ULUSAL ELEKTRONK VE KRPTOLOJ

ARATIRMA ENSTTS

Dokman Kodu: BGYS-0001

BLG GVENL YNETM

SSTEM KURULUMU

SRM 1.00
28.08.2007

Hazrlayan: Diner nel, Ali Dinkan

P.K. 74, Gebze, 41470 Kocaeli, TRKYE

Tel: (0262) 648 1000
Faks: (0262) 648 1100
http://www.bilgiguvenligi.gov.tr
bilgi@bilgiguvenligi.gov.tr

BLG GVENL YNETM SSTEM KURULUMU

NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi
olmak"

vizyonuna

ulalabilmesi

ve

lkenin

ihtiyac

olan teknolojilerin

gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve

uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik destek
salanmaktadr.

Bu dokman, BGYS (Bilgi Gvenlii Ynetim Sistemi) kurmak isteyen kurumlar

iin yardmc kaynak olarak hazrlanmtr. Tm kurum ve kurulular bu
dokmandan faydalanabilir.

Bu dokmanda anlatlanlar tamamen tavsiye niteliindedir.

UEKAE, yaplan uygulamalardan doabilecek zararlardan sorumlu
deildir. Bu dokman UEKAEnin izni olmadan deitirilemez.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

BLGLENDRME

Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden

geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan Burak Bayoluna
ve Hayrettin Bahiye teekkr bor biliriz.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

NDEKLER

1. GR .................................................................................................................................................... 5

1.1 Ama ve Kapsam.................................................................................................................5

1.2 Ksaltmalar...........................................................................................................................5
2. BLG GVENL ............................................................................................................................ 6
3. BLG GVENL YNETM SSTEM (BGYS) ....................................................................... 7
4. BGYS KURULUMU ............................................................................................................................ 9
5. KURULUM ADIMLARI................................................................................................................... 11
6. SONU................................................................................................................................................ 15
KAYNAKA .......................................................................................................................................... 16

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

1. GR
Bilgi gvenlii ynetimi konusunda en yaygn olarak kullanlan standart, ISO/IEC 27002
Bilgi Gvenlii Ynetimi in Uygulama Prensipleri standarddr. Bu standart, iletmeler
ierisinde bilgi gvenliini balatan, gerekletiren ve srekliliini salayan kiilerin
kullanm iin, bilgi gvenlii ynetimi ile ilgili tavsiyeleri iermektedir. Bu rehber ISO/IEC
27002 ve bu standardn denetimi iin kullanlan ISO/IEC 27001 standardn referans alarak
hazrlanmtr.
1.1 Ama ve Kapsam
ISO/IEC 27001 standardna uygun Bilgi Gvenlii Ynetim Sistemi (BGYS) kurmak
isteyen kurumlarda kullanlacak klavuzdur.

BGYS kurulumu kapsamnda yaplmas

gereken almalar zetlemektedir.

1.2 Ksaltmalar
BGYS

: Bilgi Gvenlii Ynetim Sistemi

BT

: Bilgi Teknolojileri

UEKAE

: Ulusal Elektronik ve Kriptoloji Aratrma Enstits

PUKO

: Planla Uygula Kontrol et nlem al

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

2. BLG GVENL
Gnmzde ticari irketler ve devlet kurumlar ilerini srdrebilmek iin youn bir ekilde
bilgi kullanmna ynelmilerdir. Zaman getike bilginin nemi artm, sadece gvenli bir
ekilde saklanmas ve depolanmas gelien ihtiyalara cevap verememi ayn zamanda bir
yerden bir yere nakil edilmesi de kanlmaz bir ihtiya haline gelmitir. Bilgiye olan bu
bamllk bilginin korunmas ihtiyacn gndeme getirmitir. Bu anlamda bilgi, kurumun
sahip olduu varlklar arasnda ok nemli bir yere sahiptir. Bilgiye ynelik olas saldrlar,
tahrip edilmesi, silinmesi, btnlnn ve/veya gizliliinin zarar grmesi, bilgi altyapsnn
bozulmasna ve bu da beraberinde ilerin aksamasna neden olmaktadr.
Bilgi, kurumdaki dier varlklar gibi, kurum iin nem tayan ve bu nedenle de en iyi ekilde
korunmas gereken bir varlktr. Bilgi gvenlii; kurumdaki ilerin srekliliinin salanmas,
ilerde meydana gelebilecek aksaklklarn azaltlmas ve yatrmlardan gelecek faydann
artrlmas iin bilginin geni apl tehditlerden korunmasn salar.
Bilgi birok biimde bulunabilir. Bilgi, kt zerinde yazl olabilir, elektronik olarak
saklanyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da
kiiler arasnda szl olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun
bir

ekilde

korunmaldr.

