ISO 27001 BİLGİ TEKNOLOJİSİ, BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir. Bilgi güvenliği, iş devamlılığını sağlama, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının arttırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
Birçok bilgi sistemi güvenli olarak tasarlanmamıştır. Teknik anlamda elde edilebilecek güvenlik ise sınırlıdır ve uygun yönetim prensipler ve prosedürler ile desteklenmelidir. Bilginin korunması için hangi kontrollerin gerekli olduğunun tanımlanması detaylı ve dikkatli bir çalışmayı getirir. Başarılı bir uygulama için sistemin kapsamı tedarikçilere / taşeronlara, müşterilere hissedarlara kadar genişletilmelidir. İyi bir uygulama için organizasyon dışında uzman bir danışmanlık gerekebilir.
Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.
Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini ön temel prensip ile ortaya koyar. Bunlar;
- Şirket Güvenlik Politikası
- Organizasyonel Güvenlik
- Varlıkların Sınıflandırılması ve Kontrolü
- Personel Güvenliği
- Fiziki ve Çevresel Güvenlik
- İletişim ve Operasyon Yönetimi
- Erişim Kontrolü
- Sistem Geliştirme ve Bakım
- İş Devamlılığı Yönetimi
- Uyumluluk
olarak karşımıza çıkmaktadır.
ISO 27001 Standardı Avantajları:
- Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
- Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
- İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
- İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
- Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
- Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
- Çalışanların motivasyonunu arttırır.
- Yasal takipleri önler
- Yüksek prestij sağlar
Uygulama İş Akışımız;
- Varlıkların Sınıflandırılması
- Gizlilik Bütünlük Ve Erişebilirlik Kriterlerine Göre Varlıkların Değerlendirilmesi Risk Analizi
- Risk Analizi Çıktılarına Göre Uygulanacak Kontrolleri Belirleme
- Kontrolleri Uygulama
- Dokümantasyonun Oluşturulması
- İç Tetkik Eğitimi Ve Uygulama
- Yönetimin Gözden Geçirme Toplantısı Hazırlığı Ve Uygulama
- Belgelendirme Denetimi Aşamasında Kuruluşa Refakat
|