Belgelendirme
+90 212 702 40 00
Laboratuvar
+90 212 702 30 00
Belgelendirme > Sistem Belgelendirme

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?


ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bütün kuruluşların, bilgilerini etkili bir risk yönetimi ile korumalarına ve yönetmelerine yardımcı olan süreçlerden, teknolojiden ve insanlardan oluşan sistematik bir yaklaşımdır. Yani sadece bilgi teknolojilerine yönelik bir sistem değildir.

Bu sistem, Avrupa Birliği ülkelerinde yayınlanan, ağ ve bilgi sistemlerinin güvenliği direktifi ve genel veri koruma direktifi dahil olmak üzere birçok direktif ile uyumlu tasarlanmıştır. Çalışma ortamına özgü riskler hakkında işletmenin doğru kararlar almasına destek olmaktadır.

ISO 27001 sistemi, sadece kişisel verileri değil işletmenin bütün verilerinin korunmasına yöneliktir. Ayrıca sistem, çevrimiçi bilgiler ve kağıt tabanlı veriler dahil olmak üzere çeşitli formlarda her türlü bilgiyi korumaktadır. Burada önemli nokta, üst yönetimin inanması ve sahiplenmesi ve bütün çalışanların katılmasıdır.

ISO 27001 sisteminde risk değerlendirmeleri merkezi yapıdadır. Risk değerlendirme çalışmaları, riskleri tedavi etmek, önlemek, yönetmek ve azaltmak için bir dizi faaliyet içermektedir. Bu faaliyetler, işletmelerin risk ortamına ve hedeflerine göre optimize edilmek zorundadır. Risk değerlendirmelerinin etkin kalması için sürekli iyileştirme çalışmalarının yapılması gerekmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, riskleri yönetmek için kullanılabilecek bir dizi kontrol gerektirmektedir. Bu standardı uygulayan işletmeler, akredite bir belgelendirme kuruluşunun denetimlerinden geçtikleri takdirde ISO 27001 Belgesi almaya hak kazanmaktadır. Bu belge ile işletmenin, bilgi güvenliği konusunda en iyi uygulamaları takip ettiğini kanıtlamaktadır.

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi İşletmelere Ne Fayda Sağlar?


ISO 27001 Belgesi’nin işletmelere kazandırdığı en büyük fayda, bilgi güvenliği ile ilgili maliyetlerin düşürülmesidir. Bu sistem kapsamında gerçekleştirilecek risk değerlendirme ve analiz yaklaşımı sayesinde, belki de işe yaramayacak korunma teknolojilerine gelişi güzel yapılan harcamalar önlenmektedir.

Sistemin bir diğer önemli faydası da yasal yükümlülüklerin yerine getirilmesidir. Siber güvenlik, internet üzerinden yapılan işlemlerde güvenliğin sağlanmasına yönelik korumadır ve bu konuda son zamanlarda arka arkaya yasal düzenlemeler çıkarılmaktadır. İşletmeler açısından siber güvenlik, kritik öneme sahip faaliyetlerin ve gizli bilgilerin korunmasını sağlamak anlamına gelmektedir.

Devletin, vatandaşların, özel ve resmi kuruluşların, kritik altyapı ve bilgisayar sistemlerinin, saldırılara ve verilerin çalınmasına karşı koruma sorumluluğu bulunmaktadır. Siber güvenlik konusu, yenilikleri, büyümeyi, iş imkanlarını ve sosyal gelişimi desteklemesi açısından bilgi ve iletişim teknolojileri sektörünün temel taşıdır.

Günümüzde bir yandan siber dünya gelişmesini sürdürürken, bir yandan da yeni ortamlar ve tehditler yüzünden siber güvenlik daha önemli olmaktadır. ISO 27001 standardı, siber güvenlik yasalarının teknik ve operasyonel gereksinimlerini karşılamak bakımından mükemmel bir yöntem sunmaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi sayesinde işletmeler, yeni iş imkanlarına sahip olmaktadır. Bu uygulama, daha fazla veri güvenliği için, işletmelerin giderek daha katı müşteri taleplerini karşılamalarına izin vermektedir.

Nihayet ISO 27001 Belgesi sayesinde işletmeler itibarlarını korumuş olmaktadır. İşletmeler müşterilerine, faaliyetlerini korumak için gerekli adımları attıklarını kanıtlamış olmaktadır.

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Neden Önemli?


ISO 27001 Bilgi Güvenliği Yönetim Sistemi işletmelerde kurulurken, başlıca şu kilit unsurların belirlenmesi gerekmektedir:

  • Projenin kapsamı belirlenmelidir
  • Üst yönetimin taahhüdü alınmalı ve bütçelenmelidir
  • İlgili taraflar ve yasal, düzenleyici ve sözleşme gereklilikleri tanımlanmalıdır
  • Risk değerlendirme çalışması yapılmalıdır
  • Gerekli kontroller yapılmalı ve önlemler alınmalıdır
  • Çalışanların bu konudaki yetkinlikleri geliştirmelidir
  • Bilgi Güvenliği Yönetim Sistemi’ne yönelik bütün dokümanlar hazırlanmalıdır
  • Çalışanlar eğitilmeli ve bilgi güvenliği konusunda farkındalık yaratılmalıdır
  • Faaliyetler mutlaka ölçülmeli, izlenmeli, gözden geçirilmeli ve denetlenmelidir
  • Nihayet bütün bunlar tamamlandıktan sonra ISO 27001 Belgesi alınmalıdır

Kısaca bir şirketin ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardını uygulaması, faaliyetlerin izlenmesi, yeniden incelenmesi, güncellenmesi ve iyileştirilmesine yönelik bir süreç yaklaşımının benimsenmesini teşvik eder. Söz konusu standardın bugün yürürlükte olan sürümü ISO 27001:2016 sürümüdür.

