İstanbul Bilişim Kongresi Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması COBIT ve ISO 27001 Merve Saraç, CISA merve@mersis.com.tr MerSis Bilgi Teknolojileri Danışmanlık Ltd. www.mersis.com.tr
COBIT vs ISO 27001 Bilgi TEKNOLOJİLERİ Yönetimi Bilgi GÜVENLİĞİ Yönetimi Yönetim Modeli Genel Prensipler KURUMSAL
COBIT (Planlama ve Organizasyon) PO1 Stratejik BT Planı tanımla. - PO2 Bilgi Mimarisini tanımla. Varlık envanteri, Bilgi sahipleri, Bilgi Sınıfları (7.1.1, 7.1.2, 7.2) PO3 Teknolojik Yönünü belirle. - PO4 BT Süreçleri, Organizasyonu ve İlişkilerini tanımla. PO5 BT Yatırımlarını yönet. - PO6 Yönetim Hedefleri ve Yönünün iletişimini yap. Yönetimin taahhüdü. Koordinasyon, sorumluluklar, onay süreci, ilişkilerin yönetimi, görevlerin ayrılığı (6.1.1,6.1.2,6.1.3,6.1.4, 6.1.6, 10.1.3, 6.1.7) Güvenlik Politikaları ve gözden geçirilmesi (5.1.1,5.1.2) PO7 İnsan Kaynaklarını yönet. Insan Kaynakları Güvenliği (8) PO8 Kaliteyi yönet. - PO9 Riskleri değerlendir. Risklerin yönetimi, 3.Parti risklerinin tanımlanmas (4, 6.2) PO10 Projeleri yönet. -
COBIT (Teknoloji Edinme ve Uygulama) AI1 Teknoloji Çözümlerini tanımla. Güvenlik gereksinimleri analizi (12.1.1) AI2 AI3 Uygulama Yazılımlarını edin ve bakımını yap. Teknolojik Altyapıyı edin ve bakımını yap. Uygulama kontrolleri, uygulama geliştirme süreçleri (12.2, 12.5) - AI4 Operasyon ve kullanımı sağla. - AI5 Satınalma. Sözleşmeler, (6.2.3) AI6 Değişiklikleri yönet. Değişiklik yönetimi (10.1.2) AI7 Çözüm ve değişikliklerini kur ve onayla. Geliştirme, test ve canlı sistemlerin ayrılması, sistem kabulü (10.1.4, 10.3.2)
COBIT (Hizmet Sağlama ve Destek (1)) DS1 Servis Seviyelerini tanımla ve yönet. - DS2 3. Parti Hizmetleri yönet. Gizlilik sözleşmeleri, tedarikçi yönetimi (6.1.5, 10.2) DS3 Performans ve Kapasiteyi yönet. Kapasite yönetimi (10.3.1) DS4 Servis Sürekliliğini Sağla. İş sürekliliği yönetimi (14) DS5 Güvenliği sağla. Müşterilerin erişim güvenliği, Varlıkların kullanım kuralları, zararlı yazılımlardan korunma, network güvenliği, bilgi iletişimi, e-ticaret, sistemlerin ve kullanımının izlenmesi, erişim kontrolü, kriptografik kontroller, sistem açıklarının yönetimi (6.2.2, 7.1.3, 10.4, 10.6, 10.8, 10.9, 10.10, 11, 12.3, 12.6)
COBIT (Hizmet Sağlama ve Destek (2)) DS6 Maliyetleri tanımla ve dağıt. - DS7 Kullanıcıları eğit. - DS8 Olay Yönetimi Güvenlik olayları yönetimi (13) DS9 Konfigürasyonu yönet. Sistem dosyaları güvenliği, Değişiklik yönetimi (12.4, 10.1.2) DS10 Problem yönetimi. - DS11 Veri yönetimi Yedekleme, Veri saklama ortamları (10.5, 10.7) DS12 Altyapı yönetimi Güvenli alanlar, cihaz güvenliği (9.1, 9.2,) DS13 Operasyon yönetimi İşletim talimatları(10.1. 1)
COBIT (İzleme ve Değerlendirme) M1 Süreç performansını izle ve değerlendir. - M2 Yönetim süreçlerinin yeterliliğini değerlendir. Politika, süreçler, prosedürler, teknolojik standartlar ile uyumluluk, bağımsız denetim (15.2, 6.1.8) M3 Dış Gereksinimler ile uyumu gözet. Uyumluluk (15.1) M4 BT Yönetişimini sağla. -
ISO 27001 ISO 27001 COBIT 4. Risk değerlendirmesi ve yönetimi PO9 Risk Yönetimi 5. Güvenlik politikası PO6 Politikaların Yönetimi 6. Bilgi güvenliği organizasyonu PO4 Süreç, Organizasyon ve İlişkilerin Yönetimi 7. Varlık yönetimi PO2 Bilgi Mimarisini Tanımla DS9 Konfigürasyon Yönetimi 8. İnsan kaynakları güvenliği PO7 İnsan Kaynakları Yönetimi 9. Fiziksel ve çevre güvenliği DS12 Fiziksel Ortamı Yönet 10. İletişim ve operasyon güvenliği AI6 Değişiklikleri Yönet AI7 Çözümleri Kur ve Kabulünü Yap DS2 3.Parti Hizmetlerin Yönetimi DS3 Performans ve Kapasite Yönetimi DS5 Sistem Güvenliği DS11 Veri Yönetimi DS13 Operasyon Yönetimi
ISO 27001 ISO 27001 11. Erişim kontrolü DS5 Sistem Güvenliği 12. Bilgi sistemleri edinme, geliştirme ve bakımı COBIT AI1 Çözümleri Tanımla AI2 Uygulama Yazılımlarını Edin ve Bakımını Yap DS5 Sistem Güvenliği AC Uygulama Kontrolleri 13. Bilgi güvenliği olay yönetimi DS8 Yardım Masası ve Olay Yönetimi 14. İş sürekliliği yönetimi DS4 Hizmet Sürekliliğini Sağla 15. Uyumluluk ME2 İç Kontrolü İzle ve Değerlendir ME3 Dış Gereksinimler ile Uyumu Sağla
Kaynak www.isaca.org IT Governance Institute Cobit Mapping Mapping of ISO/IEC 27001:2005 With Cobit 4.0