|
Bilgi Güvenliği Danışmanlık Hizmetleri
Günümüzde büyük veya küçük, tüm kurumların gündelik iş süreçlerinde bilgi güvenliğine yönelik ihtiyaçlar vardır ve bunlar giderek artmakta, çeşitlenmektedir.
Bir kurumun iş yapabilmesi için elindeki en önemli değer sahip olduğu bilgilerdir. Kurumların sahip olduğu bilginin kritikliği değişkenlik gösterir. Bazı kurumlar için bilginin gizliliği son derece önemliyken, bir başkası için bilginin kesintisiz sunulabiliyor olması çok önemli olabilir. Bilgiyi üretme, saklama, paylaşma, işaretleme yöntemleri farklıdır. Ama herkesin bilgisi önemlidir, ihtiyaçlarına uygun şekilde korunması gerekir ve bu gereklilik sağlanmadığı takdirde maddi kayıplar, yasal yaptırımlar, itibar kaybı, rakiplere bilgi sızması gibi birçok tehlike söz konusudur.
Bilgi dediğimiz zaman sadece elektronik ortamlardaki bilgiyle sınırlı olmasak da, internetin yaygınlığı, tehditlerdeki büyük artış, saldırı araçlarına kolay erişim, ucuz ve kolayca taşınabilir bilgi depolama ortamlarının piyasaya çıkması gibi sebeplerle elektronik ortamlara yönelik tehditler ön plana çıkmaktadır. Ancak elektronik ortamların dışında kağıtlarda basılı olan, telefonlarda, toplantılarda, ortak alanlarda konuşulan, postayla iletilen vb. bilginin de uygun şekilde korunması gereklidir.
Bilgi Güvenliği Yönetimi, sistematik bir yaklaşımla kurumun özgün ihtiyaçlarının belirlenmesi ve buna göre uygun önlemlerin alınması ve sürdürülmesidir. Uluslararası kabul görmüş bir Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı mevcuttur ve ISO 27001 olarak isimlendirilmiştir.
Biznet’in sunduğu BGYS Danışmanlığı ISO 27001 standardını dayanak alır. Danışmanlık hizmeti ile, kurulan BGYS’ler sertifika alacak şekilde denetlenmeye hazırlanır.
Danışmanlık hizmetimiz aşağıdaki aşamalardan oluşur.
Risk analizi
BGYS’yi kurumun özgün ihtiyaçlarına yönelik olarak kurgulamak için kurumun koruması gereken bilgi varlıkları, maruz kalabilecekleri tehditler ve varlıkların bu tehditlere ne derecede açık olduğu değerlendirilir. Bütün bilgi varlıklarının envanteri çıkarılır, her birisi tehdit ve zafiyetlerle eşleştirilir, tehditin gerçekleşmesi halinde vereceği zararın büyüklüğü ve tehditin gerçekleşme olasılığı da göz önüne alınarak sayısal olarak ifade edilir ve risk değerleri hesaplanır. Kurumun bütün riskleri sıralandığında binlerce riskin yer aldığı bir tablo oluşmuş olur.
Varlıkların sayısı, çeşitliliği, tehditler ve zafiyetler değişkendir ve risk ortamı çok dinamiktir. Bu nedenle bu tablonun oluşturulması kadar geçerliliğinin sürdürülmesi de çok önemlidir. ISO 27001 risklerin belli aralıklarla gözden geçirilip güncel tutulmasını istemektedir.
Biznet, BGYS danışmanlık hizmetini kendi geliştirdiği ISMArt yazılımını kullanarak vermektedir. ISMArt, yukarıda anlatılan risk analizi sürecini çok büyük ölçüde kolaylaştırmaktadır. Sistem veritabanında bulunan varlık, tehdit, zafiyet bilgileri kullanıcıya kendi ortamını doğru tanımlaması için yol göstermektedir. Varlıkların değeri, tehditlerin olasılığı ve etkisi gibi parametrelerin objektif olarak seçilebilmesi için sistemle bütünleşik kılavuzlar bulunmaktadır. Girilen verilerle risk değerleri hesaplanmakta ve listelenmektedir. Risk raporu istenen parametreye göre sıralanabilmekte ve karar mekanizmasına önemli veriler sunmaktadır. Risk ortamındaki değişiklikler sisteme girildiğinde risk raporu hemen güncellenmektedir.
Önlemlerin seçilmesi, Politika ve Prosedürlerin Hazırlanması
Risk raporunun kurum tarafından gözden geçirilip, risklerin azaltılması yönündeki yaklaşım kurum yönetimi tarafından kararlaştırıldıktan sonra, Biznet’in danışmanlığında ISO 27001’in öngördüğü kontrol alanları göz önüne alınarak önlemler seçilir.
Bu önlemlerin duyurulması ve kurum çapında uygulanmasının sağlanması için bilgi güvenliği politikaları ve prosedürleri hazırlanır. Seçilen önlemlerin hayata geçirilmesi için risk iyileştirme planları yapılır ve takip edilir.
Biznet verdiği danışmanlık hizmetlerinde ISMArt kullanarak, ISO 27001 kontrollerinin risklerle eşleştirilmesi sürecinin eksiksiz, izlenebilir şekilde ve süratle yapılmasını sağlar. ISMArt veritabanında yeralan ISO 27002 tavsiyeleriyle paralel binlerce politika ve prosedür cümleciğinin kurum riskleriyle bağlantılı şekilde ilgili politka ve prosedür dokümanı içine eklenmesine olanak sağlar.
Uygunluk Beyanının Hazırlanması
Kurulan BGYS’nin ISO 27001 standardının öngördüğü kontrolleri ne derecede karşıladığını gösteren bir doküman hazırlanır. Kontroller eklendikçe doküman güncellenir. Bu doküman sistemin denetlenmesi aşamasında en önemli referanstır.
Biznet verdiği danışmanlık hizmetlerinde ISMArt kullanarak, uygunluk beyanının sisteme girişi yapılan ve sistem tarafından üretilen verilerle yaratılmasını sağlar. Bu yöntemle, dokümanın süratle ve hatasız üretilmesi ve güncelliği garanti altında tutulur.
|
Site haritası
E-posta gönder
