ISO 27001 Information Security and Consultancy

ISO 27001 Bilgi Güvenliği ve Danışmanlığı

ISO 27001 nedir neden önemlidir ?

Why is ISO 27001 Necessary?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemi olarak adlandırılmaktadır. Bilgi varlıklarını korumak ve ilgili taraflara güven vermek ilk amacıdır. Bu bağlamda yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının imkansız olduğu, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin alınması gerektiği konusu tüm dünyada kabul edilmiş bir durumdur. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve diğer tüm çalışanların destek vermesi ve bu şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği arttıran en önemli faktördür.

Bilgi Güvenliğinin Amacı Nedir?

  •  Güvenlikle ilgili ortaya çıkabilecek tehdit ve risklerin belirlenerek etkin bir risk yönetiminin sağlanması ve kurumsal itibarın korunmasını sağlamak.
  •  İş sürekliliğini her zaman sağlamak.
  •  Güvenlik ihlali olaylarını önlemek ya da etkisini azaltarak, iş hasarlarını en az duruma indirmek.
  •  Bilgilerin güvenli bir şekilde üçüncü taraflara ve denetçilere açık olmasının önüne geçilmesini sağlamak.
  •  Bilgi kaynaklarına erişimin denetlenmesine olanak tanımak.
  •  İlgili tüm gizlilik özelliklerini korumak.

Kurumsal Bilgi Güvenliği Nasıl Sağlanır?

  • Tüm kurum çapında bilgi güvenliği farkının yaratılması.
  • Kuruma uygun kullanım, politikalar, prosedürlerin oluşturulması.
  • Kurum organizasyonu ele alınması; kişiler, roller, uygun atamalar ve iş dağılımı.
  • Tüm güvenlik yazılım ve donanımları.
  • Bilgi güvenliği yönetiminin de diğer tüm yönetsel süreçlerden biri olarak kurgulanması ve planlanması.
  • Gerekli atamaların yapılması ve kaynak imkanlarının sağlanması.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları Nedir?

  • Bilgi varlıklarının farkına varma: Kuruluşun hangi bilgi varlıklarına sahip olduğunun, değerinin farkına varmasıdır
  • Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarının belirlenmesi ve uygulanmasıdır.
  • İş sürekliliği: Uzun yıllar boyunca işine garanti imkanı sağlar. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olmaya olanak tanır.
  • İlgili taraflar ile barış halinde olma: İlk sırada tedarikçileri yer almak üzere, bilgileri korunacağından, ilgili tarafların güvenini kazanır.
  • Bilgi, sistem tarafından korunur ve tesadüfe bırakılamaz.
  • Müşterileri değerlendirirse, diğer tüm rakiplere göre daha iyi değerlendirilir.
  • Çalışanların motivasyonunun arttırılması sağlanır.
  • Yasal takiplerin önüne geçilmesini sağlar.
  • Yüksek prestij imkanı sağlar.

ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları

Varlıkların sınıflandırılması, Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi ve risk analizi, risk analizi çıktılarına göre uygulanacak kontrolleri belirlenmesi ve dokümantasyon oluşturma, ardından kontrolleri uygulama, iç tetkik, kayıtları tutma, yönetimin gözden geçirmesi ve son olarak belgelendirme adımlarını içermektedir.

Özel Sektör de ISO 27001 kimler için geçerlidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve ISO 27001 Belgesini alması zorunlu olan özel sektör kuruluşları kısaca şu şekilde sıralanabilir.

  • Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmaların tamamı.
  • Elektronik Haberleşme şebekesi sağlayan ve alt yapısını işleten firmaların tamamı.
  • Görev Sözleşmesi İmzalayan firmaların tamamı ve şirketler.
  • İmtiyaz Sözleşmesi İmzalayan firmaların tamamı ve şirketler.
  • Bilgi iyi bir sistem sayesinde korunmakta ve tesadüfe bırakılamamaktadır.
  • Uydu Haberleşme Hizmeti veren firmaların tamamı ve şirketler.
  • Altyapı İşletmeciliği Hizmeti veren firmaların tamamı ve şirketler.
  • Sabit Telefon Hizmeti veren firmaların tamamı ve şirketler.
  • GMPCS Mobil Telefon Hizmeti veren firmaların tamamı ve şirketler.
  • Sanal Mobil Şebeke Hizmeti veren firmaların tamamı ve şirketler.
  • İnternet Servis Sağlayıcılarının tamamı.
  • Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti veren şirketlerin tamamı.
  • E fatura Özel Entegratör Yetkisi almak isteyen firmaların tamamı ve şirketler.
  • Gümrük işleri Kolaylaştırma Yetkisi almak isteyen ihracatçı firmaların tamamı.