T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1
Güvenlik; toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumudur. (TDK) Bilgi Güvenliği; Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. (TS ISO/IEC 27001:2005) 25.10.2014 Türk Standardları Enstitüsü 2
Bilgi Güvenliği Neden Gereklidir? Değerlerimizi korumak için; Varlıklarımız, Bilgilerimiz (adli, ticari ve teknolojik). 25.10.2014 Türk Standardları Enstitüsü 3
Bilgi Güvenliği Neden Gereklidir? Geleceğimizi korumak için; Kuruluşun imajı Güvenilirlik Süreklilik 25.10.2014 Türk Standardları Enstitüsü 4
Bilgi Güvenliğini Hangi Kuruluşlar Uygulamalıdır? Kamu kuruluşları Hastaneler Bankalar Okullar Bilgilerim kıymetli diyen tüm kuruluşlar 25.10.2014 Türk Standardları Enstitüsü 5
Bilgi güvenliğini tam olarak nasıl sağlarım? Hiçbir şekilde 25.10.2014 Türk Standardları Enstitüsü 6
Bilgi güvenliğini nasıl kurup geliştirebilirim? Sistemli bir bilgi güvenliği yönetimi ile 25.10.2014 Türk Standardları Enstitüsü 7
1- Bilgi varlıklarımızı belirleriz İnsan kaynaklarımız, Sunucularımız, Yazılımlar, Kayıtlarımız, Network altyapısı, Bina ve çalışma alanlarımız, Denetim araçlarımız, İzleme araçlarımız, Dokümanlarımız.. 25.10.2014 Türk Standardları Enstitüsü 8
2- Varlıklarımızın üzerindeki tehditleri belirleriz Hastalık Yangın Hırsızlık? Sabotaj Virüs Arıza Elektrik kesintisi Deprem Yetkisiz erişim Bilinçsizlik 25.10.2014 Türk Standardları Enstitüsü 9
3- Zafiyetlerimizi (açıklıklar) belirleriz Hastalık Yangın Hırsızlık Sabotaj Yangın ikazının olmaması? Yetersiz anti virüs Virüs Arıza Dayanıksız yapı Bilinçsizlik Deprem İç Tehdit Jenarator olmaması Elektrik kesintisi Erişim Kontrolsüzlüğü Yetkisiz erişim 25.10.2014 Türk Standardları Enstitüsü 10
4- Riskleri azalmak için karşı önlemler alırız Hastalık Yangın Hırsızlık Sabotaj Virüs? Arıza Elektrik kesintisi 25.10.2014 Deprem Bilinçsizlik Türk Standardları Enstitüsü X Yetkisiz erişim 11
Risk Analizi ve Yönetimi 25.10.2014 Türk Standardları Enstitüsü 12
Tarihçe BSI kuruluşu hazırlamıştır BS 7799 daha sonra ISO tarafından 2000 yılında ISO 17799 olarak kabul edildi. 2005 yılında ISO/IEC 27001:2005 i yayınladı Mart 2006 ; TS ISO/IEC 27001 25.10.2014 Türk Standardları Enstitüsü 13
Planla (BGYS nin kurulması) BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin geliştirilmesi Uygula (BGYS nin gerçekleştirilmesi ve işletilmesi) BGYS politikası, kontroller, süreçler ve prosedürlerin işletilmesi 25.10.2014 Türk Standardları Enstitüsü 14
Kontrol Et (BGYS nin izlenmesi ve gözden geçirilmesi) BGYS politikası, amaçlar ve süreç performansının değerlendirilmesi, uygulanabilen yerlerde ölçülmesi ve sonuçların rapor edilmesi Önlem al (BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi) Yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi 25.10.2014 Türk Standardları Enstitüsü 15
Standart Ana Hatları 4 Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler 4.2 BGYS nin kurulması ve yönetilmesi 4.3 Dokümantasyon gereksinimleri 5 Yönetim sorumluluğu 5.1 Yönetimin bağlılığı 5.2 Kaynak yönetimi 6 BGYS iç denetimleri 25.10.2014 Türk Standardları Enstitüsü 16
7 BGYS yi yönetimin gözden geçirmesi 7.1 Genel 7.2 Gözden geçirme girdisi 7.3 Gözden geçirme çıktısı 8 BGYS iyileştirme 8.1 Sürekli iyileştirme 8.2 Düzeltici faaliyet 8.3 Önleyici faaliyet 25.10.2014 Türk Standardları Enstitüsü 17
Ek A Kontrol Maddeleri A.5 Güvenlik politikası A.6 Bilgi güvenliği organizasyonu A.7 Varlık yönetimi A.8 İnsan kaynakları güvenliği A.9 Fiziksel ve çevresel güvenlik A.10 Haberleşme ve işletim yönetimi A.11 Erişim kontrolü A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.13 Bilgi güvenliği ihlal olayı yönetimi A.14 İş sürekliliği yönetimi A.15 Uyum 25.10.2014 Türk Standardları Enstitüsü 18
Uygulama Süreci Kapsamın Belirlenmesi Ekip Oluşturulması ve Stratejinin Belirlenmesi Bilgi Varlıklarının tespiti Bilgi Varlıklarının Değerinin Belirlenmesi ve tehditleri Risk Belirlenmesi, Analiz edilmesi, Kontrollerden Beklenen Güvenlik İyileşmesinin değerlendirilmesi Kontrol Hedeflerinin ve Kontrollerin Saptanması Uygulanabilirlik bildirgesi hazırlanması İç Tetkik, YGG Belgelendirme için başvuru 25.10.2014 Türk Standardları Enstitüsü 19
