ISO 27001 Bilgi Güvenliği Yönetim Sistemi

MSC Belgelendirme

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile ISO/IEC JTC 1 Teknik Komitesi tarafından oluşturulmuş standarttır.

ISO 27001 sertifikasyonu, değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur. ISO 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır. Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur.

Bu model sayesinde kurumlar, bilgi alt yapılarını tanımlar, olası tehlikeleri sezinler ve analiz eder ve bu risklerin karşılarına çıkması halinde uygulanacak ve uygulanmayacak kontrol sistemine karar verir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle kurumsallaşma süreci içerisinde olan kurum ve kuruluşlar için yönetim sistemlerinin en önemli unsurudur. 

Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.

ISO 27001 BGYS Standardının Tarihçesi

  • ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandırıldı)
  • ISO/IEC 27001 revize edildi – Ekim 2005
  • Standardın 2013 Revizyonu olan ISO/IEC 27001:2013, 2013 yılının Ekim ayı içerisinde ISO tarafından yayınlanmıştır.

Neden TS ISO 27001?

Merkezi güvenlik sisteminde gerçek anlamda güvenliğin oturtulabilmesi için şirketler, ISO 27001 standartında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.

Bu sayede güvenlik yönetim sistemi olarak oluşturulan ve yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da uyguladığı iş süreçleri ile de devamlı sağlıklı bir şekilde sağlanabilir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

  • Bilgi varlıklarına yönelik tehditlere karşı önlemler alır.
  • Riskler analiz edilir ve işlenerek etkileri azaltılır.
  • Ulusal ve uluslar arası pazarlarda rekabet gücünü arttırır.
  • Kuruluşların, bilgi varlıklarının farkına varmalarını sağlar.
  • Firmanın sahip olduğu varlıların korunmasını sağlar.
  • Firma genelinde bilgi güvenliği bilinci oluşur.
  • İş sürekliliğini kesintiye uğratacak durumlar azaltılır.
  • Tedarikçi, müşteri, çalışanlara  ve tüm taraflara güven verir.
  • Belirli bir sistem sayesinde bilgi korunur, kötü sürprizlere yer bırakılmaz.
  • Bilgi güvenliği konusundaki açıklar tespit edilir ve açıklar kapatılır.
  • Yasal alanda yükümlülüklere uyum kolaylaşır, yasal takip ihtimali engellenir.
  • Her türlü veri kaybı ihtimallerini ortadan kaldırır
  • Çalışanların motivasyonunu arttırır.

ISO 27001:2013 Standartının Madde Başlıkları

0.Giriş

1.Kapsam

2.Atıf yapılan standartlar ve/veya dokümanlar

3.Tanımlar ve terimler

4.Kuruluşun Yapısı

4.1 Kuruluşu ve yapısını anlama

4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak

4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi

4.4 Bilgi Güvenliği Yönetim Sistemi

5.Liderlik

5.1 Liderlik ve taahhüt

5.2 Politika

5.3 Görev, sorumluluk ve yetki

6.Planlama

6.1 Risklere ve Fırsatlara Yönelik Eylemler

6.2 Bilgi Güvenliği Hedefleri ve Planlama

7.Destek

7.1 Kaynaklar

7.2 Yetkinlik

7.3 Farkındalık

7.4 İletişim

7.5 Dokümante Bilgi

8.Operasyon

8.1 Operasyonel planlama ve kontrol

8.2 Bilgi güvenliği risk değerlendirmesi

8.3 Bilgi güvenliği risk işleme

9.Performans değerlendirme

9.1 İzleme, ölçme, analiz ve değerlendirme

9.2 İç denetim

9.3 Yönetimin gözden geçirmesi

10.İyileştirme

10.1 Uygunsuzluk ve düzeltici faaliyet

10.2 Sürekli iyileştirme

Ek A Kontrol amaçları ve kontroller