ISO 27001 Bilgi Güvenliği Yönetim Sistemi

iso-iec-27001-2005-logo-1Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde
bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir.
Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
ISO 27001’e göre kurulmuş bir Bilgi Güvenliği Yönetim Sistemi:
— Gizlilik (Confidentiality)
— Bilginin sadece yetkili kişiler tarafından erişilebilir olması
— Bütünlük (Integrity)
— Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi
— Ulaşılabilirlik (Availability)
Yetkili kişilerin bilgi ve kaynaklara ihtiyaç duyulduğu an ulaşabilmeleri olarak tanımlayabileceğimiz üç ana karakteristiğin korunması ve güvence altına alınması için gerekli kontrollerin belirlenmesi ve uygulamaya alınmasını öngörmektedir.
Birçok bilgi sistemi güvenli olacak şekilde tasarlanmamıştır. Teknik anlamda elde edilebilecek güvenlik ise sınırlıdır ve uygun yönetim prensipleri ve prosedürler ile desteklenmelidir. Bilginin korunması için hangi kontrollerin gerekli olduğunun tanımlanması detaylı ve dikkatli bir çalışmayı gerektirir. Başarılı bir uygulama için sistemin kapsamı tedarikçilere/taşeronlara, müşterilere ve hissedarlara kadar genişletilmelidir. İyi bir uygulama için organizasyon dışından uzman bir danışmanlık gerekebilir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini on temel prensip ile ortaya koyar. Bunlar;
 • Şirket Güvenlik Politikası
 • Organizasyonel Güvenlik
 • Varlıkların Sınıflandırılması ve Kontrolü
 • Personel Güvenliği
 • Fiziki ve Çevresel Güvenlik
 • İletişim ve Operasyon Yönetimi
 • Erişim Kontrolü
 • Sistem Geliştirme ve Bakım
 • İş Devamlılığı Yönetimi
 • Uyumluluk
 • olarak karşımıza çıkmaktadırlar.
Aslında sorulması ve şirket içerisinde cevabının tartışılması gereken soru: Şirketinizi tehlikeye mi atacaksınız yoksa hemen çalışmaya başlayıp size uygun bir bilgi güvenliği yönetim sistemi mi kuracaksınız? Herhangi bir kuruluşun başarısı ve sürekliliği için etkin bir risk yönetim prosesinin işliyor olması hayati önem taşır. Bu tür prosesler; kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil ederler.
ISO 27001 olası risklerin tanımlanması, değerlendirilmesi ve ortadan kaldırılması için gerekli tedbirlerin alınmasını ön plana çıkaran bir risk yönetim prosesini öngörmektedir. Bunların yanı sıra risklerin tekrar değerlendirilmesi, etkin bir iç denetimin uygulanması da etkin bir Bilgi Güvenliği Yönetim Sisteminin önemli parçalarıdır.
Planla, Uygula, Kontrol Et, Önlem Al Modeli (PUKO)
ISO 27001 PUKO modelini temel alarak Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulması, uygulanması, gözden geçirilmesi ve iyileştirilmesi için proses gerekliliklerini tanımlamaktadır.
— BGYS’ nin tasarım ve kurulması
Planla
— BGYS’ nin uygulanması ve devreye alınması
Uygula
— BGYS’ nin izlenmesi ve gözden geçirilmesi
Kontrol Et
— BGYS’ nin iyileştirilmesi
— Planlama Aşaması Uygulama Aşaması
— Kontrol Aşaması Önlem Alma Aşaması
— BGYS kapsamının tanımlanması Risk kontrol planın hazırlanması
— İzleme prosedürlerinin uygulamaya alınması
— Tanımlanmış iyileştirme yöntemlerinin uygulanması
— BGYS politikasının belirlenmesi
— Risk kontrol planının uygulamaya alınması
— BGYS’ nin etkinliğinin düzenli olarak gözden geçirilmesi
— İlgili düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi
— Risklerin değerlendirilmesi
— Planlanmış aralıklarda BGYS iç denetimlerinin gerçekleştirilmesi
— İyileştirmelerin amaçlanan hedeflere ulaşmasının garanti altına alınması
— Risklerin giderilmesi için gerekli kontrollerin belirlenmesi
— Uygulanabilirlik bildirisinin hazırlanması
ISO/IEC 17799:2000 Uygulamalar için tavsiyeler ve örnek yönetmeler içeren referans bir döküman olarak tasarlanmıştır. Kullanılmakta olan en iyi bilgi güvenliği uygulamalarını temel almıştır. Belgelendirme için kullanılmaz.
ISO 27001-2:2002ise Bilgi Güvenliği Yönetim Sistemi ( BGYS ‘nin tasarlanması, uygulanması ve belgelendirilmesi için temel gereklilikleri ortaya koyarak organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini belirtir.