ISO 27001 Nedir?

Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir.

Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.

ISO 27001 standartına göre kurulmuş bir Bilgi Güvenliği Yönetim Sistemi:

• Gizlilik (Confidentiality)
• Bilginin sadece yetkili kişiler tarafından erişilebilir olması
• Bütünlük (Integrity) 
• Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi
• Ulaşılabilirlik (Availability)

Yetkili kişilerin bilgi ve kaynaklara ihtiyaç duyulduğu an ulaşabilmeleri olarak tanımlayabileceğimiz üç ana karakteristiğin korunması ve güvence altına alınması için gerekli kontrollerin belirlenmesi ve uygulamaya alınmasını öngörmektedir. Birçok bilgi sistemi güvenli olacak şekilde tasarlanmamıştır. Teknik anlamda elde edilebilecek güvenlik ise sınırlıdır ve uygun yönetim prensipleri ve prosedürler ile desteklenmelidir. Bilginin korunması için hangi kontrollerin gerekli olduğunun tanımlanması detaylı ve dikkatli bir çalışmayı gerektirir. Başarılı bir uygulama için sistemin kapsamı tedarikçilere/taşeronlara, müşterilere ve hissedarlara kadar genişletilmelidir. İyi bir uygulama için organizasyon dışından uzman bir danışmanlık gerekebilir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini on temel prensip ile ortaya koyar.

Bunlar;

• Şirket Güvenlik Politikası
• Organizasyonel Güvenlik
• Varlıkların Sınıflandırılması ve Kontrolü
• Personel Güvenliği
• Fiziki ve Çevresel Güvenlik
• İletişim ve Operasyon Yönetimi
• Erişim Kontrolü
• Sistem Geliştirme ve Bakım
• İş Devamlılığı Yönetimi
• Uyumluluk olarak karşımıza çıkmaktadırlar.

Şirket bilgi dağarcığınızı riske edebilir misiniz?

Aslında sorulması ve şirket içerisinde cevabının tartışılması gereken soru budur. Şirketinizi tehlikeye mi atacaksınız yoksa hemen çalışmaya başlayıp size uygun bir bilgi güvenliği yönetim sistemi mi kuracaksınız. Herhangi bir kuruluşun başarısı ve sürekliliği için etkin bir risk yönetim prosesinin işliyor olması hayati önem taşır. Bu tür prosesler; kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil ederler.

ISO 27001 olası risklerin tanımlanması, değerlendirilmesi ve ortadan kaldırılması için gerekli tedbirlerin alınmasını ön plana çıkaran bir risk yönetim prosesini öngörmektedir. Bunların yanı sıra risklerin tekrar değerlendirilmesi, etkin bir iç denetimin uygulanması da etkin bir Bilgi Güvenliği Yönetim Sisteminin önemli parçalarıdır.

Riskiniz nerede ?

• Altyapı zafiyetleri
• Yanlış/eksik yatırımlar
• Siber saldırılar
• Test edilmemiş güvenlik sistemi
• Yetkisiz kişilerin erişimi
• Çalışandan gelen tehditler

Planla, Uygula, Kontrol Et, Önlem Al Modeli (PUKO)

ISO 27001 PUKO modelini temel alarak Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulması, uygulanması, gözden geçirilmesi ve iyileştirilmesi için proses gerekliliklerini tanımlamaktadır.

•  BGYS’ nin tasarım ve kurulması (Planla)
• BGYS’ nin uygulanması ve devreye alınması (Uygula)
•  BGYS’ nin izlenmesi ve gözden geçirilmesi (Kontrol Et)
•  BGYS’ nin iyileştirilmesi
•  Planlama Aşaması Uygulama Aşaması
•  Kontrol Aşaması Önlem Alma Aşaması
•  BGYS kapsamının tanımlanması Risk kontrol planın hazırlanması
•  İzleme prosedürlerinin uygulamaya alınması
•  Tanımlanmış iyileştirme yöntemlerinin uygulanması
•  BGYS politikasının belirlenmesi
•  Risk kontrol planının uygulamaya alınması
•  BGYS’ nin etkinliğinin düzenli olarak gözden geçirilmesi
•  İlgili düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi
•  Risklerin değerlendirilmesi
•  Planlanmış aralıklarda BGYS iç denetimlerinin gerçekleştirilmesi
•  İyileştirmelerin amaçlanan hedeflere ulaşmasının garanti altına alınması
•  Risklerin giderilmesi için gerekli kontrollerin belirlenmesi
•  Uygulanabilirlik bildirisinin hazırlanması

ISO 27001 AŞAMALARI

• ISO 27001 Standardına göre bir Boşluk Analizi (Fark Analizi) gerçekleştirilmesi
• BGYS projesi uygulama planı oluşturulması
• ISO 27001 Farkındalık Eğitimlerinin verilmesi
• BGYS’ne göre bilgi güvenliği politika kapsamının belirlenmesi
• Bilgi varlıklarının tanımlanması ve değerlerinin belirlenmesi
• Güvenlik tehditlerinin belirlenmesi
• Güvenlik risklerinin ve etkilerinin belirlenmesi
• Güvenlik kontrollerinin seçimi
• Kontrol hedeflerinin ve kontrollerin tanımlanması
• Politikaların, standartların ve prosedürlerin oluşturulması, uygulanması ve yönetilmesi
• Bilgi güvenliği yönetim kurulları, örgütleri ve organizasyonlarının oluşturulması
• BGYS belgeleme gerekliliklerinin tamamlanması
• Belgelendirme sürecinin yönetilmesi

ISO 27001 Bilgi Yönetim Sistemi Kimler için gereklidir?

• Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren bilgisayar yazılım, donanım firmaları
•  Elektronik Haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
•  Görev veya İmtiyaz Sözleşmesi İmzalayan firmalar şirketler
•  Sabit Telefon Hizmeti veya Uydu Haberleşme Hizmeti Veren firmalar şirketler
•  Altyapı İşletmeciliği Hizmeti Veren firmalar şirketler
•  GMPCS Mobil Telefon Hizmeti Veren firmalar şirketler
•  Sanal Mobil Şebeke Hizmeti firmalar şirketler
•  İnternet Servis Sağlayıcıları
•  Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti veren firmalar şirketler
•  E fatura Özel Entegratör Yetkisi almak isteyen firmalar
•  Gümrük işleri Kolaylaştırma Yetkisi almak isteyen ihracatçı firmalar
•  Enerji Sektöründeki faaliyet gösteren firmalar