Anasayfa / Blog / ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27001, Uluslararası Standart organizasyonu tarafından (ISO) yayınlanan yaklaşık 54 standarttan oluşan ISO 27000 ailesinin denetlemeye tabi olan tek standardıdır.

ISO 27001, Finansal verilerin, bilgi varlığının ve müşterilere ait özel bilgilerin saklanması ve korunmasına yardımcı, başta insanlar olmak üzere süreçler ve bilgi sistemlerini kapsayan bir yönetim sistemidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, gelişen teknoloji ve sektörler ile artan ihtiyaçlar ile beraber daha fazla görev yüklenen bilgi alt yapılarının emniyetini sağlamak amacı ile geliştirilmiştir. Bu model sayesinde kurumlar, bilgi alt yapıklarını tanımlar, olası tehlikeleri sezinler ve analiz eder ve bu risklerin karşılarına çıkması halinde uygulanacak ve uygulanmayacak kontrol sistemine karar verir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle kurumsallaşma süreci içerisinde olan kurum ve kuruluşlar için yönetim sistemlerinin en önemli unsurudur.

ISO 27001 Tarihçesi

Endüstri çalışma grubu – Ocak 1993
Uygulama kurallarının oluşturulması – Eylül 1993
BS7799 Kısım Bir yayınlandı – Şubat 1995
BS7799 Kısım İki yayınlandı – Şubat 1998
BS7799 Kısım 1 ve Kısım 2 – Nisan 1999
ISO 17799 (BS7799-1) yayınlandı 2000
BS7799-2 yayınlandı 2002
ISO 17799:2005 düzenlendi Ekim 2005
BS7799-2 için ISO 27001:2005 değişimi
17799 yerine geçen ISO 27002: 2005
ISO 27001 ve 27002 revize edildi 2013

 

ISO 27001 Standart Maddeleri

Toplamda 10 ana maddeden ve 114 kontrol maddesinden oluşan ISO 27001 Standardı Annex SL alt yapısına uygun bir şekilde yayınlanmıştır.

0. Giriş
1. Kapsam
2. Atıf Yapılan Dokümanlar
3. Terimler ve Tarifler
4. Kuruluşun Bağlamı
5. Liderlik
6. Planlama
7. Destek
8. İşletim
9. Performans Değerlendirme
10. İyileştirme

Bu 10 maddenin dışında da A.5.1.1’den başlayan ve A.18.2.3.’e kadar giden toplan 14 başlıkta 114 kontrol maddesi içeren EK A kontrol kriterleri de standardın uygulanmasına ve denetlenmesine dahildir.

A.5 ile Başlayıp A.18 e kadar giden EK-A maddeleri ise

5. Bilgi Güvenliği Politikaları / Information Security Policies

6. Bilgi Güvenliği Organizasyonu / Organization of Information Security

7. İnsan Kaynakları Güvenliği / Human Resource Security

8. Varlık Yönetimi / Asset Management

9. Erişim Kontrolü / Access Control

10. Kriptografi / Cryptography

11. Fiziksel ve Çevresel Güvenlik / Physical and Environmental Security

12. Operasyon Güvenliği / Operations Security

13. İletişim Güvenliği / Communications Security

14. Sistem Edinim, Geliştirme ve Bakım / System acquisition, Development and Maintenance

15. Tedarikçi İlişkileri / Supplier Relationships

16. Bilgi Güvenliği Olay Yönetimi / Information Security Incident Management

17. İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönleri / Information Security Aspects of Business Continuity Management

18. Uyum / Compliance maddeleridir.

Bilgi Güvenliği Yönetim Sistemi Neden Önemlidir?

İşletmeler için bilgi varlığı diğer ticari varlıklar gibi son derece önemlidir. Ticari kayıpları en aza indirmek ve iş sürekliliğini sağlamak adına risk ya da tehlike unsurlarını ortadan kaldıran ISO 27001, tüm dünyada kabul görmüş bir yönetim sistemi olarak bilgi varlığının iyi yönetilmesini ve firmanın güvenle çalışmasını sağlar.

Gizli bilgilerin gizli kalması, etkin bir şekilde korunması, izinsiz ve yasa dışı bilgi erişimini engellemesi bakımından önemlidir. Bilgi gizliliğinin bozulması, kurum ve kuruluşların zarar görmesi ve telafisi mümkün olmayan sonuçlarla karşılaşması demektir. Firma, tedarikçi veya müşteri bilgilerinin gizliliği karşılıklı güven için son derece kritik bir konudur. Risk bazlı yönetim temeline dayanan BGYS, herhangi bir ürün veya teknolojiye dayalı olmayan ve büyük küçük her kuruluşa uygulanabilen bir yönetim sistemi olup risklerin minimize edilmesi, bilgi varlığının saklanması ve korunmasında önemlidir.

Bilgi Güvenliği Yönetim Sistemi Uygulamanın Avantajları Nelerdir?

