Bilgi Yönetim Sistemi ISO 27001 nedir ve almak için neler gereklidir konusunda bilgi vereceğiz. Bilgi, kuruluşların faaliyetlerinin sürdürülebilmesi için en önemli kavramlardan birisidir. Kuruluşların en önemli değerlerinden birisi olan bilginin kaybedilmesi halinde telafisi olmamaktadır ve parasal karşılığı yoktur. Bu nedenle bilginin her kurum ve kuruluş için korunması, gizlenmesi ve saklanması çok önemlidir. Bilgi güvenliği sağlamak yapılacak olan yatırımların ve bu yatırımlardan oluşan fırsatların dönüşünden maksimum seviyede yararlanmak için mutlaka gereklidir. Ticari kayıpları sıfıra yaklaştırmak ve sürekliliği sağlamak için bilgi güvenliği korunumu kavramı ortaya çıkmıştır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, değerli bilgi ve varlıkların yönetilmesini ve korunmasını sağlayan belgelendirme ve yönetim türüdür. ISO 27001 belgesi almak isteyen kurumların bilgi güvenliği yönetim sistemi standartlarına göre sistemlerini kurmalı ve aktif olarak uygulamaları gerekmektedir.
ISO 27001:2022, Bilgi Güvenliği Yönetim Sistemleri (ISMS-BGYS) uluslararası standardıdır ve geniş ölçüde, 1995 yılından beri kullanılmakta olan BS 7799 bilgi güvenliği yönetim standardını esas alarak hazırlanmıştır.
ISO 27001:2022 standardı; kuruluşların kendi bilgi güvenlik sistemlerini sağlamasını mümkün kılan teknoloji tarafsız, satıcı- tarafsız yönetim sistemleri için bir çerçeve sağlar. Bu yapı sürekli erişilebilirlik, gizlilik ve kendi bilgileriyle bütünlük sağlayarak, tarafların yasal uyumluluklarını kapsar.
ISO 27001:2022 standardının uygulanması, aşağıda belirtilen davranışlara yönelik yasal talepler ve muhtemel güvenlik ihlâllerine karşı ideal bir tepkidir:
ISO 27001 standardı, ISO 9001 ile ISO 14001 gibi diğer yönetim sistemi standartlarına kolayca uyum sağlayacak şekilde yapılandırılmıştır.
Bazı maddelerdeki farkları ortaya koyarken, ortak öğeler belge düzenlemeyi, inceleme ve denetim taleplerini kapsar; büyük ölçüde bütünleşmiş bir yönetim sistemini geliştirmek için gereken düzenlemeleri sağlar.
Modern iletişim ortamları, genelde ISMS sistemlerinin çoğunun ICT’de odaklandığını ortaya koyarken, ISO-27001, bilginin yazılı kayıtlar, görüntüler ve hatta konuşmalar gibi diğer türlerine de uygulanabilir.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi uluslararası geçerliliği olan bir güvenlik standardıdır. Kamu kurumları, ticari ve sivil toplum kuruluşları için bilgi güvenliği yönetim sisteminin (BGYS) uygulama, kurulum, gözetim ve sistem iyileştirme aşamalarını kapsar.
iso 27001’in amacı, modern bir kuruluşun bilgilerini ve verilerini nasıl yönetmesi gerektiğine ilişkin bir standartlar çerçevesi sağlamaktır. Risk yönetimi, bir şirketin veya kâr amacı gütmeyen kuruluşun güçlü ve zayıf yönlerinin nerede oluğunu anlamasını sağlayan iso 27001 ‘in önemli bir parçasıdır.
Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, takip etmek, gözden geçirmek, devam ettirmek ve geliştirmek için, iş riski yaklaşımına dayalı yönetim sisteminin bir parçası.
Risk analizi: Bilginin, kaynakları belirleyip risk tahmini yapmak amacıyla sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan süreç.
Risk derecelendirme: Riskin önemini belirlemek amacıyla tahmin edilen riskin verilen risk ölçütleriyle karşılaştırılması işlemi.
Risk yönetimi: Bir firmayı risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan eşgüdümlü çalışmalar.
Risk işleme: Riski değiştirmek için alınması gereken önlemlerin seçilmesi ve uygulanması işlemi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan belgelendirilmiş bildiridir.
ISO/IEC 27001:2022, müşteri kayıtlarının amaç dışı kullanılması, bozulması veya kaybolması gibi durumlar nedeniyle ticari bilgilerini ya da müşteri bilgilerini yitirmesiyle büyük ticari zarar görmesi mümkün olan bütün kuruluşlara uygulanabilir.
