Uluslararası Standartlar Organizasyonu tarafından çıkarılan ISO/IEC 27001:2013 Bilgi Güvenliği Yönetimi Sistemi, değerli bilgi varlıkları korumaya ve yönetmeye yardımcı olan standartlar bütünüdür. Bu standard yönetim sistemi, yeterli ve orantılı güvenlik kontrollerinin seçilmesini sağlamak için tasarlanmıştır.
Teknolojinin ve iletişimin çok hızlı geliştiği çağımızda, iş ortamında sahip olunan bilginin korunması çok daha önemli bir hal almıştır. Bilgi, bir kuruluşun faaliyetlerini sürdürebilmesi için büyük önem taşır. Bilginin korunmasında oraya çıkacak güvenlik riskleri ve bilgi varlıklarına yönelik tehditleri belirlemek ve sistemdeki açık noktaları denetlemek ciddi bir uğraş gerektirmektedir. Bilgi Güvenliğini kurmak ve yapılacak kontrollerin sürekliliğini sağlamak, bununla ilgili güvenlik esaslarını doğru kurmaya, yönetim süreçlerini doğru belirlemeye ve bilgi güvenliği standardlarının belirlenmesine bağlıdır.
ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi kurmuş olan firmalar, bilgi alt yapılarını tespit edip, bu varlıklara yapılacak olası saldırıları ve tehlikeleri analiz ederek, bu tehlikelerin meydana gelmesi durumunda ne yapılacağına karar verirler.
ISO 27001 Belgesi, bilginin korunmasına yönelik risklerin neler olduğunu ortaya çıkarmak ve bu riskleri ortadan kaldırmaya veya minimize etmeye yarayacak önlemleri tespit edebilmek için kuruluşa büyük avantajlar sağlayacaktır. Bu Standard özellikle banka ve finans kuruluşlarında, sağlık kuruluşlarında, resmi dairelerde, ithalatta, ihracatta ve bilgi teknolojileri sektöründe bilginin korunması çok daha fazla önem taşımaktadır.
Bu standardın temel hedefleri, Kuruluşların olası bilgi güvenlik açıklarını tespit etmek, bilgi varlıklarının karşısında olan tehditleri ortaya koymak ve bu tehditleri sistematik olarak denetlemek. Risk altında olan bilgi varlıklarının güvenliğini sağlamak üzere yapılacak kontrolleri belirlemek, bu kontrollerin yapılmasını sağlamak ve olası riskleri kabul edilebilir seviyelerde tutmak. Bu şekilde yapılacak bilgi güvenliği kontrollerinde sürekliliği sağlamak ve bu amaçla yönetim süreçlerini belirlemek ve uygulamaktır.
ISO 27001 Standardı uygulaması, verilerin gizliliğini, doğruluğunu ve erişilebilirliğini savunmak için veri güvenliğinizi yöneticiler çerçevesinden kontrol eder. Sistemin tutarlılığının kontrol edilmesi, veri güvenliği faktörlerinin mekanik, kullanılabilir, prosedürel, insani ve ekolojik gibi alanlarda kontrol altına alındığını garanti etmeye çalışır.
ISO 27001 Sertifikası, hem kuruluş varlıklarını herhangi bir zayıflıktan ve dış saldırılardan korumak için hem de ister oluşturulmuş, ister elektronik veya ister başka ortamda olsun, verilerin tüm yaşam modeliyle başa çıkmak için her boyut ve türdeki kuruluşlara uygulanabilir. Standart sistem yapısı, müşterilerle veya kuruluşun kendisiyle karşılaştırmalı olarak kurum içi veya dışı, yeniden dağıtılmış bir halde oluşturulmalıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ilişkilerin tüm verilerin güvenliğiyle başa çıkmak için tehlike temelli bir yol almasını bekler. ISO 27001 kesinlikle kuralları koyan bir sistem standardı olarak kendini tanımlamaz ve kural koymaz. Kural koymak yerine, bir Uygulanabilirlik Beyanında bildirilen veri güvenliği tehlikelerinin değerlendirilmesi ve işlenmesi yoluyla veri güvenliğini garanti etmek için kurumların yetki oluşturmasını ve bilgi güvenliğini sağlamasını amaçlar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi onayınızı tamamlayarak, sisteminizin dünya çapındaki en iyi uygulamaları karşıladığını gösterebilir ve müşterilere, sağlayıcılara ve kuruluşunuzun oluşturduğu ve/veya elde ettiği verilerle güvenle başa çıkabileceğini ortaya koyabilirsiniz.
