ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Çağımızda bilgi, kuruluşların en değerli varlığı olarak, faaliyetlerinin sürekliliği için büyük bir önem taşır. Bu sebeple bilgilerin güven içerisinde yönetilmesi kaçınılmazdır.
ISO/IEC 27001 Bilgi güvenliği yönetim sistemi ve Belgesi bu değerli bilgi varlıklarını yönetmenize ve korumanıza destek ve yardımcı olur.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (BGYS) gereksinimlerini tanımlayan, sistemin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymak
amacıyla hazırlanmıştır.
ISO 27001 Bilgi güvenliği yönetim sistemi, bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir
şekilde yönetildiğine dair güvence verir. Kuruluşların bilgilerinin güvenliği ile ilgili risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş sürekliliği planlarını,
acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kuruluş tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği
politikası yayınlar ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının
sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak,
uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
ISO 27001 Kimi ilgilendirir?
ISO/IEC 27001, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, otomotive, pazarlama, sağlık, Bilgi Teknolojileri
(BT), özel, kamu, temsilcilik, ithalat, ihracat yapan tüm sektörleri kapsadığı gibi özellikle bilginin korunmasının büyük öneme sahip olduğu tüm kuruluşlarda özellikle gereklidir.
ISO/IEC 27001, Bilgi İşlem sektöründe kuruluşlara hizmet veren, müşterilerinin bilgilerini onların adına yöneten, saklayan kuruluşlar müşterilerine bilgilerinin güvenli yönetildiğine
dair güvence vermeleri için kullanılabilir.
TS EN ISO/IEC 27001 Bilgi güvenliği yönetim sistemleri
Bu standart kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar.
Bu standart aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içerir.
Bu standartta ortaya konulan şartlar geneldir ve türleri, büyüklükleri ve doğalarından bağımsız olarak tüm kuruluşlara uygulanabilir olması hedeflenmiştir.
Bir kuruluşun bu standarda uyumluluk iddiasında bulunması durumda, Madde 4 ila Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul edilebilir değildir.
ISO/IEC 27001 İle ilgili Standartlar
- TS EN ISO/IEC 27000 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve sözlük
- TS EN ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri – Gereksinimler
- TS EN ISO/IEC 27002 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği kontrolleri için uygulama prensipleri (ISO/IEC 27002:2013, Cor1:2014 ve Cor2:2015 dâhil)
- TS ISO IEC 27003 Bilgi Teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemi uygulama kılavuzu
- TS ISO IEC 27005 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği risk yönetimi
- TS EN ISO/IEC 27006 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemi tetkik ve belgelendirmesini yapan kuruluşlar için gereklilikler
- TS ISO/IEC 27007:2011 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri Denetimi için kılavuz
- TSE ISO/IEC TR 27008 Bilgi Teknolojisi -- Güvenlik teknikleri -- Denetçiler için bilgi güvenliği kontrolleri kılavuzu
15 Ekim 2010 CUMA | Resmî Gazete | Sayı : 27730
TEBLİĞ
Bilgi Teknolojileri ve İletişim Kurumundan:
ELEKTRONİK HABERLEŞME GÜVENLİĞİ KAPSAMINDA TS ISO/IEC 27001 STANDARDI UYGULAMASINA İLİŞKİN TEBLİĞ
Amaç
MADDE 1 – (1) Bu Tebliğin amacı; 20/7/2008 tarihli ve 26942 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrasının uygulanmasına ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Bu Tebliğ, Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili usul ve esasları kapsar.
Dayanak
MADDE 3 – (1) Bu Tebliğ; Elektronik Haberleşme Güvenliği Yönetmeliği’nin 11 inci maddesine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4 – (1) Bu Tebliğde geçen;
a) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,
b) GMPCS: Uydu üzerinden küresel mobil kişisel haberleşmeyi,
c) GSM: Avrupa Telekomünikasyon Standartları Enstitüsü’nün mobil, hücresel sayısal haberleşme standartlarına göre verici ve alıcı üniteleri haiz baz istasyonları, baz istasyon kontrol istasyonları, anahtarlama teçhizatı, bunlar arasındaki irtibatı temin eden telli ve telsiz her türlü haberleşme sistemlerini,
ç) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,
d) Kişisel ses ve/veya veri hizmeti: İçerik olarak genel veya grup erişimine açık olmayan ses ve/veya veri iletimini,
e) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,
f) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,
g) Net Satış: Brüt satışlardan satış indirimlerinin düşülmesi halinde kalan tutarı,
ğ) Standart: TS ISO/IEC 27001 veya ISO/IEC 27001 standardını,
h) Uygunluk belgesi: TS ISO/IEC 27001 veya ISO/IEC 27001 belgesi verebilmek üzere akredite edilmiş kuruluşlardan alınan TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sertifikasını,
ı) Yıllık net satış: Ocak ayının ilk günü ile başlayıp Aralık ayının son günü de dahil olmak üzere bir yıl içersinde elde edilen net satış tutarı,
i) Yönetmelik: Elektronik Haberleşme Güvenliği Yönetmeliğini, ifade eder. (2) Bu Tebliğde geçen ve yukarıda yer almayan tanımlar için ilgili mevzuatta yer alan tanımlar geçerlidir.
İşletmecilerin yükümlülükleri
MADDE 5 – (1) Uygunluk belgesi alma yükümlülüğü, işletmecinin kişişel ses ve/veya veri hizmeti taşıması ile bir önceki yılın net satışına göre belirlenir.
a) Bu Tebliğin Ek-1’inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası ve üzeri olanlar, uygunluk belgesi almakla yükümlüdür.
b) Bu Tebliğin Ek-1’inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası’nın altında olanlar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.
c) Bu Tebliğin Ek-2’sinde verilen kişisel ses ve/veya veri taşıma hizmeti sunmayan işletmeciler, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür. (2) Birinci fıkranın (a) bendinde belirtilen işletmecilerden;
a) 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe kadar,
b) 20/7/2008 tarihinden önce yetkilendirilenler tebliğ yürürlük tarihine kadar, uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür. (3) Birinci fıkranın (b) bendinde belirtilen işletmecilerden zaman içinde yıllık net satışı beşyüzbin (500.000) Türk Lirası’nı aşanlar, söz konusu yıllık net satış değerini aştıkları yılın sonu itibarıyla iki yıl içerisinde uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür. (4) Birinci fıkranın (a) bendinde belirtilen işletmecilerden zaman içinde yıllık net satışı beşyüzbin (500.000) Türk Lirası’nın altına düşen işletmecilerin, uygunluk belgesi alma yükümlülüğü devam eder. (5) Birinci fıkranın (b) ve (c) bentlerinde belirtilen işletmecilerden;
a) 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe kadar,
b) 20/7/2008 tarihinden önce yetkilendirilenler tebliğ yürürlük tarihine kadar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür. (6) Uygunluk belgesi, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre sistem belgelendirmesi yapmak üzere akredite edilmiş kuruluşlardan alınır.
Yetkik
MADDE 6 – (1) Kurum, 5 inci maddenin birinci fıkrasında belirtilen net satış değerini ve bu Tebliğ ekinde yer alan listeleri güncellemekle yetkilidir.
Denetim
MADDE 7 – (1) Kurum, işletmecilerin elektronik haberleşme güvenliği konusunda yükümlülüklerini yerine getirip getirmediğini re’sen veya şikayet üzerine denetleyebilir veya denetletebilir, konu ile ilgili olarak gerekli gördüğü her türlü bilgi ve belgeyi talep edebilir.
Standarda uyumluluk ve belge alma tarihi
GEÇİCİ MADDE 1 – (1) Bu Tebliğin 5 inci maddesinin ikinci ve beşinci fıkrasının (a) bentlerinde belirtilen işletmecilerin, yetkilendirmelerini müteakip iki yıllık sürenin, tebliğ yürürlük tarihinden öncesine tekabül etmesi halinde; bu işletmeciler uygunluk belgesi alma veya uyumluluk sağlama yükümlülüklerini tebliğ yürürlük tarihine kadar yerine getirir.
Yürürlük
MADDE 8 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürürlük
MADDE 9 – (1) Bu Tebliğ hükümlerini, Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.
Ek-1
TS ISO/IEC 27001 VEYA ISO/IEC 27001 STANDARDI UYGUNLUK BELGESİ ARANAN İŞLETMECİLER
1- Görev Sözleşmesi İmzalayan İşletmeciler
2- İmtiyaz Sözleşmesi İmzalayan İşletmeciler
3- Uydu Haberleşme Hizmeti Veren İşletmeciler
4- Altyapı İşletmeciliği Hizmeti Veren İşletmeciler
5- Sabit Telefon Hizmeti İşletmecileri
6- GMPCS Mobil Telefon Hizmeti Veren İşletmeciler
7- Sanal Mobil Şebeke Hizmeti İşletmecileri
8- İnternet Servis Sağlayıcıları
9- Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler
Ek-2
TS ISO/IEC 27001 VEYA ISO/IEC 27001 STANDARDI UYGUNLUK BELGESİ ARANMAYAN İŞLETMECİLER
1- Uydu Platform Hizmeti Veren İşletmeciler
2- Kablolu Yayın Hizmeti İşletmecileri
3- Ortak Kullanımlı Telsiz Hizmeti Veren İşletmeciler
4- Rehberlik Hizmeti İşletmecileri
E-mail:egitim@kascert.com E-mail:info@kascert.com