Bilgi

gvenliinin

salanabilmesi

bilginin

gizliliinin,

btnlnn ve kullanlabilirliinin yeterli dzeylerde salanabilmesi ile mmkndr.

Bilgi gvenlii temelde aadaki unsuru hedefler:

Gizlilik (Confidentiality)

Btnlk (Integrity)

Kullanlabilirlik (Availability)

Bu kavramlar biraz daha aacak olursak gizlilik, bilginin yetkisiz kiilerin eriimine kapal
olmas eklinde tanmlanabilir. Bir dier tarif ile gizlilik bilginin yetkisiz kiilerce aa
karlmasnn engellenmesidir. Btnlk, bilginin yetkisiz kiilerce deitirilmesi, silinmesi
ya da herhangi bir ekilde tahrip edilmesi tehditlerine kar ieriinin korunmasdr. Btnlk
iin ksaca kazara veya kastl olarak bilginin bozulmamas diyebiliriz. Kullanlabilirlik,
bilginin her ihtiya duyulduunda kullanma hazr durumda olmas demektir. Herhangi bir
sorun ya da problem kmas durumunda bile bilginin eriilebilir olmas kullanlabilirlik
zelliinin

bir

gereidir.

Bu

eriim

kullancnn

haklar

erevesinde

olmaldr.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

Kullanlabilirlik ilkesince her kullanc eriim hakknn bulunduu bilgi kaynana, yetkili
olduu zaman diliminde mutlaka eriebilmelidir.
3. BLG GVENL YNETM SSTEM (BGYS)
Bilgi Gvenlii Ynetim Sistemi BGYS, kurumun hassas bilgilerini ynetebilmek amacyla
benimsenen sistematik bir yaklamdr. Bu sistemin temel amac hassas bilginin
korunmasdr. Bu sistem alanlar, i srelerini ve bilgi teknolojileri (BT) sistemlerini
kapsar.
Bilgi Gvenlii Ynetim Sistemi deyimi ilk kez 1998 ylnda BSI (British Standards Institute)
tarafndan yaynlanan BS 7799-2 standardnda kullanlmtr. Daha sonra bu standart
Uluslararas Standartlar Kurumu ISO tarafndan kabul edilmi ve ISO/IEC 27001:2005*
olarak yaynlanmtr. BSI tarafndan yaynlanan bir dier standart BS 7799-1 ise bilgi
gvenliinin salanmasnda kullanlacak kontrollerden bahsetmektedir. Bu da yine ISO
tarafndan kabul edilmi ve ISO/IEC 27002:2005 olarak yaynlanmtr. ISO/IEC 27002:2005
bu standardn Temmuz 2007den itibaren kullanlan ismidir, bu tarihe kadar standart ISO/IEC
17799:2005 olarak adlandrlyordu.
Bilgi gvenlii ynetimi konusunda en yaygn olarak kullanlan standart, ISO/IEC
27002:2005 Bilgi Gvenlii Ynetimi in Uygulama Prensipleri standarddr. Bu standart,
iletmeler ierisinde bilgi gvenlii ynetimini balatmak, gerekletirmek, srdrmek ve
iyiletirmek iin genel prensipleri ve ynlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005
rehber edinilerek kurulan BGYSnin belgelendirmesi iin ISO/IEC 27001:2005 Bilgi
Gvenlii Ynetim Sistemleri Gereksinimler standard kullanlmaktadr. Bu standart,
dokmante edilmi bir BGYSni kurumun tm i riskleri balamnda kurmak,
gerekletirmek, izlemek, gzden geirmek, srdrmek ve iyiletirmek iin gereksinimleri
kapsamaktadr. risklerini karlamak amacyla ISO/IEC 27002:2005te ortaya konan
kontrol hedeflerinin kurum ierisinde nasl uygulanaca ve denetlenecei ISO/IEC
27001:2005te belirlenmektedir.
Her iki standardn Trke hali TSE tarafndan srasyla TS ISO/IEC 17799:2005* ve TS
ISO/IEC 27001:2005 isimleri ile yaynlanmtr. Sz konusu standardn belgelendirmesi

Standartlarn sonunda yer alan :2005 yaynland tarihi gsterir.

