ISO 27001 Bilgi Güvenliği Yönetim Sistemi (Information Security Management System)
Bu standard, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (Information Security Management System -ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Bir kuruluş için BGYS’nin benimsenmesi stratejik bir karar olmalıdır.
Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir.
Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir.
Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.
Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
Standarta göre her türlü formda bilginin korunması ve saklanması esastır, özellikle de müşterinize ait bilgileri gizlemekten sorumluysanız. Bunun gerçekleştirilmemesi , ticari kayıp ve itibar kaybı anlamına gelir bu da pahalı bir hukuk davasıyla sonuçlanabilir.
ISO 27001:2005, muhafaza edilen bilginin güvenilirliğini, gizliliğini ve geçerliliğini garantilemede koruma ve kontrol sağlar.
ISO 27001:2005, Bilgi Güvenliği Yönetim Sistemi (BGYS) için esas oluşturur ve tüm sektörlerdeki her ölçekte kuruluşa uygulanır. BGYS Sertifikası sizin müşterilerinize, tedarikçilerinize ve devlet kurumlarına karşı sizin Bilgi Güvenliği için sağladığınızı gösterir.
Bu nedenle bilgi güvenliği, kuruluşunuzun faaliyetleri, hatta belki devamı için büyük önem taşır. ISO/IEC 27001 sertifikasyon (belgelendirme)u, değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.
ISO 27001 Belgesi Nasıl Alınır?
ISO 27001 Bilgi Güvenliği Yönetim Sistemleri belgelendirilmesi, kuruluşun kurmuş olduğu Bilgi güvenliği yönetim sistemlerinin bağımsız ve akredite bir sertifikasyon (belgelendirme) kuruluşunun denetiminden başarıyla geçmesi ve bunun devamlılığını sağlaması ile mümkündür. Kuruluş, Bilgi Güvenliği Yönetim Sistemi standardın gereksinimlerini karşılayacak şekilde kurduktan sonra, bu sistemin belgelendirilmesi için bir sertifikasyon (belgelendirme) kuruluşu ile anlaşır. Sertifikasyon (belgelendirme) kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereksinimlerini karşılayıp karşılamadığını tespit etmek üzere bir sertifikasyon (belgelendirme) denetimi yapar. Bu denetim sonucunda sertifikasyon (belgelendirme) kuruluşu, kurulmuş olan bilgi güvenliği sisteminin ilgili standardın gereksinimlerinin yeterince karşılandığına karar verirse, kuruluşun bilgi güvenliği sistemini belgelendirir.
Böylece kuruluş iso belgesi nin kullanım haklarına sahip olur .Kuruluşun bilgi güvenliği sistemini belgelendirilmesinin ardından Sertifikasyon (belgelendirme) Kuruluşu, kuruluşun standardın gereklerini yerine getirmeye devam edip etmediğini tespit etmek üzere belirlenmiş aralıklarla takip denetimleri yapar. Kuruluşun Bilgi güvenliği yönetim sistemlerine verilmiş olan bu belge, aslında tamamen sertifikasyon kuruluşunun malı olup belirli bir süre için kuruluşa ödünç verilmiştir. Yapılan bu takip denetimleri sonucunda Sertifikasyon (belgelendirme) Kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereklerini yeterince sağlamadığı kararına varırsa, kuruluşa ödünç vermiş olduğu iso 27001 belgesi ni geri alabilir
ISO 27001 Belgesi Ne Kadar Sürede Alınır?
Standart, sistemin kurulması ve dokümante edilmesi için gerekli genel kuralları tanımlar. Bir ürüne ait değildir. Bu nedenle firma veya kurum , kendi sektörüne göre standardı uygulamak zorundadır. ISO 27001 Standardının firma veya kuruma adapte edilmesi; yapısına, personel sayısına, fonksiyonel durumuna ve yönetiminin inanmasına bağlı olarak uzun veya kısa zaman alabilir. Ayrıca sistem kurucunun (firma veya kurum içinden bir personel veya personel grubu ya da danışman kuruluş olabilir) konuya vakıf ve disiplini de süreyi etkiler.
ISO 27001 Belgesi Nereden Alınır?
ISO 27001 Sitemi belgelendirmesine karar veren ve bu yönde tüm hazırlıklarını tamamlayan her firmalar, ulusal veya uluslararası platformda kabul görmüş ve tanınmış bir belgelendirme kuruluşuna müracaat eder. Belgelendirme kuruluşunun seçimi tamamen firmaya aittir ve kanuni bir zorunluluk yoktur. Firma veya kurum; müşteri portföyünü değerlendirerek, belgelendirme kuruluşunu seçmelidir.
ISO 27001 Belgesinin Süresi Var mıdır?
ISO 27001 Belgesi nin alınacağı kuruluşu seçildikten sonra, firma veya kurumun denetimi için bir plan ve program yapılır ve firma veya kurum denetiminden sonra uygun olan sistem belgelendirilir. ISO 27001 belgeleri üç yıl için verilir ve her yıl ara denetimlerle takip edilir. Üç yılın sonunda ise yeniden belgelendirme tetkiki yapılır.
ISO 27001 Belgesi Neden Alınır?
Bilgi varlıklarının farkına varma: Kuruluş ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde hangi bilgi varlıklarının olduğunun ve bunların değerinin farkına varır.
Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde koruma metotlarını belirler ve uygulayarak korur.
İş sürekliliği: ISO 27001 Bilgi Güvenliği Yönetim Sistemi firmanın uzun yıllar boyunca işini garanti eder. Ayrıca ISO 27001 Bilgi Güvenliği Yönetim Sistemi bir felaket halinde, işe devam etme yeterliliğine sahip olur.
İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde bilgileri korunacağından ilgili tarafların güvenini kazanır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
ISO 27001 belgesi ile Bilgi Güvenliği Yönetim Sistemi kuran firmaları müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi çalışanların motivasyonunu arttırır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi yasal takipleri önler.
ISO 27001 belgesi Bilgi Güvenliği Yönetim Sistemi yüksek prestij sağlar.
