ISO 27001 Sertifikası Nedir ?
ISO 27001 Bilgi, bir organizasyonun iş sürekliliğini sağlamada en önemli değerlerinden biridir. Kayıp durumunda birçok varlık kurtarılabilse de kaybedilen bilgilerin parasal karşılığı yoktur. Bu nedenle günümüzün sürekli değişen ve gelişen koşullarında bilginin önemi ve bilginin korunması ihtiyacı her geçen gün artmaktadır.
Bilgi; yazılı ve elektronik ortamda, sözlü olarak, çalışanların hafızasında ve daha birçok şekilde kullanılabilir ve saklanabilir. Teknolojik gelişme nedeniyle bu kullanım kalıplarının birçoğu kullanılamayabilir veya zamanla değişebilir. Bu değişim ve gelişim nedeniyle bilgi güvenliğinin sürekli olarak sorgulanması ve kontrol edilmesi gerekmektedir. Bilgi güvenliğinin genel olarak anlamı bilginin gizliliğini korumak, bütünlüğünü ve kullanılabilirliğini sağlamaktır.
Neden ISO 27001 ?
ISO 27001 yönetim sistemi, kurumsal bilgi güvenliğini sağlamaya yöneliktir. Personel, süreç ve bilgi sistemlerini içeren ve üst yönetim tarafından desteklenen bir yönetim sistemidir. İlgili tarafların güvenini artırmak için bilgi varlıklarını korumayı ve yeterli ve orantılı güvenlik kontrolleri sağlamayı amaçlar. ISO 27001 bilgi güvenliği yönetim sistemi, kurumsal yapı, politikalar, planlama faaliyetleri, sorumluluklar, uygulamalar, prosedürler, süreçler ve kaynakları içerir.
ISO 27001 ve ISO 27002 bilgi güvenliği yönetim sistemi standartları, BS 7799 standardına dayanmaktadır. BS 7799 BSI (British Standards Institute) 1995 yılında yayınlanmıştır ve iki bölümden oluşmaktadır. İlk bölüm olan BS 7799-1, bilgi güvenliği yönetimi için en iyi uygulamaları içerir. 2000 yılı içerisinde standart ISO tarafından kabul edilmiştir. ISO 17799 Bilgi Teknolojileri-Bilgi Güvenliği Yönetiminin Uygulama Esasları olarak yayınlanmıştır.
ISO 27001 Standardı Nedir ?
ISO 27000 standardı, büyüyen ISO/IEC ISMS standartları serisinin bir parçasıdır. ISO 27000 standart serisi; ISO 27001, ISO 27002, ISO 27003, vb. Bilgi teknolojileri-güvenlik teknolojisi-bilgi güvenliği yönetim sistemine genel bakış ve tanımlar gibi başlıkları kapsayan uluslararası standartları içeren bir standartlar dizisidir.
ISO 27001 bilgi güvenliği standardı, diğer birçok teknik konu gibi, karmaşık bir terimler ağı oluşturur. Nispeten az sayıda araştırmacı, kabul edilemez bir standart yöntem olan ve kafa karışıklığına yol açabilecek değerlendirme ve sertifikasyon sürecini küçümseyen bu terimlerin tam anlamını tanımlama araştırmasına girmiştir. ISO 27000 standardı, Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu ile iş birliği içinde kurulan Ortak Teknik Komite’nin bir alt komitesi tarafından geliştirilmiştir.
ISO 27001 Bilgi Güvenliği Standardı Nelerdir ?
- ISO IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi-Genel Şartlar (bu standarda göre sertifikalandırılmıştır)
- ISO IEC 27002: 2013 Uygulama Kodu Bilgi Güvenliği Kontrolü
- ISO IEC 27003: 2010 Bilgi Güvenliği Yönetim Sistemi Uygulama Kılavuzu
- ISO IEC 27004: 2009 Bilgi Güvenliği Yönetimi-Ölçme
ISO 27001 Prosedürleri Nelerdir ?
Erişilebilirlik
Bilginin mevcudiyeti, bilgiye ihtiyaç duyulduğu sürece yetkili personel tarafından anında erişilebilmesi anlamına gelir. Kuruluş sorunlarla karşılaşsa bile, bilgiler erişilebilir ve hazır olmalıdır. Burada esas olarak bilgiye erişimi olan kişiler bilgiye erişebilir.
Gizlilik
Gizlilik, yetkisiz kişilerin kurum içinde korunması gereken bilgilere erişiminin kapalı olması anlamına gelir. Bunun yanı sıra yetkisiz kişilerin bu bilgileri ifşa etmesi önlenir. Başka bir deyişle, bilgiler gizlidir ve korunmalıdır.
Bütünlük
Bilginin bütünlüğü, bilginin kaynağında yetkili personele açık olması, değiştirilmemesi, zarar görmemesi ve tutarlı olmaması anlamına gelir. Bilgiler kısmen değiştirilmiş veya zarar görmüş ise bilgilerin eksiksizliğinden söz edilemez.
ISO 27001 Belgelendirme Süreci Nasıl Olmalıdır ?
Bir kuruluş ISO 27001 bilgi güvenliği yönetim sistemini kurduktan sonra doğal olarak bunu kanıtlayacak bir belge isteyecektir. Ancak bilgi güvenliği yönetim sisteminin kurulmasıyla iş bitmemektedir. Çünkü bu sistemi kurmaktaki amaç sadece dosya almak olmamalıdır. Çünkü sistem kurulduktan sonra çalıştırılması ve izlenmesi gerekir ki uzun vadede sistemden beklenen faydalar ortaya çıkmaya başlasın. Kalite sisteminin döngüsü her zaman var olacaktır.
Yerleşik kontrol ilkelerine göre bilgi korumada var olabilecek riskler her zaman kontrol altında tutulmalı, riskleri ortadan kaldıracak veya en azından etkilerini azaltacak önlemler alınmalı, yeni riskler ortaya çıkarsa bu riskler değerlendirilmeli ve kaçınılması mümkün olmayan riskler değerlendirilmelidir. Ayrıca bu riskler arasında kabul edilebilir riskler değerlendirilmeli ve üst yönetim tarafından onaylanmalıdır.
ISO 27001 standardının tüm gereksinimlerini karşılayan kuruluşlar artık bir belgelendirme kuruluşuna başvurarak belge alabiliyor. Belgelendirme kuruluşu akredite bir kuruluş olmalıdır. Kuruluş bir talep aldığında öncelikle talep edeceği sistem belgelerinin incelemesini başlatır.
