ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir ?


ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir ?


Bilgi bir kurumun iş sürekliliğini sağlamasında en önemli değerlerinden birisidir. Birçok varlığın kaybedilmesi durumunda telafisi mümkün iken kaybedilen bilginin parasal bir karşılığı yoktur. Bu sebeple değişen ve gelişen günümüz koşullarında bilginin önemi ve korunması gerekliliği de giderek artmaktadır. Bilgi; yazı ile elektronik ortamlarda, sözle, çalışanların hafızalarında ve daha birçok biçimde kullanılabilir ve saklanabilir. Teknolojik gelişmeler sebebi ile de bu kullanım biçimlerinin birçoğu zamanla kullanılmayabilir ya da değişebilir. İşte bu değişim ve gelişimden dolayı sürekli olarak bilginin güvenliğinin sorgulanması ve kontrol edilmesi gerekmektedir. Bilgi güvenliği, bilginin gizliliğinin, bütünlüğünün, kullanılabilirliğinin korunmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi varlıklarını korumak ve ilgili taraflara güven veren, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

ISO 27001 Neden Gereklidir ?


Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.

Güvenliği Sağlanması Gereken Bilgiler Nelerdir ?


Bilgi, yalnızca erişim hakkı tanınmış kişiler tarafından ulaşılabilir olması gereken şirketler için önemli bir kavramdır. Bilgi kavramı içerisinde, kağıt üzerine basılmış evraklar, el yazısı ya da daktilo ile yazılmış olan belgeler, elektronik olarak saklanmış, elektronik imzalı ya da posta yolu ile gönderilen, ikili ilişkilerde sözlü olarak ifade edilen ya da sunumu yapılan tüm bilgiler yer almaktadır.

ISO 27001 Hangi Kurumları İlgilendirir ?


ISO 27001 Bilgi Güvenliği Yönetimi Sistemi her sektörden tüm kurum ve kuruluşlar için uygundur. Ancak bu standartlar finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi önemi yüksek olan alanlarda mutlaka gereklidir. Ayrıca bilgi teknolojileri taşeron şirket ve benzeri şekilde yönetilen kuruluşlar için mutlaka gereklidir. Bu tür firmalar müşterilerine bilgilerin koruma altında olduğu güvencesini vermek zorundadır.

ISO 27001 Belgesi alma zorunluluğu olan sektörler;

  • İnternet servis sağlayıcıları
  • Bilişim sektöründe faaliyet gösteren ayrıca kamu ihalelerine girmek isteyen yazılım firmaları
  • Elektronik haberleşme şebekesi sağlayan ve işleten firmalar
  • Gümrük işleri süreçlerinin kolaylaştırılmasını isteyen ihracatçı firmalar
  • E-fatura özel entegratör yetkisi almak isteyen kuruluşlar
  • Sanal olarak mobil şebeke hizmeti veren kuruluşlar
  • Sabit telefon hizmeti veren kuruluşlar
  • Mobil telefon hizmeti veren firmalar
  • İmtiyaz ve/veya görev sözleşmesi imzalayan firmalar
  • Uydu haberleşme ve/veya alt yapı işletmeciliği hizmeti veren firmalar.

ISO 27001 Belgesi Almanın Yararları Nelerdir ?


ISO 27001 belgesi alan kuruluşlar doğru, güvenilir ve geçerli bilgiler sağladığını taahhüt eder. Ayrıca bu tür kuruluşlar fazladan iş yükü ve gereksiz zaman kayıplarından da tasarruf edebilirler. Risklerin minimize edilmesini sağlayan Bilgi Güvenliği Yönetimi Sistemi bilgi varlıklarına erişimin korunmasını da sağlamaktadır. Ayrıca ISO 27001 belgesi alan kuruluşların rekabet avantajı da bulunmaktadır.

ISO 27001 Nerelerde Zorunludur ?


Bilgi Güvenliği Yönetim Sistemi 26.12.2014 tarihinde yayınlanan 29217 sayılı Resmi Gazete’deki değişikliklerle, Enerji Piyasası Düzenleme Kurumu(EPDK), Petrol, Elektrik, Doğalgaz hizmeti veren firmalar için bu belgeye sahip olunması zorunlu hale getirilmiştir.

Ayrıca Gümrük ve Ticaret Bakanlığı tarafından 10.01.2013 tarihli Resmi Gazete’de yayımlanan kapsamda yetkilendirilmiş yükümlü statüsü gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına sahip firmalara verilmektedir.

Gelir İdaresi Başkanlığı tarafından yayınlanan Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda, e-Fatura hizmeti veren özel entegratör firmaların ISO 27001 belgesi alma zorunluluğu getirdiğini bilgilendirilmektedir.

ISO 27001 Bilgi Güvenliği Kurulum Aşamaları


  • Varlıkların sınıflandırılması
  • Gizlilik, bütünlük ve erişebilirdik kriterlerine göre varlıkların değerlendirilmesi
  • Risk analizi
  • Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme
  • Dokümantasyon oluşturma
  • Kontrolleri uygulama
  • İç tetkik
  • Kayıtları tutma
  • Yönetimin gözden geçirmesi
  • Belgelendirme

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin Faydaları


Bazı kurumların yasal olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi kullanması gereklidir. Ancak sizin firmanız bu zorunluluk tanımına girmiyor olsa da, sistemin sağladığı avantajları öğrendikten sonra bu alanda bir atılım yapmaya karar verebilirsiniz. İşte sistemin işletmeler için en önemli faydaları:

  • Bilgileri korur, bilgi kaybı riskini minimize eder.
  • Bilgilerin kaybolmasından dolayı oluşabilecek gereksiz zaman kaybının ve fazladan iş gücünün önüne geçer. Kurumun daha verimli çalışmasına yardımcı olur.
  • Bilgilerin doğru ve güvenilir bir biçimde saklanmasını sağlar.
  • İş sürekliliği sağlayarak firma verimliliğini artırır.
  • Şirketin tüm bilgilerinin gizli kalmasını sağlar.
  • Şirket genelinde bilgilerin korunmasına dair farkındalık yaratır. Şirketin bilgi güvenliği konusundaki zayıflıklarını ortaya çıkarır ve bu alanlarda daha yüksek güvenlik önlemi alınmasını sağlar.
  • Bilgilerin içeriğinin değişmemesini sağlar.
  • Yasal olarak yerine getirilmesi gereken kriterlerin yönetmeliğe uygun olmasını sağlar.
  • Bilgi varlıklarına istendiği zaman ulaşım sağlar.
  • Şirketin kurumsal saygınlığını korur.
  • Şirketin rekabet konusunda avantajlı konumda olmasına yardımcı olur.

 

Daha ayrıntılı bilgi ve destek almak için Sistem Belgelendirme Departmanı ile iletişime geçebilirsiniz.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Müşteri Hizmetleri