“ISO 27001 Standardı”, Bilgi Güvenliği Yönetim Sistemi için gereksinimleri belirleyen uluslararası kabul görmüş bir standarttır. Gereksinimler, yönetim sisteminizi nasıl oluşturacağınız, yöneteceğiniz ve geliştireceğiniz hakkında talimatlar sağlar. 2013 yılında güncellenen ve günümüzde “ISO 27001:2013” olarak adlandırılan standart, müşteri ve paydaş gizliliğinin korunması için bir ölçüt olarak kabul edilmektedir.
ISO Analizlerinden elde edilen sonuçlara göre; 2018 yılı sonu itibarı ile dünya genelinde yaklaşık 32.000 adet ISO 27001 Sertifikası bulunmakta ve 2017 yılına nazaran %19,2 azalma tespit edilmiş durumdadır. Önemli bir oranda azalma görülse de yine de belge sayılarının, bilgi teknolojileri ve güvenliği noktasında ilerleyen yıllarda çok fazla sayıda artması beklenmektedir.
Belgelendirme kuruluşu, Aşama 1 ve Aşama 2 denetimlerini gerçekleştirerek uygunluk durumuna göre ISO 27001 Belgesi Veren Firma’ dır. Bu faaliyeti gerçekleştiren firmalara, “3. Taraf Sertifikasyon Kuruluşu” denir.
Üçüncü Taraf Sertifikasyonu, Yönetim Sisteminizin bağımsız bir üçüncü taraf kuruluş tarafından denetlenmesidir. Bu denetim türü tipik olarak, TÜRKAK gibi AKREDİTASYON KURUMU bir devlet kuruluşu tarafından yetkilendirilen Uygunluk Değerlendirme Kuruluşları için kullanılır. Belge Veren Firmalar/Kuruluşlar, ISO 9001 , ISO 22000, ISO 45001, ISO 10002, ISO 39001, ISO 3834-2, ISO 17100, ISO 15838, ISO 37000 ve ISO 14001 gibi çeşitli standartlara uygun kayıtlı sertifikaları da verebilirler. ISQ, bu standartların tamamı için yetkili ve uzman bir ortağınızdır.
ISO 27001 Belgelendirme Süreci 2 aşamadan oluşur. Aşama 1’de, ISQ veya anlaştığınız başka bir denetim kuruluşu, teklif ettiğiniz kapsamın gerekliliklerini ve kendiniz için belirlediğiniz hedefleri karşılayıp karşılamadığınızı doğrular.
Denetim kuruluşu, bu noktada normal olan herhangi bir endişe konusu (uygunsuzluk) bulursa, daha iyi bir Bilgi Güvenliği Yönetim Sistemi’ ne sahip olmak için ekstra çaba sarf edeceksiniz demektir.
Denetim heyeti, denetimin 2. aşamasına başlamadan önce, endişe duyduğunuz alanları ele almak için size biraz zaman verecektir. Aşama 2'de, tüm endişe alanlarının (uygunsuzlukların) düzeltildiğinden emin olmak ve bilgi güvenliği yönetim süreçlerinin uygulanmasında ortaya çıkacak uygunluk durumu ve uygunsuzlukları tespit etmek için sisteminiz tekrar değerlendirilecektir. Bu aşamada, büyük uygunsuzluklar yoksa, sertifikanız verilebilir; aksi takdirde, denetimin bir sonraki ziyaretinden önce mevcut uygunsuzlukları düzeltmeniz için zaman verilecektir. Uygunsuzlukları giderdikten sonra ISO 27001 sertifikası almaya hak kazanacaksınız.
Tipik olarak, ISQ gibi bir belgelendirme kuruluşu, sertifikanız yayınlandıktan sonraki ilk üç yıl boyunca yönetim sisteminizin yıllık gözetimini yapar. Bu şekilde, her şeyin standarda uygun şekilde çalıştığından ve uygulamaların ISO standart gereksinimlerini karşıladığından emin olacaksınız.
Veriler ve bilgiler her kuruluştaki değerli varlıklardır ve potansiyel risklerden veya tehditlerden korunmayı hak eder. Fikri mülkiyetinizi, finansal verilerinizi ve üçüncü taraf veya çalışan bilgilerini korumak için bir Bilgi Güvenliği Yönetim Sistemi uygulamanız gerekir.
“ ISO 27001 Sertifikası , hassas kurumsal verileri ve bilgileri çeşitli risklere karşı tanımlamanıza, yönetmenize ve korumanıza yardımcı olan süreçlerin ve politikaların birleşimine denir.”
“ISO 27001 Sertifikası'nın temel amacı, korunan veri ve bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaktır.”
NOT: ISO 27001 Belgesi almak isteyen kuruluş bu dokümante bilgiyi oluşturacak kaynaklara sahip değil ise Uzman bir Danışman Kuruluştan destek almalıdır.
ISO 27001 Belgesi Fiyatı: 2 aşamalı denetim ve sertifika ücreti toplamı alınarak ortaya çıkan para değeridir.
Yani, ISO 27001 Sertifikası Fiyatı (Ücreti) 2024 yılında; 26.500,00 TL ile 164.000,00 TL civarlarındadır.
Not: Yukarıda ortalama fiyat belirtilmekte olup, nihai fiyatlandırma firmanın büyüklüğü ve çalışan sayısına bağlı olarak değişmektedir.
En uygun ISO 27001 Belgesi Fiyatı için ISQ Belgelendirme’ yi tercih ederek kazananlardan olabilirsiniz!
ISO 27001 Sertifikası standart kriterlere uyumluluğunun bir parçası, Bilgi Güvenliği Yönetim Sistemi' nin kapsadığı kapsamı oluşturmaktır.
ISO 27001 Standart gereksinimlerin bu kısmı, Bilgi Güvenliği Yönetim Sistemi kapsamına giren ve bunun dışındaki alanların tam olarak iletişimini sağlar.
ISQ Belgelendirme denetçileri bir kuruluşun yürürlükte olan politikalara uyup uymadığını görmek için kapsam bilgi ve belgelerine başvururlar.
Kuruluşlar, bilgi güvenliği yönetim sistemleri için kapsamlarını oluşturmaları, kapsam dışında kalan alanlarını da belirlemeleri gerekir. Çoğu durumda, işletmelerin güvenli bilgilerle çalışma şeklini ve ilgili paydaşları ilgilendiren her şey belirlenen bu kapsam çerçevesinde geçerli olacaktır.
ISO 27001 Yönetim sisteminin zorunlu ve zor bir süreci olan Bilgi Güvenliği Yönetim Sistemi Kapsamı’ nın belirlenmesini kolaylaştıran 4 aşamayı aşağıda paylaşalım;
Kapsamı belirledik ne olacak?
Belirlenmiş bir kapsam, işin Bilgi Güvenliği Yönetim Sistemi tarafından kapsanan kısımları hakkında soru işareti bırakmaz. Müşteriler, dış taraflar ve çalışanlar, mevcut bilgi güvenliği yönetimini anlamak için belirlenmiş ve onaylanmış Bilgi Güvenliği Yönetim Sistemi kapsamına başvurabilirler.
Tüm taraflar, kapsamı inceleyebilir ve bilgilerin potansiyel riskler için yürürlükte olan sistemler, politikalar, prosedürler, uygulamalar ve iyileştirmeler için korunup korunmadığını açık şekilde anlayacaklar.
Kapsam Gereksinimleri Nedir?ISO 27001 Sertifikası için Bilgi Güvenliği Yönetim Sistemi, organizasyonel, fiziksel ve teknolojik kapsamını kapsamalıdır. Örgütün ve dış bağlamın ara yüzleri ve bağımlılıkları da kapsam dahilinde olmalıdır.