Bu standardn orijinali Temmuz 2007 tarihinden itibaren ISO/IEC 27002:2005 adn almtr. Bu makalenin

yazld tarih itibariyle TSE ilgili standartta bir isim deiiklii yapmamtr.
TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

konusunda TSE tarafndan TS 13268-1 BGYS Belgelendirmesi in Gereksinimler ve

Hazrlk Klavuzu standard yaynlanmtr.
ISO/IEC 27001 ve ISO/IEC 27002 standartlar BGYS konusunda en temel bavuru
kaynaklardr. Bu iki standart da dorudan bilgi gvenlii konusunu ele alrlar. Teknik ve
teknoloji baml standartlar deildirler. Belli bir rn veya bilgi teknolojisi ile ilgilenmezler.
Hatta bilgi teknolojileri gvenlii dahi bu standartlarn ierisinde yer almaz. Tek ilgi alan
vardr, o da bilgi gvenliidir.
BGYS standartlar kapsamnda BGYSin kurulumu, gereklenmesi, iletilmesi, izlenmesi,
gzden geirilmesi, srdrlmesi ve tekrar gzden geirilmesi iin PUK (Planla Uygula
Kontrol et nlem al) modeli kullanlmaktadr. PUK modelini grsel olarak anlatan ekil
1, bir BGYSnin bilgi gvenlii gereksinimlerini ve ilgili taraflarn beklentilerini girdi olarak
nasl aldn ve gerekli eylem ve prosesler araclyla, bu gereksinimleri ve beklentileri
karlayacak bilgi gvenlii sonularn nasl rettiini gsterir.

ekil 1 - BGYS Srelerine uygulanan PUK modeli

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

Planla
(BGYSnin kurulmas)
Uygula
(BGYSnin gerekletirilmesi
ve iletilmesi)
Kontrol Et
(BGYSnin izlenmesi ve
gzden geirilmesi)
nlem al
(BGYSnin srekliliinin
salanmas ve iyiletirilmesi)

BGYS politikas, amalar, hedefler, sreler ve prosedrlerin

gelitirilmesi
BGYS politikas, kontroller, sreler ve prosedrlerin
gerekletirilip iletilmesi
BGYS politikas, amalar ve sre performansnn
deerlendirilmesi, uygulanabilen yerlerde llmesi ve
sonularn rapor edilmesi
Ynetimin gzden geirme sonularna dayal olarak, dzeltici
ve nleyici faaliyetlerin gerekletirilmesi

Bilgi gvenlii ynetimi, balang ve biti tarihleri olan bir proje gibi grlmemelidir.
Srekli devam eden bir geliim sreci olarak dnlmelidir. PUK modelinde gsterildii
gibi (Planla Uygula Kontrol et nlem al) faaliyetleri bir dng iinde durmakszn
srekli devam etmelidir. PUK modeli zet olarak ne yaplacana karar verilmesi, kararlarn
gerekletirilmesi, altnn kontrol edilmesi hedefine uygun almayan kontroller iin
nlemlerin alnmasdr.
BGYS kurulumu PUK modelinin ilk admn (Planla) tekil etmektedir. Yerleik bir
sistemden bahsedebilmek iin dier admlarn da uygulanmas ve bunlarn bir dng iinde
yaamas gerekir.
4. BGYS KURULUMU
Kurulum admlarna gemeden nce BGYS ile ilgili bilinmesi gereken gereklerden
bahsetmek gerekir. ncelikle salkl ileyi ve yarar salamas asndan BGYS kurulum
istei kurumun st ynetimi tarafndan benimsenmelidir. st ynetim destei BGYSnin
baarya ulamas asndan hayati neme sahiptir. ncelikle st ynetim BGYSnin
gerekliliine ve faydasna inanmaldr. Bu birincil arttr.
Dier nemli bir husus, BGYS kurulumu bir BT rn veya sistemi kurulumuyla
kartrlmamaldr. BGYS kurumun i yapma tarzn etkileyen kkl bir sistemdir ve kurumu
tmden etkiler. Tm kademelerdeki alanlarn iini yaparken bilgi gvenlii prensiplerine
uygun hareket etmesini gerekli klar. Bu bilincin olumas ve ileyie gemesi de bir geliim
srecinin sonucu olacaktr. Bir nceki blmde bahsedildii gibi BGYS srekli bir geliim
srecidir.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

