ISO 27001 Bilgi Güvenliği Yönetim Sistemi, teknolojik gelişmeler, regülasyonlar ve kuruluşların kendi işleri doğrultusunda oluşan görev yüklerinin ve bilgi alt yapılarının güvenliğini sağlamak amacı ile geliştirilmiş bir sistemdir. Temelinde sürekli iyileştirme bulunmaktadır. Bu model vasıtası ile kurum / kuruluşlar yapmış oldukları iş ile ilgili iç ve dış süreçlerini tanımlar ve bu süreçler için gerçekleşebilecek olası tehdit ve tehlikeleri göz önünde bulundurarak, bir risk değerlendirme işlemi gerçekleştirirler. Gerçekleştirilen bu risk değerlendirme sonrasında karşılarına çıkabilecek riskler ile ilgili uygulayabilecekleri kontrollerin neler olduğuna karar verirler. Bu sistemin yönetilmesi içinde gerekli politika, prosedür vb. dokümanlarla ve uygun altyapı ile desteklerler. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurumsallaşma süreci içerisinde olan kurum veya kuruluşlar için yardımcı olabilecek temel standartlar arasında ilk sıralarda yer alır.

ISO 27001 standardı, bir Bilgi Güvenliği Yönetim Sistemi’nin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymak amacıyla hazırlanmıştır.

Bir bilgi güvenliği yönetim sisteminin benimsenmesi, bir kuruluş için stratejik bir karardır. Kuruluşun bilgi güvenliği yönetim sisteminin kurulması ve uygulanmasında, kuruluşun ihtiyaç ve amaçları, güvenlik gereksinimleri, kullanılan kurumsal prosesler, kurumun boyutu ve yapısı etkilidir. Tüm bu etkileyen faktörlerin zaman içinde değişmesi beklenir. [1]

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı ISO yardımcı dokümanlarının Ek SL (Annex SL)’inde tanımlanan yapı ile hazırlanmıştır. Bu nedenle Annex SL ile hazırlanmış tüm standartlar ile eşdeğer alt madde başlıkları, ortak terimler, ve temel tanımları kullanmaktadır. Yani Annex SL’i kullanan tüm standartlar ile uyumludur. Örn: ISO 22301 İş Sürekliliği Yönetim Sistemi, ISO 9001:2015 versiyonu (henüz yayınlanmadı)vb.

Standart sektör gözetmeksizin türü ve büyüklüğü ne olursa olsun tüm kurum veya kuruluşlara uygulanabilir bir standart olarak çıkarılmıştır. 4-10 arasında oluşan ana maddeler ve Ek-A içerisinde bulunan 114 kontrol kriteri ile desteklenen bir yönetim sistemi standardıdır. Bu standardı uygulamak isteyen kurum / kuruluşlar için Madde 4 ile Madde 10 arasındaki hiçbir maddenin kapsam dışı bırakılamayacağı şartı koyulmuştur. Ek A içerisindeki 114 kontrol kriteri ise uygulamak isteyen kurum/kuruluşların yapılarına ve risk değerlendirme kriterlerine göre değişiklik gösterebilir.

İlerleyen yazılarımda Bilgi Güvenliği Yönetim Sistemi standardı ile ilgili çok daha detaylı yazılara yer vereceğim. Soru veya sorularınız için yorum yapabilir veya iletişim adresimden mail yolu ile irtibata geçebilirsiniz…

 

Kaynakça

[1]  ISO/IEC 27001:2013 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler

Yazar Hakkında

Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

Bir Yorum Yap

This site uses Akismet to reduce spam. Learn how your comment data is processed.