ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Beyza Şahin 9/28/2020


ISO 27001 Bilgi güvenliği Yönetim Sisteminin temel mantığı bilginin doğru bir şekilde muhafaza edilmesine dayanmaktadır. Bu yönetim sistemi, kurumsal bilgi güvenliğinin sağlanmasında süreçleri, insanları ve bilgi sistemlerini kapsar yani bu sistem ile hem süreçler hem insanlar hem de bilginin bütünselliği korunmuş olur diyebiliriz.


Bilgi Güvenliği Yönetim Sisteminin kurulmasının en önemli nedeni ise içerisinde bulunduğumuz dijital çağda bilgilerin doğru şekilde muhafaza edilebilmesidir. Bilgilerin doğru şekilde saklanmadığı durumlarda en basit işler bile saatlerimizi alan sıkıntılı bir sürece dönüşebilir. Bu hususu kurumsal bazda değerlendirdiğimizde özellikle dijital dünyada bilgilerin korunması ve saklanması oldukça önem arz ediyor. Çünkü teknoloji her geçen gün değişiklik gösterirken bu süreçte bilgilerin saklanma koşullarında da değişiklikler meydana gelebiliyor. Bu değişiklikler, kurum bilgilerinin gizliliğinin ya da bütünlüğünün yok olmasına neden olabiliyor kurumlarda bu tarz tehlikelere karşın ISO 27001 ile kurumsal bilgi güvenliğinin sağlanmasını hedefleniyor.

Peki kurumlar ISO27001 Bilgi Güvenliği Yönetim Sistemi kullanmaları halinde bu sistemin hangi faydalarını görecekler?

  • Bilgi kaybı riskini en minimize duruma getirerek bilgileri korur.
  • Bilgilerin kaybolmasından dolayı doğacak zaman kaybını ve iş yükünü önler.
  • Bilgilerin güvenli ve doğru bir şekilde muhafaza edilmesini sağlar.
  • Bilgilerin korunması kapsamında bu bilgilerin içeriğinin değişmemesini sağlar.
  • Kurum bilgilerinin gizliliğini sağlar.
  • Kurum bilgilerinin korunmasına dair farkındalık yaratır. Şirketin bilgi güvenliği konusundaki zayıflıklarını ortaya çıkarır ve bu alanlarda teknik güvenliğin haricinde de daha yüksek güvenlik önlemi alınmasını sağlar.
  • Yasal olan zorunluluk kriteri sağlanmış olur.
ISO 27001 Bilgi Güvenliği Yönetim sistemine dahil olup sertifika almak zorunda olan kurum ve sektörlerin başında internet servis sağlayıcıları, uydu haberleşme sistemlerini sağlayan firmalar, altyapı işletmeciliği yapan firmalar, sabit telefon hizmetlerini sağlayan firmalar, GSM hizmeti veren firmalar ve elektronik iletişime altyapı sunan tüm firma ve kurumlar gelmektedir.


Bazı firmaların bilgi güvenliği yönetim sistemine dahil olması T.C. Gümrük ve Ticaret Bakanlığı tarafından zorunlu kılınmıştır. EPDK (Enerji Piyasası Düzenleme Kurumu) Piyasası’nda yer alan firmalar, bu belgeye yasal olarak sahip olmaları gerekmektedir. Diğer firmaların da süreç içerisinde bu belgeye sahip olmaya zorunlu olarak tabi tutulacakları beklenmektedir. Belgenin alınması için yerine getirilmesi gereken bazı prosedürler vardır. Bu prosedürlerin yerine getirilmesi ve uygulanması için ISO 27001 danışmanlığı veren firmalar müşterilerine hizmet vermektedir. 

Bu firmaların, hizmet sundukları müşterilere BGYS kurma aşamalarını gerçekleştirirken izledikleri hiyerarşik bir yol vardır: 

  • Varlıkların sınıflandırılması,
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi
  • Risk analizinin yapılması
  • Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi ve kapsamın doğru analizi
  • Dokümantasyon yapılması
  • Kontrollerin uygulaması
  • İç tetkikin yapılması
  • Kayıtların saklanması
  • Yönetimin gözden geçirmesi
  • İlgili belgelendirmenin yapılması
Kaynaklar :

Tags:

Yorum Gönder

0 Yorumlar