BGYS ile ilgili en yaygn yanl kanlardan bir tanesi de bunun sadece kurumun BT
blmne ait bir i olduunun dnlmesidir. BGYS bir teknoloji meselesi veya teknik bir i
deildir. Tm kurumun aktif halde katlmyla hedefine ulaabilecek bir sistemdir. En st
kademe yneticiden en alt seviye alana kadar katlm ve destek arttr. Aksi halde
BGYSden beklenen faydann elde edilmesi mmkn deildir.
Etkin bir BGYS kurulumu konusunda ilk yaplmas gereken ilerden bir dieri de kurum
iinde bir Bilgi Gvenlii Komisyonu oluturulmasdr. Bilgi gvenlii komisyonu (Gvenlik
Forumu da denir) kurum iindeki her blmden temsilcilerden oluur. Bilgi ilem, i denetim,
muhasebe, insan kaynaklar, gvenlik ve dier tm blmlerden temsilciler bu komisyonda
yer almaldr. Komisyon temsilcileri bilgi gvenlii konusunda deneyimli ve bilgili, bunun
yannda kendi blmlerini temsil edebilme yetkisine sahip kiiler olmaldr. Komisyon
temsilcileri bilgi gvenlii konusunda yeterli bilgi seviyesine sahip deilse mutlaka BGYS
eitimleri almaldr. Tm blmlerden temsilcilerin komisyonda yer almas BGYSnin baar
ansn arttrr. BGYSin kurumun tamamna nfuz etmesini kolaylatrr. Kurum apndaki
gvenlik ihtiyalarnn daha etkin bir biimde farknda olunmasn salar. Bu durum
BGYSin doru planlanmas ve salkl ilemesi asndan hayati neme sahiptir. Her
blmden bir temsilcinin katlm ynetim ve teknik kadro arasndaki iletiim kopukluunu
gidermeye de yarar. Sorunlar ve ihtiyalar yerinde yaayan kiiler belli konularda ynetimin
daha rahat ikna edilmesini salar. Bilgi gvenlii komisyonu sayesinde BGYS ile ilgili grev
ve sorumluluklar da kurum iinde datlm olur. Daha nce de belirtildii gibi BGYS
sadece BT blmne ait bir i deildir.

10

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

5. KURULUM ADIMLARI
BGYS konusunda temel bavuru kaynaklar ISO/IEC 27001 ve ISO/IEC 27002
standartlardr. BGYS kurulumu ncesinde bu standartlarn mutlaka dikkatlice okunup
anlalmas gerekmektedir. BGYS kurulumu TS ISO/IEC 27001:2005teki 4.2.1 BGYSnin
Kurulmas ve TS 13268-1 4.3 BGYSnin kurulmas balklar altnda detayl olarak
aklanmaktadr.
BGYS kurulumunda srasyla izlenmesi gereken admlar yledir:
Adm 1: Kapsam Belirleme
BGYSnin kapsam ve snrlar belirlenmelidir. BGYSnin kapsam kurumun belli bir ksm
olabilecei gibi, kurumun btn de olabilir. Ancak, her iki durumda da, kurumun BGYS
kapsamn ve snrlarn eksiksiz ve doru bir biimde tanmlamas gerekmektedir. rnein
sadece kurum iindeki bir blm veya bir blmn verdii tek bir hizmet iin de bir BGYS
hayata geirilebilir. BGYS kapsam, st ynetimin niyeti ve kurumun bilgi gvenlii
hedefleri dikkate alnarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarnn bu
konuda belli bir ynlendirmesi veya zorlamas sz konusu deildir. Kapsam belirlenirken
BGYS dnda braklan varlklarla ve dier kurumlarla olan etkileimleri de dikkate almak
gereklidir. Kapsam dnda braklanlarn hangi sebeplerle darda brakldklarn kurumun
salam gerekelerle aklayabilmesi gerekmektedir. Bu admn sonunda bir kapsam
dokman yaynlanmal ve st ynetim tarafndan onaylanmaldr. BGYS kapsam
belirlenmesi

