ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

tseBilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türkturkak-logo (1) Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

27001Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Reklamlar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Ekim 2013

Kurumlarda BT standartlarını belirleyen ve onların uluslararası standartta bir Bilgi Güvenliği Yönetim Sistemi’ne (BGYS) sahip olduğunu kanıtlayan ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyon taslakları yayımlandı.

Bilgi teknolojileri alanındaki ihtiyaçları karşılamak için BT standartlarını ortaya koyan, güncelleyen ve destekleyen ‘Joint ISO/IEC Committee’, ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyonunu oluşturacak taslakları yayımladı. Taslağın yayımlanmasının amacı ise ilgili tarafların yapılan değişikliklere yönelik görüşlerini almak ve bu görüşlere göre standarda son halini verebilmek.

Son tarih 23 Mart

Komite, 23 Mart 2013’e kadar, standardın taslak hali için gelecek yorumları bekliyor. Joint ISO/IEC Committee tarafından değerlendirilecek geri bildirimler sonrasında taslak standardın bu değerlendirmeye göre güncellenmesi planlanıyor. ISO tarafından ‘Final Draft International Standard’ (FDIS) adı verilen son taslağın yayımlanması bekleniyor.

ISO 27001’de hangi değişiklikler var?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının yeni versiyonunu incelendiğinde, standardın yapısında ve içeriğinde önemli değişiklikler olduğu göze çarpıyor.

  • Standardın 2005 versiyonunda da yer alan ‘üst yönetimin bilgi güvenliğine yönelik sorumluluklarını anlatan ‘5. Yönetim Sorumluluğu’ maddesi, yeni versiyonda yönetim sistemine yönelik; liderlik, etkinlik ölçümü, bilgi güvenliğine yönelik hedeflerin belirlenmesi konularını daha çok vurgulayan bir hale getiriliyor.
  • Sürekli iyileşmenin sağlanabilmesi için kurumun artık başka metodolojiler de izleyebileceği göz önünde bulundurularak PUKÖ döngüsünün izlenmesi bir gereklilik olmaktan çıkartılıyor.
  • Bilgi güvenliği risklerinin belirlenmesine ve risklerin indirgenmesine yönelik aksiyonların alınmasını temel alan standardın risk değerlendirme yaklaşımında büyük değişiklikler var. Artık eskiden olduğu gibi varlıklar üzerinden risk değerlendirme yapmak yerine kurumlar daha geniş, daha jenerik bir değerlendirme yaklaşımını benimseyebilecekler. Standart artık, kurumların sahip oldukları bilginin, bilgi varlıklarından daha önemli olduğunu vurguluyor. Bu yenilik, kurumların donanım ve yazılım gibi varlıklarının üzerindeki riskleri değerlendirmesi yerine, sahip oldukları bilgiler üzerindeki riskleri değerlendirmeleri gerektiği anlamına geliyor.
  • Risk yönetim standardı olan yeni versiyon ISO 31000 ile ISO 27001 ile, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) risk yönetim yaklaşımları birbirine uygun hale getiriliyor ve birçok kurumda karşımıza çıkan kurumsal risk yönetimi ile bilgi güvenliği risk yönetimi kavramlarının örtüşmesi sağlanıyor.
  • ISO 27001’in 2005 versiyonunda, standarda yönelik güvenlik önlem ve kontrollerinin etkinliğinin ölçümü daha belirsiz ve kuruma göre değişebilecek yapıda iken, yeni versiyonda izleme, ölçme ve iyileştirme süreçleri daha net, spesifik ve tanımlı uygulamaların yürütülmesini gerektiriyor. Bu durum, bilgi güvenliği gerekliliklerine yeni uyum sağlayacak ve belgelendirilmeyi hedefleyen kurumlar için yeni bir gereklilik getiriyor: Artık kurumların belgelendirilebilmesi için sadece sistemi kurması ve işletmesi değil, aynı zamanda aldığı güvenlik önlemlerinin etkinliğini izleyebilmesi, ölçebilmesi ve sonuçlarından iyileşme fırsatları çıkartabilmesi gerekecek.
  • Standardın temel güvenlik önlemlerinin yer aldığı ‘EK A’ kısmı, yeni versiyonda da mevcut. Kurumların EK A’da yer alan kontrollere nasıl uyum sağladıklarını gösterebilmeleri için halen bir ‘Uygulanabilirlik Bildirgesi’ dokümanı hazırlamaları gerekiyor.
  • Eski versiyonda kontrol hedefleri 11 ana başlık altında ele alınırken artık 14 farklı kategoride kontroller bulunuyor. 2005 versiyonda 133 adet kontrol hedefi varken yeni standartta 113 adet kontrol olması bekleniyor. Standardı incelediğimizde kontrol maddelerinde eski versiyona göre daha net bilgiler yer aldığını görüyoruz. Örneğin, eski standart iş sürekliliği konusunda her kurumun bir iş sürekliliği planı olması ve bu planlarında bilgi güvenliğinin dikkate alınması gerektiği üzerinde duruyordu. 2013 versiyonunda ise artık, iş süreklilik planı ihtiyacının tanımlanması ve bu ihtiyaca göre süreklilik planlarının oluşturulması söz konusu…

Yeni Standart Kurumları Nasıl Etkileyecek?

ISO 27001 belgesine sahip veya sertifika almayı hedefleyen kurumları nasıl bir süreç bekliyor? Yeni standart yayımlandığında, 2005 revizyonlu eski ISO 27001 standardı güncelliğini yitirmiş olacak ve geçersiz sayılacak. Belgeye sahip olan ve sistemi uygulamaya devam etmekte olan kurumlara yeni standart geçiş için belirli bir süre tanınacak. Her ülkede yeni versiyona geçişler genellikle ulusal akreditasyon kurumları tarafından yürütülüyor (Türkiye’deki örneği: TÜRKAK).

Geçiş süreci şöyle işliyor:

  • Belgelendirilmiş olan ve sistemi yürütmekte olan kurumların yeni versiyona geçiş yapabilmesi için genellikle yeni standardın yayımlanma tarihinden itibaren 18 – 24 ay süre tanınıyor.
  • Standardın 2013 revizyonunun yayımlanmasından önce BGYS projelerine başlamış olan ve standart gerekliliklerine uyum için çalışmakta olan kurumların eski versiyona göre belgelendirilmelerine devam edebilmeleri içinse genellikle 6 – 12 ay süre veriliyor. Ancak yeni revizyonlu standart yayımlandıktan sonra, 2005 versiyona göre belgelendirilen kurumların, geçiş sürecinin sonuna kadar 2013 versiyona geçmeleri talep edilecek.

Yeni versiyona geçiş rahat olacak

Genellikle yeni standartlar yayımlandıktan sonra kurumların, belgelendirme şirketlerinin ve denetçilerin yeni standart maddelerini yorumlamaları, kurumlarda nasıl uygulanabileceğini belirlemeleri ve özümsemeleri genellikle belirli bir zaman alıyor. Bu nedenle şu anda ISO 27001 kurulum projelerini yürütmekte olan kurumların 2005 versiyona göre hazırlık yapmaları ve etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulduktan sonra 2013 versiyonlu standarda uyum sürecini başlatmaları daha rahat bir geçiş süreci geçirmelerini sağlıyor.

Hedef: 19 Ekim 2013

ISO tarafından ISO 27001 standardının 2013 revizyonunun 19 Ekim 2013’te yayımlanması hedefleniyor. Ancak taslak standarda yönelik yorumlar ve geri bildirimlerin yoğunluğuna ve önemine bağlı olarak son revizyonun yayımlanma tarihinin Nisan 2014’e kadar uzayabileceği belirtiliyor.

(innova)

IRCA Onaylı Tek Türk ISMS ISO 27001 Denetçisi Erman Taşkın

IRCA Uluslararası denetçi kütüğünde kendi alanında denetçi ünvanını hakeden kıdemli denetçileri titiz bir inceleme sonucunda onaylayan ve yönetim sistemleri alanında tek otorite olan bir kurumdur.
Bu kuruma yaptığım başvuru sonucunda ISMS Auditor (ISO 27001) Bilgi Güvenliği Yönetim Sistemi Denetçisi ünvanını bana layık gördüler.
Bu alanda Auditor olarak IRCA’dan onaylanan Tek Türk olmaktan da mutluluk duyuyorum. IRCA Kayıt No 01197355 http://www.irca.org

IRCA Uluslararası denetçi kütüğünde kendi alanında denetçi ünvanını hakeden kıdemli denetçileri titiz bir inceleme sonucunda onaylayan ve yönetim sistemleri alanında tek otorite olan bir kurumdur.Bu kuruma yaptığım başvuru sonucunda ISMS Auditor (ISO 27001) Bilgi Güvenliği Yönetim Sistemi Denetçisi ünvanını bana layık gördüler.Bu alanda Auditor olarak IRCA’dan onaylanan Tek Türk olmaktan da mutluluk duyuyorum. IRCA Kayıt No 01197355 http://www.irca.org

http://www.ermantaskin.com

EDUCORE ISO/IEC 27001 Foundation with Certification Exam

Eğitimin Hedefi
https://i0.wp.com/www.educore.com.tr/images/logo.png

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitiminin hedefi; BGYS Standartı ve onun
gereklilikleri hakkında genel bilgilendirme sağlamak, sistemin tüm maddelerine hızlı bir
bakıs ile uygulamanın nasıl gerçeklestirildiğine ve sistemin nasıl kurulduğuna ve isletildiğine
dair örnekler ve açıklayıcı bilgiler sunabilmektir.

Detaylı bilgi için  TIKLAYINIZ

TS ISO/IEC 27001 VEYA ISO/IEC 27001 STANDARDI UYGUNLUK BELGESİ ARANMAYAN İŞLETMECİLER

TS ISO/IEC 27001 VEYA ISO/IEC 27001 STANDARDI UYGUNLUK BELGESİ

ARANMAYAN İŞLETMECİLER

1 Uydu Platform Hizmeti Veren İşletmeciler
2 Kablolu Yayın Hizmeti İşletmecileri
3 Ortak Kullanımlı Telsiz Hizmeti  Veren İşletmeciler
4 Rehberlik Hizmeti İşletmecileri

TS ISO/IEC 27001 VEYA ISO/IEC 27001 STANDARDI UYGUNLUK BELGESİ ARANAN İŞLETMECİLER

TS ISO/IEC 27001 VEYA ISO/IEC 27001 STANDARDI UYGUNLUK BELGESİ

ARANAN İŞLETMECİLER

1 Görev Sözleşmesi İmzalayan İşletmeciler
2 İmtiyaz Sözleşmesi İmzalayan İşletmeciler
3 Uydu Haberleşme Hizmeti Veren İşletmeciler
4 Altyapı İşletmeciliği Hizmeti Veren İşletmeciler
5 Sabit Telefon Hizmeti İşletmecileri
6 GMPCS Mobil Telefon Hizmeti Veren İşletmeciler
7 Sanal Mobil Şebeke Hizmeti İşletmecileri
8 İnternet Servis Sağlayıcıları
9 Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler

ELEKTRONİK HABERLEŞME GÜVENLİĞİ KAPSAMINDA TS ISO/IEC 27001 STANDARDI UYGULAMASINA İLİŞKİN TEBLİĞ TASLAĞI

Amaç

MADDE 1 – (1) Bu Tebliğin amacı; 20/7/2008 tarihli ve 26942 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrasının uygulanmasına ilişkin usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (1) Bu Tebliğ, Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili usul ve esasları kapsar.

Dayanak

MADDE 3 – (1) Bu Tebliğ; Elektronik Haberleşme Güvenliği Yönetmeliği’ nin 11 inci maddesine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

MADDE 4 – (1) Bu Tebliğde geçen;

a) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,

b) GMPCS: Uydu üzerinden küresel mobil kişisel haberleşmeyi,

c) GSM: Avrupa Telekomünikasyon Standartları Enstitüsü’nün mobil, hücresel sayısal haberleşme standartlarına göre verici ve alıcı üniteleri haiz baz istasyonları, baz istasyon kontrol istasyonları, anahtarlama teçhizatı, bunlar arasındaki irtibatı temin eden telli ve telsiz her türlü haberleşme sistemlerini,

ç) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,

d) Kişisel ses ve/veya veri hizmeti: İçerik olarak genel veya grup erişimine açık olmayan ses ve/veya veri iletimini,

e) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

f) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

g) Net Satış: Brüt satışlardan satış indirimlerinin düşülmesi halinde kalan tutarı,

ğ) Standart: TS ISO/IEC 27001 veya ISO/IEC 27001 standardını,

h) Uygunluk belgesi: TS ISO/IEC 27001 veya ISO/IEC 27001 belgesi verebilmek üzere akredite edilmiş kuruluşlardan alınan TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sertifikasını,

ı) Yönetmelik: Elektronik Haberleşme Güvenliği Yönetmeliğini,

ifade eder.

(2) Bu Tebliğde geçen ve yukarıda yer almayan tanımlar için ilgili mevzuatta yer alan tanımlar geçerlidir.

İşletmecilerin yükümlülükleri

MADDE 5 – (1) Uygunluk belgesi alma yükümlülüğü, işletmecinin kişişel ses ve/veya veri hizmeti taşıması ile yıllık net satışına göre belirlenir.

a) Bu Tebliğin Ek-1’ inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası ve üzeri olanlar, uygunluk belgesi almakla yükümlüdür.

b) Bu Tebliğin Ek-1’ inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası’ nın  altında olanlar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağmakla yükümlüdür.

c) Bu Tebliğin Ek-2’ sinde verilen kişisel ses ve/veya veri taşıma hizmeti sunmayan işletmeciler, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağmakla yükümlüdür.

(2) Birinci fıkranın (a) bendinde belirtilen işletmecilerden 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe, 20/7/2008 tarihinden önce yetkilendirilenler ise 20/7/2010 tarihine kadar uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.

(3) Birinci fıkranın (b) bendinde belirtilen işletmecilerden zaman içinde net satışı beşyüzbin (500.000) Türk Lirası’ nı aşanlar bu limiti aştıkları tarihten itibaren iki yıl içerisinde uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.

(4) Birinci fıkranın (a) bendinde belirtilen işletmecilerden zaman içinde net satışı beşyüzbin (500.000) Türk Lirası’nın altına düşen işletmecilerin, söz konusu net satış değerini aştıkları tarihten itibaren başlayan uygunluk belgesi alma yükümlülüğü devam eder.

(5) Birinci fıkranın (b) ve (c) bentlerinde belirtilen işletmecilerden 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe, 20/7/2008 tarihinden önce yetkilendirilenler ise 20/7/2010 tarihine kadar uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.

MADDE 6 – (1) Kurum, 5 inci maddenin birinci fıkrasında belirtilen net satış değerini ve bu Tebliğ ekinde yer alan listeleri güncellemekle yetkilidir.

Yürürlük

MADDE 7 – (1) Bu Tebliğ; yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 8 – (1) Bu Tebliğ hükümlerini, Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.