  • Ülkemizde Türk Standartları Enstitüsü tarafından bu çerçevede bir dizi standart yayınlanmıştır:
  • TS EN ISO/IEC 27000 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve kelime bilgisi (ISO / IEC 27000:2016)
  • TS EN ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler
  • TS EN ISO/IEC 27002 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği kontrolleri için uygulama prensipleri
  • TS ISO/IEC 27003 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemi uygulama kılavuzu
  • TS ISO/IEC 27005 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği risk yönetimi
  • TS ISO/IEC 27006 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemi tetkik ve belgelendirmesini yapan kuruluşlar için gereklilikler
  • TS ISO/IEC 27007 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi Güvenliği Yönetim Sistemleri Denetimi için kılavuz
  • TSE ISO/IEC TR 27008 Bilgi teknolojisi - Güvenlik teknikleri - Denetçiler için bilgi güvenliği kontrolleri kılavuzu

ISO 27000 ailesindeki bu standartlar, bilgi güvenliği alanında uluslararası kabul görmüş bir dizi yöntem, önlem ve en iyi uygulamayı oluşturmaktadır. İşletmelerin boyutlarına, faaliyet gösterdikleri sektöre veya bulundukları ülkelerden bağımsız olarak her türlü şirkete uygulanabilirler. Bu standartlar içinde belgelendirmeye esas olanı TS EN ISO/IEC 27001 standardıdır.

 

Sonuç


ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardında yer alan süreç yaklaşımı, başlıca şu hususların önemini vurgulamaktadır:

  • Şirket bilgilerinin güvenliği ile ilgili gereklilikler yanı sıra bir güvenlik politikası ve hedefler belirlemenin gerekliliğini anlamak
  • Şirketin faaliyetleri ile ilgili küresel riskler bağlamında güvenlik ile ilgili risk yönetimi önlemlerini uygulamak ve kullanmak
  • Bilgi güvenliği yönetim sistemi performanslarını izlemek ve yeniden incelemek
  • Nesnel ölçümlere dayanarak, sistemi sürekli olarak iyileştirmek

İngiltere’de 2014 yılında çeşitli kuruluşlar arasında yapılan bir araştırma sonuçlarına göre, büyük işletmelerin yüzde 81’i, küçük işletmelerin ise yüzde 60’ı bir önceki yıl güvenlik ihlali yaşamıştır. Bu ihlaller büyük işletmelere yıllık 600 bin ile 1.15 milyon sterlin, küçük işletmelere ise yıllık 65 ile 115 bin sterlin arasında bir maliyet yüklemiştir. Yaşanan itibar kayıpları ise bunun dışındadır.

ISO 27001 standardı sayesinde işletmeler süreçlerini ve prosedürlerini iyileştirmekte ve aldıkları ISO 27001 Belgesi ile, profesyonel olarak işletilen bir şirket olarak müşterilerini memnun etmiş olmaktadır.

Bilgi değerli bir varlıktır ve her ne pahasına olursa olsun korunmak zorundadır. Bu standart, işletmelerin tüm güvenlik çabalarını, hem elektronik hem de fiziksel olarak koordine etmelerine destek olmaktadır. Aynı zamanda potansiyel müşterilere de, kişisel ve ticari bilgilerin güvencede olduğu kanıtlanmış olmaktadır. ISO 27001 Belgesi, bilgi yönetimi konusunda işletmenin tutarlı ve uygun maliyetli bir yaklaşım sergilerdiğinin ifadesidir.

Kuruluşumuz, güçlü bir teknolojik altyapı ve eğitimli ve deneyimli uzman bir çalışan kadrosu ile müşterilerine, birçok sistem belgelendirme hizmetleri arasında, ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirme hizmetleri de vermektedir.

Kuruluşumuz, bu belgelendirme hizmetlerini verirken, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara, dünyanın her yerinde kabul gören yöntemlere ve yürürlükte olan yasal düzenl

Belgelendirme Süreci
İlk Değerlendirme

Başvuru yapan kuruluşun, ilgili standartın gerekliliklerini karşılayıp karşılamadığı hakkında inceleme yapılır.

Belgelendirme Süreci
Döküman Hazırlığı

Gerekli olan prosedürlerin ve denetimlerin hazır olup olmadığı konusunda inceleme yapılır ve kurumun değerlendirmeye hazırlık durumu kontrol edilir.

Belgelendirme Süreci
Belge Verilmesi

İlk iki aşama sonrasında mevcut ise yapılan her türlü düzeltici işlem gözden geçirilerek, kurumunuza ait belge hazırlama işlemi başlar.