ISO27001BilgiGüvenliğiYönetimSistemi

ISO 27001:2013

Uluslararası onaylı ve akredite;
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme ve Sertifikasyon Hizmetleri

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Bugünün dünyası artık bilgi dünyasıdır. Şirketler, kuruluşlar, devletler, insanlar ve toplumun ortak noktası bilgi çağında yaşıyor olmalarıdır. Bir mal veya hizmet üretim ve tüketim sürecinde bilgi, vazgeçilemeyen en değerli rekabet ve başarı unsuru haline gelmiştir. Böyle olduğu için de bilginin güvenli ve güvenilir olması artık kaçınılmaz olmuştur. İşin niteliği veya sürecin şekli ne olursa olsun, teknoloji bağlantılı olmasa bile bütün süreçlerin yönetiminde bilgi güvenliği, etkin, sürekli ve başarılı bir şekilde sağlanmak ve yönetilmek zorundadır. Süreçlerin etkin yönetilmesi aynı zamanda bilgi güvenliği süreçlerinin de etkin yönetilmesini gerektirmektedir.

Bir firmanın bilgi güvenliği stratejileri ve bunları yönetecek etkili yöntemleri yoksa, bu kuruluşların sadece güvenlik açısından değil, operasyonel ve diğer bütün iş süreçlerinin yönetilmesi açısından da ciddi problemler ve maddi kayıplar yaşamaları kaçınılmazdır.

İş yaşamında kullanılan ve iş gereği paylaşılan her çeşit bilgi değerlidir ve korunmalıdır. Bugün bilgisayar ortamlarında her türden değerli bilgi tutulmaktadır.

Bilgi güvenliği, her kuruluşun sürekliliğinin sağlanmasında büyük önem taşır ve kuruluşun başta elektronik olmak üzere, çeşitli ortamlarda bulunan kritik ve gizli bilgilerinin ve diğer bilgi varlıklarının korunmasını sağlamaya yöneliktir.

Bilgi güvenliği problemleri ve riskleri sadece büyük şirketleri değil, devlet kuruluşları, kar amacı gütmeyen herhangi bir kuruluş, okul ve benzeri kuruluşlar için de, farklı seviyelerde olsa bile söz konusudur. Bu gerçek, ülkemizde ve dünya genelinde sürekli artan boyutlarda her gün yaşanmaktadır.

Kısaca günümüzde bilgi güvenliği yönetimi konusu, uluslararası standartlar, ilgili ulusal veya uluslararası yasal düzenlemeler, ticari yükümlülükler, ölçme yöntemleri, gelişen teknolojiler ve değişen iş süreçlerine paralel olarak sürekli değişen ve gittikçe önem taşıyan riskleri kapsayacak şekilde büyük önem kazanmakta ve bilişim ve iş dünyasında öncelikli konulardan biri haline gelmektedir.

