Bilgi ve iletişim teknolojilerindeki baş döndüren gelişmeler, bilginin korunması ve bilgi güvenliği konularını gündeme getirmiştir. Bu konuda ilk standart çalışmaları 1990 yılında İngiltere’de bazı sanayi kuruluşlarının talepleri doğrultusunda başlamıştır. 1995 yılında BS7799 standardı yayınlanmıştır. Daha sonra Uluslararası Standartlar Komitesi (ISO) bu standardın maddelerini kullanarak önce 2000 yılında ISO 17799 standardını, arkasından 2005 yılında ISO 27001 standardını yayınlamıştır. Türk Standartları Enstitüsü 2006 yılında bu standardı dilimize çevirerek TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardını yayınlamıştır.

Bilgi güvenliği, bilginin doğru olmasını, açıklanabilir olmasını, inkar edilmemesini ve güvenilir olmasını ifade etmektedir. Burada amaç, bilginin gizliliği, bütünlüğü ve kullanılabilir olması özelliklerinin korunmasıdır.

Konunun genişliği yüzünden, daha sonra ISO 27000 standart ailesi şu şekilde genişlemiştir:

  • ISO 27001 Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi - Gereksinimler
  • ISO 27002 Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi - Uygulama kodları
  • ISO 27003 Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi - Uyarlama, gerçekleştirme kılavuzu
  • ISO 27004 Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi - Ölçekler, raporlar standardı
  • ISO 27005 Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi - Risk yönetimi standardı
  • ISO 27006 Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi - Denetim ve belgelendirilmesi için şartlar standardı

ISO 27001 standartlarını kuran ve yöneten firmalar, bilgi varlıklarını gizlilik, bütünlük ve erişebilirlik kriterlerine uygun şekilde güvence altına aldıktan sonra, isterlerse bu sistemi belgelendirerek, üçüncü taraflara karşı durumlarını kanıtlayabilirler.

Bilgi Güvenliği Yönetim Sistemi konusu, TURCERT belgelendirme kuruluşunun da önem verdiği bir konudur ve bu konuda belgelendirme çalışmaları yanında danışmanlık ve eğitim hizmetleri de vermektedir. TURCERT belgelendirme kuruluşunun Bilgi Güvenliği Yönetim Sistemi konusundaki eğitimleri şu başlıklarda toplanabilir:

  • TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi
  • Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi
  • Bilgi Güvenliği Yönetim Sistemi İç Tetkik Eğitimi
  • TS ISO/IEC 15504 Yazılım Süreç Değerlendirme Eğitimi

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi, bilgi güvenliği temel kavramlarını açıklamak, Risk Analizi ve Bilgi Güvenliği Yönetim Sistemi standardının temel prensiplerini yorumlamak ve etkin bir Bilgi Güvenlik Yönetim Sistemi’nin kuruluş çalışmalarına katkı sağlamak amacı ile verilmektedir. Bu eğitim programı, bilgi ve bilgi güvenliği kavramları, terimler, risk analizi, 27001 standardı maddelerinin yorumlanması, güvenlik kontrolleri ve alınacak önlemler, kritik başarı faktörleri, dokümantasyon, belgelendirme süreci ve benzeri konuları kapsamaktadır.

Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi, sistem kuruluşu ile birlikte hazırlanması gereken Bilgi Güvenliği Politikası ve Bilgi Güvenliği Hedefleri, Bilgi Güvenliği El Kitabı, standardın gerektirdiği süreç dokümanları, uygulanabilirlik bildirgesi, risk tablosu, süreçlerin uygulanması ve kontrolünü sağlamak için firmanın ihtiyaç duyacağı bütün dokümanların nasıl hazırlanacağını göstermek amacı ile verilmektedir. Bu eğitim programı, Bilgi Güvenliği Yönetim Sistemi doküman yapısı, Bilgi Güvenliği El Kitabı, süreçler, uygulanabilirlik bildirgesi, risk tablosu uygulama talimatları, formlar, çizelgeler ve benzeri konuları kapsamaktadır.

Firmanın Bilgi Güvenliği Yönetim Sistemi’ni kurduktan sonra, faaliyetlerini bu standardın koşullarına uygun şekilde sürdürüp sürdürmediğinin denetlenmesi gerekmektedir. Bu denetleme görevini, firma içinde yetiştirilecek iç tetkik görevlileri üstlenmektedir. Bilgi Güvenliği Yönetim Sistemi İç Tetkik Eğitimi, bu iç tetkik görevlilerinin yetiştirilmesi amacı ile verilmektedir. Bu eğitim programı, ISO 27001 standardı maddelerinin iç tetkik görevlisi gözüyle yorumlanması, denetim çeşitleri, faydaları, denetimin nasıl yapılacağı, soru listelerinin hazırlanması, denetim sonunda rapor yazımı, iç tetkik görevlilerinin sorumlulukları ve benzeri konuları kapsamaktadır.

TS ISO/IEC 15504 Yazılım Süreç Değerlendirme Eğitimi, yazılım süreçleri iyileştirme ve yeterlilik belirleme standardı uyarınca yazılım süreçlerinin iyileştirilmesi, her bir sürecin yetenek düzeyinin belirlenmesi ve kurumsal anlamda olgunluk seviyesinin belirlenmesi konularında katılımcıları aydınlatmak amacı ile verilmektedir. Bu eğitim ile katılımcılara, süreç boyutu, yeterlilik boyutu, süreç hesaplama, süreç değerlendirme ve benzeri konularında bilgi verilmekte ve örnek çalışmalar yapılmaktadır. Bu eğitim programı, yazılım süreçleri iyileştirme ve yeterlilik belirleme standardına giriş, SPICE tarihçesi, süreç boyutu, yeterlilik boyutu, süreç hesaplama, süreç değerlendirme ve benzeri konuları kapsamaktadır.