iso 27001

• iso 17799'u tamamliyor gibi anladim ben.
• iso 17799 yerine degil, 17799 ile birlikte kullanilmaya baslanan standart. nitekim, iso 27001 nasil bir guvenlik yonetim sistemi kurulmasi gerektigini anlatir ve bunun icin kullanilabilecek kontrolleri siralarken (133 adet kontrol), iso 17799 buna destek olarak her bir kontrolun nasil kullanilmasi gerektigi hakkinda daha detayli bilgi verir, 27001yi tamamlar.
  cobit'e alternatif degildir, zira cobit butun it ile genel olarak ilgilenirken (it governance) - ki buna it guvenligi de dahildir - iso 27001 sadece bilgi guvenligi ile ilgilenmektedir ve bu konuda cobitten daha detaylidir. cobit ve iso 27001 birlikte kullanilabilir ve kullanilmalidir kanimca.
• bir organizasyondaki bilgi güvenliği uygulamalarını risklere göre belirlemeyi ve pukö (planla uygula, kontrol et, önlem al) döngüsüne göre sahip olunan güvenlik seviyesini sürekli iyileştirmeyi temel alan bir yönetim sistemi standardı’dır.
• bilgi teknolojileri ve iletişim kurumu tarafından yapılan son düzenlemelerle, belirli bir net satışın üzerinde elde eden, ses ve veri iletişimi yapan işletmecilere belge alma zorunluluğu getirilen standart. bu net satışın altında olan işletmecilerse belge almak zorunda olmamakla birlikte standarda uyum sağlayacaklardır.
• cobit'e göre bakış açısı farklıdır. bilgi güvenliğini değil, onu nasıl yönettiğinizle ilgilenir. somut örnek vermek gerekirse, cobit'te kritik uygulamanın şifre parametrelerinin genel kabul görmüş standartlara uymadığını kayda değer kontrol zayıflığı derken , diğerinde bu şifre parametrelerinin değişim sürecini ele alırsınız.
• tüv rheinland aracalığı ile 18-19 nisan tarihlerinde aldığımız eğitim.bu eğitime gidene kadar günlük it ve sistem yönetimi işlerini yürütürken güvenlik tarafında bazı ince detayları kaçırıyormuşum bu eğitim çoğu konularda bana çok faydalı oldu.eğitim sırasında eğitmenin teorik konu anlatımından sonra vaka çalışması adı altında grup çalışmaları olmakta 2. gün ise eğitim bitince sınav yapılıyor ve bu sınavdan 60 puan alırsanız iç denetçi sertifikası gönderiyorlar.
• bir şirkete hızlı adaptasyonu için çok saglam bir 9001 temeli ve bilincine ihtiyaç duyan, aynı zamanda kaliteye kağıt kürek muamelesi yapan zihniyetleri varlık envanteri risk analizi tehdit diye diye dört nala koşturan standart.
  
  bunun dışında yetkilendirilmiş yükümlü olabilmek için zorunlu tutulan kıstaslardan sadece biri. danışmanlık hizmeti ilk aşamada şart gibi duruyor. sızma testleri ve sosyal mühendislik sirkety içi kaynaklarla aşılması zor engeller olabiliyor.
  
  dikkat etmeniz bir başka detay ise ilk süreci yaratırken kapsama hangi departmanlari dahil edeceğiniz. kapsam dahiline alinmayan ama stratejik veri içeren her bölüm daha sonra çok fena baş ağrısı yaratıyor.
• 2013 versiyonunda pukö döngüsü çıkartılmış şeklinde söylentiler var. ayrıca kontroller de değişiklikler var.(bkz: var diyollar)
• 2013 versiyonunun türkçesi henüz yayınlanmamış olan standart. tse tercüme edecek te falan filan.
  
  eğer ki çevirisi önceki versiyonu gibi olursa denetçinin de uygulayıcının da bi skim anlamayacağı standart olabilir.
  
  bir de az önce denetlemesinden yüzümün akıyla çıktığım standart da olabilir. :)
  
  uygulanabilirlik bildirgesi üzerinden hazırlanılınca daha bi kolay oluyor gibi. danışmanlık olmadan da süreçlere hakim bir aystii yöneticisi altından kalkabilir. ama bilgi teknolojileri yönetiminin şirketin diğer yönetim süreçlerinden ayrılması şart gibi. yoksa çok fazla engele takılıyorsunuz.
• yetkilendirilmiş yükümlü meselesi yüzünden bulaştığım, bir it uzmanı olarak hayatım boyunca yazmadığım kadar politika, prosedür yazmama sebep olan standart. neticede belgeyi aldık lakin 2013 versiyonu ile yazdığım dokümanların yarısı ıskartaya çıktı. diğer yarısınında revize edilmesi gerekiyor. vay bana vaylar bana.
  
  belgelendirme sürecinde bazı konularda aydınlanmalar yaşadım. bunların en önemlisi, kaliteci arkadaşların işlerinin ne kadar zor olduğunu görmek oldu. o kadar yalan dolanı ciddi bir disiplin altında yazmak akıllı adam işi değil agaa.