Yerli ve yabancı birçok kuruluş tarafından bilgi güvenliği konusunda çeşitli araştırmalar yapılmaktadır. Bunlar arasında sadece ülkemizi kapsayacak şekilde 2005 yılında yapılan bir araştırmanın sonuçları oldukça çarpıcıdır. Binin üzerinde internet kullanıcısı ve bine yakın şirketi içine alan bu internet güvenliği araştırması sonuçlarına göre, internet erişimlerinin yüzde 65’inin güvenlik duvarı (firewall) kullanmadığı görülmüştür. Web sunucularının yüzde 43’ü, bilgilerinin kolayca çalınabilir olması, ana sayfaların değiştirilebilmesi veya bir başka adrese taşınması konusunda risk altında bulunmaktadır. Şirketler ve internet kullanıcılarının sadece yüzde 30’u casus yazılımlara (spyware) karşı koruma altındadır. DNS sunucularının yüzde 22’sinde güvenlik açıkları bulunmaktadır ve üzerlerindeki e-postalar kolayca ele geçirilebilir veya çalışanların internet üzerinden kullandıkları bankacılık şifreleri çalınabilir durumdadır. Kısaca araştırmaya katılanların hemen hemen yarısı internet üzerinden gelecek güvenlik tehditlerine karşı risk altındadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Bir kuruluş, her ne sebeple olursa olsun, sahip olduğu bilginin güvenliğini sağlayamıyorsa, bundan önce kendisi sonrasında müşterileri mağdur olabilir, kuruluşun faaliyetleri yavaşlayabilir, hatta durabilir, kaynaklar gereksiz yere tüketilmiş olur, firma itibar kaybeder ve üçüncü kişilere karşı mali sorumluluk altında kalabilir. Bütün bu sayılan olumsuzlukların yaşanmaması için Uluslararası Standartlar Organizasyonu tarafından ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi standardı geliştirilmiştir. Bu standart kuruluşların değerli bilgi varlıklarını korumaya ve yönetmeye yardımcı olmak üzere hazırlanmıştır. Uluslararası Standartlar Organizasyonu’nun Uluslararası Elektroteknik Komisyonu ile birlikte kurduğu Birleşik Teknik Komite tarafından hazırlanan bu standart, bugün bilgi güvenliğini ve yeterli ve orantılı güvenlik kontrollerinin belirlenmesini sağlamak amacı ile tasarlanmış, gerekli standartları tanımlayan tek uluslararası standarttır.

İşletmelerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kuran ve yöneten firmalar, bilgi işlem alt yapılarını tespit edip, bilgi varlıklarına yapılacak muhtemel saldırıları ve olası riskleri analiz ederek, bu tehlikelerin meydana gelmesi durumunda ne yapılması gerektiğine karar vermektedir.

ISO 27001 standardı bilginin korunmasına yönelik risklerin neler olduğunu belirlemek, bu riskleri ortadan kaldırmak ya da en düşük seviyeye çekmek için alınması gereken önlemleri tespit etmek açısından firmalara büyük imkanlar sunmaktadır.

Bilgi Güvenliği Risk Ölçümünün Önemi

Bilgi güvenliği risk ölçümü ve değerlendirmesi konusunda çok çeşitli yöntemler ve bu yöntemleri kullanan çok çeşitli yazılımlar bulunmaktadır. Ama öncesinde risk ölçümü ve değerlendirmesi yapılacak ilgili bilgi varlıkların ne kadar değerli oldukları tespit edilmelidir. Sonra da bu bilgi varlıklarına hangi olasılıkla, hangi güvenlik açıkları veya zayıflıklarının sonucunda, hangi tehditlerin ne ölçüde kötü etki yapacağı analiz edilmelidir. Bu şekilde riskin gerçekleşmesi durumunda, bilgi varlıklarının göreceği olası zarar hesaplanır. Bütün riskler bu şekilde hesaplandıktan sonra, hangi risklerin kuruluş açısından öncelikli olduğu bu risklerin ne ölçüde düşürülmesi gerektiği, riskleri istenen seviyeye düşürmek için hangi çözümlerin uygulanacağı, hangi önlemlerin alınacağı ve hangi denetimlerin yapılacağı belirlenir ve bu çözümleri uygulamanın maliyetleri analiz edilir. Bu çalışmalar sırasında, alınacak önlem ve uygulanacak çözümlerin ne kadar uygulanır ve etkin olduğu da dikkate alınır.

Bilgi varlıkları, bütün ticari varlıklarda olduğu gibi işletmeler için oldukça değerli bir kaynaktır ve uygun şekilde korunması gerekmektedir. Bunu sağlayacak en doğru yönetim sistemi ISO 27001 Bilgi Güvenliği Yönetim Sistemi’dir. Firmada ISO 27001 standardının uygulanması ile, gerekli risk ölçümler ve değerlendirme çalışmalarının yapılması ve bilgi varlıklarının korunması bir sisteme kavuşmuş olmaktadır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile bilgi varlıkları, olası ticari kayıpları en aza indirebilmek, ticari yatırım ve fırsatların dönüşünü en fazla oranda alabilmek ve ticari olarak sürekliliği sağlamak için tehdit ve risklerden korunmuş olmaktadır.