Müşteri memnuniyeti – Kişisel bilgilerinin korunduğu ve gizliliğin güvence altına alındığını göstererek sağlanır. Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar
Ticari devamlılık – Risk yönetimi, yasal uyumluluk ve gelecekteki güvenlik olaylarında ve konularında önceden hazır olmak suretiyle elde edilir. Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur
Yasal uyumluluk – Yasa ve yönetmelik taleplerinin kuruluş ile müşteriler üzerindeki etkilerini kavrayarak gerçekleştirilir.Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir
Gelişmiş risk yönetimi – Müşteri kayıtlarının, mali bilgilerin ve fikrî mülkiyetin güvenceye alınmasını sistemli bir çerçeveye oturtmak suretiyle; kayıp, hırsızlık ile hasardan koruyarak gerçekleştirilir.
Ticari kredibilitenin – İç denetimlerinizin bağımsız bir şekilde sağlandığını gösterir ve kurumsal yönetişim ve iş devamlılığı gereksinimlerini karşılar
Daha fazla iş olacağı elde edilir – Özellikle satın alma niteliklerinin ürüne ilişkin sertifikayı şart koştuğu durumlar ortaya çıktığı zamanlarda, iş fırsatları artar.
26.12.2014 tarihinde yayınlanan 29217 sayılı Resmi Gazete’deki değişikliklerle, Petrol, Elektrik, Doğalgaz hizmeti veren firmalar için Enerji Pitasası Düzenleme Kurumu(EPDK), bu belgeye sahip olunması zorunlu getirmiştir. e-Fatura hizmeti veren özel entegratör firmalara, Gelir İdaresi Başkanlığı tarafından yayınlanan Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda bu sertifikayı zorunlu kılınmıştır. Ayrıca Gümrük ve Ticaret Bakanlığı tarafından Resmi Gazete’de yayımlanan kapsamda yetkilendirilmiş yükümlü statüsü gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına sahip firmalara verilmektedir.
ISO 27001 Bilgi Güvenliği Yönetimi Sistemi her sektörden tüm kurum ve kuruluşlar için uygundur. Ancak bu standartlar finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi önemi yüksek olan alanlarda mutlaka gereklidir. Ayrıca bilgi teknolojileri taşeron şirket ve benzeri şekilde yönetilen kuruluşlar için mutlaka gereklidir. Bu tür firmalar müşterilerine bilgilerin koruma altında olduğu güvencesini vermek zorundadır.
ISO 27001:2022 belgesi almak isteyen firmalar, ISO 27001:2022 standardına uygun bir kalite yönetim sistemi oluşturmalıdır. Meydana getirilecek bu sistem, firmanın mal veya hizmet üretmesine etkisi olan tüm süreçleri içine almalıdır. Sözü edilen kalite yönetim sistemi uygulanabilecek bir programdan ziyade bir belgeler bütünüdür. Bu belgeler basılı veya dijital herhangi bir biçimde veya ortamda olabilir. Standardın ihtiyacı olan bütün çalışmalar yapıldıktan sonra (belgelemelerin ve gerekli kayıtların oluşturulması, iç denetimlerin ve Yönetimin Gözden Geçirmesi(YGG) çalışmalarının yapılması vb.) belgeyi almak isteyen firmalar üçüncü taraf denetim için kendilerine belgelendirme şirketi seçer. Seçilen şirket, meydana getirilen kalite yönetim sisteminin ISO 27001:2022 standardına uygun olup olmadığını, mal veya hizmet kalitesine etki eden tüm süreçleri içerip içermediğini denetler. Denetimler sonucunda belgelendirme isteyen firmanın oluşturduğu kalite yönetim sistemi ile standartlar arasında büyük farklar yoksa firma ISO 27001:2022 belgesi almaya hak kazanır ve en kısa sürede belgelendirme yapılır.
Avrupa Belgelendirme olarak sizlere ISO 27001:2022 Belgelendirme sürecinde size sistem kurulumundan belgelendirme sürecine kadar hizmet sağlıyoruz.
Firmanıza ilgili standart gereği bir kurulu sistem yok ise sisteminizin kurulması, gerekli eğitimlerin verilmesi, gerekli dokümanların oluşturulması, gerekli metotların belirlenmesi süreçlerini danışmanlık ile tamamlayıp bir sonraki aşamada ise belgelendirme sürecini tamamlıyoruz.
“Daha ayrıntılı bilgi için Sistem Belgelendirme Departmanı ile iletişime geçebilirsiniz.”
ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi- Sertifika Başvuru Formu