ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kuruluşların bilgi varlıklarını korumak, siber riskleri yönetmek, iş sürekliliğini desteklemek ve gizlilik, bütünlük ile erişilebilirliği güvence altına almak için oluşturulmuş uluslararası yönetim standardıdır.
Bu sistem; yalnızca teknik güvenlik önlemlerine değil, aynı zamanda süreç yönetimine, çalışan farkındalığına, erişim kontrolüne, yasal uyuma ve sürekli iyileştirme yaklaşımına dayanır. Böylece bilgi güvenliği, kurum içinde sürdürülebilir ve ölçülebilir bir yapıya kavuşur.
ISO 27001 standardı neyi amaçlar?
ISO 27001’in temel amacı, bilgiye yönelik tehditleri ve açıklıkları kontrol altına alarak kurumsal faaliyetlerin güvenli şekilde devam etmesini sağlamaktır. Bu yaklaşım; bilgi güvenliğini yalnızca bilgi işlem biriminin sorumluluğu olmaktan çıkarır ve tüm organizasyona yayılan kurumsal bir yönetim yapısı haline getirir.
ISO 27001 kuruluşlara ne sağlar?
ISO 27001 ile şirket içinde neler değişir?
Kuruluşların en çok araştırdığı başlık, bilgi güvenliği yönetim sisteminin günlük operasyonlara nasıl yansıyacağıdır. ISO 27001 ile birlikte yalnızca BT altyapısı değil; insan kaynakları süreçleri, erişim yetkileri, tedarikçi yönetimi, dokümantasyon, olay yönetimi, yedekleme yapısı ve iç denetim yaklaşımı da daha sistematik hale gelir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi nasıl kurulur?
Bilgi güvenliği yönetim sisteminin kurulması; mevcut durum analizi, varlık envanteri, risk değerlendirme, kontrol planlama, uygulama, iç tetkik ve iyileştirme adımlarından oluşur.
Kuruluşun mevcut bilgi güvenliği uygulamaları değerlendirilir, kapsam ve kritik süreçler belirlenir.
Bilgi varlıkları sınıflandırılır, tehditler ve açıklıklar belirlenir, risk değerlendirme çalışmaları yapılır.
Bilgi güvenliği politikası, amaçlar, sorumluluklar ve uygulanacak kontroller planlanır.
Prosedürler uygulanır, çalışan eğitimleri verilir, erişim ve olay yönetim yapıları aktif hale getirilir.
Sistem ölçülür, uygunsuzluklar giderilir, düzeltici faaliyetler tamamlanır ve denetim sürecine hazır hale gelinir.
ISO 27001 hazırlık timeline örneği
Mevcut kontroller, bilgi varlıkları ve riskler değerlendirilir.
Risk işleme planları, hedefler ve uygulanacak kontroller belirlenir.
Politika, prosedür ve kontrol mekanizmaları devreye alınır; çalışan farkındalığı artırılır.
Uygunsuzluklar tespit edilir, kayıtlar gözden geçirilir ve iyileştirme adımları uygulanır.
Akredite kuruluş denetimi gerçekleştirilir ve uygunluk sağlanırsa belge alınır.
ISO 27001 standart maddeleri
Aşağıdaki başlıklar altında bilgi güvenliği yönetim sisteminin ana yapısını kullanıcı dostu şekilde inceleyebilirsiniz.
4. Kuruluşun Bağlamı
4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
4.3 BGYS kapsamının belirlenmesi
4.4 Bilgi güvenliği yönetim sistemi
5. Liderlik
5.2 Politika
5.3 Roller, sorumluluklar ve yetkiler
6. Planlama
6.2 Bilgi güvenliği amaçları ve planlama
7. Destek
7.2 Yeterlilik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante edilmiş bilgi
8. İşletim
8.2 Bilgi güvenliği risk değerlendirme
8.3 Bilgi güvenliği risk işleme
9. Performans Değerlendirme
9.2 İç tetkik
9.3 Yönetimin gözden geçirmesi
10. İyileştirme
10.2 Sürekli iyileştirme
Annex A kontrol alanları
ISO 27001 uygulamalarında teknik, organizasyonel ve operasyonel güvenlik yaklaşımı birlikte ele alınır. Kontrollerin seçimi, kuruluşun kendi risk değerlendirme sonuçlarına göre şekillenir.
ISO 27001 süreciniz için bizimle iletişime geçin
Kuruluşunuza uygun bilgi güvenliği yönetim sisteminin kurulması, dokümantasyon yapısının hazırlanması, risk analizlerinin yapılması ve belgelendirme sürecinin planlanması için bizimle iletişime geçebilirsiniz.
İletişim Sayfasına Git
