OzzTech - ISO 27001 Nedir?

ISO 27001 Nedir?

ISO 27001 Nedir?

ISO 27001, Bilgi güvenliği yönetim sistemine (BGYS) odaklanır. ISO 27001'in son versiyonu 2013 yılında Uluslararası Standardizasyon Örgütü ve Uluslararası Elektronik Komisyonu (ISE) tarafından yayınlandı. ISO 27001:2013 bir şirkette bilgi güvenliğinin nasıl yönetileceğini temel alarak, kuruluşunuzun finansal bilgiler, ticari bilgiler, BT sistemleri, kişilerin sınıflandırılmış verileri, projeler ve çok daha fazlası gibi varlıklarına güvenlik sağlar, risk yönetimi süreci uygulanarak güvence altına alınmalıdır.

ISO 27001, bir bilgi güvenliği yönetim sisteminin uygulanması, izlenmesi, kurulması, işletilmesi, gözden geçirilmesi, yönetilmesi ve yükseltilmesi için bir kılavuz oluşturmak üzere oluşturulmuştur. ISO 27001, küçük veya büyük, özel veya devlete ait, kar amacı güden veya kâr amacı gütmeyen herhangi bir kuruluş tarafından uygulanabilir. ISO 27001'in bireysel olarak çalışmadığını unutmamak önemlidir. Bunun yerine, mevcut güvenlik risklerini göz önünde bulundurmak ve mevcut tehditlere ve güvenlik açıklarına dayalı olarak uygun önlemleri almak için yönetim tarafından girdi gerektirir. Yönetim, mevcut sorunları ele almak için kendi güvenlik kontrollerini veya diğer risk yönetim biçimlerini, yani riskten kaçınma veya risk transferi oluşturmalı ve yürütmelidir.

ISO 27001 Neden Gereklidir?

Standart olarak, işletmelere belirli bir düzeyde bilgi güvenliğini sağlamak için belirlenmiştir. ISO 27001, aşağıdakiler gibi sertifikasyon gerekliliklerini ölçmek için uygulanması gereken farklı kontrolleri ortaya koymaktadır:

  1. Potansiyel bilgi güvenliği risklerinin belirlenmesi.
  2. Kontrollerin ideal şekilde uygulanması ve yönetimi için güvenli bir çerçeve sağlamak.
  3. Yasalara ve düzenlemelere uygun şekilde yönetilmesi.
  4. Bilgi güvenliği yönetiminin amaçlarını özetlemek.
  5. İşletmelerin takip etmesi gereken bilgi güvenliği politikalarının, standartlarının ve süreçlerinin altını çizmek.

Faydaları Nelerdir?

  • Bir şirketin sınıflandırılmış verilerinin güvenliği.
  • Şirketinizin risk yönetiminde tüketici ve paydaşların güveni.
  • Şirketinizin varlıklarının korunması.
  • Şirketinizin itibarını ve güvenilirliğinin korunması.
  • Diğer şirketlere göre tercih edilmeyi arttırması.
  • Geliştirilmiş müşteri ve iş ortağı güveni sağlaması.
  • Risk değerlendirmesi nedeniyle daha düşük bir masraflar oluşması.
  • Verilerin güvenli alışverişini sağlaması.
  • Şirketteki düzenli bakımların yapılması.

ISO 27001 Kontrolleri

ISO 27001, herhangi bir bilgi güvenliği kontrolünü doğrudan bir zorunluluk haline getirmese de, uygulama kurallarında (ISO 27002) dikkate alınması gereken bir kontrol, kontrol listesine sahiptir. Ana bölümler şunları içerir:

  • Risk yönetimi.
  • Güvenlik Politikası.
  • Bilgi Güvenliği.
  • Varlık Yönetimi.
  • İnsan Kaynakları Güvenliği.
  • Çevre Güvenliği.
  • İletişim ve Operasyon Yönetimi.
  • Giriş kontrolu.
  • Bilgi Sistemi Edinimi.
  • Bilgi Güvenliği Olay Yönetimi.
  • İş sürekliliği yönetimi.

Nasıl Çalışır?

ISO 27001, yukarıdan aşağıya, teknolojiden bağımsız, risk temelli bir yaklaşımla çalışır. Spesifikasyon, altı parçalı bir plan sürecini tanımlar:

  • Güvenlik yönetimi oluşturulması.
  • (BGYS) bilgi güvenliği yönetim sisteminin kapsamını yönetilmesi.
  • Zincirleme bir risk değerlendirmesi.
  • Belirlenen riskleri kontrol edilmesi.
  • Seç-kontrol hedefleri ve gerçekleştirilecek kontrollerin belirlenmesi.
  • Bir uygulanabilirlik beyanı geliştirilmesi.

Ayrıca bir organizasyonun tüm bölümleri arasında koordinasyon sağlar ve yönetimin mesuliyet algısını geliştirir, sürekli iyileştirme sağlar, iç denetimleri yönetir, düzeltici ve savunma amaçlı eylemler gerçekleştirir.

ISO 27001 Sertifikası Nasıl Alınır?

ISO 27001'i kuruluşunuzda uygulamak için şu 10 adımı izlemelisiniz:

  • Plan yapın.
  • Üst yönetim desteği alın.
  • Bir yönetim yapısı düzenleyin.
  • Bir risk değerlendirmesi yapın.
  • Risk değerlendirmesi ve risk tedavisini gerçekleştirin.
  • Eğitim yürütün.
  • Gerekli belgeleri gözden geçirin ve güncelleyin.
  • Ölçün, izleyin ve gözden geçirin.
  • Bir iç denetim yapın.
  • Kayıt/sertifika denetimlerini yapın.

İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.