iBYS Yazılımı ve İSO 27001 Serüveni

By | Mart 12, 2018

ibys yazılımı entegrasyon serüvenimizSahibi olduğum yazılım şirketi uzun zamandır İş Sağlığı ve Güvenliği sektöründe işlerin takibini kolaylaştırmak adına butik yazılımlar üretiyordu. Bugünlerde bir telaşımız var, o da Çalışma Bakanlığı’nın , ibys yazılımı  yani, İşsağlığı ve Güvenliği Bilgi Yönetim Sistemi Yazılımı kavramıyla karşımıza çıktı. Kurumların İSG konusunda yaptığı çalışmaları artık yerinde değil, online olarak denetleme konusunda attığı bir adım olarak değerlendiriyorum bunu.

Şimdilik yayınlanan veri setlerine bakılırsa, ilk etapta firmalardan , aldıkları / verdikleri eğitimleri anlık olarak ÇSGB’ye bildirlemelerini istiyor. Burada yazılım firması olarak bize düşen görev, mevcut yazılımlarımızı ÇSGB’nin sistemine entegre etmek.  Teknik olarak aslında zor bir tarafı yok. Zaten bakanlığın istediği verilerin tamamını biz kendi sistemimiz alt yapısında muhafaza ediyorduk. Ancak mevcut müşterilerimize hizmet vermeye devam edebilmek için , Çalışma Bakanlığı’nın , Entegratör Firma listesinde yer almamız gerekiyor. Bunun da şartlarından bir tanesi ISO 27001: Bilgi Güvenliği belgesine sahip olmak.

Şu sıralar bütün gayretimizi bu belgeyi almak için sarfediyoruz. Tabii bu belgeye sahip olabilmek için hazırlamış olduğunuz ibys yazılımı ‘nın da belli güvenlik kriterlerini karşılaması gerekli. Bu bağlamda, bakanlığa entegratör olarak başvurduğunuzda bir demo yazılım linki ve bakanlık için oluşturulmuş bir kullanıcı adı ve şifresi iletmeniz gerekiyor. Denetim sadece kağıt üzerinde yapılmıyor, bakanlığa sunmuş olduğunuz ibys yazılım demosuna kendi kullanıcı adı ve şifreleriyle giriyorlar ve online olarak test ediyorlar.

Nedir bu standartlar acaba ?

Aslında çoğu temel şeyler, örneğin, veritabanında çıplak bir şifre barındırmamak gerekiyor, bu gibi bilgilerin tamamı kriptolanmış olması gerekiyor. Sisteme giriş formu , brute-force attaklarına karşı korumalı olması gerekiyor, bunu da zaten sağolsun Google reCaptcha ile gayet kolay sağlayabiliyorsunuz. Sisteme veri girişi yapılan input alanlarında, XSS ( Cross Site Scripting) için önlemler alınmış olması ve sitede SSL Kurulu olması gerekiyor gibi.

Bunun dışında yazılımın hiç bir yerinde herhangi bir reklam, tanıtıcı öğe olmaması gerekiyor. Tamamen amaca hizmet eden sade bir yazılım olması bekleniyor. Biz de bu süreçte yazılımızda ilgili alt yapısal iyileştirmeleri yapıp, ISO 27001 : Bilg Güvenliği Belgemizi alıp en kısa zamanda başvurumuzu tamamlamayı hedefliyoruz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir