Blog

  1. Ana Sayfa
  2. Sistem Belgelendirme
  3. ISO 27001 Rehberi
ISO 27001

ISO 27001 Rehberi

6 Mayıs 2020 >Sistem Belgelendirme

ISO 27001; Uluslararası Standardizasyon Örgütü (ISO) tarafından Uluslararası Elektroteknik Komisyonu (IEC) ile ortak olarak yayınlanan ve bilgi güvenliğine odaklanan önde gelen uluslararası bir bilgi güvenliği yönetim sistemi standartıdır.

ISO 27001 sertifikası, tüm sektörlerdeki tüm kuruluşlar/firmalar/kurumlar için bir Bilgi Güvenliği Yönetim Sisteminin (ISMS) benimsenmesiyle birlikte verilerini/bilgilerini sistematik ve uygun maliyetli bir şekilde korumalarına yardımcı olmak için geliştirilmiştir.

ISO 27001 Sertifikasının Önemi

ISO 27001 sertifikası aracılığıyla şirketler, en değerli bilgilerini korumak için gerekli teknik bilgiyi sağlamakla kalmaz, aynı zamanda ISO 27001 sertifikasıyla müşterilerine ve ortaklarına verilerini koruduğunu kanıtlayabilirler. Ayrıca bireysel olarak kişiler bir kursa katılabilir ve sınavı geçerek ISO 27001 sertifikası alabilirler. Bu sayede yeteneklerini potansiyel işverenlere kanıtlayabilecek düzeyde bir bilgi ve sertifikaya sahip olurlar. Uluslararası bir standart olduğu için ISO 27001, tüm dünyada kolayca tanınır. Kuruluşlar ve profesyoneller için iş fırsatlarını daha fazla artırır.

ISO 27001’in temel amacı bilginin üç yönünü korumaktır. Bunlar;

  • Gizlilik: sadece yetkili kişilerin bilgiye erişme hakkı vardır.
  • Dürüstlük: bilgileri yalnızca yetkili kişiler değiştirebilir.
  • Kullanılabilirlik: Bilgiye (gerektiğinde) yetkili kişilerin erişebilmesi gerekir.

Bir şirketin bu bilgi güvenliği standardının uygulanmasıyla elde edebileceği dört temel iş avantajı vardır:

Yasal gerekliliklere uygunluk– Bilgi güvenliği ile ilgili giderek artan sayıda yasa, yönetmelik ve sözleşme gereksinimi vardır. İyi haber şu ki, birçoğu ISO 27001 sertifikası standartları uygulanarak çözülebilir. Bu standart size mükemmel bir metodoloji sağlar.

Rekabet avantajı elde etmek– şirketiniz sertifika alır ve rakipleriniz onaylamazsa, bilgilerini güvende tutmaya duyarlı olan müşterilerin gözünde onlara karşı bir avantajınız olabilir.

Daha düşük maliyetler– ISO 27001’in ana felsefesi, güvenlik olaylarının olmasını önlemektir. Büyük ya da küçük her olayın maliyeti vardır. Bu nedenle bu güvenlik açıklarını önleyerek şirketin daha fazla para tasarrufunda bulunmasını sağlar.

Daha iyi organizasyon- Tipik olarak, hızlı büyüyen şirketlerin süreçlerini ve prosedürlerini durduracak ve tanımlayacak zamanları yoktur. Sonuç olarak, çalışanlar genellikle ne, ne zaman ve kim tarafından yapılması gerektiğini bilmezler. ISO 27001 sertifikasının uygulanması, bu tür durumların çözümüne yardımcı olur. Çünkü şirketlerin ana süreçlerini (güvenlikle ilgili olmayanlar bile) yazmaya teşvik eder ve çalışanların kaybettiği zamanı azaltmalarını sağlar.

Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi Güvenliği Yönetim Sistemi, bir şirketin aşağıdakileri yapabilmesi için oluşturması gereken bir dizi kuraldan oluşur;

  1. Bilgi güvenliği açısından paydaşları ve şirketin beklentilerini tanımlamak
  2. Bilgi için hangi risklerin mevcut olduğunu belirleme
  3. Belirlenen beklentileri karşılamak ve riskleri ele almak için kontrolleri (güvenceler) ve diğer etki azaltma yöntemlerini tanımlamak
  4. Bilgi güvenliği ile neyin başarılması gerektiği konusunda net hedefler belirlemek
  5. Tüm kontrolleri ve diğer risk tedavi yöntemlerini uygulamak
  6. Uygulanan kontrollerin beklenildiği gibi çalışıp çalışmadığını sürekli ölçmek
  7. Tüm Bilgi Güvenliği Yönetim Sisteminin daha iyi çalışmasını sağlamak için sürekli iyileştirme yapmak

Bu kurallar kümesi, politikalar, prosedürler ve diğer belge türleri şeklinde yazılabilir veya belge haline getirilmemiş yerleşik süreçler ve teknolojiler şeklinde olabilir. ISO 27001 aynı zamanda hangi belgelerin gerekli olduğunu, yani asgari olarak bulunması gerekenleri de tanımlar.

