Bilgi Güvenliği Yönetim Sistemi ve Farkımız
Son yıllarda baş döndüren bir şekilde değişen ve hızla gelişen teknoloji sayesinde daha önceleri kütüphaneleri dolduran veriler ve bilgiler artık küçücük elektronik cihazlara sığar hale geldi. Ayrıca dünyanın hemen her yerinden erişilebilen internet aracılığıyla bilgiyi edinmek de çok kolaylaştı. Ancak bilgiye bu kadar kolay erişim sağlanabilmesi ve verilerin toplu olarak elektronik ortamda saklanması, bilgi güvenliği açısından bazı sıkıntıları da beraberinde getirmeye başladı. Bilgi güvenliği denildiğinde ilk olarak aklımıza, bilgilerin istemediğimiz kimselerin eline geçmesi geliyor. Aslında bu, sadece bilgi güvenliği kavramının bir parçası. Bilgi güvenliği temel olarak bilginin gizliliğine, bütünlüğüne ve bilgiye erişilebilirliğe ilişkin üç unsurdan oluşuyor:
- Gizlilik: Bilgilerin istenmeyen kişiler tarafından ele geçirilmesidir.
- Bütünlük: Verilerin yetki sahibi olmayan kişilerce değiştirilememesidir.
- Erişilebilirlik: Bilgilerin, erişime yetkisi olan kişilerce ulaşılabilir olmasıdır.
Dördüncü sanayi devrimi olarak adlandırılan hemen her şeyin dijital ortama aktarıldığı Endüstri 4.0’a geçişin konuşulduğu günümüzde artık sadece kaliteyi ucuza almak müşterilere yeterli gelmiyor. Kendilerine hizmet ve ürün sağlayan işletmelerin güvenilir olmasına ve daha önemlisi de bilgilerinin güvenliğinin sağlanmasına öncelik vermeye başladılar. Bu nedenle her türlü kurum, kuruluş ve işletmenin bir Bilgi Güvenliği Yönetim Sistemi kurması kaçınılmaz oldu.
Uluslararası Standardizasyon Örgütü olarak bilinen ISO (International Organization for Standardization) birçok alanda olduğu gibi Bilgi Güvenliği Yönetim Sistemi hakkında da bir standart geliştirdi. ISO-27001 olarak bilinen standardın en son sürümü 2013 yılında yayımlandı. Standarda göre işletmeler bilgi güvenliği konusunda olmazsa olmaz olan adımları atıp bir Bilgi Güvenliği Yönetim Sistemi kurarlarsa ISO-27001:2013 sertifikası için başvuruda bulunabiliyorlar.
Bilgi Güvenliği Yönetim Sistemi kurulmasının aşamalarını ise şu şekilde sıralayabiliriz:
- Öncelikle işletmenin sahip olduğu tüm varlıklar sınıflandırılır
- Söz konusu varlıklar, Bilgi Güvenliği Yönetim Sistemi unsurları olan gizlilik, bütünlük ve erişilebilirlik ölçütlerine göre ayrı ayrı değerlendirilir
- Bilgi güvenliğine ilişkin bir risk analizi yapılır
- Yapılan risk analizinden elde edilen çıktılar doğrultusunda yapılması gerekli olan kontrollerin neler olduğu belirlenir
- Bilgi Güvenliği Yönetim Sistemi için ihtiyaç duyulan dokümanlar oluşturulur
- Belirlenen kontrollerin uygulaması gerçekleştirilir
- İç tetkik faaliyetleri tamamlanır
- Yönetimin gözden geçirmesi sağlanır
Bu aşamalar tamamlandıktan sonra ISO-27001:2013 sertifikası almak için başvuruda bulunmanın önünde bir engel kalmıyor.
ISO-27001:2013 sertifikası sahibi olmak hem işletmenin bilgi güvenliğine ne ölçüde önem verdiğini ortaya koyuyor hem de müşterilerin gözünde prestij kazanılmasını, dolayısıyla rakiplerine oranla tercih sebebi olmalarını sağlıyor.
Özdeha Danışmanlık olarak ISO-27001:2013 sertifikası sahibi olmak isteyen işletmelere, kurumlara ve kuruluşlara gerekli belgeleri alabilmeleri için profesyonel eğitim, danışmanlık ve belgelendirme hizmetleri veriyoruz. Bu bağlamda, ISO-27001:2013 sertifikası alınması için izlenmesi gereken tüm prosedürlere yönelik hizmetleri, kendi alanlarında uzmanlaşmış olan mühendis ve baş denetçilere sahip seçkin personel kadromuz ile en iyi şekilde sizlere sunmaktan onur ve gurur duyacağımızı belirtmek isteriz.