ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi

ISO/IEC 27001, ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile 2005’in
sonlarında Bilgi Güvenliği Standardı BS 7799-2’nin revize edilerek oluşturulan ve kuruluşların bilgi güvenliği yönetim sistemi
kurmaları için gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Bilgi varlıklarını korumak, ilgili taraflara
güven vermek, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır.
Kuruluşların faaliyetleri ve belki devamı için büyük bir önem taşır. Bilgi güvenliği, ticari sürekliliği sağlamak, ticari kayıpları
en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için bilgiyi geniş tehlike ve
tehdit alanlarından korur.

ISO/IEC 27001, dokümante edilmiş bir Bilgi Güvenliği Yönetimi Sistemini kuruluşun tüm ticari riskleri bağlamında kurmak,
gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların
ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir ve süreç
yaklaşımını benimser. Kuruluştaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı
karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kuruluş, kendine bir risk yönetimi metodu
seçmeli ve risk işleme için bir plan hazırlamalıdır.

ISO/IEC 27001, size nasıl virüs bulaşmayacağını anlatmaz. Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez.
Toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.

Bilgi Güvenliği Yönetim Sistemi standardı, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük
tüm kuruluş türlerine (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) uygundur. Bu standart,
finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
Ayrıca BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir. Bu sistem müşterilere
bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

Kuruluş, bu standardın şartlarını sağladığında ISO/IEC 27001 belgesini alabilir. ISO/IEC 27001 Belgesi, değerli bilgi
varlıklarınızı yönetmenize ve korumanıza, ilgili taraflara özellikle de müşterilerinize güven vermenize yardımcı olur.

ISO/IEC 27001 Uygulamanın Yararları:

• Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
• Uzun yıllar boyunca işini garanti eder. Bir felaket halinde, işe devam etme yeterliliğine sahip olur.
• Düzenli değerlendirme işlemi ile performansın sürekli izlenmesine ve geliştirilmesine yardımcı olur.
• Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
• Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilere bilgilerinin güvenliğine gösterilen özeni ispat
  ederek bir rekabet avantajı sağlar
• Yüksek prestij sağlar.
• Çalışanların motivasyonunu arttırır.
• Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir

 

BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.