BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, etkili bir risk yönetimi aracılığıyla kuruluşların ve kuruluşlarda veya kuruluşlar ile çalışan kişilerin bilgilerinin korumasına ve yönetilmesine yardımcı olan süreçler, teknoloji ve insanlardan oluşan sistematik bir yaklaşımdır.
Bilgi Güvenliği Yönetim Sistemi AB GDPR (Genel Veri Koruma Yönetmeliği) ve KVKK (Kişisel Verileri Koruma Kanunu) dahil olmak üzere ilgili kanun ve mevzuatlara uyulmasını sağlar ve bilginin üç temel yönünün korunmasına odaklanır:
Gizlilik: Bilgiler, yetkisiz kişi, kurum veya süreçlere açık değildir veya açıklanmaz.
Bütünlük: Bilgiler eksiksiz ve doğrudur ve bozulmaya karşı korunmuştur.
Kullanılabilirlik- Erişilebilirlik: Bilgiler, yetkili kullanıcılar tarafından erişilebilir ve kullanılabilirdir.
Bilgi Güvenliği Yönetim Sistemi'nin Ana Bileşenleri Nelerdir?
-
Kapsam ve sınırlar
-
Bilgi sınıflandırması
-
Risk Yönetimi Metodolojisi
-
Risk İyileştirme Planları
-
Uygulanabilirlik Beyanı
-
İhlal Olayları
-
Fiziksel ve Çevresel Güvenlik
-
Kuruluşun ticari faaliyetlerini karşılayan kontrollerdir
ISO 27001 Bilgi Güvenliği Yönetim Sistemine Sahip Olmanın Faydaları Nelerdir?
ISO 27001 ile uyumlu bir BGYS, Kurum ve Kuruluşlarda işlenen bütün bilgileri ister dijital ister basılı ister bulut tabanlı olsun bütün biçimleri ile güvence altına alır. Şirket içerisindeki tüm bilgileri güvende tutmak için merkezi bir yönetim sağlar. Bir BGYS uygulamak ve sürdürmek, kuruluşların siber saldırılara karşı direncini önemli ölçüde arttırır. Bilgi Güvenliği Yönetim Sisteminin risk değerlendirme ve analiz yaklaşımı sayesinde, kuruluşlar odaklanmaları gereken savunma teknolojilerini ayırt ederek fazla ve gereksiz maliyetten kaçınabilir. ISO 27001, bilgilerinizin gizliliğini, kullanılabilirliğini ve bütünlüğünü korumak için bir dizi politika, prosedür, teknik ve fiziksel kontrol sunar. Bir işletmedeki bilgilerin güvenliğinden herkes sorumludur. İşletme sahibinden stajyerlere, tedarikçilerden iştiraklere kadar, işe dahil olan ve verileri işleyen herkesin bilgileri güvende tuttuğundan ve siber saldırılara karşı farkındalığının olduğundan emin olunmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin bütünsel yaklaşımı yalnızca Bilgi Teknolojilerini değil tüm kuruluşu kapsar. ISO 27001 kapsamında verilen farkındalık eğitimleri ile çalışanların riskleri kolayca anlamalarını ve günlük çalışma uygulamalarının bir parçası olarak güvenlik kontrollerini benimsemelerini sağlanmaktadır. Hem ortamdaki hem de organizasyon içindeki değişikliklere sürekli olarak uyum sağlayan bir BGYS, sürekli gelişen risk tehdidini azaltır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve ISO 27001 belgesi alması zorunlu olan özel sektör kuruluşları kısaca şunlardır;
-
Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar
-
Elektronik Haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
-
Görev Sözleşmesi İmzalayan firmalar şirketler
-
İmtiyaz Sözleşmesi İmzalayan firmalar şirketler
-
Uydu Haberleşme Hizmeti Veren firmalar şirketler
-
Altyapı İşletmeciliği Hizmeti Veren firmalar şirketler
-
Sabit Telefon Hizmeti firmalar şirketler
-
GMPCS Mobil Telefon Hizmeti Veren firmalar şirketler
-
Sanal Mobil Şebeke Hizmeti firmalar şirketler
-
İnternet Servis Sağlayıcıları
-
Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti veren firmalar şirketler
-
E fatura Özel Entegratör Yetkisi almak isteyen firmalar
-
Gümrük işleri Kolaylaştırma Yetkisi almak isteyen ihracatçı firmalar
-
Petrol, Elektrik, Doğalgaz Piyasası'ndaki firmalar
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Zorunlu mudur?
Kamu kurumlarında ISO 27001 belgesi alınması zorunlu değildir fakat ilgili bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.