Kuruluşların varlıkları içinde, ticari mallar ve demirbaşları olduğu gibi “Bilgi” de yer almaktadır. Özellikle çağımızda en değerli varlığın bilgi olduğu düşünülmelidir ve bilgi, kuruluşların faaliyetleri, hatta devamı için büyük önem taşır.
ISO 27001, ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile ISO/IEC JTC 1 Teknik Komitesi tarafından oluşturulmuş standarttır. Bu standart, ISO tarafından kabul edilen, ISO/IEC 27001 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu tarafından Türk Standardı (TS ISO/IEC 27001) olarak kabul edilerek yayımlanmıştır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kuruluşun bilgi varlıklarını korumasına ve yönetmesine olanak sağlar.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.
ISO 27001 BGYS Kimi ilgilendirir?
ISO/IEC 27001, dünyanın hangi bölgesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, özellikle FİNANS, SAĞLIK, KAMU ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda önemle gereklidir.
BTK (Bilgi Teknolojileri Kurumu) ve BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) gibi bazı regülasyon (düzenleyici) kurumları da sektördeki firmalardan bunu istemektedir.
ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça etkilidir: müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.
ISO 27001 BGYS yaklaşımı
ISO 27001, bilginin gizliliği, bütünlüğü ve kullanılabilirliğini sağlamak üzere kuruluşta etkin bir risk yönetimi gerçekleştirilmesini amaçlar.
Bunun için, kuruluşun bilgi varlıklarının belirlenmesi ve değerlendirilmesi ile bu varlıklar üzerindeki oluşabilecek risklerin, tehditler ve açıklıkları da göz önüne alarak, bir analizini gerekli kılar.
Bilgi güvenliğinin sağlanması amacıyla, kuruluş bilgi güvenliği risklerini belirlemek ve bunları kabul edilebilir seviyelere çekmek zorundadır. Kuruluşlar, bilgi güvenliği risk değerlendirmesini yapmadan önce bir risk değerleme metodolojisi belirlemelidirler.
Bu değerleme sonunda kalan artık riskler belirlenmeli ve üst yönetimce kabul edilmelidir. Bu değerleme sonucunda oluşacak uygulanabilirlik bildirgesi üt yönetimce onaylanarak kabul edilir. Felaket onarımı ve iş sürekliliği kavramları ISO 27001 standardının özellikle beklentileri içerisinde yer almaktadır.
ISO 27001, diğer yönetim sistemleri ile entegre edilebilir bir standarttır.