  • Bilgi unsurları konusunda farkındalık: Firma bilgi varlıklarının ve değer sırasının farkına varır.
  • Firmanın sahip olduğu varlıları koruyabilmesi: Edineceği kontrol mekanizmaları ile koruma yöntemlerini belirler ve iyileştirerek korur.
  • İş sürekliliği: Bir felaket senaryosu sırasında alınacak önemler ile firmanın devamlılığını sağlar.
  • Tarafların barış durumunda olması: Tedarikçi, müşteri ve çalışanlara güven verir
  • Belirli bir sistem sayesinde bilgi korunur, kötü sürprizlere yer bırakılmaz.
  • Bilgi varlıklarını hedef alan risklere karşı önlemeler alınır.
  • Yasal alanda yükümlülüklere uyum kolaylaşır, yasal takip ihtimali engellenir.
  • Saygınlık arttırır.
  • Firma genelinde bilgi güvenliği bilinci oluşur.
  • Bilgi güvenliği konusundaki açıklar tespit edilir ve açıklar kapatılır.

 

ISO 27001’in Amacı Nedir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin amacı; firmanın bilgi varlığının farkına varmasını, bilgi varlıklarını saklaması, koruması ve iş sürekliliği kazanmasını sağlamaktır. Bilginin korunmasını tesadüflere bırakmayan uluslararası bir standart olan ISO 27001;

Firma, tedarikçi ve müşterilere güven verir.
Kurum ve kuruluşların bilgi güvenlik risklerini, tehditleri ve bilgi varlığı açıklıklarını periyodik olarak denetlemek,
Tutarlı bilgi güvenliği kontrollerini yaparak risk faktörlerini kabul edilebilir seviyelerde tutmak,
Bilgi güvenliği kontrollerinde süreklilik sağlamak ve yönetim süreçlerini uygulamak temel amaçlarıdır.
Sadece teknik tedbirlerin bilgi gizliliği ve güvenliğini sağlamaya yetmediği günümüz teknoloji çağında bilgi varlığını korumayı, ilgili taraflara güven vermeyi, yeterli ve dengeli güvenlik kontrollerini sağlamayı amaçlamaktadır.
Kuruluş faaliyetlerini hızlandırmak, iş sürekliliği sağlamak, firma, tedarikçi ve müşteri mağduriyetini engellemek, yetkili olmayan kişilerin bilgiye ulaşmasını engellemek ISO 27001’in amaçlarıdır.

 

Bilgi Güvenliği Yönetim Sistemi Uygulamasına İhtiyaç Duyan İşletmeler:

ISO 27001 Standardı, aktif halde olan, bu sebeple de saldırılara karşı savunma halinde olup kendini yenileme eğilimi gösteren bir firmanın sisteminde yer almalıdır. ISO 27001 modelinde açıklandığı üzere bilgi güvenliği bir süreç olarak ele alınmalı planlama, uygulama, kontrol ve önlem sıralaması doğrultusunda işlemelidir. Aktif ve kendini yenileme becerisine sahip bir bilgi güvenliği sistemi ancak böyle oluşturulur.

ISO 27001’in Faydaları Nelerdir?
Kuruluşun bilgi varlıklarının farkına varmasını ve değerini anlamasını sağlar.
Bilgi varlıklarını saklar ve gizliliğini korur.
Bilginin doğruluğunu, bütünlüğünü ve içeriğini koruyarak değişmemesini sağlar.
Bilgi varlıklarının korunmasında kontrol ve koruma metotları belirleyerek uygular.
Gereksiz iş yükü ve zaman kaybının yaşanmasını engeller.
İş sürekliliği sağlar.
Riskleri asgariye indirir.
Bilgi sistemlerinin korunmasını ve zayıflıkların farkına varılmasını sağlar.
Bilgi varlıklarına yasal olmayan yollardan erişimi engeller.
Doğru, güvenilir ve geçerli bilginin sağlanması için gerekli koşulları oluşturur.
Yasal zorunluluklar taraflarca yerine getirildiğinden yasal takibi önler.
Tedarikçiler ve diğer ilgili tarafların gizli bilgileri korunduğundan karşılıklı güven kazandırır.
Bilgiyi korumayı tesadüflere bırakmaz.
Firma bütününde uygulandığından çalışanların motivasyonunu arttırmada son derece etkilidir.
Kurumsal saygınlığı korur.
Rekabet avantajı kazandırır.
Firmaya yüksek prestij sağlar.

Bilgi Güvenliği Yönetim Sisteminde Kritik Başarı Faktörleri Nelerdir?
Başlıca kritik faktörleri sıralarsak;

Varlıkların sınıflandırılması, gizlilik, varlıkların değerlendirilmesi, risk analizi, risk analizine göre uygulanacak kontrollerin tespit edilmesi, dokümantasyon, iç tetkik ve belgelendirme gibi kurulum aşamalarından geçen ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin başarılı olmasında en önemli faktör üst yönetim desteğidir.

Yalnızda teknolojik konusu olmayan bir yönetim sistemi olup ISO 27001’in başarılı olması için yeterli ve eğitimli bir kadro gerekir.
Bilgi Güvenliği Yönetim Sistemi komitesi kurulmalı, gerçekleştirilebilir hedefler ve amaçlar belirlenmelidir.
Firma çalışanlarının farkındalığı arttırılmalı, iyi bir dokümantasyon sistemi kurularak dokümanlar periyodik olarak güncellenmelidir.
Riskler ve bilgi varlığı açıkları iş süreçleri ve bilgi varlığı temelinde oluşturulmalıdır.

Kontrol edin...

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi 2013 Revizyonu Geçiş Kılavuzu

ISO/IEC 27001’in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı
ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi