Kuruluşlar, bilgi varlıklarını müşterileri ve kendi namlarına tutmak, saklamak ve güvenliğini sağlamakla mükelleftir. Bu, birçok kuruluşun varlık sebebini oluşturmaktadır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğinin sistemli olarak yapılmasını ve oluşan risklerin yok edilmesi/kabul edilebilir seviyeye çekilmesini istemektedir.
İç denetimlerinizin bağımsız bir şekilde sağlandığını gösterir ve kurumsal yönetişim ve iş devamlılığı gereksinimlerini karşılar. Kuruluşa yönelik faydaları;
. Bilgi varlıklarının gizliliğinin korunması,
. Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
. Kurumsal prestijin korunması,
. İş sürekliliğinin sağlanması,
. Bilgi kaynaklarına erişimin denetlenmesi,
. Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
. Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,
. Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,
. Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,
. Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.
Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir.
Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar.
Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular.
Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar.
Kurum ve kurum çalışanları bilgi güvenliği sistemi ile;
Bilgi varlıklarının farkındalılığı ve motivasyonu artar,
– Sahip olduğu bilgi varlıkları korunabilir
– İş sürekliliği sağlanır,
– Müşteri ve tedarikçilerle sağlıklı bir yapı kurulur,
– Rekabette avantaj sağlanır,
– Yasal uyumluluk sağlanır.
Bilginin gizliliği, bütünlüğü̈ ve kullanılabilirliğinin korunmasıdır. Geniş kapsamda; doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsamaktadır.
Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin çok yönlü tehditlerden korunmasını sağlar. Kuruluşlarda bilgi birçok biçimde bulunmaktadır. Kağıt üzerinde, elektronik ortamda, posta yada elektronik posta yolu ile bir yerden bir yere iletilebilir ya da kişiler arası sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, her sektör ve büyüklükteki kuruluşa uygulanabilen bir standarttır.
Bu standart, dokümante edilmiş bir BGYS’ yi, kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek gereksinimlerini kapsar.
Günümüzde kuruluşlar için değerli olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından korunması, süreklilik ve sistematikliği gerekmektedir.
Koruma, bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika ya da kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilendirilmesiyle mümkün olmaktadır.
Bir kuruluş için Bilgi Güvenliği Yönetim Sistemi’nin benimsenmesi stratejik bir karar olmalıdır. Kuruluş, yönetim sisteminin tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler, kuruluşun büyüklüğü ve yapısından etkilenir.
ISO 27001 ile kuruluşlar uygulayacağı güvenlik kontrollerini belirler.
Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.
ISO 27001 kuruluşun BGYS’sini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser.
Standart | Tanımı |
Planla BGYS’nin kurulması |
Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması |
Uygula BGYS’nin gerçekleştirilmesi ve işletilmesi |
BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi |
Kontrol Et BGYS’nin izlenmesi ve gözden geçirilmesi |
BGYS politikası , amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi |
Önlem al BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi |
BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi |
. Kurumsal seviyenin tarafsız bir kuruluş tarafından değerlendirilmesi,
. Bilgi güvenliği Yönetim Sistemi’ne sahip olma prestijini kazanmak,
. Saygın müşteriler tarafından tercih edilmek,
. Bilgi güvenliği olmaması sebebi ile maruz kalınabilecek maddi ve manevi maliyetler,
. Çalışanların farkındalılığının artması