ISO 27001 | Technical Universal Verification

ISO/IEC 27001’in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde düzenlenmiştir.

ISO/IEC 27001 BGYS Standardının Faydaları

Rekabet avantajı
Karlılık
İmaj
Yasalara, Düzenlemelere, Sözleşme Şartlarına Uyumluluk
Güvenlik
Risk farkındalığı
Bilgi varlıklarını ihtiyaca en uygun şekilde koruma altına alır,
Bilgi varlıklarına yönelik tehditlerden koruyarak iş sürekliliği sağlar.

ISO/IEC 27001:2013 Standardının Madde Başlıkları

0 Giriş
1 Kapsam
2 Atıf yapılan standartlar ve/veya dokümanlar
3 Tanımlar ve terimler
4 Kuruluşun Yapısı
4.1 Kuruluşu ve yapısını anlama
4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak
4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4 Bilgi Güvenliği Yönetim Sistemi
5 Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Görev, sorumluluk ve yetki
6 Planlama
6.1 Risklere ve Fırsatlara Yönelik Eylemler
6.2 Bilgi Güvenliği Hedefleri ve Planlama
7 Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante Bilgi
8 Operasyon
8.1 Operasyonel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9 Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç denetim
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Kontrol amaçları ve kontroller

ISO/IEC 27001 İle ilgili Terim ve Kavramlar

Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildiri
Risk Analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk Değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk Derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi
Risk Yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler
Risk İşleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.