Dördüncü sanayi devrimi olarak adlandırılan Endüstri 4.0, geliştirme, üretim, lojistik ve müşterilerin akıllı ağlarını temsil ediyor. Kuruluşlar için genellikle varoluşsal değere sahip çok sayıda bilgi ve veriyi temsil eder. Kullanılabilirliklerini, bütünlüklerini ve gizliliğini korumak merkezi bir görevdir. Bilgi güvenliği, mevcut risklerin farkına varılmasına, tespit edilmesine ve bu risklerden korunulması için uygun önlemlerin alınmasına yardımcı olan tüm faaliyetleri kapsar.

Bilgi güvenliği - ISO 27001 ile ilgili sorular ve cevaplar

Bilgi işlemedeki yetersiz güvenlik nedeniyle, tek başına Alman ekonomisi her yıl milyarlarca Euro'luk zarara uğramaktadır. Bunun nedenleri karmaşıktır ve harici rahatsızlıklar, teknik hatalar, endüstriyel casusluktan eski çalışanlar tarafından bilgilerin kötüye kullanılmasına kadar uzanır. Ancak yalnızca zorlukları tanıyanlar uygun önlemleri de başlatabilir. Uluslararası kabul görmüş ISO 27001 standardına uygun olarak iyi yapılandırılmış bir bilgi güvenliği yönetim sistemi, bütünsel bir güvenlik stratejisinin etkin bir şekilde uygulanması için en uygun temeldir. Bu tam olarak ne anlama geliyor ve nelere dikkat edilmesi gerekiyor? ISO 27001 ile ilgili önemli soruların yanıtlarını burada bulabilirsiniz.

İÇERİK

  • Bilgi güvenliği nedir?
  • Bilgi güvenliğinin koruma hedefleri nelerdir?
  • Bilgi güvenliği yönetim sistemi nedir?
  • ISO 27001 hangi kuruluşlar için yararlıdır?
  • Bilgi güvenliği yönetim sisteminin faydaları nelerdir?
  • İnsanların rolü nedir?
  • ISO 27001 - Girişle ilgili sorular
  • Neden ISO 27001 sertifikası?
  • DQS - Sizin için ne yapabiliriz

Bilgi güvenliği nedir?

Bu sorunun cevabı, bilgi güvenliği ISO 27000 ailesine ait uluslararası standartlar açısından oldukça basittir:

"Bilgi, kuruluş için değerli olan verilerdir."

ISO/IEC 27000:2020-06: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve kelime bilgisi

Biliyorsunuz ki, bilgi yetkisiz kişilerin eline geçmemesi gereken ve uygun koruma gerektiren bir varlıktır.

Bu nedenle bilgi güvenliği, şirketinizin bilgi varlıklarını korumakla ilgili her şeydir. Burada belirleyici olan, şirket bağlamında var olan risklerin farkında olmak veya bunları ortaya çıkarmak ve ihtiyaca göre uygun önlemlerle karşı koymaktır.

"Bilgi güvenliği, Bilgi Teknolojilerinin güvenliği değildir"

BT güvenliği, korunacak kurumsal varlıklara değil, yalnızca dağıtılan teknolojinin güvenliğine atıfta bulunur. Erişim yetkileri, sorumluluklar veya onay prosedürleri gibi kurumsal kaygıların yanı sıra psikolojik yönler de bilgi güvenliğinde önemli bir rol oynamaktadır. Ancak güvenli BT, şirketteki bilgileri de korur.

Bilgi güvenliğinin koruma hedefleri nelerdir?

Uluslararası ISO/IEC 27001 standardına göre, bilgi güvenliği için koruma hedefleri üç ana unsurdan oluşur:

  • Gizlilik - gizli bilgilerin yetkisiz erişime karşı korunması, ister veri koruma yasaları nedeniyle ister ticari sırlar temelinde olsun, burada önemli olan gizlilik düzeyidir.
  • Bütünlük - riskleri en aza indirerek, tüm veri ve bilgilerin eksiksizliğini ve güvenilirliğini sağlamak.
  • kullanılabilirlik - bilgi, bina ve sistemlere yetkili erişim için erişim ve kullanılabilirlik sağlamak. Bu, süreçleri sürdürmek için gereklidir.

