ISO 27001:2013 versiyonu ile gelen değişiklikler
6 likes1,614 views
ISO 27001 Bilgi Güvenliği Yönetim Sistemi için 2013 Yılında Gelen Yenilikler ve Temel Bilgiler
ISO 27001:2013 versiyonu ile gelen değişiklikler
- 1. ISO27001 Temel Bilgiler ve 2013 Versiyonu ile Gelen Değişiklikler
- 2. İçerik 1. Temel Yönetim Sistemi Kavramları 2. ISO27001:2013 Özet Kapsamı 3. 2013 Versiyonu ile Gelen Farklar
- 3. I. TEMEL YÖNETİM SİSTEMİ KAVRAMLARI
- 5. TEMEL BAŞARI (HEDEFE ULAŞMA) METODU Amacı belirle Amaçla ilgili kapsamı belirle Amaca ulaşmayı riske sokabilecek durumları belirle Bu riskleri ele alma imkanlarını değerlendir Riskleri ele al Kontrol operasyonları nı yürüt
- 6. SÜREKLİ YÖN VERME, İZLEME VE ÖLÇME Risk değerlendirme sürecini yürüt Kontrol etkinliklerini ve risk yönetim sürecini değerlendir Gerekli iyileştirmeleri gerçekleştirildiğinden emin ol Amaçlar veya amaçla ilgili kapsamda olan değişiklikler karşısında gerekli ek çalışmaları gerçekleştir YÖNETİŞİM (GOVERNANCE)
- 8. ISO27001 NEDİR ? ISO27001 ‘BİLGİ GÜVENLİĞİ PROBLEMİ’NİN YÖNETİLEBİLMESİ İÇİN GELİŞTİRİLMİŞ OLAN ‘YÖNETİM SİSTEMİ GEREKSİNİMLERİ’Nİ İÇEREN STANDART BELGESİDİR
- 9. ISO27001 BÖLÜMLERİ Madde 4 - Kuruluşun bağlamı • 4.1 Kuruluşun ve bağlamının anlaşılması • 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması • 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi Madde 5 - Liderlik • 5.1 Liderlik ve bağlılık • 5.2 Politika • 5.3 Kurumsal roller, sorumluluklar ve yetkiler Madde 6 - Planlama • 6.1 Risk ve fırsatları ele alan faaliyetler • 6.1.1 Genel • 6.1.2 Bilgi güvenliği risk değerlendirmesi • 6.1.3 Bilgi güvenliği risk işleme • 6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
- 10. ISO27001 BÖLÜMLERİ Madde 7 - Destek • 7.1 Kaynaklar • 7.2 Yeterlilik • 7.3 Farkındalık • 7.4 İletişim • 7.5 Yazılı bilgiler • 7.5.1 Genel • 7.5.2 Oluşturma ve güncelleme • 7.5.3 Yazılı bilgilerin kontrolü
- 11. ISO27001 BÖLÜMLERİ Madde 8 - İşletim • 8.1 İşletimsel planlama ve kontrol • 8.2 Bilgi güvenliği risk değerlendirme • 8.3 Bilgi güvenliği risk işleme Madde 9 - Performans değerlendirme • 9.1 İzleme, ölçme, analiz ve değerlendirme • 9.2 İç tetkik • 9.3 Yönetimin gözden geçirmesi Madde 10 - İyileştirme • 10.1 Uygunsuzluk ve düzeltici faaliyet • 10.2 Sürekli iyileştirme
- 12. ISO27001 EK-A BÖLÜMLERİ A5 Bilgi Güvenliği Politikaları A6 Bilgi Güvenliği Organizasyonu A7 İnsan Kaynakları Güvenliği A8 Varlık Yönetimi A9 Erişim Kontrolü A10 Kriptografi A11 Fiziksel ve Çevresel Güvenlik A12 İşletim Güvenliği A13 Haberleşme Güvenliği A14 Sistem Temini, Geliştirme ve Bakımı A15 Tedarikçi İlişkileri A16 Bilgi Güvenliği İhlal Olayı Yönetimi A17 İş Sürekliği Yönetiminin Bilgi Güvenliği Hususları A18 Uyum
- 13. PERİYODİK YÖNETİŞİM FAALİYETLERİ • 6.1.2 Bilgi güvenliği risk değerlendirmesi • 7.3 Farkındalık • 7.4 İletişim • 8.2 Bilgi güvenliği risk değerlendirme • 9.1 İzleme, ölçme, analiz ve değerlendirme • 9.2 İç tetkik • 9.3 Yönetimin gözden geçirmesi • 10.1 Uygunsuzluk ve düzeltici faaliyet
- 14. III. 2013 VERSİYONU İLE GELEN FARKLAR
