ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001: 2017, Bilgi Güvenliği Yönetim Sistemi (ISMS) işletmelerin bilgi güvenliği süreçlerini yönetmeleri için uluslararası kabul görmüş en iyi uygulama çerçevesi ve Dünya çapında en popüler bilgi güvenliği standartlarından biridir.

a- ISO ve IEC Hakkında

ISO, Uluslararası Standartlar Örgütü'nü temsil eder. Bu, ISO 27001 sertifikası alan tüm kuruluşların aynı yüksek standartlarda çalıştığı anlamına gelmektedir.

IEC, herhangi bir hükümetten bağımsız olarak çalışan kar amacı gütmeyen bir kuruluş olan Uluslararası Elektroteknik Komisyonu anlamına gelmektedir

b- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Tarihçesi

ISO 27001, 1995 yılında yayınlanan İngiliz Standardı 7799'a kadar uzanabilir. Başlangıçta DTI tarafından yazılmıştır ve birçok revizyondan sonra ISO, kuruluşların bilgi tutmasına yardımcı olmak için ISO 27000 serisinde uluslararası kabul görmüş en iyi uygulama standardına dönüştürmüştür.

c- ISO 27001: 2017'nin faydaları nelerdir?

ISO 27001 BGYS kuruluşunuz için bilgi güvenliği ve veri koruma risklerini azaltmanıza yardımcı olacaktır

İster işletmenize ait değerli bilgileriniz isterse müşterilerinizin bilgileri olsun, kötü yönetilen bilgi güvenliğinin maliyeti işletmeler için yüksek olabilir. ISO 27001 gerekliliklerinin birçoğu aynı zamanda Veri Korunmasına yönelik yasalara uyum gerekliliklerini karşılar ve genel olarak çok daha fazla bilgi güvencesi verir.

ISO 27001'in uygulanması, düzenleyici otoritelere, kuruluşunuzun sahip olduğu bilgilerin güvenliğini ciddiye aldığını ve riskleri belirleyerek, bunları ele almak için mümkün olduğunca yapıldığını gösterecektir.

Bu uluslararası kabul görmüş 'en iyi uygulama' standardı olduğu için, çalışmak istediğiniz kişilerin kendilerini güvende hissetmelerini sağlar.

d- ISO 27001 zamandan ve paradan tasarruf anlamına gelir

Yeterli seviyede korunmayan bilgi işletmeler için direk ve endirek maliyetlere sebep olmaktadır. Verilerin kaybolması, zarar görmesi kaynaklı işletmenizde oluşan yeniden veri işleme maliyetlerinin yanı sıra koruyamadığınız veriler kaynaklı ödenecek cezalar, müşteri kayıpları endirek maliyet olarak karşımıza çıkmaktadır.

e- ISO 27001, itibarı artırır ve kuruluşa güven kazandırır

Haber, sistemlerinin saldırıya uğradığı ve müşteri verilerinin açığa çıkarıldığı ve kullanıldığına dair bir haber geldiğinde, bir kuruluş için çok daha kötü olmaz. ISO 27001 bilgi güvenliği yönetim sistemi ile, ihlal risklerini tanımlamak ve gerçekleşmeden önce önlemek için daha iyi bir konumda olacaksınız. İş dünyasında olduğu gibi, güven de önemlidir. Ancak bağımsız olarak denetlendiğinizi göstermek, bu güveni pekiştirir.

f- ISO 27001: 2017'ye ulaşmak için ne yapılmalı?

Standardın temel gereklilikleri, 4.1'den 10.2'ye kadar olan maddede ele alınmaktadır ve risk değerlendirmesi ve tedavi çalışmanıza bağlı olarak uygulamayı seçebileceğiniz Ek A kontrolleri A.5 ila A.18'de (her ikisi de bu sayfanın altındaki).

ISO 27001 sertifikası almak istiyorsanız, tüm temel ISO 27001 gereksinimlerini karşılamanız beklenir. (6.1) 'deki temel temel gereksinimlerden biri bilgi güvenliği risklerini tanımlamak, değerlendirmek, değerlendirmek ve tedavi etmektir. Bu risk yönetimi süreci, güvenlik odaklı risklerin yönetiminde ISO 27001 Ek A kontrollerinden hangisinin uygulanması gerekebileceğini belirlemeye yardımcı olacaktır.

Bazı kuruluşlar Bilgi Güvenliği Yönetim Sistemini sertifikaya almamayı seçebilir, ancak ISO 27001 standardına uyum sağlayabilir.

g- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Faydaları

  • Doğru, güvenilir ve geçerli bilgileri sağlamaktadır.
  • Gereksiz bilgilerin zaman kaybı meydana getirmesinin önüne geçer.
  • Süreklilik sağlar.
  • Bilgi gizliliğini ortaya koymaktadır.
  • Bilgilerin ne şekilde saklanacağını belirtmektedir.
  • Yasal zorunlulukları yerine getirir.
  • Kurumsal saygının meydana gelmesinde etkilidir.
  • Bilgilerin bütünlüğünün korunmasını ve içerdiklerinin değişmemesini sağlamaktadır.
  • Sektörel rekabet ortamından avantaj sağlamaktadır.
  • Verileri en küçük düzeyde korumaktadır.
  • Kurumsal firmaların zorunlu kriterlerini hayata geçirmektedir.

h- ISO 27001:2017 Belgelendirme Süreci;

Süreç Belgelendirme Kuruluşuna karar vermekle başlar ve sertifikalandırma ile sonlanır. Karar aşamasında;

  • Belgelendirme Kuruluşunun sektörünüz ile ilgili Akreditasyonu (TÜRKAK, UKAS, DAKs…) olup olmadığı,
  • Belgelendirme kuruluşunun akredite olduğu teşkilatın Karşılıklı Tanınma Anlaşmasını imzalamış olması (Ör: TÜRKAK, UKAS, DAKs…)
  • Kuruluşun ve Akreditasyon teşkilatının güvenilirliği, referansları, bilinirliği,

Kontrol edilerek kuruluşa karar verilmelidir.

Belgelendirme süreci;

  • Belgelendirme Denetimi (Aşama 1 ve Aşama 2 denetimleri)
  • Gözetim Denetimi (İlk Belge yayın tarihinden sonra en geç 12 ay içerisinde yapılmalıdır)
  • Gözetim Denetimi (İlk Belge yayın tarihinden sonra en geç 12 ay içerisinde yapılmalıdır)

olmak üzere 3 yıllık bir çevrimi kapsamaktadır.

Belgelendirme kuruluşunun denetimlerde harcayacağı süreler uluslararası standart ve klavuzlar da (MD 5, ISO 27006, ISO 50003….) tanımlanmış olup tüm akredite belgelendirme kuruluşları bu sürelere uygun denetim yapmak zorundadır. Belgelendirme ücretlerinin belirlenmesinde bu süreler referans alınmaktadır.

ı- ISO 27001:2017 Belgelendirme Ücretleri Ne Kadardır?

Belgelendirme ücretlerinin belirlenmesinde denetim gün sayısı ve belgelendirme kuruluşunun günlük ücret politikası olmak üzere 2 kriter vardır.

Bu kriterlerden denetim gün sayısı aynı standart ve klavuzlara göre belirlendiğinden tüm belgelendirme kuruluşları için aynı olup toplam ücreti Belgelendirme Kuruluşunun yayınladığı günlük denetim ücretleri belirlemektedir.

İşletmelerin aynı tesis için çok farkı fiyatlar ile karşılaşmasının ana nedeni tamamen ticari kaygılarla yönetilmekte olan ve hiçbir güvenilirliği olmayan Belgelendirme Kuruluşlarıdır. Bu tür Belgelendirme Kuruluşlarından satın alınan belgelerin güvenilirliğine, marka değerine ve geçmiş yıllardaki askı/iptal durumlarına dikkat edilmesi işletmeler adına oldukça önem arz etmektedir.

TOP