ISO 27001 kapsamında olan ilgili dış taraflar arasında müşteriler, düzenleyiciler, yatırımcılar, endüstri birlikleri ve hissedarlar bulunmalıdır. İlgili taraflar üst yönetim, bilgi güvenliği analistleri, varlık sahipleri ve son kullanıcılar olmalıdır.
İş faaliyetleri, Bilgi Güvenliği Yönetim Sistemi’ nin genel kapsamını etkileyebilir ve bu faaliyetleri değiştiren işlevleri destekleyebilir. Bir örnekle açıklayacak olursak; IT yazılım uygulamaları bu prosedürler için gereklidir. Dış kaynaklı fonksiyonlar hem iç tarafları hem de üçüncü taraf tedarikçileri kapsar ve bu şartlarda göz önünde bulundurulmalıdır.
ISO 27001 Kapsamı, kuruluşlara Bilgi Güvenliği Yönetim Sistemi’ nin kapsamını ve bu kapsamın dışında kalan alanları gösterir. Kuruluşlar, güvenli verileri korumak için olması gereken güvenlik önlemlerini değerlendirirken üst yönetim ve bilgi güvenliği ekiplerinin kararlarını yönlendirebilirler.
ISO 27001 Sertifikası, kuruluşlara bilgi güvenliği yönetim sistemi gereksinimleri olarak hizmet veren 10 madde ve kuruluş tarafından dikkate alınması gereken 114 denetimi özetleyen Ek A bölümünü de verir. Kuruluşlar bir şekilde herhangi bir boyuttaki ve türdeki bilgiyi çeşitli şekillerde toplar, işler ve iletirler. Bu faaliyetlerin yönetilmesi için ISO 27001 ile uyumlu bir Bilgi Güvenliği Yönetim Sistemi' nin uygulanmasından yararlanabilirler.
Standardın başlangıcında yer alan 3 maddesi, terimler, tanımlar ve ISO 27001'in normatif referansı hakkında giriş bilgilerini içermektedir. Yönetim sistemi kriterlerinin verildiği ana içerikler 4. maddeden başlar.
Bağlam organizasyonun Bilgi Güvenliği Yönetim Sistemi' ni inşa ettiği temeli oluşturan bir kavramdır. O işinizi ve ortamınızı tanımlamak ve analiz etmekle ilgilidir. Bunu yapmak için, Bilgi Güvenliği Yönetim Sistemi'nizin başarısını ve hedeflerine ulaşmasını etkileyebilecek tüm faktörleri belirlemelisiniz.
Kuruluşun bağlamını tanımlamanın önemi, risk yönetimi ve sürekli iyileştirme gibi daha sonra oluşturacağınız bazı önemli süreçlerin temelini oluşturmasıdır.
Bu noktada elde etmeniz gereken şey, bir Bilgi Güvenliği Yönetim Sistemi ile korumak istediğiniz varlıkların neler olduğunu ve nedenini tanımlamaktır.
Bağlamınız ve Bilgi Güvenliği Yönetim Sistemi' nizin kapsamı ne kadar açık ve net olursa diğer kuruluşlarla ilişkilerinizi görmeniz konusunda fırsatlar ve avantajlar sağlayabilir.
Üst yönetici bir organizasyon sürecine dahil olduğunda, istenen sonuçları elde etme şansı pasif olduğu ve dahil olmadığı zamandan çok daha yüksektir. Bilgi Güvenliği Yönetim Sistemi başarısı üst yönetim taahhüdüne dayanmaktadır ve standart, bu maddeyi liderlik rolü ve sorumluluğuna atayarak bu gerçeğe vurgu yapmaktadır. Üst yönetimin destek ve katılımı göstermek için yapması gerekenler şunlardır:
Bilgi Güvenliği Yönetim Sistemi için planlama yaparken, ISO 27001 riskleri ve fırsatları tanımlamak ve tedavi etmekle yakından ilgilidir.
Kuruluşların, riskleri tanımlayan, belirleyen ve ele alan bir risk yönetimi sürecine sahip olmasını gerektirir; standart aynı zamanda bunun şirkette sürekli iyileştirmeyi sağlamak için devam eden bir süreç olması gerektiğini vurgulamaktadır. İç ve dış konular ve ilgili tarafların gerekliliği açısından bulduklarınız, standardın 4. maddesinde risk yönetimi temelinde verilmektedir.
Planlamanın diğer kısmı bilgi güvenliği hedeflerinin belirlenmesi ve bu hedeflere ulaşılmasının planlanması ile ilgilidir. Bu hedefler Bilgi Güvenliği Yönetim Sistemi politikası ve risk yönetimi sonuçları ile uyumlu olmalıdır. Aynı zamanda, hedefler ölçülebilir olmalı ve kuruluş aracılığıyla iletilmelidir.
Yeterli seviyede destek, bir kuruluşta Bilgi Güvenliği Yönetim Sistemi' yi başarıyla uygulamak ve sürdürmek için gereklidir. Bu madde, Bilgi Güvenliği Yönetim Sistemi ile ilgili yeterli kaynak, yetkinlik, iletişim ve belgelenmiş bilgi olduğunda destek sağlamanızı istemektedir.
Kaynaklar arasında ISO 27001' e uyum sürecinde ihtiyaç duyulacak insan, zaman, bütçe, bilgi ve altyapı yer almaktadır.
İnsanlar ve yetenekleri sistemin gerekli bir parçası. Diğer yandan, bilgiye ihtiyaç duyan insanlar için bilgiye erişimi kolaylaştırmak için bir iletişim süreci mevcut olmalıdır. İletişim yelpazesi, gerekli olduğu ölçüde tüm iç ve dış ilgili tarafları içermelidir. Sorunsuz ve yeterli iletişim Bilgi Güvenliği Yönetim Sistemi' nin anahtarıdır.
Bu noktada, halihazırda mevcut organizasyonun bağlamını, risklerini ve fırsatlarını tanımladı ve gerekli süreçleri planladı başarmak Bilgi Güvenliği Yönetim Sistemi hedefleri ve riskleri ele alır. Şimdi planları uygulama zamanı.
Süreçler ve kontroller için ne zaman uygulama yaparsanız, Bilgi Güvenliği Yönetim Sistemi gereksinimlerinin planlandığı gibi karşılandığından emin olmanız ve kapsamınızda bir değişiklik olduğunda uygun işlemleri yapabilmeniz gerekir.
Süreç çıktısı, bir ayarlama gerektiğinde izlenmeli ve gözden geçirilmelidir; örneğin, ilgili tarafların yeni beklentileri veya Bilgi Güvenliği Yönetim Sistemi' de beklenmedik bir değişiklik olduğunda.
Gerekli süreçler uygulandığında, şirketin önceden belirlenmiş sonuçlara ulaşıp ulaşmadığını değerlendirme ve değerlendirme zamanı gelmiştir. Değerlendirme için;
Bilgi güvenliği performansı nasıl? Bilgi Güvenliği Yönetim Sistemi ne kadar etkili?Sorularını cevaplamak için, Bilgi Güvenliği Yönetim Sistemi süreçlerinin tam olarak nasıl ölçüleceğini belirlemeniz gerekir. ISO 27001, kuruluşların tüm Bilgi Güvenliği Yönetim Sistemi gerekliliklerinin karşılanıp karşılanmadığını görmekle sorumlu bir iç denetim programına sahip olunmasını bekler.
Üst yönetim bir kez daha tüm süreci gözden geçirmesi ve her şeyin kriterlere uygunluğunu, örgütün genel hedefleri ve stratejik yönü ile uyumlu olduğunu ortaya koymalıdır.
Her zaman iyileştirme için gereklilik bulunmaktadır. Bu, küçük veya büyük uygunsuzlukları ortadan kaldırarak veya Bilgi Güvenliği Yönetim Sistemi sürecinin farklı aşamalarında gerekli çalışmalar yapılarak sağlanabilir.
Herhangi bir kuruluşun genel bağlamı ve kapsamı, sürekli değişikliklere tabi olduğundan, Gelişme devam eden bir süreç ve etkili bir yönetim sisteminin kritik bir parçası olmalıdır.
