ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Transkript

1 Kapsam - Terimler

2 K A P A M Kapsam u standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. u standard aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içerir. u standardda ortaya konulan şartlar geneldir ve türleri, büyüklükleri ve doğalarından bağımsız olarak tüm kuruluşlara uygulanabilir olması hedeflenmiştir. ir kuruluşun bu standarda uyumluluk iddiasında bulunması durumda, Madde 4 ila Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul edilebilir değildir.

3 K A P A M Atıf yapılan standard ve/veya dokümanlar u standartta aşağıdaki dokümanlara, tamamen veya kısmen, atıf yapılmış olup, söz konusu dokümanlar bu standardın uygulanması için zorunludur. Tarihli atıflar için sadece atıf yapılan sürüm geçerlidir. Tarihsiz atıflar için, atıf yapılan dokümanın (tüm değişiklikler dâhil olmak üzere) son sürümü geçerlidir. IO/IEC 27000, ilgi teknolojisi - üvenlik teknikleri - ilgi güvenliği yönetim sistemleri - enel akış ve Terimler sözlüğü

4 Terimler ve tarifler u dokümanın amaçları doğrultusunda IO/IEC de verilen terimler ve tarifler geçerlidir. Varlık Kuruluş için değeri olan herhangi bir şey. [IO/IEC : 2004] Kullanılabilirlik etkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği. [IO/IEC : 2004]

5 izlilik ilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliği. [IO/IEC : 2004] ilgi güvenliği ilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. [IO/IEC 17799: 2005]

6 ilgi güvenliği olayı Olası bir bilgi güvenliği politikası açığı, koruyucuların başarısızlığı ya da güvenlikle ilgili olabilecek önceden bilinmeyen bir durumu belirten bir sistem, hizmet ya da ağ durumunun tanımlanan bir ortaya çıkışı. [IO/IEC TR 18044: 2004] ilgi güvenliği ihlal olayı İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı. [IO/IEC TR 18044: 2004]

7 ilgi güvenliği yönetim sistemi ilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası. Not - önetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. ütünlük Varlıkların doğruluğunu ve tamlığını koruma özelliği. [IO/IEC : 2004]

8 Artık risk Risk işlemeden sonra kalan risk. [IO/IEC uide 73] Riskin kabulü ir riski kabul etme kararı. [IO/IEC uide 73] Risk analizi Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı. [IO/IEC uide 73]

9 Risk değerlendirme Risk analizi ve risk derecelendirmesini kapsayan tüm proses. [IO/IEC uide 73] Risk derecelendirme Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi. [IO/IEC uide 73] Risk yönetimi ir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. [IO/IEC uide 73]

10 Risk işleme Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi. [IO/IEC uide 73] Not - u standardda, önlem sözcüğünün eş anlamlısı olarak kontrol terimi kullanılmıştır. Uygulanabilirlik bildirgesi Kuruluşun si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildirge. Not - Kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerinin sonuçları ve çıkarımlarını, yasal ve düzenleyici gereksinimleri, anlaşma yükümlülüklerini ve kuruluşun bilgi güvenliği için iş gereksinimlerini temel alır.