T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1
Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir) Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. 2
Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Neden Gereklidir? Saldırıya Uğrayabilecek Değerlerimiz Kuruluşun ismi, Kuruluşa ait gizli bilgiler İşin devamlılığını sağlayan bilgi ve süreçler Üçüncü şahıslar tarafından emanet edilen bilgiler, Kuruluşa ait adli, ticari, teknolojik bilgiler 3
Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Neden Gereklidir? Kayıplarımız İtibar kaybı Müşteri mağduriyeti Kaynakların tüketimi İşin yavaşlaması ya da durması Kurumsal imaj kaybı Üçüncü şahıslara yapılan saldırı mesuliyeti Hukuka saygı 4
Bilgi Güvenliği Yönetim Sistemi Temel Güvenlik Unsurları Gizlilik (Confidentiality), Erişim Kısıtlaması Bütünlük (Integrity), Bozulmamışlık Erişilebilirlik (Accessibility), Kullanalabilirlik 5
Bilgi Güvenliği Yönetim Sistemi Risk Analizi ve Yönetimi ÖNLEMLER TEHDİTLER Sabotaj Yangın Arıza Hırsızlık Deprem Virüsler Elektrik kesintisi Yetkisiz erişim.. ZAFİYETLER Güncellememe Bakımsızlık Korumasızlık Dayanıksız yapı Yetersiz anti virüs Jenarator olmaması Erişim Kontrolsüzlüğü Yangın ikazı olmaması.. 6
Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Yönetim Sistemi Tarihçe BSI kuruluşu hazırlamıştır BS 7799 daha sonra ISO tarafından 2000 yılında ISO 17799 olarak kabul edildi. 2005 yılında ISO/IEC 27001:2005 i yayınladı Mart 2006 ; 7
Bilgi Güvenliği Yönetim Sistemi Planla (BGYS nin kurulması) BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin geliştirilmesi Uygula (BGYS nin gerçekleştirilmesi ve işletilmesi) BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi 8
Bilgi Güvenliği Yönetim Sistemi Kontrol Et (BGYS nin izlenmesi ve gözden geçirilmesi) BGYS politikası, amaçlar ve süreç performansının değerlendirilmesi, uygulanabilen yerlerde ölçülmesi ve sonuçların rapor edilmesi Önlem al (BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi) Yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi 9
Bilgi Güvenliği Yönetim Sistemi Uygulama Süreci Kapsamın Tanımlanması Ekip Oluşturulması ve Stratejinin Belirlenmesi Eğitim İhtiyacının Değerlendirilmesi Bilgi Varlıklarının Saptanması Bilgi Varlıklarının Değerinin Belirlenmesi, tehditler Risk Belirlenmesi, Analiz edilmesi, derecelendirilmesi yapılır Kontrollerden Beklenen Güvenlik İyileşmesinin belirlenmesi Kontrol Hedeflerinin ve Kontrollerin Saptanması Uygulanabilirlik bildirgesi hazırlanması 10
Bilgi Güvenliği Yönetim Sistemi Standart Ana Hatları 4- BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 5- YÖNETİM SORUMLULUĞU 6- BGYS İÇ DENETİMLERİ 7- YÖNETİM GÖZDEN GEÇİRMESİ 8- BGYS İYİLEŞTİRME Ek A: KONTROLLER 11
Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliğini Kimler Uygulamalıdır? Kamu kuruluşları Hastaneler (Hasta bilgileri v.s.) Bankalar (finansal kayıplar, bank örneği) Okullar(Öğrenci bilgileri,notlar) Bilgilerim kıymetli diyen tüm kuruluşlar Her birey bilgi güvenliği hususunda bilinçlenmelidir. 12
Bilgi Güvenliği SONUÇ Yönetim Sistemi SONUÇ Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Farklı ve değişik ölçekli kurumlara uygulanabilir Riski düşürerek güvenliği artırma amaçlanmaktadır. Güvenlik seviyesini her kuruluş kendisi belirler. 13
Bilgi Güvenliği SONUÇ Yönetim Sistemi SONUÇ Kurumlara Yönetsel, Fiziksel ve Teknik geniş bir güvenlik görüşü sunar Uluslararası kabul görmüş bir standarttır. Güvenlik ile ilgili kanun, düzenleme ve standartlarla uyumludur. İşin devamlılığını sağlar. Yasal mevzuatlara uyumu garantiler. 14
TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Bilgi Teknolojileri Bilgiye hizmet eden her türlü ekipman Hizmet Yönetim sistemi (doğru, sistematik, birlikte çalışma) 15
TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ İş hayatımızda ve gündelik yaşantımızda bilgi teknolojileri büyük yer tutmaktadır e-.. Çoğalıyor Devlet, iş dünyası, Alışveriş, Sosyal medya 16
TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Kuruluş/işletmelerin iç/dış müşterilerine verdiği bilgi teknolojisi hizmetlerini, sistem yaklaşımı ile yönetmesi işlemidir BS 15000 adı altında 2000 yılında yayımlanmıştır 2005 yılında ISO/IEC 20000-1 olarak yayımlanmış 2011 yılında ise revize olmuştur 17
TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Hizmetlerini sürdürülebilir, kullanılabilir kılmak, Maliyetlerini ideal kullanmak, Riskleri ve karmaşıklığını yönetmek, Yasalara uygunluk, Gelecekteki büyük boyutlardaki değişiklikleri hazırlanmak, 18
4 5 TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Standardın Ana Hatları Hizmet yönetim sisteminin genel şartları 4.1 Yönetim sorumluluğu 4.2 Diğer tarafların yürüttüğü süreçlerin yönetişimi 4.3 Dokümantasyon yönetimi 4.4 Kaynak Yönetimi 4.5 Sistemin kurulumu ve iyileştirilmesi Yeni ya da değişen hizmetlerin tasarımı ve geçişi 5.1 Genel 5.2 Yeni veya değişen hizmeti planlama 5.3 Yeni veya değişen hizmetin tasarımı ve geliştirilmesi 5.4 Yeni veya değişen hizmetin geçişi 19
6 7 TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Hizmet sunma prosesi 6.1 Hizmet seviyesi yönetimi 6.2 Hizmetin rapor edilmesi 6.3 Hizmetin sürekliliğinin ve elverişliliğinin yönetimi 6.4 Hizmetlerinin bütçelenmesi ve muhasebesi 6.5 Kapasite yönetimi 6.6 Bilgi güvenliği yönetimi İlişki prosesleri 7.1 İş ilişkisi yönetimi 7.2 Tedarikçi yönetimi 20
8 9 TS ISO/IEC 20000 BİLGİ TEKNOLOJİLERİ HİZMET YÖNETİM SİSTEMİ Çözüm prosesleri 8.1 Olay ve hizmet istek yönetimi 8.2 Sorun yönetimi Kontrol prosesleri 9.1 Konfigürasyon yönetimi 9.2 Değişiklik yönetimi 9.2 Yayım ve sürüm yönetimi 21
SONUÇ Temel prensip süreç yönetimi ile iyileşmek ve sağlıklı gelişmektir. Hizmetlerini etkin bir izleme, gözden geçirme ve iyileştirme süreciyle geliştirmek isteyen, Kusursuz ve kesintisiz hizmet sunmak isteyen, Tutarlı bir yaklaşımla tedarikçileri, müşterilerini yönetmek isteyen, Hizmet sunma kabiliyetini göstermek isteyen hizmet sağlayıcılara yardımcı olur. 22
Dinlediğiniz için Teşekkür Ederiz Türk Standartları Enstitüsü Sistem Belgelendirme Merkez Başkanlığı ggokcimen@tse.org.tr 23