olanak tanır. Şirketler, müşterilerinin ve müşterilerinin verilerinin kendi duvarları içinde güvende olduğuna dair güvence vermek istediklerinde bir denetim yapmayı seçebilirler.

Bu hükümler koleksiyonuna şunlar dahildir: güvenlik politikası, varlık ile ilgili özellikler sınıflandırma, çevre güvenliği, ağ yönetimi, sistem bakımı ve iş sürekliliği planlama.

ISO, orijinal BSI tüzüğünün tüm bu yönlerini yoğunlaştırdı ve bugün bildiğimiz versiyona damıttı.

Politikayı İncelemek

Bir şirket ISO 27001 denetiminden geçtiğinde tam olarak ne değerlendirilir?

Standardın amacı, uluslararası düzeyde etkili ve güvenli bilgi politikasını resmileştirmektir. Sorun çıkmadan önce önlemek isteyen proaktif bir duruşu teşvik eder.

ISO, güvenli bir BGYS'nin üç önemli yönünü vurgular:

1. Sürekli analiz ve risk kabulü: Bu, hem mevcut riskleri hem de gelecekte kendilerini gösterebilecek riskleri içerir.

2. Sağlam ve güvenli bir sistem: Bu, teknik anlamda var olan sistemi ve ayrıca kuruluşun yukarıda belirtilen risklere karşı kendini korumak için kullandığı güvenlik kontrollerini içerir. Bunlar şirkete ve sektöre bağlı olarak çok farklı görünecektir.

3. Kendini adamış bir liderler ekibi: Bunlar, örgütü savunmak için fiilen kontrolleri uygulayan kişiler olacaktır. Sistem ancak dümende çalışanlar kadar etkilidir.

Katkıda bulunan bu üç temel faktörün analiz edilmesi, denetçinin belirli bir şirketin güvenli bir şekilde çalışma yeteneğinin daha eksiksiz bir resmini çizmesine yardımcı olur. Sürdürülebilirlik, yalnızca kaba teknik güce dayanan bir BGYS'ye tercih edilir.

İlişkili: Çalışanları Ayrıldıklarında Şirket Verilerini Çalmaktan Nasıl Koruyabilirsiniz?

Var olması gereken önemli bir insan unsuru vardır. Şirket içindeki kişilerin verileri ve BGYS'leri üzerinde kontrol uygulama şekli her şeyin üstünde tutulur. Bu kontroller, verileri gerçekten güvende tutan şeydir.

ISO 27001 Ek A Nedir?

Belirli "kontroller" örnekleri sektöre bağlıdır. ISO 27001 Ek A, şirketlere operasyonlarının güvenliği üzerinde resmi olarak tanınan 114 kontrol aracı sunar.

Bu kontroller on dört sınıflandırmadan birine girer:

A.5—Bilgi ve Güvenlik Politikaları: bir şirketin izlediği kurumsallaşmış politika ve prosedürler.

A.6—Bilgi Güvenliği Organizasyonu: BGYS çerçevesi ve uygulanması ile ilgili olarak kuruluş içinde sorumluluğun atanması. Garip bir şekilde, tele-çalışmayı yöneten politika da burada yer almaktadır. şirket içinde cihaz kullanımı.

A.7—İnsan Kaynakları Güvenliği: işe giriş, işten ayrılma ve çalışanların kuruluş içinde değişen rolleri ile ilgilidir. Eğitim ve öğretimdeki tarama standartları ve en iyi uygulamalar da burada özetlenmiştir.

A.8—Varlık Yönetimi: işlenen verileri içerir. Varlıklar, bazı durumlarda departman hatlarında bile envantere alınmalı, muhafaza edilmeli ve gizli tutulmalıdır. Her varlığın mülkiyeti açıkça belirlenmelidir; bu madde, şirketlerin kendi iş kollarına özel bir "Kabul Edilebilir Kullanım Politikası" hazırlamalarını tavsiye etmektedir.

A.9—Giriş kontrolu: verilerinizi kimin kullanmasına izin verilir ve erişimi yalnızca yetkili çalışanlarla nasıl sınırlandıracaksınız? Bu, teknik anlamda şartlı izin belirlemeyi veya şirketinizin kampüsündeki kilitli binalara erişimi içerebilir.

A.10—kriptografi: öncelikle şifreleme ve aktarım halindeki verileri korumanın diğer yolları ile ilgilenir. Bu önleyici tedbirler aktif olarak yönetilmelidir; ISO, kuruluşların şifrelemeyi, veri güvenliğiyle ilgili derinden incelikli zorlukların tümüne tek boyutlu bir çözüm olarak görmelerini engeller.

A.11—Fiziksel ve Çevresel Güvenlik: gerçek bir ofis binasında veya sunucularla dolu küçük, klimalı bir odada, hassas verilerin bulunduğu her yerde fiziksel güvenliği değerlendirir.

A.12—Operasyon Güvenliği: Şirketinizin işleyişi söz konusu olduğunda iç güvenlik kurallarınız nelerdir? Bu prosedürleri açıklayan belgeler, yeni ortaya çıkan iş ihtiyaçlarını karşılamak için sık sık tutulmalı ve revize edilmelidir.

