ISO 27001 Bilgi Yönetim Sistemi

TÜRKAK akreditasyonlu belgelendirme işlemlerinde ve CE belgeleri danışmanlık hizmetlerinde KOSGEB desteği kullanabilirsiniz.

 

ISO 27001 Nedir?

Organizasyonlara değer katması nedeni ile uygun şekilde korunması gereken kaynaklar olarak tanımlanan bilgi sözlü, basılı ve elektronik ortamlar başta olmak üzere günümüzde pek çok yerde varlığını korumaktadır. Posta ve e-posta gibi yollarla gönderilebilir, kağıt ya da elektronik ortamda saklanabilir durumdadır. Bilgi Güvenliği Yönetim Sistemi (BGYS) olan ISO 27001, iş sürekliliğini sağlamak, zararları minimuma indirmek, iş fırsatlarını yakalamak ve kazancı artırmak amacıyla bilgiyi birçok tehlikeden korumayı hedeflemektedir.

 

ISO 27001’e Göre Kurulmuş Bir Sistemin inşa edildiği ilkeler:

  • Gizlilik (Confidentiality)
  • Bilginin sadece yetkili kişilerce erişilebilir olması
  • Bütünlük (Integrity)
  • Bilginin ve işlem yöntemlerinin doğruluk ve bütünlüğünün muhafazası, içeriğinin değişmemesi
  • Ulaşılabilirlik (Availability) şeklindedir.

Hangi kontrollerle bilginin korunacağı detaylı, titiz ve dikkatli bir şekilde çalışmayı gerektirmektedir. Bilgi güvenliği uygulamasının başarıya ulaşması için sistemin sınırları tedarik edenlerden müşteriye, taşerondan hissedarlara kadar genişletilmelidir. Etkin ve verimli bir uygulama adına organizasyon dışından uzman bir danışmanlığa ihtiyaç duyulabilir. ISO 27001 BGYS organizasyonların ihtiyaçları doğrultusunda uygulanacak güvenlik kontrollerini aşağıda yer alan 10 temel prensip ile ortaya koymaktadır:

  1. Şirket Güvenlik Politikası
  2. Fiziki ve Çevresel Güvenlik
  3. Personel Güvenliği
  4. Organizasyonel Güvenlik
  5. Varlıkların Sınıflandırılması ve Kontrolü
  6. Erişim Kontrolü
  7. İletişim ve Operasyon Yönetimi
  8. İş Devamlılığı Yönetimi
  9. Sistem Geliştirme ve Bakım
  10. Uyumluluk

 

Şirket Kurumsal Hafızası Emin Ellerde mi?

Bu soru, bilgi güvenliği konusunda şirket bünyesinde cevabı aranması gereken temel soruların başında gelir. İşletmeyi tehlikeye atmadan çalışmaları sürdürebilmek için ihtiyaca uygun bilgi güvenliğini sağlayacak bir yönetim sistemi kurmak yapılacak ilk iş olmalıdır. Bir işletmenin başarılı ve sürekli olarak faaliyet sürdürebilmesi için etkin ve verimli bir risk yönetim sürecinin çalışıyor oluşu hayati önemdedir. Bu tarz süreçler firmanın kurumsal değerini korumada önem arz ettiği gibi, yatırım ve hedeflerini sürdürüp koruyabilmesi adına yapılması gereken kontrollerin firma içinde kabul edilmesi ve uygulanması adımlarında temel oluşturur.

ISO 27001 kalitesi muhtemel riskleri tanımlamak, değerlendirmek ve var olanı ortadan kaldırmak için gereken önlemlerin alınmasını öne çıkaran bir risk yönetim sürecini öngörür. Bunun yanında riskleri tekrar değerlendirmek ve iç denetimin uygulamak da etkin bir Bilgi Güvenliği Yönetim Sisteminin önemli parçalarındandır.

 

Riskli Alanlar

Bilgi güvenliğini tehdit eden risklerin nereden kaynaklandığının tespiti için aşağıdaki unsurların gözden geçirilmesi büyük önem taşır.

  • Altyapı zaafiyetleri
  • Eksik / yanlış eksik yatırımlar
  • Siber saldırılar
  • Test edilmemiş güvenlik sistemi
  • Yetkisiz kimselerce erişim
  • Çalışan kaynaklı tehditler

 

ISO 27001 Kimler İçin Gereklidir?

Bilişim sektöründe faaliyette gösterip de kamu ihalelerine giren bilgisayar yazılımı ve donanımı alanındaki firmalar için ISO 27001 son derece önemlidir. Günümüzde ileri derecede uzmanlaşma gerçekleştiren bilişim alt sektörlerine aşağıda yer verilmiştir:

  • Enerji sektöründe faaliyet gösterenler
  • İmtiyaz sözleşmesi imzalamış şirketler
  • Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
  • Altyapı işletmeciliği hizmeti sunucuları
  • Hava taşıtları içerisinde uçuş esnasında mobil telefon hizmeti verenler
  • Sabit telefon teknolojisi ya da uydu haberleşme hizmeti sunucuları
  • Sanal mobil şebeke hizmeti sunucuları
  • Mobil telefon hizmeti sunan şirketler
  • İnternet servis sağlayıcıları
  • E fatura hizmeti sağlamak için yetki almak isteyen şirketler
  • Gümrük işlerini kolaylaştırma yetkisi almak isteyen ihracatçı firmalar