konusunda

daha

detayl

bilgiler

iin

BGYS0002

kodlu

dokmana

bavurulmaldr.
Adm 2: BGYS Politikas
Ardndan BGYS politikasnn oluturulmas gerekmektedir. Bu politika, hedefleri ortaya
koyan, ynetime yn veren ve harekete geiren, hangi riskin deerlendirmeye alnacana
ilikin risk ynetim kapsam ve kriterini belirleyen bir ereve sunmaldr. BGYS
politikasnn amacn bulmas iin ynetim politika ieriindeki maddelerin uygulamaya
geirileceine ilikin kararlarln alanlara hissettirmelidir.
Adm 3: Risk Deerlendirme Yaklam
Bilgi gvenlii politikas temel alnarak sistematik bir risk deerlendirme yaklam
belirlenmelidir. Kurum kendine uygun bir metodoloji semekte serbesttir. Seilen risk
deerlendirme metodolojisi kyaslanabilir ve tekrarlanabilir sonular retmeyi garanti
etmelidir. Bu admda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar iin ltler
TBTAK UEKAE

11

BLG GVENL YNETM SSTEM KURULUMU

gelitirilmelidir. Risk deerlendirme metodu seiminde kurumlar risk deerlendirme

konusunda daha fazla bilgi veren BS 7799-3 standardna bavurabilirler.
Adm 4: Risk Belirleme
Korunmas gereken varlklar tehdit eden riskler, Adm 3te belirlenen yntem kullanlarak
tespit edilmelidir. BGYS ierisindeki tm varlklarn tanmlanmas, yani varlk envanterinin
karlmas risk deerlendirme iinin esasn oluturur. Kurum BGYS kapsamna dahil
edecei tm varlklarn sahiplerini, trn ve nem derecesini bir envanter listesi eklinde
belgelemelidir. Bir varln nem derecesini belirlemek iin bu varln gizliliine,
btnlne ve kullanlabilirliine gelecek zararn kuruma yapaca etkinin derecesini batan
ortaya koymak gerekmektedir. Varlklarn bu temel gvenlik zelliine gelecek zararlar
farkl etki derecelerine sahip olabilirler. rnein ok gizli seviyede bir bilginin aa kmas
kuruma byk zararlar verebilecekken ayn gizli bilginin kullanlamaz hale gelmesi o kadar
byk zarar yaratmayabilir.
Adm 5: Risk Analizi ve Derecelendirilmesi
Tespit edilen risklerin analizi ve derecelendirilmesi yaplmaldr. Bu adm bir nceki admda
tespit edilen risklerin yorumlanmas olarak grlebilir. Risk analizi yaparken riske neden olan
tehdit ve aklklardan yola klmaldr. Risk, akln bir tehdit tarafndan kullanlmasyla
oluur. rnein duvar delik bir ev dnelim. Duvardaki delik akl temsil eder. Olas bir
sel ise burada tehdidi oluturur. Bu ikisinin bir araya gelmesiyle risk oluur ki bu rnekte risk
evi su basmasndan dolay evdeki insanlarn veya eyalarn zarar grmesidir. Riskin
derecelendirilmesi veya deerinin belirlenebilmesi iin ncelikle tehdidin gerekleme
olasl

ile

etki

derecesi

hesaplanmaldr.

Bunlar

saysal

deerler

kullanlarak

hesaplanabilecei gibi rakamlarla ifadenin zor olduu durumlarda dk, orta, yksek gibi
nitel deerlerle de belirlenebilir. Riskin kabul edilebilir olup olmad Adm 3te belirlenen
ltler kullanlarak tespit edilmelidir. Tm bu hesaplama ve deerlemeler uygulanmakta
olan mevcut kontroller de dikkate alnarak yaplmaldr. Kontroller risk deerini azaltabilir.
Bu adm sonunda bir risk deerlendirme sonu raporu yaynlanmaldr.
Adm 6: Risk leme
Bu admda risk deerlendirme sonu raporundan yola klarak uygun risk ileme (risk
treatment) yntemleri belirlenmelidir. Belli bir risk karsnda drt farkl tavr alnabilir:
1. Uygun kontroller uygulanarak riskin ortadan kaldrlmas veya kabul edilebilir
seviyeye drlmesi
12

