ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bütün kuruluşların, bilgilerini etkili bir risk yönetimi ile korumalarına ve yönetmelerine yardımcı olan süreçlerden, teknolojiden ve insanlardan oluşan sistematik bir yaklaşımdır. Yani sadece bilgi teknolojilerine yönelik bir sistem değildir.
Bu sistem, Avrupa Birliği ülkelerinde yayınlanan, ağ ve bilgi sistemlerinin güvenliği direktifi ve genel veri koruma direktifi dahil olmak üzere birçok direktif ile uyumlu tasarlanmıştır. Çalışma ortamına özgü riskler hakkında işletmenin doğru kararlar almasına destek olmaktadır.
ISO 27001 sistemi, sadece kişisel verileri değil işletmenin bütün verilerinin korunmasına yöneliktir. Ayrıca sistem, çevrimiçi bilgiler ve kağıt tabanlı veriler dahil olmak üzere çeşitli formlarda her türlü bilgiyi korumaktadır. Burada önemli nokta, üst yönetimin inanması ve sahiplenmesi ve bütün çalışanların katılmasıdır.
ISO 27001 sisteminde risk değerlendirmeleri merkezi yapıdadır. Risk değerlendirme çalışmaları, riskleri tedavi etmek, önlemek, yönetmek ve azaltmak için bir dizi faaliyet içermektedir. Bu faaliyetler, işletmelerin risk ortamına ve hedeflerine göre optimize edilmek zorundadır. Risk değerlendirmelerinin etkin kalması için sürekli iyileştirme çalışmalarının yapılması gerekmektedir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, riskleri yönetmek için kullanılabilecek bir dizi kontrol gerektirmektedir. Bu standardı uygulayan işletmeler, akredite bir belgelendirme kuruluşunun denetimlerinden geçtikleri takdirde ISO 27001 Belgesi almaya hak kazanmaktadır. Bu belge ile işletmenin, bilgi güvenliği konusunda en iyi uygulamaları takip ettiğini kanıtlamaktadır.
ISO 27001 Belgesi’nin işletmelere kazandırdığı en büyük fayda, bilgi güvenliği ile ilgili maliyetlerin düşürülmesidir. Bu sistem kapsamında gerçekleştirilecek risk değerlendirme ve analiz yaklaşımı sayesinde, belki de işe yaramayacak korunma teknolojilerine gelişi güzel yapılan harcamalar önlenmektedir.
Sistemin bir diğer önemli faydası da yasal yükümlülüklerin yerine getirilmesidir. Siber güvenlik, internet üzerinden yapılan işlemlerde güvenliğin sağlanmasına yönelik korumadır ve bu konuda son zamanlarda arka arkaya yasal düzenlemeler çıkarılmaktadır. İşletmeler açısından siber güvenlik, kritik öneme sahip faaliyetlerin ve gizli bilgilerin korunmasını sağlamak anlamına gelmektedir.
Devletin, vatandaşların, özel ve resmi kuruluşların, kritik altyapı ve bilgisayar sistemlerinin, saldırılara ve verilerin çalınmasına karşı koruma sorumluluğu bulunmaktadır. Siber güvenlik konusu, yenilikleri, büyümeyi, iş imkanlarını ve sosyal gelişimi desteklemesi açısından bilgi ve iletişim teknolojileri sektörünün temel taşıdır.
Günümüzde bir yandan siber dünya gelişmesini sürdürürken, bir yandan da yeni ortamlar ve tehditler yüzünden siber güvenlik daha önemli olmaktadır. ISO 27001 standardı, siber güvenlik yasalarının teknik ve operasyonel gereksinimlerini karşılamak bakımından mükemmel bir yöntem sunmaktadır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi sayesinde işletmeler, yeni iş imkanlarına sahip olmaktadır. Bu uygulama, daha fazla veri güvenliği için, işletmelerin giderek daha katı müşteri taleplerini karşılamalarına izin vermektedir.