ISO 27000 Standartları Nelerdir

ISO 27001 standardı tek başına değildir. ISO 27000 standartları, aslında birden falza standarttan meydana gelmiştir. Bu standartlar şu şekilde sayılabilir:

  • TS ISO/IEC 27001 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler (Bu standard, Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması ve iyileştirilmesi konusunda koşulları belirler ve sistemin temel standardıdır)
  • TS ISO/IEC 27002 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Kontrolleri İçin Uygulama Prensipleri (bu standard, kuruluşun bilgi güvenliği risk çevresi dikkate alınarak kontrollerin seçilmesini, uygulanmasını ve yönetimini içeren kurumsal bilgi güvenliği standardları ve bilgi güvenliği yönetimi uygulamaları için bir klavuz niteğindedir)
  • TS ISO/IEC 27003 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemi Uygulama Kılavuzu
  • TS ISO/IEC 27004 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetimi - Ölçümler
  • TS ISO/IEC 27005 İlgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Risk Yönetimi
  • TS ISO/IEC 27006 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemlerinin Tetkik ve Belgelendirmesini Yapan Kuruluşlar İçin Şartlar

ISO 27001 Standardı Hangi Kuruluşlar İçindir

ISO 27001 standardını kurmak için kuruluşlarda belli özellikler aranmamaktadır. Özel sektörde veya kamu sektöründe faaliyet gösteren herhangi bir kuruluş, faaliyet gösterdikleri sektöre veya büyüklüklerine bakılmaksızın işletmelerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurabilir ve standardın gerekliliklerini yerinde getirdikleri takdirde ISO 27001 Belgesi talep edebilir.

ISO 27001 standardının uygulanabilmesi açısından herhangi bir kısıt bulunmamaktadır. Önemli olan o kuruluşun korunması gereken bir bilgi varlığının bulunmasıdır. Ancak uygulamaya bakıldığında bu sistemi daha çok banka ve finans kuruluşlarının, sağlık kuruluşlarının, ilaç firmalarının, otomotiv ve kimya sanayiinde faaliyet gösteren firmaların, resmi kuruluşların ve ağırlıklı olarak bilgi teknolojileri kullanan kuruluşların kullandıkları görülmektedir. Bu faaliyet dallarında bilginin korunması çok daha fazla önem taşımaktadır.

Neden Bilgi Güvenliği

Bilgi güvenliği konusunda üzerinde durulması gereken üç faktör bulunmaktadır: bilginin gizli tutulmasını temin etmek, bilginin bütünlüğünü korumak ve bilginin erişilebilir olmasını sağlamak.

Kısaca bilgiye sadece erişim hakkı verilmiş kişiler tarafından ulaşılabilmelidir. Bilgiye erişim yetkisi bulunan kişilerin ihtiyaç duydukları her durumda bu bilgiye ulaşabilmelidir. Erişim sağlanan bilginin bütünlüğü ve doğruluğu mutlaka güvence altına alınmış olmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde bilgi varlıklarının gizliliği korunmuş olmakta ve bilginin, yetkisi olmayan kişiler tarafından bozulması veya değiştirilmesi önlenmiş olmaktadır. Doğru ve güvenilir bilgiye, istenilen zamanda ve sadece yetkisi olan kişiler tarafından ulaşım sağlanmaktadır. Bilgi varlıklarının bozulması, kaybı veya kötü niyetli kullanımı, çeşitli kontrol sistemleri sayesinde önlenmiş olmakta veya bu yöndeki riskler en düşük seviyeye çekilmiş olmaktadır. Bilginin zarar görmesi yüzünden firmanın iş sürekliliği kesintiye uğramamaktadır. Aynı zamanda bütün çalışanlarda bilgi güvenliği konusunda bir farkındalık yaratılmış olmaktadır.