- 15. 2013 VERSİYONU FARKLARI Yeni Madde: Madde 4 Kuruluşun Bağlamı • Kuruluşun ve bağlamının anlaşılması (4.1) maddesiyle ilgili analiz ve dokümantasyonun gerçekleştirilmesi • İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması (4.2) maddesi ile ilgili analiz ve dokümantasyonun gerçekleştirilmesi
- 16. 2013 VERSİYONU FARKLARI Yeni Madde: Madde 7.4 İletişim • Madde 7.4’ün gerektirdiği iletişim programının hazırlanması
- 17. 2013 VERSİYONU FARKLARI Yeni Yaklaşım: Hedefleme ve Ölçme Bağlantısı, Hedefleme ile İlgili Detaylı Tanımlama • Bilgi güvenliği politikası’nın bilgi güvenliği hedeflerini içerecek biçimde güncellenmesi • Bilgi güvenliği hedeflerinin belirlenmesi, bu hedeflerin sonuçlarının nasıl değerlendirileceğinin ve standardın gerektirdiği diğer hedef özelliklerinin tespiti • İzlenecek ve ölçülecek kontrol güvenlik süreç ve kontrollerinin güvenlik hedefleri ile ilişkili biçimde tanımlanması ve ölçümlerin gerçekleştirilmesi
- 18. 2013 VERSİYONU FARKLARI Yeni Yaklaşım: Risk Değerlendirme Yaklaşımı ile ilgili Değişikliklerin Değerlendirilmesi • Risk analizi çalışmasında risk sahiplerinin belirlenmesi ve belirtilmesi • Risk analizinde getirilen daha gevşetilmiş yaklaşım ile düzenleme ihtiyaçlarının birlikte değerlendirilmesi ve gerekli görülürse yaklaşım değişikliğinin gerçekleştirilmesi
- 19. 2013 VERSİYONU FARKLARI Yeni Yaklaşım: Bilgi Güvenliği ile ilgili (Temel) Rol ve Sorumlulukların Net Biçimde Atanması ve İletişimi • Bilgi güvenliği ile ilgili rol ve sorumlulukların resmi biçimde atanması ile ilgili çalışmaların ve dokümantasyonun yapılması
- 20. 2013 VERSİYONU FARKLARI İçerik Değişikliği: Uygulanabilirlik Bildirgesi’nin 2013 Versiyonuna Uygun Olarak Yeniden Düzenlenmesi • Uygulanabilirlik bildirgesinin Ek-A’daki değişikliklere uygun biçimde yeniden düzenlenmesi (114 kontrol alanının gözden geçirilmesi) (133 -> 114)
- 21. 2013 VERSİYONU FARKLARI İçerik Değişikliği: BGYS prosedürlerinin elden geçirilmesi • Mevcut BGYS prosedürlerinin ISO27001:2013’teki değişiklikleri yansıtacak biçimde güncellenmesi (Risk Analiz Prosedürü, BGYS Planlama, Uygulama ve Kontrol Etme Prosedürü, v.d.)
- 22. BTRisk Hakkında 2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri bilgi güvenliği problemine yönetim kurulu seviyesinden sistem odası uygulamasına kadar uzanan alanda çözüm üretmektedir. BTRisk bilgi güvenliği problemini görünür hale getirerek algılanmasını, anlaşılmasını ve dolayısıyla ele alınmasını mümkün hale getirmektedir. BTRisk bilgi güvenliği problemine karşı geliştirdiği yaklaşımları gerçek hayat koşullarında test etmiş ve uygulanabilir hale getirmiştir. Bilgi güvenliği ve BT yönetişim hizmet alanlarımız aşağıdaki gibidir: Pentest Hizmetleri Bilgi Güvenliği ve BT Yönetişim Hizmetleri Bilgi Güvenliği Operasyon Hizmetleri Teknik Güvenlik Denetim Eğitimleri Yönetişim ve Denetim Eğitimleri Özgün ürünlerimiz aşağıdaki gibidir: 5651 Uyumlu Wi-Fi ve Kablolu Bilgi Güvenliği Risk Analizi Tek Kullanımlık Parola Ağ Hotspot Çözümü ve Denetim Uygulaması Çözümü
- 23. blog.btrisk.com @btrisk /btrisktv /btrisk