ISO 27001 – Bilgi Güvenliği Yönetim Sistemi
Günümüzde bir firmanın iş sürekliliğinde en önemli değerlerin başını bilgi çekmektedir. Firma, birçok varlığını kaybetse dahi zamanla bu varlıkların hepsini telafi etme imkanına sahipken, maddi olarak hiçbir karşılığı olmayan bilginin kaybedilmesinin telafisi maalesef bulunmamaktadır. Bundan dolayı bilginin önemi ve korunmasına yönelik daha da bilinçlenen firmalar, bu konuda tedbirlerini her geçen gün artırmaya daha da bir önem vermektedir. Elektronik ortamda yazıyla, personelin hafızasında sözle ya da daha birçok değişik yöntemle saklanabilen ve kullanılabilen bilginin teknolojik değişmelerden dolayı kullanım biçimlerinin değişmesi, hatta zamanla kullanılamaz hale gelmesi firmalar açısından büyük risk teşkil etmektedir. Bu riskin en aza indirgenmesi için bilginin güvenliği sürekli sorgulanmalı ve kontrol edilmelidir. Bilginin bütünlüğünün, gizliliğinin ve kullanılabilirliğinin koruma altına alınmasına bilgi güvenliği denilmektedir.
Firmaların bilgi güvenliğini temin etmek için süreçleri, insanları ve bilgi sistemlerini de kapsayan ve üst yönetiminde destek verdiği sisteme ISO 27001 Bilgi Güvenliği Yönetim Sistemi denir. Bu sistem, firmaların bilgi varlıklarını sistematik bir şekilde korumanın yanı sıra güvenlik kontrollerini yeterli ve orantılı bir şekilde tasarladığı içinde güven vermektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin kapsamında kurumsal yapı ve politikalar, sorumluluklar, planlanan faaliyetler, prosedürler, uygulamalar, kaynaklar ve prosesler yer almaktadır.
ISO 27001 Sistemini Gerekli Kılan Koşullar Nelerdir?
Firmalar tarafından alınacak teknik tedbirler bilgi güvenliğinin ve iş sürekliliğinin sağlanması hususunda yeterli değildir. Teknik tedbirlerle birlikte BGYS vb. tedbir ve denetimlere gereksinim olduğu günümüzde dünyanın da kabul ettiği bir gerçektir. BGYS kapsamında geliştirilen güvenlik politikalarının sağlıklı bir şekilde uygulanması için üst yönetimin yanı sıra tüm personel tarafından da desteklenmesi gerekmektedir. BGYS sisteminde güvenliğin artmasını sağlayan bir diğer faktör ise işbirliği içerisinde olunan bütün şahıs ve kuruluşların da geliştirilen bu politikalara uygun hareket etmesidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları Nelerdir?
- Firmaların üstündeki fazla iş yükünü aldığı için gereksiz zaman kaybını engellemektedir.
- ISO 27001 Bilgi Güvenliği Sistemi tarafından sağlanan bilgiler güvenilir, geçerli ve doğru olduğu için firmaların bilgi varlıklarının korunmasında oldukça etkindir.
- İşletmelerin bilgi varlıklarını kaybetme riskini minimuma indirmektedir.
- İş sürekliliğine sağladığı ciddi katkıyla personelin verimliliğini artırmaktadır.
- Bilgi varlıklarının gizliliğinin korunmasında önemli bir destekçidir.
- Bilgi ve bilgi metotlarının doğruluğunu ve bütünlüğünü koruduğu gibi içeriğinin değişmemesi içinde gerekli tedbirleri almaktadır.
- Bilgi sistemlerinin korunması için firma genelinde yöntemler geliştirerek farkındalık yarattığı gibi bu sistemlerdeki zayıflıkları tespit ederek gerekli güvenlik tedbirlerini almaktadır.
- Firmaların bilgi varlıklarına erişimini kontrol altına almaktadır.
- Yasal tarafların gerekli gördüğü kriterlere uyumu kolaylaştırmaktadır.
- Firmaların önemli bir rekabet avantajı elde etmesini sağlamaktadır.
- Firmanın saygınlığının korunmasına yardımcı olmaktadır.
ISO 27001 Hangi Firmaları İlgilendirir?
ISO 27001 Bilgi Güvenliği Kapsamı dünyanın tüm ülkelerinde her sektörde faaliyet gösteren büyük ve küçük yapıdaki bütün firmaları ilgilendirmektedir. ISO 27001 standardının en fazla gerekli olduğu kurumlar arasında sağlık, finans, kamu ve bilgi teknolojileri sektörlerinde faaliyet gösteren kurumlar yer almaktadır. Ayrıca başka firmalar için bilgiyi yöneten bilgi teknolojileri taşeron şirketleri açısından da ISO 27001 standartları çok büyük bir önem taşımaktadır. Yine ISO 27001 standartları sayesinde müşterilere bilginin en iyi şekilde korunduğu ve güven altında olduğu mesajı da verilmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni alması gereken firmalar ise şöyledir;
- İmtiyaz sözleşmesini imzalamış olan firmalar
- Görev sözleşmesini imzalamış olan firmalar
- Altyapı işletmeciliği hizmeti vermekte olan firmalar
- Uydu haberleşmesi hizmeti vermekte olan firmalar
- Sabit telefon hizmeti vermekte olan firmalar
- Sanal mobil şebeke hizmeti vermekte olan firmalar
- GMPCS mobil telefon hizmeti vermekte olan firmalar
- İnternet servisi sağlayan firmalar
- E-fatura özel entegratör yetki belgesini edinmek isteyen firmalar
- Gümrük işlemlerini kolaylaştırma yetki belgesini edinmek isteyen ihracatçı firmalar
- Hava taşıtları için GSM 1800 mobil telefon hizmeti vermekte olan firmalar
- Bilişim sektöründe faaliyette olan ve kamu ihaleleri yoluyla donanım, yazılım ve entegratör işlerini almak isteyen firmalar
- Elektronik altyapı şebekesini sağlamakta ve altyapısını işletmekte olan firmalar
ISO 27001 Sisteminin Avantajları Nelerdir?
- Firmaların prestijini korumakta ve artırmaktadır.
- Etkin bir risk yönetimi için tehdit ve riskleri tespit etmektedir.
- İş sürekliliğini sağlayarak firmaların verimliliğinin artmasına katkı sağlamaktadır.
- Yüklenicileri, alt yüklenicileri ve personeli güvenlik konularıyla ilgili bilgilendirerek farkındalık seviyelerini yükseltmektedir.
- Bilgi kaynaklarına erişimi denetlemektedir.
- Bilgi varlıklarının doğruluğunu, bütünlüğünü ve gizliliğini koruyarak güvence altına almaktadır.
- Sistemler ister elle, ister otomatik yönetilsin duyarlı bilgilerin amacına uygun kullanılmasını garanti altına almak için gerçekçi kontrol sistemi kurmaktadır.
- Müşteriler, personel ve yüklenici firmalar görevlerini yerine getirdiği esnada bilgi sistemleri kaynaklarının kötü amaçlı kullanılmasını ya da bilgi kaynaklarının suiistimal edilmesini engellemektedir.
- Firmalar açısından duyarlı olan bilgilerin üçüncü taraflar ile denetmenlere uygun olarak açık olmasına yardımcı olmaktadır.
- ISO 27001 sisteminin sağladığı bir diğer avantajda başkalarının gerçekleştirebileceği suistimal ve tacizlerden dolayı personelin zan altında kalmaması için gerekli tedbirleri almaktadır.
ISO 27001 Belgesinin Faydaları Nelerdir?
- Yürürlükte olan yasa ve düzenlemelere bağımsız olarak uygun davranıldığını göstermenin en kolay yoludur.
- Bilgilerin güvenilirliğine yönelik gereken özenin gösterildiğini müşterilere hissettirdiği için rekabette üstünlük sağlamaktadır.
- Bilgi varlıklarının gizliliğinin yanı sıra firmaların prestijinin korunmasına da destek olmaktadır.
- Bilgi kaynaklarına erişimi sürekli denetleyerek başkaları tarafından yapılması muhtemel suistimal ve tacizleri engellediği için personelin zan altında kalmasının önüne geçmektedir.
- Üçüncü tarafların ve denetçilerin duyarlı bilgilere uygun bir şekilde ulaşmasını sağlamaktadır.
- İş sürekliliğini sağlayarak firmalara maddi avantaj sağlamaktadır.