ISO 27001 nedir?

Ne olduğuna değinmeden önce bilgi güvenliğinin öneminden kısaca bahsetmek, bu standardı daha anlamlı ve değerli kılacaktır.

Kurumlar için en değerli varlık olan bilginin ifşası, manipüle edilmesi ve silinmesi gibi durumlarda, kurumların maddi veya itibar kaybına uğraması söz konusu olabilir ve kurumun kapanmasına bile yol açabilir. Dolayısıyla bilginin korunması, yönetilmesi ve güvenliğinin sağlanmasının öneminin ne kadar büyük olduğunu anlayabiliriz.

ISO 27001‘in ne olduğuna gelecek olursak,

“ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi” yönetim sistemleri için uluslararası bir standart olup, ISO/IEC 27000 ailesinin de bir parçasıdır.

ISO 27000 ailesi birçok konuyu kapsayan ve detaylı bir şekilde inceleyen geniş bir ailedir. ISO 27000 ailesi; protokoller ve uygulama güvenliği, veri yapısı kontrolü, kablosuz IP ağ erişimi güvence altına alınması, sanal özel ağ kullanarak ağlar arasında güvenli iletişim (VPN), güvenlik ağ geçitleri kullanarak ağlar arasında güvenli iletişim, ağ güvenliği tasarımı ve uygulama ilkeleri gibi 47 standarttan oluşan bir ailedir. Bu standartların içinde sadece ISO 27001 standardının sertifika programı bulunmaktadır.

ISO 27001, kurumun regülasyonlara, veri güvenliğine ve bilgi güvenliğine uyumu konusunda yol gösterici bir rehberdir. Bilgi güvenliği yönetimi ve bilgi güvenliğinin sağlanmasında kullanılacak kontrollerden bahseden “ISO/IEC 27002:2013 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri”, Bilgi güvenliği yönetim sistemi (BGYS) için bir kılavuzdur diyebiliriz. Kendi BGYS’sini kuracak bir kurum, ISO 27001 ve ISO 27002 standartlarını dikkate almalıdır.

ISO 27001 sertifikasına sahip olmak; müşterilerinize, iş ortaklarınıza ve paydaşlarınıza karşı yükümlülüklerinizi yerine getirdiğinizi taahhüt eder.

Özetle, ISO 27001 ve 27002 standartları, BGYS konusunda en temel başvuru kaynağıdır. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Hatta bilgi teknolojileri güvenliği dahi bu standartların içerisinde yer almaz. Tek ilgi alanı vardır, o da bilgi güvenliğidir.

ISO 27001 Standartın maddelerine göz atacak olursak,

ISO 27001 standardı, 10 maddeden ve EK-A kontrollerinden oluşmaktadır.

10 maddede bilgi güvenliği yönetim sisteminin nasıl kurulacağını yüksek seviyeden anlatan bu standart, ilk 3 maddesinde standart hakkında genel bilgi vermektedir. Kalan diğer maddeler ise BGYS’nin nasıl kurulacağını anlatıyor.

PUKÖ, BGYS ‘nin kurulumunun kontrollü bir biçimde ortaya konmasını sağlama yöntemidir. PUKÖ döngüsü sürekli iyileşmeyi amaçlamakta olup, yapmaya çalıştığımız şeyler konusunda bir çekirdek düşünme ve çalışma biçimini gerçekleştirmemize yardımcı olmaktadır. Ayrıca bazı karmaşık faaliyetleri gerçekleştirmemizde de yardımcı olabilir.

Planla, Uygula, Kontrol Et ve Önlem Al safhalarından oluşan PUKÖ döngüsünü aşağıdaki görsel üzerinde anlatmak, bu döngüyü anlama konusunda daha yardımcı olacaktır.

ISO 27001 standartına sahip olmak kurumunuza neler kazandırır?

ISO 27001, kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutar. Kurumların tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlaması gerekmektedir. Aynı zamanda personelini bilgi güvenliği ve tehditler hakkında bilinçlendirir. Seçilen kontrol hedeflerinin ölçüldüğü ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımıyla başarılabilir.

• ISO 27001 sertifikalı bir Bilgi Güvenliği Yönetim Sistemi (BGYS), kuruluşunuzun dünya genelinde HIPAA, FISMA, İngiltere Veri Koruma Yasası 1998 ve AB Veri Koruma Yönetmeliği gibi çeşitli veri koruma yasalarının gereksinimlerini karşılamasına yardımcı olabilir.
• Sertifikasyon süreci, tüm organizasyonun bilgi güvenliği süreçlerini sürekli olarak geliştirmeye odaklanmasını sağlar.
• ISO 27001 sertifikasyonu, kuruluşunuzun bilgilerinin güvenliğine bağlı olduğu anlamına gelir ve rakiplerinize karşı rekabet avantajı elde etmenize, paydaş güvenini ve müşteri sadakatini oluşturmanıza yardımcı olabilir.