ISO 27001 Standardı ISO tarafından yayınlanan yönetim sistemi yaklaşımlarından bilginin ve bilgi varlıklarının korunması amacı ile yayımlanmış olan uluslar arası bir dil oluşturma düşünce modelidir. Organizasyonlara değer sağlaması nedeni ile uygun şekilde korunması gereken kaynaklar olarak tanımlanan bilgi sözlü, basılı ve elektronik ortamlar başta olmak üzere günümüzde pek çok yerde varlığını korumakta ve sürdürmektedir.. Kağıt veya elektronik ortamda saklanabilir, posta veya e-posta yoluyla gönderilebilir. Bilgi Güvenliği Yönetim Sistemi (BGYS) olan ISO 27001, iş sürekliliğini sağlamak, zararları minimuma indirmek, iş fırsatlarını yakalamak ve kazancı artırmak amacıyla bilgiyi birçok tehlikeden korumayı amaçlamaktadır.
Sistemin başlıca amaçları;
şeklinde sıralanabilir.
Bilginin korunacağı yöntemler detaylı, titiz ve dikkatli bir şekilde çalışmayı gerektirmektedir. Sistemin sınırları bilgi güvenliği uygulamasının başarıya ulaşması için taşerondan hissedarlara, tedarik edenlerden müşteriye kadar genişletilmelidir. Etkin ve verimli bir uygulamanın gerçekleştirilmesi için uzman ve organizasyon dışı bir danışmanlığa gereksinim duyulabilir. ISO 27001 BGYS organizasyonların ihtiyaçları doğrultusunda uygulanacak güvenlik kontrollerini aşağıda yer alan 10 temel prensip ile ortaya koymaktadır:
Bu soru, bilgi güvenliği konusunda şirket bünyesinde cevabı aranması gereken ilk soruların başında gelir. İşletmeyi tehlikeye sokmadan çalışmaları sürdürebilmek için ihtiyaca uygun bilgi güvenliğini sağlayacak bir yönetim sistemi kurmak yapılacak ilk iş olmalıdır. Bir işletmenin başarılı ve sürekli olarak faaliyet sürdürebilmesi için etkin ve verimli bir risk yönetim sürecinin çalışıyor oluşu hayati önem arz etmektedir. Bunun gibi süreçler firmanın kurumsal değerini korumada önem arz eder. Yatırım hedeflerini sürdürüp koruyabilmesi için gerek duyulan kontrollerin kurumda kabul edilmesi ve uygulanması aşamalarında temel oluşturur.
Karşılaşılabilecek riskleri tanımlamak, değerlendirmek ve var olan riskleri ortadan kaldırmak için gereken önlemlerin alınmasını öne çıkaran bir risk yönetim süreci ISO 27001 kalitesi ile öngörülür. Etkin bir bilgi güvenliği yönetim sisteminin en önemli parçası riskleri yeniden değerlendirmek ve iç denetimi uygulamaktır.
Bilgi güvenliği tehdidi içeren risk kaynaklarının tespit edilebilmesi için aşağıdaki hususların gözden geçirilmesi gerekir.
Bilişim sektöründe faaliyette gösterip de kamu ihalelerine giren bilgisayar yazılımı ve donanımı alanındaki firmalar için ISO 27001 önemli boyuttadır. Günümüzde ileri derecede uzmanlaşma gerçekleştiren bilişim alt sektörlerine aşağıda yer verilmiştir:
Akreditasyonun ne olduğunu ve kısa adı TURKAK olan Tük Akreditasyon Kurumu’nun neden kurulduğunu ana sayfamızda ki yazılarımızda daha önce açıklamıştık. Aşağıda TURKAK akreditasyonu markası taşıyan ISO 27001-2013 Bilgi Güvenliği Yönetim Sistemi Belgesi Belgelendirme Kuruluşlarından bahsedeceğiz.
ISO 27001 Standardı, akreditasyon kuralları çerçevesinde belgelendirme işlemi yapılan bir standarttır. Bu standardın belgelendirmesi için TURKAK tarafından akredite edilen belgelendirme kuruluşları mevcuttur. Söz konusu belgelendirme kuruluşları tarafından gerçekleştirilen ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi sonrasında TURKAK akrediteli diğer bir deyişle TURKAK Logolu ISO 27001-2013 Bilgi Güvenliği Yönetim Sistemi Belgesi düzenlemektedirler.