ISO/IEC 27000 standart ailesi, kuruluşların bilgi varlıklarını güvende tutmasına yardımcı olur.
Bu standart ailesini kullanmak, kuruluşunuzun finansal bilgiler, fikri mülkiyet hakları, çalışan bilgileri veya üçüncü taraflarca size verilen bilgiler gibi varlıkların güvenliğini yönetmesine yardımcı olacaktır.
ISO/IEC 27001, bir bilgi güvenliği yönetim sistemi (BGYS) için gereksinimler sağlayan standardlar içinde en iyi bilinen standarttır.
27000 ailesinde bir düzineden fazla standart var, onları da aşağıda görebilirsiniz.
ISO/IEC 27000:2018
ISO/IEC TR 27019:2013
ISO/IEC 27001 BGYS
Bilgi Güvenliği Yönetim Sistemi nedir?
Bir BGYS, hassas şirket bilgilerinin güvenli kalması için yönetilmesine yönelik sistematik bir yaklaşımdır. Bir risk yönetimi süreci uygulayarak insanları, süreçleri ve BT sistemlerini içerir.
Herhangi bir sektördeki küçük, orta ve büyük işletmelerin bilgi varlıklarını güvende tutmasına yardımcı olabilir.
Eskiden bilgi kağıt üzerindeydi. Korunması belki çok daha kolaydı. Ama bugün bilgi elektronik ortamdadır ve iletişim teknolojilerindeki olanaklar sayesinde kopyalanması ve yayılması inanılmayacak kadar hızlı ve kolaydır. Bütün kuruluşlar şimdi bilgiyi korumak için sürekli olarak bilginin güvenliğini sorgulamakta ve kontrol etmeye çalışmaktadır. Bilgi güvenliği, bilginin bütünlüğünün, gizliliğinin ve kullanılabilir olmasının korunması demektir. Bir kuruluşun iş sürekliliğini sağlamasında en önemli faktörlerden biridir. Bilginin kaybedilmesi halinde telafisi kolay olmayabilir. Bu yüzden gelişen ve sürekli değişen günümüz koşullarında, kuruluşlar için bilginin önemi ve korunması gerekliliği çok daha fazladır.
Bu bakımdan bilgi güvenliği konusu sadece ana firmalar için değil, bu firmaya mal veya hizmet üreten taşeron firmalar gibi, bilgiyi başkaları adına yöneten firmalar için de önemlidir. Kuruluşun sahip olduğu bilgilerin koruma altında olduğu güvencesinin müşterilere verilmesi gerekmektedir.
Bu arada bilgi güvenliğinden kasıt, sadece bilginin gizli olmasının sağlanması değildir. Gizli kalması gereken bir bilgi elbette gizli olmalıdır. Ancak sadece yetkisi olan kişilerin bu bilgiye ulaşabiliyor olması da bilgi güvenliği sisteminin konusudur. Dolayısıyla bilgiye, yetkili kullanıcıların erişiminin sağlanması, yetkisiz kişilerin bilgiye ulaşmasının ve bilgiyi silmesi, değiştirmesi veya kopyalamasının önüne geçilmesi gerekir.
Bilgi Güvenliği Yönetim Sistemi ile bu gereklilik sağlandığı gibi, bu koruma sırasında yapılacak kontroller ve ölçümlerin sonuçları da elde edilmekte ve gerekli karşı önlemlerin alınması sağlamaktır. Aksi halde, bir kuruluş bilginin güvenliğini sağlayamıyorsa, müşteriler mağdur olabilir, kuruluşun faaliyetleri yavaşlayabilir belki de durabilir, kaynaklar gereksiz yere tüketilmiş olabilir, firma imaj kaybı yaşayabilir, üçüncü kişilere karşı mali sorumluluk altında kalabilir.
Bütün bu olumsuzlukların önüne geçmek için, firmada, uluslararası kabul görmüş ISO 27001 Bilgi Güvenliği Yönetim Sistemi standartlarının kurulması yeterli olacaktır. Bu sistemin kurulması ve işletilmesi ile birçok risk önceden belirlenip önlem alınmış olacaktır.
ISO 27001 Bilgi güvenliği sistemi kurmak bir yasal zorunluluk değildir. Ancak elektronik bilginin çok sayıda riske açık olduğu düşünülürse, bu sistemi kurmak bilgi çağının bir gereği olarak ortaya çıkmaktadır.
Diğer ISO yönetim sistemi standartları gibi, ISO / IEC 27001 sertifikası da mümkündür ancak zorunlu değildir. Bazı kuruluşlar, içerdiği en iyi uygulamadan yararlanmak için standardı uygulamayı seçerken, diğerleri de müşterilere ve müşterilere tavsiyelerinin takip edildiğine dair güvence vermek için onay almak istediklerine karar verirler.
TÜRCERT belgelendirme denetimleri sonunda başvuruculara ISO 27001 sertifikasını onaylar.
Dünyadaki birçok kuruluş ISO / IEC 27001 sertifikasına sahiptir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin ne olduğu ve nasıl kurulacağı konusunda daha detaylı bilgi almak için, TURCERT belgelendirme kuruluşunun çalışanlarına başvurabilirsiniz.