Bilgi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. 

Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür. Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:

    •    Gizlilik (Confidentiality)
    •    Bütünlük (Integrity) 
    •    Kullanılabilirlik (Availability)

Gizlilik : Bilginin yetkisiz kişilerin erişimine kapalı olması ya da bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. 

Bütünlük : Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek.

Kullanılabilirlik : Bilginin her ihtiyaç duyulduğunda problem çıkması durumunda bile bilginin erişilebilir olması, kullanıma hazır durumda olması demektir. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

Bilgi Güvenliği Yönetim Sistemi kısaltılmış adıyla BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. BGYS’nin temel amacı hassas bilginin korunmasıdır. “ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

Bilgi Güvenliği Yönetim Sistemiyle İlgili Yanlış Algılamalar 
Bilgi güvenliği yönetişimi konusunda yasal bir düzenleme ve zorunluluk olmaması ülkemizde faaliyet gösteren kamu kurumları ve özel sektörde bilgi güvenliği yönetişiminin çok az sayıdaki kurumda uygulanmasına yol açmaktadır. Yasal eksiklik, bilgi güvenliği yönetiminin uygun bir şekilde yapılandırılmasına da engel olmaktadır. Bu durumda, Bilgi Güvenliği Yönetim Sistemi kurmak isteyen kurumlarda görev yapan yönetici ve personelde yanlış algılamalar oluşmaktadır.


ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi; sektörü ve ölçeği ne olursa olsun her türlü organizasyonda uygulama alanı bulunan ve organizasyonların, müşterilerinin bilgilerinin doğru saklanması, yedeklenmesi, güvenli ve izinli ulaşılabilirliğinin sağlanması, 3. tarafların bu bilgilere izinsiz ulaşmasının engellenmesi, kısacası organizasyona ve müşterilerine ait tüm bilgi ve dokümanların güvenliğini sağlayan Uluslar arası bir Yönetim Sistemi Standartıdır.

ISO 27001 Standardı Kimlere Gereklidir
ISO/IEC 27001, hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve Yazılım sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. 

ISO 27001 BGYS2nin Temel İlkeleri
Kuruluş, dokümante edilmiş bir BGYS’ ni, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve iyileştirmelidir. Bu standardın bir gereği olarak, Planla-Uygula-Kontrol Et-Ölç (PUKÖ) modeli Bilgi Güvenliği Yönetim Sisteminin 4 temel prensibini oluşturur:

  • BGYS’nin kurulması ve yönetilmesi
  • BGYS’nin gerçekleştirilmesi ve işletilmesi
  • BGYS’nin izlenmesi ve gözden geçirilmesi
  • BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi


ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

    •    Bilgi varlıklarının farkına varma: Hangi bilgi varlıklarının olduğunu anlar, değerinin farkına varır. 
    •    Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
    •    İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
    •    İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır. 
    •    Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. 
    •    Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir. 
    •    Çalışanların motivasyonunu arttırır. 
    •    Yasal takipleri önler. 
    •    Yüksek itibar sağlar.

ISO 27001 BGYS Kurma Aşamaları

  • Varlıkların sınıflandırılması,
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
  • Risk analizi yapılması,
  • Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi,
  • Dokümantasyon oluşturulması,
  • Kontrollerin uygulanması,
  • İç tetkik,
  • Kayıtların tutulması,
  • Yönetimin gözden geçirmesi,
  • Belgelendirme şeklindedir.

 

ISO 27001 BGYS Belgesi Nasıl Alınır?

ISO 27001 standardının tüm gereklerinin yerine getirilmesini takiben dış denetime başvurulur. Denetimi gerçekleştirecek kurum önce dokümantasyonu gözden geçirir.


Bu dokümantasyon güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanı ve güvenlik prosedürlerini içermelidir. Bu incelemeyi takiben, ileriki bir tarihte denetçiler tarafından yerinde denetim gerçekleştirilir. Bu denetimde, kuruluşunuzun büyüklüğüne ve işinizin tipine uygun kontrollerin, tarafınızca hazırlanmış bulunan prosedürlerde tanımladığınız şekilde yapılıp yapılmadığı gözden geçirilir.



Başarılı bir denetimi takiben ISO 27001 sertifikası alınır. Alınan sertifikadan sonra yılda bir ya da iki kez, sizin belirleyeceğiniz periyotlara göre yenilemeye yönelik gözden geçirme tetkikleri gerçekleştirilir.
Alınan belge 3 yıl geçerlidir ve 3. yılın sonunda yeniden belgelendirme tetkiki yapılarak süreç içerisindeki gelişmeleriniz gözden geçirilir.
 

Başvuru Formu

Başvuru formunu bilgisayarınıza indirmek için tıklayınız.