SONUÇ Teknik ve teknoloji bağımlı standart değildir. Belli bir ürün veya teknolojiye dayalı değildir. Her sektörde ve değişik ölçekli kuruluşlarda uygulanabilir Riski düşürerek güvenliği artırma amaçlanmaktadır. Güvenlik seviyesini her kuruluş kendi belirler. 25.10.2014 Türk Standardları Enstitüsü 20
SONUÇ Kurumlara Yönetsel, Fiziksel ve Teknik geniş bir güvenlik görüşü sunar Uluslararası kabul görmüş bir standarttır. Güvenlik ile ilgili kanun, düzenleme ve standartlarla uyumludur. İşin devamlılığını amaçlanmaktadır. Yasal mevzuatlara uyumu garantiler. 25.10.2014 Türk Standardları Enstitüsü 21
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 Bilgi Teknolojisi Bilgiye hizmet eden her türlü ekipman Hizmet Müşterinin ulaşmak istediği sonuçları kolaylaştırmak yoluyla müşteri için değer sağlama yolları Hizmet Yönetim Sistemi Hizmet sağlayıcının hizmet yönetim faaliyetlerinin yönlendirilmesi ve denetimi 25.10.2014 Türk Standardları Enstitüsü 22
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 İş hayatımızda ve gündelik yaşantımızda bilgi teknolojileri büyük yer tutmaktadır e-.. Çoğalıyor İdari Ticari Sosyal 25.10.2014 Türk Standardları Enstitüsü 23
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 BT Hizmet yönetimi kuruluşun iç/dış müşterilerine verdiği bilgi teknolojisi hizmetlerini, sistem yaklaşımı ile yönetmesi işlemidir. BS 15000 adı altında 2000 yılında yayımlanmış, 2005 yılında ISO/IEC 20000-1 olarak yayımlanmış 2011 yılında ise revize olmuştur 25.10.2014 Türk Standardları Enstitüsü 24
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 25.10.2014 Türk Standardları Enstitüsü 25
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 25.10.2014 Türk Standardları Enstitüsü 26
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 25.10.2014 Türk Standardları Enstitüsü 27
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 Hizmet yönetim sisteminin amaçları Hizmetlerin sürdürülebilirliği, Hizmetleri izleyebilmek Kompleksliği yönetmek, Değişimi yönete bilmek, Müşteri gereksinimlerini karşılamak ve memnuniyetini sağlamak. 25.10.2014 Türk Standardları Enstitüsü 28
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 Standardın Ana Hatları 4 4.1 4.2 4.3 4.4 4.5 5 5.1 5.2 5.3 5.4 Hizmet yönetim sisteminin genel şartları Yönetim sorumluluğu Diğer tarafların yürüttüğü süreçlerin yönetişimi Dokümantasyon yönetimi Kaynak Yönetimi Sistemin kurulumu ve iyileştirilmesi Yeni ya da değişen hizmetlerin tasarımı ve geçişi Genel Yeni veya değişen hizmeti planlama Yeni veya değişen hizmetin tasarımı ve geliştirilmesi Yeni veya değişen hizmetin geçişi 25.10.2014 Türk Standardları Enstitüsü 29
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 6 Hizmet sunma prosesi 6.1 Hizmet seviyesi yönetimi 6.2 Hizmetin rapor edilmesi 6.3 Hizmetin sürekliliğinin ve elverişliliğinin yönetimi 6.4 Hizmetlerinin bütçelenmesi ve muhasebesi 6.5 Kapasite yönetimi 6.6 Bilgi güvenliği yönetimi 7 İlişki prosesleri 7.1 İş ilişkisi yönetimi 7.2 Tedarikçi yönetimi 25.10.2014 Türk Standardları Enstitüsü 30
BT Hizmet Yönetim Sistemi TS ISO/IEC 20000-1 8 Çözüm prosesleri 8.1 Olay ve hizmet istek yönetimi 8.2 Sorun yönetimi 9 Kontrol prosesleri 9.1 Konfigürasyon yönetimi 9.2 Değişiklik yönetimi 9.2 Yayım ve sürüm yönetimi 25.10.2014 Türk Standardları Enstitüsü 31
SONUÇ Temel prensip süreç yönetimi ile iyileşmek ve sağlıklı gelişmektir. Hizmetlerini etkin bir izleme, gözden geçirme ve iyileştirme süreciyle geliştirmek isteyen, Kusursuz ve kesintisiz hizmet sunmak isteyen, Tutarlı bir yaklaşımla tedarikçileri, müşterilerini isterlerini yönetmek isteyen, Hizmet sunma kabiliyetini göstermek isteyen hizmet sağlayıcılara yardımcı olur. 25.10.2014 Türk Standardları Enstitüsü 32
Dinlediğiniz için teşekkür ederiz Sorularınızı alabilirmiyim? 25.10.2014 Türk Standardları Enstitüsü 33