Değişim yönetimi, kapasite yönetimi ve farklı departmanların ayrılması bu başlığın altına girer.

A.13—Ağ Güvenliği Yönetimi: Şirketinizdeki her sistemi birbirine bağlayan ağların hava geçirmez olması ve dikkatle bakılması gerekir.

Güvenlik duvarları gibi her şeyi yakalayan çözümler, sık doğrulama kontrol noktaları, resmileştirilmiş aktarım politikaları gibi şeylerle desteklendiğinde daha da etkili hale gelir. genel ağların kullanımını yasaklamak örneğin şirketinizin verilerini işlerken.

A.14—Sistem Edinimi, Geliştirme ve Bakım: Şirketinizde halihazırda bir BGYS yoksa, bu madde ideal bir sistemin masaya ne getirdiğini açıklar. BGYS kapsamının üretim yaşam döngünüzün her yönünü kapsamasını sağlamanıza yardımcı olur.

Dahili bir güvenli geliştirme politikası, mühendislerinize, işe başladıkları günden itibaren uyumlu bir ürün oluşturmak için ihtiyaç duydukları bağlamı verir.

A.15—Tedarikçi Güvenlik Politikası: Şirketiniz dışında üçüncü taraf tedarikçilerle iş yaparken, onlarla paylaşılan verilerin sızdırılmaması veya ihlal edilmemesi için ne gibi önlemler alınmaktadır?

A.16—Bilgi Güvenliği Olay Yönetimi: işler ters gittiğinde, şirketiniz sorunun gelecekte nasıl raporlanacağı, ele alınacağı ve önleneceği konusunda muhtemelen bir çerçeve sağlar.

ISO, bir tehdit tespit edildikten sonra şirket içindeki yetkili kişilerin hızlı ve büyük bir önyargıyla hareket etmesini sağlayan misilleme sistemleri arar.

A.17—İş Sürekliliği Yönetiminin Bilgi Güvenliği Unsurları: operasyonlarınızı geri dönülmez bir şekilde kesintiye uğratan bir felaket veya olası olmayan başka bir olay durumunda, bir plan iş devam edene kadar şirketin refahını ve verilerini korumak için yerinde olması gerekecektir. normal.

Buradaki fikir, bir kuruluşun böyle zamanlarda güvenliğin sürekliliğini korumanın bir yoluna ihtiyacı olduğudur.

A.18—uyma: son olarak, bir şirketin ISO 27001 sertifikasyonunun gerekliliklerini karşılamak için abone olması gereken gerçek sözleşme sözleşmesine geliyoruz. Yükümlülükleriniz önünüzde düzenlenmiştir. Yapmanız gereken tek şey noktalı çizgiyi imzalamak.

ISO, uyumlu şirketlerin yalnızca yukarıda listelenen kategorilere uyan kontroller kullanmasını artık gerektirmez. Bununla birlikte, şirketinizin BGYS'sinin temelini oluşturmaya yeni başlıyorsanız, liste başlamak için harika bir yerdir.

İlişkili: İyi Güvenlik Uygulamaları ile Farkındalığınızı Nasıl Geliştirirsiniz?

Şirketim Denetlenmeli mi?

Bu bağlıdır. Hassas veya yüksek riskli olmayan bir alanda çalışan çok küçük bir start-up iseniz, gelecek için planlarınız daha kesin olana kadar muhtemelen erteleyebilirsiniz.

Daha sonra ekibiniz büyüdükçe kendinizi aşağıdaki kategorilerden birinde bulabilirsiniz:

• Sizinle güvende olmalarını sağlamak için şirketinizin değerlendirilmesini isteyen önemli bir müşteriyle çalışıyor olabilirsiniz.
• Gelecekte bir halka arza geçmek isteyebilirsiniz.
• Halihazırda bir ihlalin kurbanı oldunuz ve şirketinizin verilerini yönetme ve koruma şeklinizi yeniden düşünmeniz gerekiyor.

Geleceği tahmin etmek her zaman kolay olmayabilir. Kendinizi yukarıdaki senaryolardan herhangi birinde görmeseniz bile, proaktif olmak ve ISO'nun tavsiye edilen bazı uygulamalarını rejiminize dahil etmeye başlamaktan zarar gelmez.

Güç senin ellerinde

BGYS'nizi bir denetim için hazırlamak, bugün çalışıyor olsanız bile durum tespiti yapmak kadar basittir. Belgeler her zaman muhafaza edilmeli ve arşivlenmelidir, bu da size yetkinlik iddialarınızı yedeklemeniz gerekeceğine dair kanıt sağlar.

Tıpkı ortaokuldaki gibi: ödevi yaparsın ve notu alırsın. Müşteriler güvende ve sağlam ve patronunuz sizden çok memnun. Bunlar öğrenilmesi ve sürdürülmesi basit alışkanlıklardır. Panolu adam nihayet aradığında kendine teşekkür edeceksin.

2021 ve Ötesinde Dikkat Edilmesi Gereken En İyi 4 Siber Güvenlik Trendi

İşte 2021'de dikkat etmeniz gereken siber saldırılar ve bunların kurbanı olmaktan nasıl kaçınabileceğiniz.

Sonrakini Oku

Yazar hakkında