Nihayet ISO 27001 Belgesi sayesinde işletmeler itibarlarını korumuş olmaktadır. İşletmeler müşterilerine, faaliyetlerini korumak için gerekli adımları attıklarını kanıtlamış olmaktadır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi işletmelerde kurulurken, başlıca şu kilit unsurların belirlenmesi gerekmektedir:
Projenin kapsamı belirlenmelidir
Üst yönetimin taahhüdü alınmalı ve bütçelenmelidir
İlgili taraflar ve yasal, düzenleyici ve sözleşme gereklilikleri tanımlanmalıdır
Risk değerlendirme çalışması yapılmalıdır
Gerekli kontroller yapılmalı ve önlemler alınmalıdır
Çalışanların bu konudaki yetkinlikleri geliştirmelidir
Bilgi Güvenliği Yönetim Sistemi’ne yönelik bütün dokümanlar hazırlanmalıdır
Çalışanlar eğitilmeli ve bilgi güvenliği konusunda farkındalık yaratılmalıdır
Faaliyetler mutlaka ölçülmeli, izlenmeli, gözden geçirilmeli ve denetlenmelidir
Nihayet bütün bunlar tamamlandıktan sonra ISO 27001 Belgesi alınmalıdır
Kısaca bir şirketin ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardını uygulaması, faaliyetlerin izlenmesi, yeniden incelenmesi, güncellenmesi ve iyileştirilmesine yönelik bir süreç yaklaşımının benimsenmesini teşvik eder. Söz konusu standardın bugün yürürlükte olan sürümü ISO 27001:2016 sürümüdür.
Ülkemizde Türk Standartları Enstitüsü tarafından bu çerçevede bir dizi standart yayınlanmıştır:
TS EN ISO/IEC 27000 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve kelime bilgisi (ISO / IEC 27000:2016)
TS EN ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler
TS EN ISO/IEC 27002 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği kontrolleri için uygulama prensipleri
TS ISO/IEC 27003 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemi uygulama kılavuzu
TS ISO/IEC 27005 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği risk yönetimi
TS ISO/IEC 27006 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemi tetkik ve belgelendirmesini yapan kuruluşlar için gereklilikler
TS ISO/IEC 27007 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi Güvenliği Yönetim Sistemleri Denetimi için kılavuz
TSE ISO/IEC TR 27008 Bilgi teknolojisi - Güvenlik teknikleri - Denetçiler için bilgi güvenliği kontrolleri kılavuzu
ISO 27000 ailesindeki bu standartlar, bilgi güvenliği alanında uluslararası kabul görmüş bir dizi yöntem, önlem ve en iyi uygulamayı oluşturmaktadır. İşletmelerin boyutlarına, faaliyet gösterdikleri sektöre veya bulundukları ülkelerden bağımsız olarak her türlü şirkete uygulanabilirler. Bu standartlar içinde belgelendirmeye esas olanı TS EN ISO/IEC 27001 standardıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardında yer alan süreç yaklaşımı, başlıca şu hususların önemini vurgulamaktadır:
Şirket bilgilerinin güvenliği ile ilgili gereklilikler yanı sıra bir güvenlik politikası ve hedefler belirlemenin gerekliliğini anlamak
Şirketin faaliyetleri ile ilgili küresel riskler bağlamında güvenlik ile ilgili risk yönetimi önlemlerini uygulamak ve kullanmak
Bilgi güvenliği yönetim sistemi performanslarını izlemek ve yeniden incelemek
Nesnel ölçümlere dayanarak, sistemi sürekli olarak iyileştirmek
ISO 27001 standardı sayesinde işletmeler süreçlerini ve prosedürlerini iyileştirmekte ve aldıkları ISO 27001 Belgesi ile, profesyonel olarak işletilen bir şirket olarak müşterilerini memnun etmiş olmaktadır.
Bilgi değerli bir varlıktır ve her ne pahasına olursa olsun korunmak zorundadır. Bu standart, işletmelerin tüm güvenlik çabalarını, hem elektronik hem de fiziksel olarak koordine etmelerine destek olmaktadır. Aynı zamanda potansiyel müşterilere de, kişisel ve ticari bilgilerin güvencede olduğu kanıtlanmış olmaktadır. ISO 27001 Belgesi, bilgi yönetimi konusunda işletmenin tutarlı ve uygun maliyetli bir yaklaşım sergilerdiğinin ifadesidir.
Öncelikle kuruluşun, standardın zorunlu gerekliliklerini karşılayıp karşılamadığı ve bir sonraki aşamaya geçilip geçilmeyeceği belirlenir.
Gerekli prosedür ve denetimlerin geliştirilip geliştirilmediği kontrol edilir ve kurumunuzun değerlendirmeye hazırlığı gözden geçirilir.
İlk iki aşamada ortaya çıkan bulgular değerlendirilir ve yapılan her türlü düzeltici işlem gözden geçirildikten sonra belge hazırlama işlemine geçilir.
Randevu almak, daha detaylı bilgi edinmek yada değerlendirme talep etmek için formumuzu doldurarak size ulaşmamızı isteyebilirsiniz.
