ISO 27001 Bilgi Güvenliği Yönetim Sistemi, gelişen teknoloji ve sektörler ile artan ihtiyaçlar ile beraber daha fazla görev yüklenen bilgi alt yapılarının emniyetini sağlamak amacı ile geliştirilmiştir. Bu model sayesinde kurumlar, bilgi alt yapıtlarını tanımlar, olası tehlikeleri sezinler ve analiz eder ve bu risklerin karşılarına çıkması halinde uygulanacak ve uygulanmayacak kontrol sistemine karar verir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle kurumsallaşma süreci içerisinde olan kurum ve kuruluşlar için yönetim sistemlerinin en önemli unsurudur.
Bilgi Güvenliği Yönetim Sistemi Uygulamanın Avantajları Nelerdir?
ISO 27001 Standardı, aktif halde olan, bu sebeple de saldırılara karşı savunma halinde olup kendini yenileme eğilimi gösteren bir firmanın sisteminde yer almalıdır. ISO 27001 modelinde açıklandığı üzere bilgi güvenliği bir süreç olarak ele alınmalı planlama, uygulama, kontrol ve önlem sıralaması doğrultusunda işlemelidir. Aktif ve kendini yenileme becerisine sahip bir bilgi güvenliği sistemi ancak böyle oluşturulur.
Bilgi Güvenliği standardı 10 ana başlıktan oluşmaktadır. Standardı oluşturan ana başlıklara ilave olarak EK-A maddeleri bulunmaktadır. Bu 10 madde şunlardır.
5. Bilgi Güvenliği Politikaları / Information Security Policies
6. Bilgi Güvenliği Organizasyonu / Organization of Information Security
7. İnsan Kaynakları Güvenliği / Human Resource Security
8. Varlık Yönetimi / Asset Management
9. Erişim Kontrolü / Access Control
10. Kriptografi / Cryptography
11. Fiziksel ve Çevresel Güvenlik / Physical and Environmental Security
12. Operasyon Güvenliği / Operations Security
13. İletişim Güvenliği / Communications Security
14. Sistem Edinim, Geliştirme ve Bakım / System acquisition, Development and Maintenance
15. Tedarikçi İlişkileri / Supplier Relationships
16. Bilgi Güvenliği Olay Yönetimi / Information Security Incident Management
17. İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönleri / Information Security Aspects of Business Continuity Management
18. Uyum / Compliance maddeleridir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle kurumsallaşma süreci içerisinde olan kurum ve kuruluşlar için yönetim sistemlerinin en önemli unsurudur.
Bilgi Güvenliği Yönetim Sistemi Uygulamanın Avantajları Nelerdir?
- Bilgi unsurları konusunda farkındalık: Firma bilgi varlıklarının ve değer sırasının farkına varır.
- Firmanın sahip olduğu varlıkları koruyabilmesi: Edineceği kontrol mekanizmaları ile koruma yöntemlerini belirler ve iyileştirerek korur.
- İş sürekliliği: Bir felaket senaryosu sırasında alınacak önemler ile firmanın devamlılığını sağlar.
- Tarafların barış durumunda olması: Tedarikçi, müşteri ve çalışanlara güven verir
- Belirli bir sistem sayesinde bilgi korunur, kötü sürprizlere yer bırakılmaz.
- Bilgi varlıklarını hedef alan risklere karşı önlemler alınır.
- Yasal alanda yükümlülüklere uyum kolaylaşır, yasal takip ihtimali engellenir.
- Saygınlık arttırır.
- Firma genelinde bilgi güvenliği bilinci oluşur.
- Bilgi güvenliği konusundaki açıklar tespit edilir ve açıklar kapatılır.
ISO 27001 Standardı, aktif halde olan, bu sebeple de saldırılara karşı savunma halinde olup kendini yenileme eğilimi gösteren bir firmanın sisteminde yer almalıdır. ISO 27001 modelinde açıklandığı üzere bilgi güvenliği bir süreç olarak ele alınmalı planlama, uygulama, kontrol ve önlem sıralaması doğrultusunda işlemelidir. Aktif ve kendini yenileme becerisine sahip bir bilgi güvenliği sistemi ancak böyle oluşturulur.
Bilgi Güvenliği standardı 10 ana başlıktan oluşmaktadır. Standardı oluşturan ana başlıklara ilave olarak EK-A maddeleri bulunmaktadır. Bu 10 madde şunlardır.
- Giriş / Intruduction
- Kapsam / Scope
- Atıf yapılan standartlar veya dokümanlar / Normative references
- Terimler ve Tarifler / Terms and Definitions
- Organizasyonun Kapsamı / İçeriği / Context of the Organization
- Liderlik / Leadership
- Planlama / Planning
- Destek / Support
- İşletim / Operation
- Performans Değerlendirme / Performance Evaluation
- İyileştirme / Improvement
5. Bilgi Güvenliği Politikaları / Information Security Policies
6. Bilgi Güvenliği Organizasyonu / Organization of Information Security
7. İnsan Kaynakları Güvenliği / Human Resource Security
8. Varlık Yönetimi / Asset Management
9. Erişim Kontrolü / Access Control
10. Kriptografi / Cryptography
11. Fiziksel ve Çevresel Güvenlik / Physical and Environmental Security
12. Operasyon Güvenliği / Operations Security
13. İletişim Güvenliği / Communications Security
14. Sistem Edinim, Geliştirme ve Bakım / System acquisition, Development and Maintenance
15. Tedarikçi İlişkileri / Supplier Relationships
16. Bilgi Güvenliği Olay Yönetimi / Information Security Incident Management
17. İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönleri / Information Security Aspects of Business Continuity Management
18. Uyum / Compliance maddeleridir.