ISO 27001 Standardının Temel Hedefleri Nelerdir

Buraya kadar yapılan açıklamalar paralelinde ISO 27001 standardının temel hedefleri şu şekilde açıklanabilir:

  • Firmanın muhtemel bilgi güvenlik açıklarını tespit etmek
  • Bilgi varlıklarını tehdit eden riskleri sistematik olarak denetlemek
  • Risk altında olan bilgi varlıklarının güvenliğini sağlamak için yapılacak kontrolleri belirlemek
  • Gerekli kontrollerin yapılmasını sağlamak
  • Muhtemel riskleri kabul edilebilir seviyelerde tutmak
  • Firmanın yapacağı bilgi güvenliği kontrollerinde sürekliliği sağlamak
  • Bütün bu sayılanları gerçekleştirmek üzere yönetim süreçlerini belirlemek ve uygulamak

ISO 27001 standardı, bu sistemi kuran firmanın organizasyon yapısını, politikalarını, faaliyetlerini, sorumluluklarını, uygulama talimatlarını, iş süreçlerini ve kaynaklarını kapsamaktadır.

Günümüzde her geçen gün bilgi daha çok güç haline gelmiştir. Bilgi teknolojileri geliştikçe güvenlik sorunları da büyümektedir. Şurası bir gerçektir: toplum giderek bilişim toplumu haline gelmiştir ama risklere karşı korunmanın yolu bilişime daha çok para harcamak ve güvenlik teknolojilerini daha fazla kullanmak değildir. Kuruluşların ve insanların bilinçlenmesi ve doğru güvenlik çözümlerinin ve stratejilerinin doğru zamanda ve doğru yerde kullanılması gerekmektedir.

Etkin ve başarılı bir bilgi güvenliği yönetiminden bahsedebilmek için firmalarda üst yönetimin sahiplenmesi ve desteği yanında çalışanların da çeşitli eğitim ve organizasyonlarla bilinçlendirilmesi gerekmektedir.

Bilgi güvenliği çalışmalarından beklenen yararın elde edilebilmesi için, firma için öncelikli risklerin belirlenmesi, bu riskleri azaltacak uygun çözümlerin bulunması, bu çözümlerin doğru şekilde uygulanması, uygulamaların düzenli olarak denetlenmesi ve gerekli iyileştirme çalışmalarının yapılarak sürekli gelişimin sağlanması gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı bu beklentiyi sağlayacak en doğru araçtır. Ancak bilgi güvenliğinde en kritik başarı faktörü istekli, bilinçli ve bilgili olmaktır. Bilgi güvenliği çalışmalarında ulaşılmak istenen nokta bilgi güvenliğinin zaman içinde bir kurum kültürü haline gelmesi olmalıdır. Çünkü firma çalışanlarının bilinçsiz, kötü niyetli veya dikkatsiz olması, firma dışında yapılacak saldırılardan çok daha riskli ve zararlıdır.

27001 Bilgi Güvenliği Yönetim Sistemi, firma içinde sürekli yaşatılması, değişimlere uyum sağlaması ve sürekli gelişime açık olması gereken bir sistemdir.

Kuruluşumuz TÜRCERT Teknik Kontrol ve Belgelendirme A.Ş., ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirme çalışmalarını, ulusal ve uluslararası akreditasyon kuruluşlarından aldığı yetkiye dayanarak gerçekleştirmektedir.



ISO 27001 Belgesi Almak İstermisiniz

Şirketimiz uluslararası geçerli, akredite ve onaylı olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgenizi almanız için en iyi seçim olacaktır, başvuru için belgelendirme başvuru formumuzu doldurarak başvurunuzu yapabilirsiniz. Sizinle en kısa sürede ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirmesi hakkında bilgilendireceğiz.