ISO 27001 Belgesine Genel Bakış

Blog - 02EKİM'20

ISO 27001 Belgesine Genel Bakış


Hasan Şahap

ISO 27001 Standardı uygulaması, verilerin gizliliğini, doğruluğunu ve erişilebilirliğini savunmak için veri güvenliğinizi yöneticiler çerçevesinden kontrol eder. Sistemin tutarlılığının kontrol edilmesi, veri güvenliği faktörlerinin mekanik, kullanılabilir, prosedürel, insani ve ekolojik gibi alanlarda kontrol altına alındığını garanti etmeye çalışır.


ISO 27001 Belgesi, hem kuruluş varlıklarını herhangi bir zayıflıktan ve dış saldırılardan korumak için hem de ister oluşturulmuş, ister elektronik veya ister başka ortamda olsun, verilerin tüm yaşam modeliyle başa çıkmak için her boyut ve türdeki kuruluşlara uygulanabilir. Standart sistem yapısı, müşterilerle veya kuruluşun kendisiyle karşılaştırmalı olarak kurum içi veya dışı, yeniden dağıtılmış bir halde oluşturulmalıdır.


Peki, ISO 27001 Nedir?


ISO 27001 Bilgi Güvenliği Yönetim Sistemleri, ilişkilerin tüm verilerin güvenliğiyle başa çıkmak için tehlike temelli bir yol almasını bekler. ISO 27001 kesinlikle kuralları koyan bir sistem standardı olarak kendini tanımlamaz ve kural koymaz. Kural koymak yerine, bir Uygulanabilirlik Beyanında bildirilen veri güvenliği tehlikelerinin değerlendirilmesi ve işlenmesi yoluyla veri güvenliğini garanti etmek için kurumların yetki oluşturmasını ve bilgi güvenliğini sağlamasını amaçlar.


ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) onayınızı tamamlayarak, BGYS' nizin dünya çapındaki en iyi uygulamaları karşıladığını gösterebilir ve müşterilere, sağlayıcılara ve kuruluşunuzun oluşturduğu ve/veya elde ettiği verilerle güvenle başa çıkabileceğini ortaya koyabilirsiniz.


iso 27001 nedir

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Gereksinimleri Nelerdir?


Bilgi Güvenliği Yönetim Sistemleri aşağıda tanımlanan gereksinimlerin yerine getirmesini bekler:


• Bilgi güvenliği riskleri tespit etme, tehlikeleri değerlendirme,


• Risklerin, dış ve iç sorunların tanımlanarak ortaya konması ve bilgi güvenliğinde ilgili tarafları anlama,


• Bilgi güvenliği taahhütlerini içeren bir Bilgi Güvenliği Politikası oluşturun,


• Standardın oluşturulmasını istediği tüm politikaları oluşturun,


ISO 27001:2013 Standardı Ek A' da kaydedilen referans kontroller ışığında ayırt edici veri güvenliği şanslarının değerlendirmesini arşivleyerek ve kontrolleri (tehlike muamelesi) oluşturan bir Uygulanabilirlik Beyanı oluşturma,


• Bir Yönetim Sistemi veya Yönetim Sistemi El Kitabı oluşturun; Standardın koşullarına hızlı bir şekilde uyum sağlayabilecek kadar çok veya yetersiz arşivleme; Sıklıkla diğer yönetim çerçeveleri için Kılavuz ile birleştirilir


• Proses haritaları oluşturun; veri güvenliğini ele almak için gereken prosedürleri, talimatları ve yönergeleri içeren,


• Yöneticilerin verilere yeniden el koymasını kontrol etmek


• Bilgi güvenliği amaç ve hedefleri oluşturun ve takip edin,


• Tüm işletme boyunca bilgi güvenliği tehlikelerini ve sistem açıklıklarını kavrayın,


• Personelin yetkinliğini sağlayın ve bilgi güvenliği yükümlülüklerini anladığını garanti edin,


• BGYS Performansını izleyin,


• Bilgi güvenliği uygunsuzluklarını kontrol edin; büyük ve küçük uygunsuzluklar için düzeltici faaliyetler yürütün, adımlar atın,


• Tüm proses için İç Denetimler gerçekleştirin,


• Yönetimin, bilgi güvenliğinin çerçevesini değerlendirmek ve garanti etmek için Yönetim Gözden Geçirme Toplantıları düzenleyin,


• Amaç ve Hedefler için İyileştirme Planı oluşturun,


• Kayıtlar tutun.


ISO 27001 Belgesi Faydaları Nelerdir?


ISO 27001 Faydalarını kısaca özetlersek;


• Yeni veri tehlikelerine, güvenlik açıklarınıza ve zayıflıklarınıza hassasiyetinizi güncel tutarsınız,


• Bir karşı eylem ve süreklilik arz eden iyileştirme ortamınızda olumsuz durumları denetleyebilirsiniz,


• Siber Saldırılara karşı dirençli olursunuz,


• Veri sızıntısı ve güvenlik ihlal tespitlerini erken yaparsınız, tedbir alırsınız,


• Yöneticilerin ve güvenlik stratejilerinin ve metodolojisinin tehlike kullanımını izlersiniz,


• BGYS’ de yapılan yatırımlarınızın değerini artırırsınız,


• Verilerinin güvenliği ile ilgili hassasiyetinizi ortaya koyarak müşterilerinizin güvenini kazanır, rekabet avantajı sağlarsınız,


• Paydaşlarınızın kuruma olan güveninin ve kurumunuzun prestijini artırırsınız,


• Diğer Yönetim Sisteminize entegre edebilirsiniz,


• Kurumsal Kültürünüzü geliştirirsiniz,


• Uluslararası tanınan bir güvenlik sistemi sahibi olursunuz.