TS
ISO/IEC 27001:2005
Bilgi teknolojisi – Güvenlik Teknikleri - Bilgi Güvenliği
Yönetim Sistemleri – Gereksinimler
Bilgi Güvenliği
Yönetim Sistemi bilgi varlıklarını
koruyan ve ilgili taraflara güven veren yeterli ve orantılı
güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bilgi
ve iletişimin büyük bir önem kazandığı dünyada şirketlerin
verimliliklerini artırabilmeleri, pazarda etkin rol oynamaları,
müşteri ve pazar paylarını artırmaları ve rekabet üstünlüğü
sağlayabilmeleri için bilgi edinme ve bilgileri işleme
konusunda gerekli teknolojileri kullanmaları, süreçlerini bilgi
yönetimine göre şekillendirmeleri ve insan kaynaklarını bu yönde
yetiştirmeleri gerekmektedir.
Geleneksel
iş dünyasında IT sistemlerine gittikçe artan bağımlılık, bilişim
dünyasının sunduğu olanaklar ve tüm bunların getirdiği iş
fırsatları ve riskler ister istemez “bilgi” kavramının da
yönetimsel bir yaklaşımla stratejik seviyede ele alınmasına ve
kurumları bu alanda sistem yaklaşımları kurmaya zorlamıştır.
İşte
1990’lı yılların ortalarına doğru İngiltere’de bazı endüstriyel
kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü)
girişimleri ile temelleri atılan Bilgi Güvenliği Standartları
BS7799 altında ortaya çıkmıştır. 1995 yılında BS7799 olarak
yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998
ve BS7799-1:1999 olarak yayınlanmıştır.
Uluslararası Standartlar Komitesi (ISO:International
Organization for Standardization) ise Bilgi Güvenliği ile ilgili
standardın birinci bölümünü 2000 yılında ISO 17799 olarak
yayınlamıştır. Bununla birlikte ISO tarafından IT Güvenlik
standartları ile ilgili çalışmalar JTC 1 (Joint Technical
Committee) Bilişim Teknolojileri komitesine bağlı SC 27: IT
Güvenlik Teknikleri alt komisyonunda ele alınmaktadır. Bu
komisyon içinde üç ayrı çalışma grubu (Working Group) bulunmakta
ve her biri farklı konularda standartlar hazırlamaktadır. Bu
çalışma grupları ve konuları aşağıdaki gibidir;
-
WG1:Güvenlik Yönetimi (Security
Management)
-
WG2:Kriptografi Teknikleri (Cryptograhic
Techniques)
-
WG3:IT Ürünleri ve sistemleri için
güvenlik değerlendirme (Security Evaluation of IT Products
and Systems)
SC27’ye bağlı çalışma gruplarından WG1, ISO/IEC 17799 ile ilgili
çalışmaları yürütmektedir. “Bilgi Güvenliği Yönetimi İçin
Uygulama Prensipleri”ni içeren standardın son gözden geçirmeleri
(FDIS) 2004 Ekim’de tamamlanmıştır, yeni versiyonun 2005 yılının
ortalarına doğru yayınlanması planlanmaktadır. Türk
Standartları Enstitüsü tarafından TS ISO/IEC 17799 Kasım 2002’de
yayınlanmış olup, tetkiklerde kullanılan BS7799-2 standardının
karşılığı olan TS 17799-2 “Bilgi Güvenliği Yönetim Sistemleri –
Özellikler ve Kullanım Kılavuzu” Şubat 2005 ‘de yayınlanmıştır.
