ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Nedir?

iso-27001-bilgi-guvenligi-yonetim-sistemiBilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. Bilgi birçok biçimde bulunabilir. Kâğıt üzerine yazılmış ve basılmış olabilir, elektronik olarak saklanmış olabilir, posta yoluyla veya elektronik imkânlar kullanılarak gönderilebilir, filmlerde gösterilebilir veya karşılıklı konuşma sırasında sözlü olarak ifade edilebilir.

Bilgi hangi biçimi alırsa alsın veya paylaşıldığı veya toplandığı hangi anlama gelirse gelsin her zaman uygun bir şekilde korunmalıdır. Bilgi güvenliği, aşağıdaki maddelerin korunması olarak tanımlanır:

Gizlilik : Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmek.

Bütünlük : Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek.

Erişilebilirlik : Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etmek.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

iso-27001-bilgi-guvenligi-yonetim-sistemi-2Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005 in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe giren, ardından 2013 yılında son revizyonuna uğrayarak ISO 27001:2013 olarak yayınlanan bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır. Bunun yanı sıra ISO 17799:2002 numaralı standart ISO 17799:2005 bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi olarak revize edilip yayınlanmıştır ve ISO 27001 e göre kurulacak bir BGYS’nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.

Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir.

Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.

ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir.

Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir.
Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

ISO 27001'in Yararları Nelerdir?
  • Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
  • İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
  • Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
  • Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
  • Çalışanların motivasyonunu arttırır.
  • Yasal takipleri önler.
  • Yüksek prestij sağlar.
  • Risklerini belirleyip yöneterek en önemli unsur olan iş sürekliliğini sağlayabilecektir.
  • Bir kuruluşun ISO 27001 sertifikasına sahip olması, kurumun güvenlik risklerini bildiği, yönettiği, belli riskleri de ortadan kaldırmak için kaynak ayırdığı anlamına gelmektedir.
  • ISO 27001 Bilgi Güvenliği Yönetim Sistemlerini belgelendirme isteyen kuruluşlar özellikle uluslar arası akreditasyon kuruluşlarından akredite olmuş belgelendirme kuruluşlarından ISO 27001 belgesini almalıdırlar. Akreditasyonsuz olarak verilen ISO 27001 belgesinin hiçbir geçerliliği yoktur.
Özel Sektör de ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
  • Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş Iso 27001 Belgesi’ni özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.
  • Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin kurumların ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?

Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.

ISO 27001 Belgelendirme Süreci
  • Aşama -1 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi
    • Birinci aşamada ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetim / belgelendirme kuruluşu, hazırlanan dokümantasyonun gizlilik içeren dokümanları hariç,
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yaklaşım metodu dokümantasyonu (risk değerlendirme ve derecelendirme kısımları, hafifletme planları, penetrasyon testleri vb. bölümleri hariç)
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Yönetim Sistemi Politikaları
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Prosedür ve prosesler
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararları
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulanabilirlik bildirgesi üzerinden gerekli değerlendirmeleri yapar.
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre eksiklikler tespit edilmişse veya öneriler varsa bunların yapılandırmasını talep edebilir.
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama -1 denetimi sonuçlandıktan sonra sistemin uygulanmasına geçilerek Aşama 2 denetimi için gün belirlenir.
  • Aşama-2 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-1 denetiminden itibaren en geç 3 ay içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-2 denetimi gerçekleştirilir. Bu denetimde kurulan sistemin uygulamaları gözden geçirilir ve uygulamaya yönelik olarak şartlar ve şartların yerine getirildiğine dair objektif deliller toplanarak denetim sonuçlandırılır.
    • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetim sonrası denetçiler raporlarını oluşturarak sistemin yeterlilikleri, eksiklikleri ve önerilerini içeren bir raporla ISO 27001 Belgesi verilmesi taleplerini belgelendirme kuruma iletirler.
  • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Sertifika düzenleme
    • ISO 27001 Belgelendirme kurumu şirketi uygun görmesi halinde kurumun TS / ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini veya sertifikasını düzenler.
  • ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin süresi nedir?
    • ISO 27001 Bilgi Güvenliği Yönetim Sitemi Belgesi sertifikasının süresi 3 yıl dır.

Süreç aşağıdaki gibidir:

  • 1. yıl belgelendirme denetimi
  • 2. ve 3. yıl takip gözetim denetimleri
  • 4. yıl yenileme denetimi