Microsoft Word dergi 2008 V23 no2 sayfa 507-522. doc
Şekil 3. ISO/IEC güvenlik çalışma grupları Tablo 2
Yüklə 0,71 Mb. Pdf görüntüsü
|
|
Şekil 3. ISO/IEC güvenlik çalışma grupları
Tablo 2. Standart kullanım amaçları Şirket Tipi Çalışan Amaç Küçük
<200 Bilinçlendirme Büyük >200 Sertifika almak
kurumsal bilgilerin tamamen güvende olduğunu söylemek doğru değildir. Bu standart bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kurumların kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. ISO/IEC 17799 güvenlik standartlarını bir kurumun uyguluyor olması kurumlara aşağıda sıralanan üstünlükleri sağlamaktadır [17].
• Organizasyon Seviyesinde, sorumlulukları belirleyerek, kurumsal bilgi güvenliğinin her seviyede uygulanmasının yararlarını garanti eder. • Kanuni Seviyede, kurumun ilgili tüm kural ve yönetmeliklere uyduğunu yetkili makamlara göstererek diğer standart ve mevzuatları tamamlar. • İşletme Seviyesinde, Bilgi sistemleri, zafiyetleri ve nasıl korunacakları konusunda işletmenin yönlendirilmesini sağlayarak kurumsal bilgi sistemlerine daha güvenli erişim sağlanır. • Ticari Seviyede, iş ortakları, hissedarlar ve müşteriler; kurumun bilgi koruması konusuna verdiği önem sayesinde kuruma olan güvenleri artırır ve ticari rakipleri arasında piyasada farklı bir yere gelmesini sağlar.
• Finansal Seviyede, güvenlik açıklarının belirlenerek önlem alınması sonucunda maliyetler azalacaktır.
Y. Vural ve Ş. Sağıroğlu Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme 514 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 • Çalışan Seviyesinde, çalışanın güvenlik konuları ve organizasyon içinde kendisine düşen sorumluluk hakkındaki bilgisini arttırarak bireysel olarak bilinçlendirilmesini sağlar.
ISO/IEC 17799 standardı 2005 yılında gözden geçirilerek ISO/IEC 17799:2005 ismiyle son halini almıştır. ISO/IEC 17799:2005 Bilgi Güvenliği Yönetimi için uygulama kodu, kuruluşların bilgi güvenliği yönetim sistemini kurmaları, uygulamaları, sürdürmeleri ve iyileştirmeleri için hazırlanmış bir kılavuz olup önceki sürümünden farklı olarak, yaşanan problemlerden, arızalardan, kazalardan ders çıkarılması ve tekrar yaşanmaması için gerekli önlemlerin alınması için gerekli olan yönetim mekanizmasının kurulmasını sağlayan Bilgi Güvenliği İhlallerinin yönetimi ile ilgili bilgi güvenliği denetimlerini ve ilgili uygulamaları da içermektedir [18]. ISO, 2005 yılında bir düzenlemeye giderek Çizelge 5.2’de verilen 27000 serisini bilgi güvenliği için kullanma kararı almıştır [19]. ISO/IEC 27000-27059 arasındaki standartlar ISO tarafından SC27 grubuna dâhil çalışma grupları için bilgi güvenliğiyle ilgili planlanan standartlara ayrılmıştır.
Tablo 3’de kısaca açıklanan standartların tamamı yayınlanarak kullanıma açılmamıştır. Yayınlanan standarda ek olarak geliştirme ve düşünce aşamasında olan standartlara ait açıklamalar aşağıda verilmiştir.
standartlar içerisinde geçen teknik terimler ve açıklamalarının yer aldığı genel bir sözlük formatında geliştirilmektedir.
Standart No Açıklaması ISO/IEC
27000– 27059
Bilgi güvenliğiyle ilgili standartlar için ayrılmış aralık ISO/IEC 27000
BGYS standartları için genel bir sözlük (hazırlanıyor) ISO/IEC 27001
BGYS ihtiyaçları (BS7799 Bölüm–2) (2005 yılında yayınlanmıştır) ISO/IEC
27002 BGYS uygulama ilkeleri ( ISO/IEC 17799:2005) ISO/IEC
27003 BGYS uygulama rehberi (hazırlanıyor) ISO/IEC
27004 BGYS metrikleri ve ölçüm (hazırlanıyor) ISO/IEC
27005 BGYS risk yönetimi (hazırlanıyor) ISO/IEC 27006
BGYS belge kaydı ve belgelendirme süreçleri kılavuzu (hazırlanıyor) ISO/IEC
27007 BGYS izleme (Audit) için kılavuz (hazırlanıyor) ISO/IEC
27031 ISO/IEC 17799/27002 standardının Telekom sektörü için uyarlanması (hazırlanıyor) Yüklə 0,71 Mb. Dostları ilə paylaş:
|