ISO 27001 Bilgi Güvenliği Yönetim Sistemi Hakkında
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistem Standardı, ISO* ve IEC** tarafından oluşturulan Ortak Teknik Komite (JTC) tarafından hazırlanan uluslararası kabul görmüş bir standarttır. (*ISO; International Organization for Standardization, **IEC; International Electrotechnical Commission
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kuruluşların sahip oldukları bilgilerin güvenliğini sağlamak amacıyla oluşturulmuş uluslararası bir standarttır. Bu standart doğrultusunda, kuruluşlar bilgi güvenliğini sağlamak için Yönetim Politikaları, Prosedür ve Talimatlar ile Bilgi Güvenliği Yönetim Sistemini tanımlamakta, uygulamakta ve etkinliğini sürekli iyileştirmektedir.
ISO 27001’in odak noktası, bir şirketteki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Bu, bilginin neler olabileceğini ortaya çıkararak ve daha sonra bu tür sorunların ortaya çıkmasını önlemek için yapılması gerekenleri tanımlayarak yapılır. Yani risk değerlendirmesinin yapılması ve risk azaltma veya risk tedavisinin uygulanmasını sağlar. Bu nedenle, ISO 27001’in ana felsefesi risklerin yönetilmesine dayanmaktadır. Kısaca, risklerin nerede olduğunu bulmak ve daha sonra sistematik olarak bun riskleri tedavi etmektir.
ISO 27001 sistemi, sadece kişisel verileri değil işletmenin bütün verilerinin korunmasına yöneliktir. Ayrıca sistem, çevrimiçi bilgiler ve kağıt tabanlı veriler dahil olmak üzere çeşitli formlarda her türlü bilgiyi korumaktadır. Burada önemli nokta, üst yönetimin inanması ve sahiplenmesi ve bütün çalışanların katılmasıdır.
ISO 27001 sisteminde risk değerlendirmeleri merkezi yapıdadır. Risk değerlendirme çalışmaları, riskleri tedavi etmek, önlemek, yönetmek ve azaltmak için bir dizi faaliyet içermektedir. Bu faaliyetler, işletmelerin risk ortamına ve hedeflerine göre optimize edilmek zorundadır. Risk değerlendirmelerinin etkin kalması için sürekli iyileştirme çalışmalarının yapılması gerekmektedir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile bilgi güvenliğinin 3 sac ayağı olan Gizlilik, Bütünlük ve Erişebilirlik şartları entegre bir şekilde ele alınır ve sistematik bir şekilde yönetilir;
Gizlilik esasına uygun olarak; bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması sağlanır. Yetkisiz kişilerin bilgiye erişimi engellenir. Herkes “bilmesi gerektiği kadar” bilgiye erişir.
Bütünlük esasına göre; Bilginin içeriğinin doğru, güncel ve geçerli olması garanti altına alınır. Yetkisiz kişiler tarafından değiştirilmemesi, yanlışlıkla silinmemesi için gerekli kontroller sağlanır. Doğru yedekleme metotları ile olası veri kayıpları önlenir.
Erişilebilirlik esası doğrultusunda; Bilgiye ihtiyaç duyulduğunda kesintisiz ulaşılabilmesi güvence altına alınır. Bilgi, olması gereken yerde ve gerektiğinde kullanıma hazır, ulaşılabilir olmalıdır. Bu amaçla tüm altyapının uygun hale getirilmesi sağlanır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları Nelerdir?
- Risklerinizi takip etmenizi,
- Bilgi Varlıklarının belirlenmesi ve takip edilmesini,
- Bilgi Varlıklarının sorumlularının belirlenmesi,
- Bilgi Varlıklarına yönelik Tehditlerin belirlenmesi,
- Bilgi Varlıklarına yönelik Tehditlerin kullanacağı açıklıkların belirlenmesi,
- Bilgi Sistemlerinin kabul edilebilir erişiminin sağlanması,
- Bilgi Varlıklarının Gizliliğinin sağlanması,
- Bilgi Varlıklarının Bütünlüğünün sağlanması,
- İş Sürekliliğinin sağlanması,
- Personelin, İş Ortaklarının Güvenlik konusunda farkındalığının arttırılması,
- Kurum kaynaklarının etkin kullanılmasının sağlanması,
- Yönetişimi sağlar,
- Yasa ve Yönetmeliklere uyumu sağlar,
- Denetime açık olunması,
- Üst Yönetimin Bilgi Güvenliğine olan desteğini kanıtlar