ISO 27001'e göre sertifikalı bilgi güvenliği

Bilgilerinizi uluslararası standartları karşılayan bir yönetim sistemi ile koruyun ✓ DQS, belgelendirme konusunda 35 yılı aşkın deneyim sunar ✓

Bilgi güvenliği ile ilgili kilit sorular

  • Şirketimin değerleri nelerdir?
  • Hangi şirket değerlerinin korunması gerekiyor?
  • Şirket varlıkları hangi saldırılara maruz kalıyor?
  • Bu bilgilerin korunmasında kimin menfaati var?
  • Uygun önlemler nelerdir?

Bilgi güvenliği yönetim sistemi nedir?

ISO/IEC 27001'e göre bir bilgi güvenliği yönetim sistemi (BGYS), bir kuruluşta korunmaya değer bilgilerin güvenliğini sağlamak için yönergeleri, kuralları ve yöntemleri tanımlar. ISO 9001'den aşina olunan PUKÖ döngüsünün (Planla-Uygula-Kontrol Et-Önlem Al) sistematik prosedürüne uygun olarak, koruma seviyesinin tanıtılması, uygulanması, izlenmesi ve iyileştirilmesi için bir model sağlar.

Amaç, potansiyel riskleri belirlemek, analiz etmek ve uygun önlemlerle kontrol edilebilir hale getirmektir.

Bilgi güvenliği yönetimi neden önemlidir?

Başarılı kuruluşlar, tehditleri tespit etmek ve çağdaş güvenlik sistemlerinin dağıtımını hedeflemek için modern yönetim sistemlerinin yapısını ve şeffaflığını kullanır. Bilgi güvenliği yönetim sisteminin merkezinde fikri mülkiyet, finansal ve personel verileri gibi kendi bilgi varlıklarınızın yanı sıra müşteriler veya üçüncü şahıslar tarafından size emanet edilen bilgilerin güvenliği yer alır.

"Bilgi güvenliği her zaman önemli bilgilerin veya değerli verilerin korunması anlamına gelir."

Korunmaya değer verilerin maruz kaldığı riskler çoktur. Maddi, insani ve teknik güvenlik tehditlerinden kaynaklanabilirler. Ancak, yalnızca BGYS'nin bütünsel ve önleyici yönetim sistemi yaklaşımı, tüm tehdit yelpazesini ele alabilir ve bir şirketin iş sürekliliğini sağlayabilir.

ISO 27001 hangi kuruluşlar için yararlıdır?

Bu sorunun cevabı çok basit: Herkes için. ISO 27001, türü, büyüklüğü ve sektörü ne olursa olsun temelde tüm kuruluşlarda uygulanabilir ve tüm kuruluşlar, yapılandırılmış bir yönetim sisteminin avantajlarından yararlanablir. Bir BGYS'nin uygulanması aşağıdaki faktörlerden etkilenir:

  • Gereksinimler ve iş hedefleri
  • Güvenlik ihtiyaçları
  • Uygulanan iş süreçleri
  • Organizasyonun büyüklüğü ve yapısı

Bilgi güvenliği yönetim sisteminin faydaları nelerdir?

Bu çok önemli bir sorudur, ISO 27001, bilgi güvenliği için süreç odaklı bir yönetim sisteminin sistematik tasarımı ve uygulanması için gereksinimleri formüle eder. Bu bütünsel yaklaşımla belirleyici avantajlar elde edilebilir:

  • Hassas bilgilerin güvenliği, şirket süreçlerinin ayrılmaz bir parçası haline gelir.
  • Koruma hedeflerinin önleyici olarak korunması, bilgilerin gizliliği, kullanılabilirliği ve bütünlüğü
  • Güvenlik seviyesinin sürekli iyileştirilmesi yoluyla iş sürekliliğinin sağlanması
  • Çalışanların duyarlı hale getirilmesi ve şirketin tüm seviyelerinde önemli ölçüde artan güvenlik bilinci
  • Etkin bir risk yönetim süreci oluşturmak
  • Hassas bilgilerin kanıtlanabilir ve güvenli bir şekilde ele alınması yoluyla ilgili taraflarla güven inşa etmek
  • İlgili uyumluluk gereksinimlerine bağlılık, daha fazla eylem güvenliği ve yasal kesinlik

Potansiyel riskler nasıl yönetilebilir?

Güvenlik riskleri maddi, insani ve teknik tehditlerden kaynaklanabilir. Kuruluşta izlenebilir ve uygun bir güvenlik düzeyine ulaşmak için, risk değerlendirmesi, risk işleme ve risk izleme için tanımlanmış bir risk yönetim süreci veya yöntemi gereklidir. ISO/IEC 27005, bilgi güvenliği risk yönetimi konusunda iyi bir rehberlik sağlar.

İnsanlar nasıl bir rol oynuyor?

İnsanlar da bir risk faktörüdür, çünkü hassas bilgilerin ele alınması istisnasız bir şirketin tüm çalışanlarını ve ortaklarını etkiler. Bilgisizlik veya insan hatası nedeniyle artan bir güvenlik riski oluştururlar. Ancak, kimin hangi bilgilere erişebileceğini ve bunların nasıl ele alınacağını düzenleyen yalnızca çok az kuruluş vardır.

"Yeni gücün kaynağı artık azınlığın elindeki para değil, çoğunluğun elindeki bilgidir." John Naisbitt, *1929, Amerikan. fütürolog

Bu nedenle bağlayıcı düzenlemeler ve tüm bilgi güvenliği endişelerinin belirgin bir şekilde bilinmesi temel bir ön koşuldur. Kurumsal politikanın uyarlanması veya uygun bir bilgi güvenliği politikasının geliştirilmesi burada esas olarak kabul edilir. Tüm yönetim düzeylerinde çalışanların gerekli duyarlılığa sahip olması patronun sorumluluğudur ve eğitimler veya kurslar yoluyla gerçekleşebilir.

ISO 27001 - Uygulama soruları

ISO 27001 için ISO 9001 gibi bir yönetim sistemi şart mıdır? Bir şirketin, ISO 9001 veya benzeri bir standarda uygun bir yönetim sistemini halihazırda uygulamaya koymuş olması gerekip gerekmediği sorusu, açıkça "hayır" ile yanıtlanabilir. ISO 27001 genel bir standarttır ve tüm yönetim sistemi standartları gibi kendi başınadır. Bu, bir kuruluşun herhangi bir zamanda ve mevcut yapılardan bağımsız olarak bir bilgi güvenliği yönetim sistemi kurabileceği ve uygulayabileceği anlamına gelir.

Bununla birlikte, ISO 9001'e uygun bir kalite yönetim sistemine sahip olan şirketler, kapsamlı bilgi güvenliğinin adım adım tanıtımı için zaten iyi bir temel oluşturmuştur.

ISO 27001 de, yapısı ve yaklaşımında, tüm süreç odaklı yönetim sistemi standartları için zorunlu olan olan Üst Düzey Yapıyı temel alır. Sonuç olarak, bu size bir bilgi güvenliği yönetim sistemini halihazırda var olan bir yönetim sistemine kolayca entegre etme imkanı sunar. Aynı şekilde, ISO 27001'e göre ISO 20000-1 (BT Hizmet Yönetimi) veya ISO 22301'e (İş Sürekliliği Yönetimi) göre DQS tarafından ortak bir sertifikasyon mümkündür.

Standarda Girişi hangi belgeler destekleyebilir?

Bilgi güvenliğine yönelik bütünsel bir yönetim sistemini tanıtmanın tercih edilen temeli, uluslararası ISO/IEC 27000 standartlar ailesidir. Bir BGYS'nin uygulanmasında ve işletilmesinde, her tür ve büyüklükteki kuruluşu desteklemek amaçlanmaktadır. Kuruluş içindeki uygulama derecesi, bir iç denetim yoluyla kontrol edilebilir.

Standart serisinin yardımcı bileşenleri şunlardır:

  • ISO/IEC 27000:2018: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve kelime bilgisi
  • ISO/IEC 27001:2013: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler
  • ISO/IEC 27002:2013: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği kontrolleri için Uygulama Kuralları
  • ISO/IEC 27003:2017: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Rehberlik
  • ISO/IEC 27004-2016: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetimi - İzleme, ölçüm, analiz ve değerlendirme
  • ISO/IEC 27005:2018: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği risk yönetimi

Tüm düzenlemeler ISO web sitesinde mevcuttur.

