ISO 27001 Nedir?

ISO 27001, Bilgi güvenliği yönetim sistemine (BGYS) odaklanır. ISO 27001’in son versiyonu 2013 yılında Uluslararası Standardizasyon Örgütü ve Uluslararası Elektronik Komisyonu (ISE) tarafından yayınlandı. ISO 27001:2013 bir şirkette bilgi güvenliğinin nasıl yönetileceğini temel alarak, kuruluşunuzun finansal bilgiler, ticari bilgiler, BT sistemleri, kişilerin sınıflandırılmış verileri, projeler ve çok daha fazlası gibi varlıklarına güvenlik sağlar, risk yönetimi süreci uygulanarak güvence altına alınmalıdır.

ISO 27001, bir bilgi güvenliği yönetim sisteminin uygulanması, izlenmesi, kurulması, işletilmesi, gözden geçirilmesi, yönetilmesi ve yükseltilmesi için bir kılavuz oluşturmak üzere oluşturulmuştur. ISO 27001, küçük veya büyük, özel veya devlete ait, kar amacı güden veya kâr amacı gütmeyen herhangi bir kuruluş tarafından uygulanabilir. ISO 27001’in bireysel olarak çalışmadığını unutmamak önemlidir. Bunun yerine, mevcut güvenlik risklerini göz önünde bulundurmak ve mevcut tehditlere ve güvenlik açıklarına dayalı olarak uygun önlemleri almak için yönetim tarafından girdi gerektirir. Yönetim, mevcut sorunları ele almak için kendi güvenlik kontrollerini veya diğer risk yönetim biçimlerini, yani riskten kaçınma veya risk transferi oluşturmalı ve yürütmelidir.

ISO 27001 Neden Gereklidir?

Standart olarak, işletmelere belirli bir düzeyde bilgi güvenliğini sağlamak için belirlenmiştir. ISO 27001, aşağıdakiler gibi sertifikasyon gerekliliklerini ölçmek için uygulanması gereken farklı kontrolleri ortaya koymaktadır:

  1. Potansiyel bilgi güvenliği risklerinin belirlenmesi.
  2. Kontrollerin ideal şekilde uygulanması ve yönetimi için güvenli bir çerçeve sağlamak.
  3. Yasalara ve düzenlemelere uygun şekilde yönetilmesi.
  4. Bilgi güvenliği yönetiminin amaçlarını özetlemek.
  5. İşletmelerin takip etmesi gereken bilgi güvenliği politikalarının, standartlarının ve süreçlerinin altını çizmek.

Faydaları Nelerdir?

  • Bir şirketin sınıflandırılmış verilerinin güvenliği.
  • Şirketinizin risk yönetiminde tüketici ve paydaşların güveni.
  • Şirketinizin varlıklarının korunması.
  • Şirketinizin itibarını ve güvenilirliğinin korunması.
  • Diğer şirketlere göre tercih edilmeyi arttırması.
  • Geliştirilmiş müşteri ve iş ortağı güveni sağlaması.
  • Risk değerlendirmesi nedeniyle daha düşük bir masraflar oluşması.
  • Verilerin güvenli alışverişini sağlaması.
  • Şirketteki düzenli bakımların yapılması.

ISO 27001 Kontrolleri

ISO 27001, herhangi bir bilgi güvenliği kontrolünü doğrudan bir zorunluluk haline getirmese de, uygulama kurallarında (ISO 27002) dikkate alınması gereken bir kontrol, kontrol listesine sahiptir. Ana bölümler şunları içerir:

  • Risk yönetimi.
  • Güvenlik Politikası.
  • Bilgi Güvenliği.
  • Varlık Yönetimi.
  • İnsan Kaynakları Güvenliği.
  • Çevre Güvenliği.
  • İletişim ve Operasyon Yönetimi.
  • Giriş kontrolu.
  • Bilgi Sistemi Edinimi.
  • Bilgi Güvenliği Olay Yönetimi.
  • İş sürekliliği yönetimi.

Nasıl Çalışır?

ISO 27001, yukarıdan aşağıya, teknolojiden bağımsız, risk temelli bir yaklaşımla çalışır. Spesifikasyon, altı parçalı bir plan sürecini tanımlar:

  • Güvenlik yönetimi oluşturulması.
  • (BGYS) bilgi güvenliği yönetim sisteminin kapsamını yönetilmesi.
  • Zincirleme bir risk değerlendirmesi.
  • Belirlenen riskleri kontrol edilmesi.
  • Seç-kontrol hedefleri ve gerçekleştirilecek kontrollerin belirlenmesi.
  • Bir uygulanabilirlik beyanı geliştirilmesi.

Ayrıca bir organizasyonun tüm bölümleri arasında koordinasyon sağlar ve yönetimin mesuliyet algısını geliştirir, sürekli iyileştirme sağlar, iç denetimleri yönetir, düzeltici ve savunma amaçlı eylemler gerçekleştirir.

ISO 27001 Sertifikası Nasıl Alınır?

ISO 27001’i kuruluşunuzda uygulamak için şu 10 adımı izlemelisiniz:

  • Plan yapın.
  • Üst yönetim desteği alın.
  • Bir yönetim yapısı düzenleyin.
  • Bir risk değerlendirmesi yapın.
  • Risk değerlendirmesi ve risk tedavisini gerçekleştirin.
  • Eğitim yürütün.
  • Gerekli belgeleri gözden geçirin ve güncelleyin.
  • Ölçün, izleyin ve gözden geçirin.
  • Bir iç denetim yapın.
  • Kayıt/sertifika denetimlerini yapın.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »