ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Standardı Nedir?

ISO 27001 Standardı ISO tarafından yayınlanan yönetim sistemi yaklaşımlarından bilginin ve bilgi varlıklarının korunması amacı ile yayımlanmış olan uluslar arası bir dil oluşturma düşünce modelidir. Organizasyonlara değer sağlaması nedeni ile uygun şekilde korunması gereken kaynaklar olarak tanımlanan bilgi sözlü, basılı ve elektronik ortamlar başta olmak üzere günümüzde pek çok yerde varlığını korumakta ve sürdürmektedir.. Kağıt veya elektronik ortamda saklanabilir, posta veya e-posta yoluyla gönderilebilir. Bilgi Güvenliği Yönetim Sistemi (BGYS) olan ISO 27001, iş sürekliliğini sağlamak, zararları minimuma indirmek, iş fırsatlarını yakalamak ve kazancı artırmak amacıyla bilgiyi birçok tehlikeden korumayı amaçlamaktadır.

 

ISO 27001’e Göre Kurulmuş Bir Sistemin Amaçları

Sistemin başlıca amaçları;

  • Bilginin ve işlem yöntemlerinin doğruluk ve bütünlüğünün muhafazası, içeriğinin değişmemesi
  • Bilginin sadece yetkili kişilerce erişilebilir olması
  • Ulaşılabilirlik (Availability)
  • Gizlilik (Confidentiality)
  • Bütünlük (Integrity)

şeklinde sıralanabilir.

Bilginin korunacağı yöntemler detaylı, titiz ve dikkatli bir şekilde çalışmayı gerektirmektedir. Sistemin sınırları bilgi güvenliği uygulamasının başarıya ulaşması için taşerondan hissedarlara, tedarik edenlerden müşteriye kadar genişletilmelidir. Etkin ve verimli bir uygulamanın gerçekleştirilmesi için uzman ve organizasyon dışı bir danışmanlığa gereksinim duyulabilir. ISO 27001 BGYS organizasyonların ihtiyaçları doğrultusunda uygulanacak güvenlik kontrollerini aşağıda yer alan 10 temel prensip ile ortaya koymaktadır:

  1. Şirket Güvenlik Politikası
  2. Fiziki ve Çevresel Güvenlik
  3. Personel Güvenliği
  4. Organizasyonel Güvenlik
  5. Varlıkların Sınıflandırılması ve Kontrolü
  6. Erişim Kontrolü
  7. İletişim ve Operasyon Yönetimi
  8. İş Devamlılığı Yönetimi
  9. Sistem Geliştirme ve Bakım
  10. Uyumluluk

 

Şirket Kurumsal Bilgisi Emin Ellerde mi?

Bu soru, bilgi güvenliği konusunda şirket bünyesinde cevabı aranması gereken ilk soruların başında gelir. İşletmeyi tehlikeye sokmadan çalışmaları sürdürebilmek için ihtiyaca uygun bilgi güvenliğini sağlayacak bir yönetim sistemi kurmak yapılacak ilk iş olmalıdır. Bir işletmenin başarılı ve sürekli olarak faaliyet sürdürebilmesi için etkin ve verimli bir risk yönetim sürecinin çalışıyor oluşu hayati önem arz etmektedir. Bunun gibi süreçler firmanın kurumsal değerini korumada önem arz eder. Yatırım hedeflerini sürdürüp koruyabilmesi için gerek duyulan kontrollerin kurumda kabul edilmesi ve uygulanması aşamalarında temel oluşturur.

Karşılaşılabilecek riskleri tanımlamak, değerlendirmek ve var olan riskleri ortadan kaldırmak için gereken önlemlerin alınmasını öne çıkaran bir risk yönetim süreci ISO 27001 kalitesi ile öngörülür. Etkin bir bilgi güvenliği yönetim sisteminin en önemli parçası riskleri yeniden değerlendirmek ve iç denetimi uygulamaktır.

 

Riskli Bölümler

Bilgi güvenliği tehdidi içeren risk kaynaklarının tespit edilebilmesi için aşağıdaki hususların gözden geçirilmesi gerekir.

  • Yanlış ya da eksik planlanan yatırımlar
  • Yetkisiz kişiler tarafından erişim
  • Test edilmemiş güvenlik sistemi
  • Çalışan kaynaklı tehditler
  • Altyapı zafiyetleri
  • Siber saldırılar

 

ISO 27001 Kimler İçin Gereklidir?

Bilişim sektöründe faaliyette gösterip de kamu ihalelerine giren bilgisayar yazılımı ve donanımı alanındaki firmalar için ISO 27001 önemli boyuttadır. Günümüzde ileri derecede uzmanlaşma gerçekleştiren bilişim alt sektörlerine aşağıda yer verilmiştir:

  • Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
  • Hava taşıtları içerisinde uçuş esnasında mobil telefon hizmeti verenler
  • Gümrük işlerini kolaylaştırma yetkisi almak isteyen ihracatçı firmalar
  • Sabit telefon teknolojisi ya da uydu haberleşme hizmeti sunucuları
  • E fatura hizmeti sağlamak için yetki almak isteyen şirketler
  • Altyapı işletmeciliği hizmeti sunucuları
  • İmtiyaz sözleşmesi imzalamış şirketler
  • Sanal mobil şebeke hizmeti sunucuları
  • Enerji sektöründe faaliyet gösterenler
  • Mobil telefon hizmeti sunan şirketler
  • İnternet servis sağlayıcıları

 

TURKAK AKREDİTASYONLU ISO 27001 BELGESİ VAR MIDIR ?

Akreditasyonun ne olduğunu ve kısa adı TURKAK olan Tük Akreditasyon Kurumu’nun neden kurulduğunu ana sayfamızda ki yazılarımızda daha önce açıklamıştık. Aşağıda TURKAK akreditasyonu markası taşıyan ISO 27001-2013 Bilgi Güvenliği Yönetim Sistemi Belgesi Belgelendirme Kuruluşlarından bahsedeceğiz.

ISO 27001 Standardı, akreditasyon kuralları çerçevesinde belgelendirme işlemi yapılan bir standarttır. Bu standardın belgelendirmesi için TURKAK tarafından akredite edilen belgelendirme kuruluşları mevcuttur. Söz konusu belgelendirme kuruluşları tarafından gerçekleştirilen ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi sonrasında TURKAK akrediteli diğer bir deyişle TURKAK Logolu ISO 27001-2013 Bilgi Güvenliği Yönetim Sistemi Belgesi düzenlemektedirler.

 

 

    Konuşma Başlat
    Belgelendirme Destek
    Merhaba,
    Belgeniz için hemen yardımcı olabilirim.