Günümüzde, sadece çalışanlarıyla değil, müşterileri, iş ortakları ve hissedarlarıyla birlikte tanımlanan kurumlarda, bilginin gizliliği, bütünlüğü ve ulaşılabilirliğine ilişkin güven ortamının yaratılması, stratejik bir önem taşımaktadır.

Merkezi güvenlik sisteminde gerçek anlamda güvenliğin yönetilebilmesi için şirketler, TS ISO/IEC 27001 standardında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.

Bu sayede oluşturulan sistem, sadece  teknoloji ile değil aynı zamanda tüm kurum çalışanlarının da katılımıyla uygulanan iş süreçlerinden oluşur ki bu da sistemin devamlılığın sağlanmasının garantisidir.

Bilgi Güvenliği Yönetim Sistemi standardı ISO 17799 adıyla uluslararası bir standart olarak geçerlilik kazanmış, Türk Standardları Enstitüsü tarafından Türkçeye tercüme edilerek TS ISO/IEC 17799 başlığı altında Türk standardı olarak yayınlanmıştır. Standard ISO tarafından revize edilerek 2005 yılında ISO IEC 27001 olarak yeninen yayınlanmış, aynı tarihlerde dilimize çevrilerek Türk standardı olarak kabul edilmiştir.

Türk Standardlar Enstitüsünün eğitimli ve deneyimli uzman ekibi ile 2005 yılı başından beri devam ettirdiği TS ISO/IEC 27001 standard eğitimi ve Sistem Belgelendirmesi çalışmaları 16-19 Aralık 2008 tarihlerinde TÜRKAK tarafından (Denetim Ekibi Alman Akreditasyon Kurumu TGA personeli Sn. Norbert BORZECK ve TGA teknik uzmanı Sn İbrahim KAPLAN)  yapılan bir denetim sonrasında akredite edilmiştir.

TSE Personel ve Sistem Belgelendirme Merkezi Başkanlığı bünyesinde yürütülen faaliyetler kapsamında verilen TS ISO/IEC 27001 belgesi belgelendirilen kuruluş ve Türk Standardları Enstitüsü arasında yapılan sözleşme çerçevesinde enstitü tarafından kuruluş adına düzenlenen, kuruluşun başvuruya esas olan yönetim sisteminin incelenerek, ilgili yönetim sistemi standardına uygun bulundugunu gösteren, geçerlilik süresi üç yıl olan belgedir.

Süreç; kuruluşun başvurusunun değerlendirilme aşaması ile başlayarak planlama ile devam eder. Merkez ve bölgelerdeki planlama sorumluları tarafından tetkik durumlarına göre gerçekleştirilecek faaliyetler Aşama I Tetkik (Masa Başı), Aşama I Tetkik (Saha), ÖnTetkik, Belgelendirme (Aşama II), Belge Yenileme olarak aylık plana alınır.

Müracaat eden kuruluş yapılan tetkik sonucu yönetim sisteminin ilgili standard şartlarına uygun oldugunun belirlenmesi ve TSE Yürütme Komitesinin olumlu karar vermesi ile belge almaya hak kazanır.

Türk Standardları Enstitüsü belgelendirme süreci tetkik ekibi yanında Yürütme, İtiraz ve Tarafsızlığı koruma komitelerinin görev aldığı, gizlilik, belge sözleşme yönetimi ve müşteri şikayetleri değerlendirme yükümlülüklerinin çalıştırıldığı bütünsel bir süreç ve ekip işidir.

Belgelendirilmiş bir Bilgi Güvenliği Yönetim Sisteminde kritik iş çıktıları resimde görüldüğü gibidir ve Bilgi sistemlerini, ağları, sahiplerini bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden koruyarak bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar.

Şekil 1 Bilgi Güvenliği Yönetim Sistemde Kritik İş Çıktıları

Kuruluşlar için Temel Seviye Yol Haritası

1. Kapsamın Tanımlanması
2. Ekip oluşturulması ve Stratejinin Belirlenmesi
3. Eğitim İhtiyacının Değerlendirilmesi
4. Bilgi varlıklarının saptanması
5. Bilgi varlıklarının değerinin belirlenmesi
6. Risk belirlenmesi
   • Sızma/Daliş/Entegrasyon/Teknik Uyum Testleri
   • Risk Analizi
7. Kontrollerden istenen güvence derecesinin belirlenmesi
8. Kontrol Hedeflerinin ve Kontrollerin Saptanması
9. Dokümantasyonun hazırlanması
10. Prosedürlerin ve dokümanların uygulamaya alınması
11. İç Denetimlerin yapılması
12. Yönetimin Gözden Geçirilmesinin yapılması
13. Belgelendirme için başvuru
14. Belgelendirmenin gerçekleşmesi

	1. 07-04-2009 18:46
	Ayşegül hanım çok önemli bir konuyu hatırlattığınız için çok teşekkür ederiz. sertifika almak nekadar önemli ise sertifikanın sürekliliğide o kadar önemli. kurumlarda bu sertifikanın üst yöneticiler dahil tüm çalışanlarının benimsenmesi gerekir diye düşünüyorum. Tşekkür eder iyi çalışmalar dilerim. Bildir

Kemal Nalçacı

	2. 10-03-2009 10:49
	Ayşegül Hanım merhabalar,  Yine konunun önemini hatırlatmanız çok güzel olmuş.  Ancak kurumlar o kadar habersiz ki bu tür olgulardan, ilk şartlardan birisi olan fiziksel güvenlik, personel güvenliği gibi unsurları hiçe saydıkları gibi, görevlerin ayrılımı ilkesini zaten hiçe sayıyorlar.   Bu verdiğim sadece bir konu , daha birçok konu üzerine uzun bir makale de yazılabilir, eğer yazabilirsem :) kolay gelsin. Bildir

Oğuzhan Şereflişan

	3. 07-03-2009 13:10
	TSE konusunda şunu söylemek gerekir ki standartları bilmeyen işletme ve kişi sayısı o kadar fazlaki...Kitlelere ulaşırken kullanılan görsel basın araçları show magazinlerle boş beyinleri doldurduğu görülmektedir. TSE bildiğim kadarıyla dünya nın saygın kurumlarından biridir. Fakat tanınırlığı malesef ki ülkemizde hak ettiği yere gelmiş değildir. Elektronik güvenliği, bilişim güvenliği standardı gibi konularda ülkemizde işleyen bir standart mekanizması malesef ki bir fısıltıdır. Aslında yapılması gerekenler o kadar basitken bizler bu prosüdürleri niye hazırlamayız her zaman merak etmişimdir. Umarım TSE hakkettiği yeri bulur ve tüm işlerin bir saat misali sürekli canlı ve kalıcı bir şekilde çalışmasını esas alan kurum ve kişi sayısnı artırır. Teşekkürler Ayşegül hanım. Bildir

Onur KARAMANLI

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.