ISO 27001 ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile ISO/IEC JTC 1 Teknik Komitesi tarafından oluşturulmuş standarttır.
ISO 27001 sertifikasyonu, değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur. ISO 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır. Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur.
Bu model sayesinde kurumlar, bilgi alt yapılarını tanımlar, olası tehlikeleri sezinler ve analiz eder ve bu risklerin karşılarına çıkması halinde uygulanacak ve uygulanmayacak kontrol sistemine karar verir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle kurumsallaşma süreci içerisinde olan kurum ve kuruluşlar için yönetim sistemlerinin en önemli unsurudur.
Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
Merkezi güvenlik sisteminde gerçek anlamda güvenliğin oturtulabilmesi için şirketler, ISO 27001 standartında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.
Bu sayede güvenlik yönetim sistemi olarak oluşturulan ve yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da uyguladığı iş süreçleri ile de devamlı sağlıklı bir şekilde sağlanabilir.
0.Giriş
1.Kapsam
2.Atıf yapılan standartlar ve/veya dokümanlar
3.Tanımlar ve terimler
4.Kuruluşun Yapısı
4.1 Kuruluşu ve yapısını anlama
4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak
4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4 Bilgi Güvenliği Yönetim Sistemi
5.Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Görev, sorumluluk ve yetki
6.Planlama
6.1 Risklere ve Fırsatlara Yönelik Eylemler
6.2 Bilgi Güvenliği Hedefleri ve Planlama
7.Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante Bilgi
8.Operasyon
8.1 Operasyonel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9.Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç denetim
9.3 Yönetimin gözden geçirmesi
10.İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Kontrol amaçları ve kontroller