BizNet
Sıkça Sorulan Sorular
PCI DSS SSS
ISO 27001 SSS
ISMart SSS
Mobil İmza ve İmzamatik SSS
E-Fatura SSS

Ara
Tanıtım Hizmetler Ürünler İş Ortakları İnsan Kaynakları İletişim
ISO 27001 - ISO 27002 - ISO-17799 Sık Sorulan Sorular
  1. ISO-17799 nedir ?
    2. Bilgi güvenliği için bilinen/kabul edilen en iyi yöntemlerin sıralandığı ISO standandardıdır.

  2. ISO-17799 ne zaman yayınlanmıştır ?
    3. Aralık 2000'de. 1995 yılında British Standards Institute tarafından yayınlanan BS7799-1'in (BS7799 Part 1) yerini almıştır. 2000 yılında yayınlanan ISO-17799 kelime kelime BS7799 Part 1'in aynısıdır. 2005 yılında ISO-17799 revize edilmiş ve ISO-17799:2005 adını almıştır.

  3. BS7799-2 nedir?
    4. BS7799-2 British Standard tarafından belirlenen Bilgi Güvenliği Yönetim Sistemi (Information Security Management Systems) gerekleridir. 2005 yılı sonunda ISO 27001:2005. standardı tarafından kapsanmıştır.

  4. ISO-27001 nedir ?
    5. Daha önceden kullanılan BS7799-2'nin yenilenmiş ve uluslararası ISO versiyonudur.

  5. ISO-27001 ne zaman yayınlanmıştır ?
    6. 2005 yılının ortalarında son taslak duyurulmuş Ekim 2005'de ise standart yayınlanmıştır.

  6. ISO 27001'in ISO 17799 ile bir ilgisi var mıdır?
    7. Kesinlikle evet. ISO-17799 içinde tanımlanan kontrollerin nasıl uygulanacağını ve bilgi güvenliği yönetim sisteminin nasıl kurulacağını ve işler kılınacağını tariflemektedir.

  7. ISO 27001 sertifikası nasıl alınabilir?
    8. ISO 27001 standardının tüm gereklerinin yerine getirilmesini takiben dış denetim için başvurulabilir. Bu denetimin akredite bir sertifikalandırma kurumu tarafından gerçekleştirilmesi gerekir.

    Denetimi gerçekleştirecek kurum önce dokümantasyonu gözden geçirir. Bu dokümantasyon güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, Uygunluk Beyanını (SoA) ve güvenlik prosedürlerini içermelidir.

    Bu incelemeyi takiben daha sonraki bir tarihte, denetçiler tarafından yerinde (on-site) denetim gerçekleştirilir. Kuruluşunuzun büyüklüğüne ve iş tipinize uygun kontrollerin olup olmadığı gözden geçirilir.

    Başarılı bir denetimi takiben ISO 27001 sertifikası alınır. Sertifikadan sonra yılda bir ya da iki kez gözden geçirme tetkikleri gerçekleştirilir.

    ISO 27001 sertifikası almanın ne tür avantajları olabilir?
    Yetkili bir kurumdan ISO 27001 sertifkasının alınması, kuruluşun bilgisin güvenliğini dikkate aldığını, gerekli adımları uygula dığını ve kontrol ettiğini göstermektedir. Ama sertifikasyonun getirileri bununla sınırlı değildir. Ayrıca :

    - Yönetim ve bilgi sistemlerinin güvenli olduğu konusunda, müşterilerinizi, çalışanlarınızı, iş ortaklarınızı, hissedarlarınızı rahatlatmaktadır.

    - Kredibilite ve güveni arttırmaktadır.

    - Herhangi bir güvenlik ihlali ble çok yüksek maliyetlere yol açabileceği için, kontrollerin uygulanması ile maliyetleri düşürmektedir.

    - Kanun ve yönetmeliklere uyulduğunun bir göstergesidir.

    - Organizasyon için tüm seviyelerde bilgi güvenliğinin mevcudiyeti göstermektedir.

  8. ISO 27001 uygulamaya nasıl başlanabilir ?
    9. ISO 27001 standardına dayanan bir "Bilgi Güvenliği Yönetim Sistemi"nin oluşturulması 3 (üç) adımdan oluşur :
    • Bilgi için bir Yönetim Platformunun oluşturulması, hedeflerin, amaçların, bilgi güvenliği politikasının belirlenmesi
    • Güvenlik risklerinin belirlenmesi ve değerlendirilmesi
    • Kontrollerin seçimi ve uygulanması
    ISO 27001 standardına uygun bir bilgi güvenliği yönetim sisteminin kurulması, kuruluşunuzu güvenlik saldırılarına karşı tamamen korumalı duruma getirmeyebilir. Ancak bu tür saldıırıların başarılı olması olasılığını önemli ölçüde azaltacaktır.

  9. PDCA Nedir?
    10.  PLAN-DO-CHECK-ACT BS-7799-2 ve ISO-27001 standardında adreslenmektedir. Bu döngü, ISO 27001'in kurulan bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi hedefine ulaşılmasını sağlamayı amaçlamaktadır.

  10. Sertifikasyona (BS7799-2 ya da 27001) sahip kaç kurum vardır ?
    11. Tüm dünyada sertifikaya sahip kuruluş sayısı 2000'in üzerindedir.

  11. ISO-27001 kapsamı nasıl belirlenebilir? Seçenekler neler olabilir?
    12. ISO 27001'in kapsamı belirli iş süreçleri, bölgeler, departmanlar ya da kuruluşun bütünüyle sınırlandırılabilir. Kapsam açık ve net olarak belirtilmelidir. Bunu sertifikayla ilişkilendirilmiş SOA (Statement of Applicability) Uygunluk Beyanında belirtilmesi gerekmektedir.

  12. Sertifika veren kurumun uygulama aşamasında danışmanlık yapması, kuruluşa yardımcı olması uygun mudur ?
    13. Hayır. Görev ayrılığı ya da görevlerin çelişmesi ilkesine ters düşeceği için, sertifikasyon kuruluşunun ya da sertifikasyon sürecinde yer alan denetçilerin danışmanlık yapması uygun değildir?
BizNet
BizNet.com.tr