ISO 27001 - BT güvenlik görevlisi hakkında sorular

ISO 27001, bir BT güvenlik görevlisi gerektiriyor mu? Cevap Evet".

Bilgi güvenliği yönetim sistemi içindeki görevlerden biri, üst yönetim tarafından bir BT güvenlik görevlisinin atanmasıdır. BT güvenlik görevlisi, tüm BT güvenlik sorunları için irtibat kişisidir. Tüm BGYS süreçlerine entegre olmalı ve örneğin yeni BT bileşenlerini ve BT uygulamalarını seçerken BT yöneticileriyle yakından bağlantılı olmalıdır.

Neden ISO 27001 sertifikası?

Akredite bir prosedüre dayalı belgelendirme, bilgi varlıklarını sistematik olarak korumak için bir yönetim sistemi ve önlemlerinin uygulandığının kanıtıdır. Sertifika bu sistemi başarıyla kurduğunuzu ve sürekli iyileştirmeye bağlı olduğunuzu resmi bir evrak üzerinde gösterirsiniz.

Dünya çapında değer verilen DQS sertifikası, tarafsız bir değerlendirmenin görünür ifadesidir ve şirketinize olan güveni güçlendirir. Bu bir pazar avantajıdır ve ihalelerde ve finansal hizmet sağlayıcılar gibi güvenlik açısından kritik müşteri işlerinde iyi bir ön koşul sağlar.

ISO 27001 - Sertifikasyon süreciyle ilgili sorular

DQS gibi akredite bir belgelendirme kuruluşu tarafından uluslararası kurallar (ISO 17021) bazında değerlendirilen tüm yönetim sistemleri aynı belgelendirme sürecine tabidir.

İlk belgelendirme, sistem analizinden (aşama 1 denetimi) ve denetçilerin, genel sistemin düzgün çalıştığını ve tüm gereksinimlerin yerine getirildiğini yerinde doğruladığı sistem denetiminden (2. aşama denetimi) oluşur. Sertifika sonraki 3 yıl geçerlidir.

Tüm dönem boyunca geçerliliğini garanti edebilmek için yönetim sisteminin yıllık olarak doğrulanması gerekir. Sertifikanın verilmesinden sonraki birinci ve ikinci yılda, DQS denetçileri, kilit sistem bileşenlerinin veya düzeltici ve önleyici tedbirlerin etkinliğini değerlendirdikleri kısaltılmış BGYS denetimleri (gözetim denetimleri) gerçekleştirir. Yeniden sertifikalandırma ise üç yıl sonra gerçekleşir.

Halihazırda mevcut bir yönetim sistemine sahip olan şirketler, denetim programlarını birleştirmeli ve entegre yönetim sistemlerinin (IMS) ortak sertifikasyonunu aramalıdır.

Matris sertifikasyonu mümkün mü?

Birden fazla sahaya sahip şirketler için matris sertifikasyonu mümkündür. Prensipte, ISO 9001 veya ISO 14001 gibi diğer ISO standartları ile aynı gereklilikler ISO 27001 için de geçerlidir. DQS, ISO 27001'in mevcut matris prosedürlerine, yani diğer standartlarla ortak dış denetime entegrasyonunu sağlayabilir.

ISO 27001'in TISAX'a göre avantajları nelerdir?

TISAX®(Trusted Information Security Assessment Exchange), özellikle otomotiv endüstrisi için bir endüstri standardı olarak geliştirildi ve endüstriye özgü ihtiyaçlara göre uyarlandı. TISAX® değerlendirmesinin temeli, ISO 27001 veya ISO 27002 gerekliliklerine dayanan ve bunları prototip koruması veya veri koruması gibi konuları içerecek şekilde genişleten VDA Bilgi Güvenliği Değerlendirmesi (VDA ISA) test kataloğudur. .

TISAX® ürün sayfamızda daha değerli bilgiler bulabilirsiniz.

TISAX®'ın amacı, tedarik zincirindeki tüm aşamalar için kapsamlı bilgi güvenliğini sağlamaktır. Ek olarak, bir veritabanına kayıt olmak, karşılıklı tanıma prosedürünü basitleştirir. Ancak TISAX® yalnızca otomotiv endüstrisinde tanınır. Diğer sektörlerden müşteriler, bir BGYS'nin kanıtı olarak yalnızca ISO 27001'i kabul edebilir.

DQS - Sizin için ne yapabiliriz

DQS, yönetim sistemleri ve süreçleri için denetimler ve sertifikalar konusunda uzmanınızdır. 35 yılı aşkın deneyim ve dünya çapında 2.500 denetçinin bilgi birikimiyle, tüm ISO 27001 sorularına yanıt veren yetkin belgelendirme ortağınızız.

Yaklaşık 200 tanınmış standart ve yönetmeliğin yanı sıra bir şirkete ve birliğe özel standartlara göre denetimler yapıyoruz. Aralık 2000'de ISO/IEC 27001'in öncüsü olan BS 7799-2 için akreditasyon alan ilk Alman belgelendirme kuruluşuyduk. Bu uzmanlık, hala dünya çapındaki başarı hikayemizin bir ifadesidir.

Sorularınıza cevap vermekten mutluluk duyuyoruz

BGYS'nizi ISO 27001'e göre sertifikalandırmak için ne kadar çalışmanız gerekiyor? Ücretsiz ve herhangi bir yükümlülük altına girmeden bizlerden bilgi alabilirsiniz.

Sizinle görüşmeyi dört gözle bekliyoruz.

Daha fazla göster
Daha az göster

Bilgi Güvenliği ve Risk Yönetimi

Bilgi Güvenliği ve Risk Yönetimi

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 bağlamında güvenlik açığı yönetimi

Kuruluşunuz için bilgi güvenliği

Üretim, ticaret ve hizmetlerin küreselleşmesi, dijitalleşmenin ilerlemesinden kaynaklanmaktadır. Giderek daha güçlü olan bilgi teknolojileri, bilgi güvenliği söz konusu olduğunda şirketlere büyük zorluklar çıkarmaktadır. Bu bağlamda, sadece kendi know-how'ını etkin bir şekilde korumak değil, aynı zamanda etkin bir şekilde uygulanan bir bilgi yönetim sistemi aracılığıyla müşteri gereksinimlerini karşılamak ve rekabet gücünü güçlendirmek de giderek önem kazanmaktadır.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Bilgi güvenliği olaylarında önemli bir başarı faktörü: Çalışanlar

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Kurumsal bilgi güvenliği: Mubea Grup vaka çalışması

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

aLIVE-Service GmbH'nin ISMS standardı ile ilgili deneyimleri

Blog
ISO 27001-zertifizierung-dqs-mann und frau mit laptop in serverraum
Loading...

ISO 27001 Eğitimi

Bilgi Güvenliği Standartları

ISO/IEC 27000 ailesi, bütünsel bir bilgi güvenliği yönetim sisteminin tanıtımı için uluslararası kabul görmüş bir dizi standarttır. Özünde, bilgi işleme operasyonlarına yönelik risklerin tanımlanması, değerlendirilmesi ve yönetilmesi için sertifikalandırılabilir gereksinimleri içeren ISO/IEC 27001 vardır.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Bilgi Güvenliği Standartları - Genel Bakış

TISAX (Otomotiv Sektöründe Bilgi Güvenliği)

TISAX (Otomotiv Sektöründe Bilgi Güvenliği)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Merak edilenler

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Otomotivde Siber Güvenlik: Yeni zorunlu düzenlemeler

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

VDA ISA Katalog 5.0: TISAX® değerlendirmeleri için mevcut temel

Bilgi Güvenliği ve Veri Koruma

Bilgi Güvenliği ve Veri Koruma

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 ve ISO 27701 ile veri koruma ve bilgi güvenliği

Bilgi Güvenliği ve BT Güvenliği

Bilgi Güvenliği ve BT Güvenliği

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Ek A: Çalışanların Sorumlulukları ve Rolleri

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Bilgi teknolojileri (BT) güvenliği ve bilgi güvenliği - fark nedir?

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Bilgi güvenliği koruma hedefleri ve önemi

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Bilgi Güvenliği Standartları - Genel Bakış