TEKLİF İÇİN TIKLAYINIZ

ISO 27001

ISO 27001

ISO 27001 BGYS - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurumlar ve bireylerin sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir. Koruma bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika veya kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilenmesiyle mümkün olabilir.
Bilgi güvenliği; iş devamlılığı, kaçınılmaz felaket durumlarında kaybın en aza indirilmesi, firmaların yapı taşları sayılan kaynakların her koşulda gizliliğinin, ulaşılabilirliğinin ve bütünlüğünün korunması amaçlarını taşır. İş dünyasında vazgeçilmez hale gelen bilgi güvenliği konusunda tüm dünya tarafından kabul görmüş standartlara uygun bir yapı sunmaktadır. 27001 Bilgi Güvenliği Yönetim Sistemi kavramının ve bağlı olduğu standartların doğru anlaşılması bu yapının sağlayacağı faydayı önemli ölçüde arttıracaktır.

ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır. ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir. Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser. ISO/IEC 27001, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir. Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası. Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı. Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses. Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi. Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi. Uygulanabilirlik bildirgesi: Kuruluşun BGYS’ si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.

ISO 27001 Bilgi Güvenliği Sistemi Kurulum Aşamaları

  • Varlıkların sınıflandırılması,
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
  • Risk analizi,
  • Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
  • Dokümantasyon oluşturma,
  • Kontrolleri uygulama,
  • İç tetkik,
  • Kayıtları tutma,
  • Yönetimin gözden geçirmesi,
  • Belgelendirme
ISO 27001 BİLGİ GÜVENLİĞİ SİSTEMİ AMACI

  • Bilgi varlıklarının gizliliğinin korunması,
  • Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
  • Kurumsal prestijin korunması,
  • İş sürekliliğinin sağlanması,
  • Bilgi kaynaklarına erişimin denetlenmesi,
  • Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
  • Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,
  • Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,
  • Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,
  • Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.
  • Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir.
  • Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar.
  • Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular.
  • Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar.
  • Kurum ve kurum çalışanları bilgi güvenliği sistemi ile;
  • Bilgi varlıklarının farkındalılığı ve motivasyonu artar,
  • Sahip olduğu bilgi varlıkları korunabilir
  • İş sürekliliği sağlanır,
  • Müşteri ve tedarikçilerle sağlıklı bir yapı kurulur,
  • Rekabette avantaj sağlanır,
  • Yasal uyumluluk sağlanır.
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TARİHSEL GELİŞİMİ 
Bu standardın kökleri, İngiltere’deki DTI ve CCSC dönemlerine kadar uzanır. 1987 Mayıs ayında kurulan CCSC’nin iki işlevi vardı: Birincisi, dünya çapında benimsemiş bir güvenlik yükseltme programı sağlayarak ve bir sertifika gerekliliği sunarak güvenlik ürünü satıcılarına yardım etmekti.  İkinci işlevi ise kullanıcılara iyi bir güvenlik şifresi sağlamaktı ki bunun sonucunda da ‘’Kullanıcının Çalışma Şifresi’’ yayınlanması ile sonuçlandı. Bu yayın daha sonra NCC (National Computing Centre)  tarafından geliştirildi ve sonra da çoğunluğu İngiliz endüstrisinde gelen bir grup kullanıcı bu kodların anlamlı ve kullanımı kolay olup olmadığını test etti. Sonuçlar İngiliz Standartları kılavuzunda yayınlandı.
Standardın son versiyonu olan ISO 27001:2013 adı altında halen yürürlüktedir.