ISO 27001 Nedir ?
ISO 27001, işletmelerde bilgi güvenliğinin nasıl sağlanması gerektiğini açıklayan uluslararası bir standarttır. ISO 27001’e uygun bir bilgi güvenliği yönetim sistemi kuran, uygulayan, sürdüren ve bu sistemi sürekli olarak iyileştirebilen kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alabilmektedir. ISO 27001 Belgesi, işletmelerin bilgi güvenliği ile ilgili riskleri en iyi şekilde yönettiğinin; bilgilerin gizliliğini, bütünlüğünü ve işlevselliğini sağladığının göstergesidir. Şirketler ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alarak hem bilgilerini kullandığı taraflara güven vermekte hem de birçok yasal düzenlemeye de uyum sağlamaktadır. ISO 27001, büyüklüğü ve faaliyet alanı fark etmeksizin tüm işletmeler için geçerli bir standarttır.
Bilgi Güvenliği Yönetim Sistemi Nedir ?
Teknolojinin son yıllarda çok hızlı bir şekilde gelişmesiyle beraber şirketler bilgi teknolojileri sistemlerini daha fazla kullanmaya başlamıştır. Günümüzde birçok kuruluş, müşterilerinin, tedarikçilerinin, ürün ve hizmetlerinin, yöneticilerinin, çalışanlarının ve diğer paydaşlarının bilgilerini çoğunlukla elektronik ortamlarda işlemektedir. Bu durum, eğer doğru bir bilgi yönetim sistemi uygulanmazsa ve gerekli önlemler alınmazsa kurumları bilgi güvenliği ile ilgili çeşitli tehditlere karşı savunmasız hale getirmektedir. Verilerin kaybolması, siber saldırılar, güvenlik açıkları, bilgi gizliliğinin ihlali gibi durumlar için doğru, etkin, hızlı ve işlevsel bir bilgi güvenliği sistemi gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi de bu kapsamda geliştirilmiştir.
ISO 27001 standardı Uluslararası Elektroteknik Komisyonu (IEC) tarafından ve ülkemizde Türk Standartları Enstitüsü (TSE) tarafından kabul edilmiştir. Bu nedenle standardı çoğu zaman TS ISO/IEC 27001 olarak da görebiliriz. ISO 27001 Bilgi Güvenliği Yönetim Sistemi yapılan bazı yasal düzenlemeler ile ülkemizde bazı kuruluşlar için zorunlu hale getirilmiştir. İnternet, uydu, haberleşme, mobil şebeke, sabit telefon gibi alanlarda faaliyet gösteren işletmelerin ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması gerekmektedir. Bunun yanında, gümrük faaliyetlerinde yetkilendirilmiş yükümlü statüsüne sahip olmak isteyen firmalar, e-fatura hizmeti veren şirketler, doğal gaz, elektrik ve petrol sektörlerinde faaliyet gösteren işletmelerin de ISO 27001 Belgesi alması zorunludur.
ISO 27001 standardının maddelerini ve içeriklerini şu şekilde özetleyebiliriz:
- Kapsam
- Normatif referanslar
- Terimler ve tanımlamalar
- Organizasyon bağlamı: Bilgi güvenliği yönetim sisteminin kapsamı ve işletmeye nasıl uygulanacağı açıklanmaktadır.
- Liderlik: Sistemin uygulanmasında üst yönetimin sorumluluğu, bilgi güvenliği politikaları, işletme içerisindeki görev dağılımları ve yetkiler açıklanmaktadır.
- Planlama: Risk ve fırsatların belirlenmesi, bilgi güvenliği hedef ve planları anlatılmaktadır.
- Destek: Bilgi güvenliği sisteminin kurulması ve uygulanmasında ihtiyaç duyulan kaynaklar, uzmanlık bilgisi, farkındalık, iletişim ve dokümante edilmiş bilgilerin kullanımı anlatılmaktadır.
- Operasyon: Operasyonel planlama ve kontrol, bilgi güvenliği risklerinin değerlendirilmesi ve iyileştirilmesi konuları anlatılmaktadır.
- Performans değerlendirme: Diğer birçok yönetim sisteminde olduğu gibi yapılan izlemeler, kontroller ve ölçümler üzerinden bilgi güvenliği yönetim sisteminin performansının nasıl takip edileceği anlatılmaktadır. Bunun için iç denetimler ve yönetim gözden geçirme süreçleri de açıklanmaktadır.
- İyileştirme: Sistemin doğru bir şekilde çalışmasına engel olan uygunsuzlukların tespiti, bunlar için gerekli düzeltici eylemler ve sürekli iyileştirme yaklaşımı anlatılmaktadır.
ISO 27001 Belgesi Nasıl Alınır?
ISO 27001 Belgesi akredite belgelendirme kuruluşlarından alınabilmektedir. Belge sahibi olmak isteyen işletmeler öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurmalı ve standarda uygun şekilde çalıştırabiliyor olmalıdır. Daha sonra belgelendirme kuruluşlarına ISO 27001 Belgesi başvurusu yaparak sertifikasyon sürecini başlatabilmektedir.
Belgelendirme kuruluşları, başvuru sahibi firmadan ISO 27001 sertifikasyonu için birtakım dokümanlar talep etmektedir. Bunlar arasında işletmeye ait genel evraklar ve ISO 27001 için prosedür ve talimatlar yer almaktadır. Bunların incelemesi tamamlandıktan sonra bir denetim planı oluşturulur ve belgelendirme kuruluşunun bağımsız denetçileri işletmeye gelerek yerinde incelemeler yapmaktadır. Tespit edilen uygunsuzluklar için şirketten düzeltici / önleyici eylemler geliştirmesi talep edilmektedir. Bu aşama da tamamlandıktan sonra şirkete ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi verilmektedir.
ISO 27001 Belgesinin Faydaları
ISO 27001 Belgesi alan işletmelerin elde ettiği avantajlardan bazıları şunlardır:
- Bilgi güvenliği riskleri minimize edilerek güvenlik sorunlarından kaynaklı sorunlara karşı önlemler alınabilmektedir.
- Risklerin doğru bir şekilde yönetimi sayesinde iş süreçlerindeki verimlilik ve çalışan motivasyonu artar.
- Bilgi güvenliği risklerinden kaynaklı mali kayıplar en aza indirilir.
- ISO 27001 Belgesi bulunan firmaların piyasada farklılaşması, yeni gelişmelere adapte olması ve rakiplerinin önüne geçmesi daha kolaydır.
- Bilgi güvenliği ile ilgili yerel ve uluslararası düzeyde geçerli olan çok sayıda regülasyon bulunmaktadır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi’ne sahip olan şirketler tüm bu düzenlemelere daha hızlı uyum sağlar.
- Marka imajı ve kurumsal itibar iyileştirilir.