ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı, elektronik olarak saklanıyor, posta ya da elektronik posta yoliso-27001-bilgi-guvenligi-yonetim-sistemiuyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmak zorundadır.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistem güvenliğinin sağlanabilmesi için bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.

Bilgi güvenliği temelde aşağıdaki üç temeli hedefler:

  • Gizlilik
  • Bütünlük
  • Kullanılabilirlik

Gizlilik : Bilginin yetkisiz kişilerin erişimine kapalı olması ya da bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.

Bütünlük : Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek.

Kullanılabilirlik : Bilginin her ihtiyaç duyulduğunda problem çıkması durumunda bile bilginin erişilebilir olması, kullanıma hazır durumda olması demektir. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi kısaltılmış adıyla BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. BGYS’nin temel amacı hassas bilginin korunmasıdır. “ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemleri  – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

Bilgi Güvenliği Yönetim Sistemiyle İlgili Yanlış Algılamalar;

Bilgi güvenliği yönetişimi konusunda yasal bir düzenleme ve zorunluluk olmaması ülkemizde faaliyet gösteren kamu kurumları ve özel sektörde bilgi güvenliği yönetiminin çok az sayıdaki kurumda uygulanmasına yol açmaktadır. Yasal eksiklik, bilgi güvenliği yönetiminin uygun bir şekilde yapılandırılmasına da engel olmaktadır. Bu durumda, ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak isteyen kurumlarda görev yapan yönetici ve personelde yanlış algılamalar oluşmaktadır.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi; Sektörü ve ölçeği ne olursa olsun her türlü organizasyonda uygulama alanı bulunan ve organizasyonların, müşterilerinin bilgilerinin doğru saklanması, yedeklenmesi, güvenli ve izinli ulaşılabilirliğinin sağlanması, 3. tarafların bu bilgilere izinsiz ulaşmasının engellenmesi, kısacası organizasyona ve müşterilerine ait tüm bilgi ve dokümanların güvenliğini sağlayan Uluslararası bir Yönetim Sistemi Standardıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Hangi İşletmeler için Gereklidir ?

ISO/IEC 27001:2013, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.

ISO/IEC 27001:2013, Bilgi Teknolojileri, taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

ISO/IEC 27001 İle ilgili Terim ve Kavramlar;

Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.

Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.

Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm işlemler.

Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.

Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması işlemleri.

Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümantasyon edilmiş halidir.

ISO 27001:2013 BGYS2nin Temel İlkeleri;

Kuruluş, dokümante edilmiş bir BGYS’ ni, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve iyileştirmelidir. Bu standardın bir gereği olarak, Planla-Uygula-Kontrol Et-Ölç (PUKÖ) modeli Bilgi Güvenliği Yönetim Sisteminin 4 temel prensibini oluşturur:

◦BGYS’nin kurulması ve yönetilmesi

◦BGYS’nin gerçekleştirilmesi ve işletilmesi

◦BGYS’nin izlenmesi ve gözden geçirilmesi

◦BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

  • Bilgi varlıklarının farkına varma: Hangi bilgi varlıklarının olduğunu anlar, değerinin farkına varır.
  • Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
  • İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
  • İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
  • Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
  • Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
  • Çalışanların performans ve morallerini yüksek tutar.
  • Yasal takipleri önler.
  • Yüksek itibar sağlar.

ISO 27001:2013 BGYS Kurma Aşamaları

◦Varlıkların sınıflandırılması,

◦Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,

◦Risk analizi yapılması,

◦Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi,

◦Dokümantasyon oluşturulması,

◦Kontrollerin uygulanması,

◦İç tetkik,

◦Kayıtların tutulması,

◦Yönetimin gözden geçirmesi,

◦Belgelendirme şeklindedir.

ISO 27001:2013 BGYS Belgesi Nasıl Alınır?

ISO 27001:2013 standardının tüm gereklerinin yerine getirilmesini takiben dış denetime başvurulur. Denetimi gerçekleştirecek kurum önce dokümantasyonu gözden geçirir.Bu dokümantasyon güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanı ve güvenlik işlemlerini içermelidir. Bu incelemeyi takiben, ileriki bir tarihte denetçiler tarafından yerinde denetim gerçekleştirilir. Bu denetimde, kuruluşunuzun büyüklüğüne ve işinizin tipine uygun kontrollerin, tarafınızca hazırlanmış bulunan işlemlerde tanımladığınız şekilde yapılıp yapılmadığı gözden geçirilir.

Başarılı bir denetimi takiben ISO 27001:2013 sertifikası alınır. Alınan sertifika’ dan sonra yılda bir ya da iki kez, sizin belirleyeceğiniz periyotlara göre yenilemeye yönelik gözden geçirme tetkikleri gerçekleştirilir.
Alınan belge 3 yıl geçerlidir ve 3. yılın sonunda yeniden belgelendirme tetkiki yapılarak süreç içerisindeki gelişmeler gözden geçirilir.

Bir önceki yazımız olan Marka İtiraz Süresi başlıklı makalemizde Marka Başvurusuna İtiraz Süresi, Marka İtiraz İşlemleri ve Marka İtiraz Süresi hakkında bilgiler verilmektedir.