Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. Bilgi birçok biçimde bulunabilir. Kâğıt üzerine yazılmış ve basılmış olabilir, elektronik olarak saklanmış olabilir, posta yoluyla veya elektronik imkânlar kullanılarak gönderilebilir, filmlerde gösterilebilir veya karşılıklı konuşma sırasında sözlü olarak ifade edilebilir.
Bilgi hangi biçimi alırsa alsın veya paylaşıldığı veya toplandığı hangi anlama gelirse gelsin her zaman uygun bir şekilde korunmalıdır. Bilgi güvenliği, aşağıdaki maddelerin korunması olarak tanımlanır:
Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmek.
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek.
Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etmek.
- Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
- İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
- Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
- Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
- Çalışanların motivasyonunu arttırır.
- Yasal takipleri önler.
- Yüksek prestij sağlar.
- Risklerini belirleyip yöneterek en önemli unsur olan iş sürekliliğini sağlayabilecektir.
- Bir kuruluşun ISO 27001 sertifikasına sahip olması, kurumun güvenlik risklerini bildiği, yönettiği, belli riskleri de ortadan kaldırmak için kaynak ayırdığı anlamına gelmektedir.
- ISO 27001 Bilgi Güvenliği Yönetim Sistemlerini belgelendirme isteyen kuruluşlar özellikle uluslararası akreditasyon kuruluşlarından akredite olmuş belgelendirme kuruluşlarından ISO 27001 belgesini almalıdırlar. Akreditasyonsuz olarak verilen ISO 27001 belgesinin hiçbir geçerliliği yoktur.
Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş Iso 27001 Belgesi’ni özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.
Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin kurumların ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.
Aşama -1 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi
- Birinci aşamada ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetim / belgelendirme kuruluşu, hazırlanan dokümantasyonun gizlilik içeren dokümanları hariç,
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yaklaşım metodu dokümantasyonu (risk değerlendirme ve derecelendirme kısımları, hafifletme planları, penetrasyon testleri vb. bölümleri hariç)
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Politikaları
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Prosedür ve prosesler
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararları
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulanabilirlik bildirgesi üzerinden gerekli değerlendirmeleri yapar.
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre eksiklikler tespit edilmişse veya öneriler varsa bunların yapılandırmasını talep edebilir.
Aşama-2 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-1 denetiminden itibaren en geç 3 ay içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-2 denetimi gerçekleştirilir. Bu denetimde kurulan sistemin uygulamaları gözden geçirilir ve uygulamaya yönelik olarak şartlar ve şartların yerine getirildiğine dair objektif deliller toplanarak denetim sonuçlandırılır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetim sonrası denetçiler raporlarını oluşturarak sistemin yeterlilikleri, eksiklikleri ve önerilerini içeren bir raporla ISO 27001 Belgesi verilmesi taleplerini belgelendirme kuruma iletirler.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Sertifika düzenleme
ISO 27001 Belgelendirme Kuruluşu bağımsız üyelerden oluşan tescil komitesi uygun görmesi halinde kurumun TS / ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini veya sertifikasını düzenler.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin süresi nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sitemi Belgesi sertifikasının süresi 3 yıl dır.
Süreç aşağıdaki gibidir:
- 1. yıl belgelendirme denetimi
- 2. ve 3. yıl gözetim denetimleri
- 3. yıl yenileme denetimi