ISO 27001

ISO 27001 Belgelendirme

Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir.

Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.

ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir.

Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

1990’lı yılların ortalarına doğru İngiltere’de bazı sanayi kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmış, 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır.

>Uluslararası Standartlar Komitesi (ISO) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır.

Bilgi Güvenliği Yönetimi İçin uygulama prensiplerini içeren standardın son gözden geçirmeleri 2004 Ekim’de tamamlanmıştır, 2005 yılında yayınlanarak yürürlüğe girmiştir.

Ardından, 2013 yılında son revizyonuna uğrayarak ISO 27001:2013 olarak yayınlanan bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.

 

• Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.

• Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı

• Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses

• Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.

• Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.

• Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi

• Uygulanabilirlik bildirgesi: Kuruluşun BGYS'si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildiri.