admin
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)
Bilgi güvenliği yönetim sistemi hakkında bilinçlendirme ve eğitim faaliyetlerini yoğunlaştırarak devam ettiren Gelişim Yönetim Sistemleri A.Ş. 2006 yılında tüm kamu kurumları, üniversiteler ile IT, finans, sağlık sektörleri başta olmak üzere tüm Türkiye’deki kurumlara danışmanlık ve eğitim hizmetleri sunmaktadır.
Türkiye için yeni bir standart olmasına ve Türkçe hemen hemen hiç kaynak bulunmamasına rağmen sektörünün öncü kurumları tarafından faydası tespit edilmiş ve çalışmaları yıllardır sürdürülen bilgi güvenliği yönetim sisteminin yaygınlaşması, doğru anlaşılması ve verimli bir şekilde uygulanabilmesi için seminer faaliyetlerinin yanı sıra hazırlanan Türkçe kılavuzlar ve kitaplar ile de kurumların işlerini kolaylaştıracak çözümler sunmaya devam etmekteyiz.
ISO 27001 bilgi güvenliği yönetim sistemi hakkında dikkat edilmesi gereken temel noktalar aşağıda özetlendiği gibidir. Konuyla ilgili detaylı bilgi için www.gelisim.org adresi ziyaret edilebilir.
Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001 olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
Bunun yanı sıra ISO 17799:2002 numaralı standart da ISO 17799:2005 bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi olarak yayınlanarak ISO 27001’e göre kurulacak bir BGYS’nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.
Bilgi güvenliği yönetim sistemi , kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk sağaltımı için bir plan hazırlamalıdır.
Risk sağaltımı için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
ISO 27001 Kurumların risk yönetimi ve risk sağaltım planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı olacaktır.
ISO 27001’den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.
Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve bir “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
Bir diğer karışıklık da bilgi güvenliği denilince kutu-paket güvenlik ürünlerinin ve “çözümlerinin” gelmesidir. ABD , AB ve İsrail kökenli yazılım firmalarının kutu güvenlik anlayışı ile yaydığı çözümler bilgi güvenliğinin ve ISO 27001’in yüzlerce kontrolünden sadece bir kaçını oluşturmaktadır. Bu bağlamda tekrar etmek gerekirse “Bilgi güvenliği bir ürün değil bir süreçtir.” Bu sürecin en zayıf halkası ise insandır. Bugüne kadar gerçekleşen bilgi güvenliği kazaları-kayıplarının %80’inden fazlası yazılımsal veya donanımsal değil insan hatası veya kastı ile gerçekleşen durumlardır. Bu nedenle etkin bir yönetim yapısı ve BGYs takımına etkin bir yönetim desteğinin yanı sıra yoğun bir bilinçlendirme faaliyeti ISO 27001’in kaçınılmaz gerekliliklerindendir.
Gelişim Yönetim sistemleri olarak geliştirdiğimiz özgün metodoloji ile etkin ve verimli bir bilgi güvenliği yönetimi için Türkiye’de ISO 27001 projelerinin %70 ini bu anlayış ile gerçekleştirmiş bulunuyoruz.
Temmuz 2006’dan itibaren başlatılacak eğitimlerle, Türkiye’de yetişmiş bilgi güvenliği uzmanı açığına çözüm getirmeyi hedeflemekteyiz. Çeşitli kamu kurumları ve üniversitelerde yürüttüğümüz bilinçlendirme faaliyetlerini de hızlandırarak artırmayı planlamaktayız.
ISOTS16949 Belgesi Tanımı
IS0/TS 16949 OTOMOTİV SEKTÖRÜ İÇİN KALİTE YÖNETİM SİSTEMİ
IS0/TS 16949 OTOMOTİV SEKTÖRÜ İÇİN KALİTE YÖNETİM SİSTEMİ
ISO/TS 16949 adından da anlaşılacağı gibi bir teknik spesifikasyondur. İlk yayınlanış tarihi 1999 yılındadır. Bundan önce QS 9000, EAQF 94, VDA, ANFIA gibi sadece otomotiv sektörü için hazırlanmış klavuzlar kullanılmaktaydı ve bu dokümanlara göre kuruluşlar belgelenebilirlerdi. ISO 9001 standardının 2000 yılında revize edilmesiyle birlikte ISO/TS spesifikasyonunun da uyumlu hale getirilme ihtiyacı doğdu. IATF( International Automotive Task Force)’in ve ISO(International Organisation for Standardisation)’nun önderliğinde bu spesifikasyon 2002 yılında revize edilerek devreye alındı. Japon Otomotiv ciler Birliğinin (JAMA) bu spesifikasyonu tanımasıyla birlikte kullanılırlığı arttı.
Bu spesifikasyonun uygulama alanı;
• Üretim malzemeleri
• Üretim veya servis parçaları
• Isıl işlem, boyama, kaplama, polisaj gibi hizmetler sunan
ve otomotivdeki tedarik zincirinde çalışan kuruluşlarla sınırlıdır.
ISO/TS 16949 üç ana felsefe üzerine oluşturulmuştur;
Sürekli iyileştirme
Hata önleme
Değişim ve firenin azaltılması
Bu spesifikasyonun istekleri incelendiği zaman görülecektir ki yukarıdaki üç noktadan en az biri veya birkaçı istenmektedir.
Kuruluşların ISO/TS 16949’a göre sistem kurarlarken sadece ellerine bu spesifikasyonu alıp yöntemler belirlemeleri yeterli olmayacaktır. ISO/TS 16949’un en önemli gerekliliklerinden bir tanesi de “Müşteri Özel İstekleri” dir. ISO/TS 16949’da müşteri ve onun özel istekleri daima ön plandadır. Bundan dolayıdır ki kuruluşlar daima müşterileriyle iletişim halinde olmalılar.
Kuruluşlar ISO/TS 16949’a göre sistem kurarken zaman zaman hataya düşebiliyorlar. Bunlardan en önemlisi müşteriyle olan iletişim eksikliği. Çünkü spesifikasyona baktığımız zaman kuruluşların ürün kalite planlaması, parça onay prosesini çalıştırmaları veya ölçüm sistemi analiz çalışmalarının yapılması gibi müşteri isteklere cevap vermeleri gerekiyor. Oysa bu çalışmaları yaparken hangi referansa göre bunları yapmaları gerektiğini müşterileriyle paylaşmıyorlar. Bunun sonucunda da müşterinin istemediği veya farklı referansa göre işlem yapmak gibi hatalar oluşabiliyor.
Yine bu çalışmalar esnasında dikkat edilmesi gereken husurlardan bir tanesi de sevkıyat performansı, kalite performansı (ppm), müşteri uyarıları ve müşteri duruşları. Bu dört parametredeki takiplerin sıkı sıkıya tutulması ve takip edilmesi gerekiyor. Tabii ki bu parametrelerin sadece takip edilmesi yeterli olmayıp müşteri hedefleriyle uyumlu olması bekleniyor.
ISO/TS 16949 spesifikasyonu “Otomotiv Sektörü İçin Proses Yaklaşımı”nı öngörür. Kuruluşların müşteri odaklı, destek ve yönetsel proseslerini belirlemeleri ve bu doğrultuda çalışmaları kendilerinin işlerini kolaylaştıracaktır.