Şirket Hafızanızın Korunması ISO 27001 Bilgi Güvenliği
Bilgi güvenliği günümüzün en büyük problemlerinden birisini teşkil etmeye başladı. Bunun en büyük nedenlerinden birisini artık bilgiye ulaşımın çok kolay ve hızlı olması. Artık ister kişisel ister şirket bilgilerimizin hepsi sanal ortamda soft copy yani bilgisayar ortamında kolay bir şekilde erişilebilir biçimde bulunmakta.
İşte bu yüzden Şirketler için bilgi güvenliği olmazsa olmaz bir konu haline gelmekte. Şöyle bir düşünüldüğünde, şirketlerin şuan bilgisayar ortamında bulunan bilgileri aşağıda özet olarak sıralayabiliriz:
- Müşteri Bilgileri (Banka Bilgileri, Adres diğer)
- Ürün / Hizmet Fiyatları
- Kapasite Bilgileri
- Üretim / Hizmet Teknolojisi
- Çalışanların Kişisel Bilgileri (Kişisel Verilerin Korunması Kanunu)
- Tedarikçi Bilgileri
- Satınalma Bilgileri
- Şirket içi yönetim dokümanları
- Şirket finansal bilgileri
Özet olarak yazılan bu bilgilerin haricinde bir çok kurumsal bilgi şirketlerin bilgi depolama sistemlerinde yer almakta. Aslında bir çok veri bilgi sisteminde tutulsada azalmakla beraber çıktı olarak tutulan bilgilerde bulunmakta. Bunlar örnek olarak Maaş, bordro, personel dosyaları, operasyon dokümanları, sipariş çıktıları vb. dokümanları verebiliriz.
İşte bilgi güvenliği bu iki tür çıktı ve bilgi sistem verilerini tanımlayan (Varlık Envanteri) daha sonra önem sırasına koyan ve güvenlik sistemleri tanımlayan bir yönetim sistemidir.
Artık yasal olarakta KVKK Kişisel Verilerin Korunması Kanunu Verbis gibi zorunluluklarda Bilgi Güvenliği Yönetim Sistemlerini bir anlamda teşvik etmektedir. Verbis kapsamında temel ve teknik önlemlerin alınması beklenmektedir.
ISO 27001 Bilgi Güvenliği Yönetim Sisteminin Temel Adımları;
- Kuruluşun bağlamı
- Liderlik
- Risk ve fırsatları ele alan faaliyetler
- Genel
- Bilgi güvenliği risk değerlendirmesi
- Bilgi güvenliği risk işleme
- Destek
- Kaynaklar
- Yeterlilik
- İşletim
- İşletimsel planlama ve kontrol
- Bilgi güvenliği risk değerlendirme
- Bilgi güvenliği risk işleme
- Performans değerlendirme
- İzleme, ölçme, analiz ve değerlendirme
- İyileştirme
- Uygunsuzluk ve düzeltici faaliyet
Bilgi güvenliği hakkında detaylı bilgi için…
