ISO IEC 27001 – KURUMSAL BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)
(Information Security Management System – I SMS) NEDİR ?
Günümüzde şirketlerin rekabet gücü , sahip oldukları “bilgi”den ve bu bilgiyi doğru şekilde kullanmaktan geçmektedir. Bu sebeple , önemli şirketlerin bilgi güvenliği her geçen gün önem
kazanmaktadır.
Bilgi güvenliği ; yazılı, sözlü, elektronik ortam gibi farklı ortamlardaki bilginin gizlilik, bütünlük ve
erişebilirlik bakımından güvence altına alınması ve bu güvence durumunun sürekliliğinin
sağlanmasıdır.
Bilgi hangi biçime girerse girsin veya ne tür araçlarla paylaşılır veya depolanır olursa olsun, her zaman uygun bir şekilde korunmalıdır. Bilgi sistemlerinin çoğu, bilgi saklanırken, paylaşılırken,
gönderilirken güvenlik kaygıları düşünülerek tasarlanmamıştır. Kurumların sahip oldukları bilgi doğru tasarlanmamış sistemler nedeniyle pek çok çeşitli tehditlere karşı açık durumdadır.
Bilgi güvenliği ihlali ve buradan doğacak kayıpların riskini minimize etmek kurulan sistemlerin en başında BGYS gelmektedir. BGYS, bilgi güvenliğini kurmak, işletmek, izlemek ve geliştirmek için
iş riski yaklaşımına dayalı, dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış bir yönetim sistemidir.
BGYS kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını
gerektirir.
Neden ISO IEC 27001 ?
BGYS, bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS’nin ihtiyaç duyduğu
gereksinimlere cevap vermek için çok sayıda standart vardır. Bunların en önde geleni ISO 27001 standardıdır.
Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları
için gereklilikleri tanımlamaktadır.
ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada
bunların kayıtlarını tutmasını gerektirir.
SO 27001 Kimi ilgilendirir ?
ISO/IEC 27001, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının
büyük öneme sahip olduğu alanlarda özellikle gereklidir.
ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için
kullanılabilir.
ISO/IEC 27001 İle ilgili Terim ve Kavramlar
Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim
sisteminin bir parçası.
Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.
Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.
ISO27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları
• Bilgi varlıklarının farkına varılmasını sağlar: Kuruluş hangi bilgi varlıklarının olduğunun ve değerinin farkına varır.
• Sahip olduğu varlıkları koruyabilmesini sağlar: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
• İş sürekliliği sağlar: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
• Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel
teşkil eder.
• İlgili taraflar ile barış halinde olmasını sağlar: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakılmasını önler.
• Prestij ve imaj sağlar.
• Rekabet avantajı sağlar.
• Karlılığa yardımcı olur.
• Yasalara,düzenlemellere ve sözleşme şartlarına kolay uyumluluğu sağlar.
• Risk farkındalığı sağlar.
• Bilgi varlıklarını en uygun şekilde koruma altına alınmasını sağlar.
• Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.
• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarını belirler ve uygulayarak korur.
• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme
yeterliliğine sahip olur.
• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
• Çalışanların motivasyonunu arttırır.
• Yasal takipleri önler.
• Yüksek prestij sağlar.