ISO/IEC 27001

ISO/IEC 27001 TARİHÇESİ

ISO/IEC 27001, ISO (Uluslar arası Standard Organizasyonu) tarafından ISO ve IEC teknik komitelerinin işbirliği ile 2005’in sonlarında Bilgi Güvenliği Standardı BS 7799-2’nin revize edilerek oluşturulan ve kuruluşların bilgi güvenliği yönetim sistemi kurmaları için gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Bilgi varlıklarını korumak, ilgili taraflara güven vermek, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

ISO/IEC 27001 NEDİR?

Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır.
Kuruluşların faaliyetleri ve belki devamı için büyük bir önem taşır. Bilgi güvenliği, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için bilgiyi geniş tehlike ve tehdit alanlarından korur.

ISO/IEC 27001, dokümante edilmiş bir Bilgi Güvenliği Yönetimi Sistemini kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir ve süreç yaklaşımını benimser. Kuruluştaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kuruluş, kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.

ISO/IEC 27001, size nasıl virüs bulaşmayacağını anlatmaz. Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. 
Toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.

Bilgi Güvenliği Yönetim Sistemi standardı, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluş türlerine (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
Ayrıca BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir. Bu sistem müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

Kuruluş, bu standardın şartlarını sağladığında ISO/IEC 27001 belgesini alabilir. ISO/IEC 27001 Belgesi, değerli bilgi varlıklarınızı yönetmenize ve korumanıza, ilgili taraflara özellikle de müşterilerinize güven vermenize yardımcı olur.

ISO/IEC 27001 STANDARTININ BAŞLIKLARI


0.1 Genel
0.2 Proses yaklaşımı
0.3 Diğer yönetim sistemleriyle uyumluluk
1 Kapsam
1.1 Genel
1.2 Uygulama 
2 Atıf yapılan standardlar ve/veya dokümanlar
3 Terimler ve tarifleri
3.1 Varlık 
3.2 Kullanılabilirlik
3.3 Gizlilik 
3.4 Bilgi güvenliği
3.5 Bilgi güvenliği olayı
3.6 Bilgi güvenliği ihlal olayı 
3.7 Bilgi güvenliği yönetim sistemi
3.8 Bütünlük
3.9 Artık risk
3.10 Riskin kabulü 
3.11 Risk analizi
3.12 Risk değerlendirme
3.13 Risk derecelendirme
3.14 Risk yönetimi 
3.15 Risk işleme 
3.16 Uygulanabilirlik bildirgesi 
4 Bilgi güvenliği yönetim sistemi
4.1 Genel gereksinimler 
4.2 BGYS’nin kurulması ve yönetilmesi 
4.3 Dokümantasyon gereksinimleri
5 Yönetim sorumluluğu
5.1 Yönetimin bağlılığı
5.2 Kaynak yönetimi 
6 BGYS iç denetimleri
7 BGYS’yi yönetimin gözden geçirmesi
7.1 Genel
7.2 Gözden geçirme girdisi
7.3 Gözden geçirme çıktısı
8 BGYS iyileştirme
8.1 Sürekli iyileştirme
8.2 Düzeltici faaliyet
8.3 Önleyici faaliyet

NEDEN ISO/IEC 27001?

·İşin sürekliliğini sağlar.

·Müşterinin güveni kazanılır.

·Yasal mevzuatlara uyulmuş olunur.

·Bilginin gizliliği, güvenilirliği ,yasal yükümlülüklerin ve ticari imajın korunması , sürdürülmesini sağlanır.

·Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden korur.