ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
ISO/IEC 27001 ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile ISO/IEC JTC 1 Teknik Komitesi tarafından oluşturulmuş standarttır.
ISO/IEC 27001 sertifikasyonu, değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur. ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır. Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur.
Bu model sayesinde kurumlar, bilgi alt yapıklarını tanımlar, olası tehlikeleri sezinler ve analiz eder ve bu risklerin karşılarına çıkması halinde uygulanacak ve uygulanmayacak kontrol sistemine karar verir. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi,özellikle kurumsallaşma süreci içerisinde olan kurum ve kuruluşlar için yönetim sistemlerinin en önemli unsurudur.
Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
ISO/IEC 27001 BGYS Standardının Tarihçesi
ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007’de numaralandırıldı)
ISO/IEC 27001 revize edildi – Ekim 2005
Standardın 2013 Revizyonu olan ISO/IEC 27001:2013, 2013 yılının Ekim ayı içerisinde ISO tarafından yayınlanmıştır.
Neden TS ISO/IEC 27001?
Merkezi güvenlik sisteminde gerçek anlamda güvenliğin oturtulabilmesi için şirketler, ISO/ IEC 27001 standartında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler.
Bu sayede güvenlik yönetim sistemi olarak oluşturulan ve yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da uyguladığı iş süreçleri ile de devamlı sağlıklı bir şekilde sağlanabilir.
ISO/IEC 27001:2013 Standartının Madde Başlıları
0 Giriş
1 Kapsam
2 Atıf yapılan standartlar ve/veya dokümanlar
3 Tanımlar ve terimler
4 Kuruluşun Yapısı
4.1 Kuruluşu ve yapısını anlama
4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak
4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4 Bilgi Güvenliği Yönetim Sistemi
5 Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Görev, sorumluluk ve yetki
6 Planlama
6.1 Risklere ve Fırsatlara Yönelik Eylemler
6.2 Bilgi Güvenliği Hedefleri ve Planlama
7 Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante Bilgi
8 Operasyon
8.1 Operasyonel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9 Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç denetim
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Kontrol amaçları ve kontroller
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları
Bilgi varlıklarına yönelik tehditlere karşı önlemler alır.
Riskler analiz edilir ve işlenerek etkileri azaltılır.
Ulusal ve uluslar arası pazarlarda rekabet gücünü arttırır.
Kuruluşların, bilgi varlıklarının farkına varmalarını sağlar.
Firmanın sahip olduğu varlıların korunmasını sağlar.
Firma genelinde bilgi güvenliği bilinci oluşur.
İş sürekliliğini kesintiye uğratacak durumlar azaltılır.
Tedarikçi, müşteri, çalışanlara ve tüm taraflara güven verir.
Belirli bir sistem sayesinde bilgi korunur, kötü sürprizlere yer bırakılmaz.
Bilgi güvenliği konusundaki açıklar tespit edilir ve açıklar kapatılır.
Yasal alanda yükümlülüklere uyum kolaylaşır, yasal takip ihtimali engellenir.
Her türlü veri kaybı ihtimallerini ortadan kaldırır
Çalışanların motivasyonunu arttırır.