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

2. Riskin olumasna neden olan faktrleri ortadan kaldrarak riskten kanlmas

3. Riskin sigorta irketleri veya tedarikiler gibi kurum dndaki taraflara aktarlmas
4. Kurum politikalarna ve risk kabul ltlerine uymas artyla riskin objektif bir
biimde ve bilerek kabul edilmesi
Adm 7: Kontrol Seimi
Risk ileme sreci sonularna uygun kontrol ve kontrol hedeflerinin seilmesi gerekir. TS
ISO/IEC 17799:2005te bu kontrollerden detayl bir biimde bahsedilmektedir. Bu kontroller
standartta yol gsterici olmas amacyla verilmitir. Kurum kendisine ek olarak baka
kontroller de semekte serbesttir. TS ISO/IEC 17799:2005te bulunan kontroller, sektr
tecrbelerinden faydalanmak suretiyle, standart etki alanlarnda olabildiince geni kapsaml
olarak belirlenmi olsa da d kaynakl kontrollere ihtiya olabilmektedir. Sadece TS ISO/IEC
17799:2005ten deil herhangi bir bilgi gvenlii kaynandan uygun kontrol seilebilecei
gibi kurumun kendine zel gelitirebilecei kontroller de olabilmektedir. Fakat gzden kaan
nemli bir kontrol hedefi veya kontrol olmadndan emin olmak iin bu listeyi bir balang
noktas olarak kullanmakta fayda grlmektedir.
Adm 8: Artk Risk Onay
Risk ileme sreci sonrasnda geriye kalan riske artk risk (residual risk) denir. Bunlar kabul
edilen riskler veya tamamen ortadan kaldrlamayan riskler olabilir. Kurum st ynetimi artk
riskler iin onay vermelidir. Bu adm sonunda artk risk onay belgesi oluturulmaldr.
Adm 9: Ynetim Onay
Risk ynetimi admlarn getikten sonra BGYS iletimi ve uygulamasn yapmak iin
ynetimden onay almak gerekmektedir.
Adm 10: Uygulanabilirlik Bildirgesi
Son olarak risklere kar seilen kontrolleri ieren bir Uygulanabilirlik Bildirgesi hazrlanarak
BGYS kurulum ii tamamlanr. Uygulanabilirlik Bildirgesi Adm 7de seilen kontrollerin
neler olduu ve bunlarn hangi gerekelerle seildiini anlatmaldr. TS ISO/IEC 27001 EKAdan seilmeyen kontrollerin neler olduu ile bunlarn seilmeme gerekeleri de
Uygulanabilirlik Bildirgesinde verilmelidir. Ayrca mevcut durumda uygulanmakta olan
kontroller de yine bu belge iinde yer bulmaldr.
Bir sonraki sayfada BGYS kurulum admlarn zetleyen bir ekil yer almaktadr.

TBTAK UEKAE

13

BLG GVENL YNETM SSTEM KURULUMU

14

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

6. SONU
BGYS, gnmz i dnyasnda vazgeilmez hale gelen bilgi gvenlii konusunda tm dnya
tarafndan kabul grm standartlara uygun bir yap sunmaktadr. BGYS kavramnn ve bal
olduu standartlarn doru anlalmas bu yapnn salayaca fayday nemli lde
arttracaktr. BGYS kurulumunu fazladan bir i yk ve gereksiz zaman kayb olarak
grmenin batan kaybetmek anlamna gelecei bilinmelidir. Bu sistemin vaat ettiklerine
ulamak iin ynetimlere byk grev ve sorumluluklar dmektedir.

TBTAK UEKAE

15

BLG GVENL YNETM SSTEM KURULUMU

KAYNAKA
[1]. www.itgovernance.co.uk/files/Infosec_101v1.1.pdf
(Information Security and ISO27001 An Introduction)

[2]. www.niser.org.my/isms/docs/publications/information_security_management_committe
e.pdf
(The Importance of Setting up an Information Security Management Committee in
Organization)
[3]. http://www.isms.jipdec.jp/en/isms/frame.html
(How to Establish an ISMS Management Framework)

16

TBTAK UEKAE