ISO 27001 Nasıl Çalışır?

ISO 27001 sertifikasının odağı, bir şirketteki bilgilerin / verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Bu da, bilgilerde / verilerde hangi potansiyel sorunların olabileceğini (yani, risk değerlendirmesi) öğrenerek ve daha sonra bu tür sorunların ortaya çıkmasını önlemek için ne yapılması gerektiğini tanımlayarak (yani, risk azaltma veya risk tedavisi) yapılır.

Bu nedenle, ISO 27001’in ana felsefesi, riskleri yönetmek için bir sürece dayanmaktadır. Güvenlik kontrollerinin (veya korumalarının) uygulanmasıyla birlikte bu risklerin nerede olduğunu bulabilir ve sistematik olarak düzeltilebilir ya da önelenebilir.

ISO 27001 Çerçevesi: risk değerlendirmesi ve tedavisi > uygulamayı korumak

ISO 27001 sertifikası, bir şirketin Uygulanabilirlik Beyanı adlı bir belgede uygulanacak tüm kontrolleri listelemesini gerektirir.

ISO 27001 İçin Zorunluluklar Nelerdir?

ISO 27001 için zorunlu gereklilikler 4-10 arasındaki maddelerinde tanımlanmıştır. Bu durum tüm bu gereksinimleriyle birlikte bir kuruluşun/firmanın bu standarda uymak istiyorsa bu gerekliliklerin uygulanması gerektiği anlamına gelir. Ek A’daki kontroller, yalnızca Uygulanabilirlik Beyanında geçerli olarak beyan edildiği takdirde uygulanmalıdır.

Bölüm 4-10 arasındaki gereksinimler aşağıdaki gibi özetlenebilir:

Madde 4: Kuruluşun bağlamı – iç ve dış meseleleri, ilgili tarafları ve onların gereksinimlerini anlama ve Bilgi Güvenliği Yönetim Sistemi kapsamını tanımlama gereksinimlerini gösterir.

Madde 5: Liderlik – üst yönetim sorumluluklarını, üst düzey Bilgi Güvenliği Politikasının rollerini ve sorumluluklarını ve içeriğini belirler.

Madde 6: Planlama – risk değerlendirmesi, risk tedavisi, Uygulanabilirlik Beyanı, risk tedavi planı ve bilgi güvenliği hedeflerinin belirlenmesi için gereken gereksinimleri tanımlar.

Madde 7: Destek – kaynakların kullanılabilirliği, yeterlilikler, farkındalık, iletişim ve belge ve kayıtların kontrolü için gereksinimleri tanımlar.

Madde 8: Operasyon- risk değerlendirmesi ve tedavisinin yanı sıra bilgi güvenliği hedeflerine ulaşmak için gerekli kontrolleri ve diğer süreçleri tanımlar.

Madde 9: Performans değerlendirme – izleme, ölçme, analiz, değerlendirme, iç denetim ve yönetimin gözden geçirilmesi için gereksinimleri tanımlar.

Madde 10: İyileştirme – Uygunsuzluklar, düzeltmeler, düzeltici faaliyetler ve sürekli iyileştirme gerekliliklerini tanımlar.

Özdeha Danışmanlık, ISO 27001 sertifikası almak isteyen kurluş / Kurum / Firmalara danışmanlık ve eğitim hizmeti vermektedir. Konusunda uzman ve deneyimli bir ekibe sahip olan Özdeha Danışmanlık, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası almak isteyen firmaları için farklı danışmanlık hizmetiyle karşılamaktadır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikasyon süreçleri hakkında daha fazla bilgi almak için bizimle iletişime geçebilirsiniz.

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

    Konuşma Başlat
    Belgelendirme Destek
    Powered by Joinchat
    Merhaba,
    Belgeniz için hemen yardımcı olabilirim.