Standart Ek A;
Ek A, bir kuruluşun göz önünde bulundurması gereken 114 güvenlik kontrolünün ana hatlarını çizer, bu kontroller 14 güvenlik alanına bölünmüştür:
A.5 Bilgi güvenliği politikaları
A.5.1 Bilgi güvenliği için yönetim yönü
Amaç: İşletme gereklilikleri ve ilgili yasa ve yönetmeliklere uygun olarak bilgi güvenliği için yönetim yönü ve desteği sağlamak.
A.6 Bilgi güvenliğinin organizasyonu
A.6.1 İç organizasyon
Amaç: Uygulamanın başlatılması ve kontrol edilmesi için bir yönetim çerçevesi oluşturmak operasyon kurum içinde bilgi güvenliği.
A.6.2 Mobil cihazlar ve uzaktan çalışma
Amaç: güvenlik tele-çalışma ve kullanım mobil cihazların.
A.7 İnsan kaynakları güvenliği
A.7.1 İşe başlamadan önce
Amaç: Çalışanların ve yüklenicilerin sorumluluklarını anlamalarını ve dikkate alındıkları roller için uygun olmalarını sağlamak.
A.7.2 İstihdam sırasında
Amaç: Çalışanların ve yüklenicilerin farkında olmalarını sağlamak yerine getirmek bilgi güvenliği sorumlulukları.
A.7.3 İş akdinin feshi ve değişimi
Amaç: organizasyonlar istihdamı değiştirme veya sona erdirme sürecinin bir parçası olarak çıkarlar.
A.8 Varlık yönetimi
A.8.1 Varlıkların sorumluluğu
Amaç: Kurumsal varlıkları ve uygun koruma sorumluluklarını tanımlamak.
A.8.2 Bilgi sınıflandırması
Amaç: Bilginin kuruluşa verdiği önem doğrultusunda uygun düzeyde koruma almasını sağlamak.
A.8.3 Ortam kullanımı
Amaç: Medyada depolanan bilgilerin izinsiz ifşasını, değiştirilmesini, kaldırılmasını veya imha edilmesini önlemek.
A.9 Erişim kontrolü
A.9.1 Erişim kontrolünün ticari gereksinimleri
Amaç: Bilgi ve bilgi işleme tesislerine erişimi sınırlamak.
A.9.2 Kullanıcı erişim yönetimi
Amaç: Yetkili kullanıcı erişimini sağlamak ve sistemlere ve hizmetlere yetkisiz erişimi önlemek.
A.9.3 Kullanıcı sorumlulukları
Amaç: Kullanıcıları, kimlik doğrulama bilgilerini korumaktan sorumlu hale getirmek.
A.9.4 Sistem ve uygulama erişim kontrolü
Amaç: Sistemlere ve uygulamalara yetkisiz erişimi önlemek.
A.10 Şifreleme
A.10.1 Şifreleme denetimleri
Amaç: Bilgilerin gizliliğini, gerçekliğini ve / veya bütünlüğünü korumak için kriptografinin uygun ve etkili kullanımını sağlamak.
A.11 Fiziksel ve çevre güvenliği
A.11.1 Güvenli alanlar
Amaç: Kuruluşun bilgi ve bilgi işleme tesislerine yetkisiz fiziksel erişimi, hasarı ve paraziti önlemek.
A.11.2 Ekipman
Amaç: Varlıkların kaybolmasını, hasar görmesini, çalınmasını veya uzlaşmasını ve kuruluşun faaliyetlerinde kesintiyi önlemek.
A.12 İşletme Güvenliği
A.12.1 Operasyonel prosedürler ve sorumluluklar
Amaç: Bilgi işlem tesislerinin doğru ve güvenli çalışmasını sağlamak
A.12.2 Kötü amaçlı yazılımlardan koruma
Amaç: Bilgi ve bilgi işleme olanaklarının kötü amaçlı yazılımlara karşı korunmasını sağlamak.
A.12.3 Yedekleme
Amaç: Veri kaybına karşı korumak
A.12.4 Günlüğe kaydetme ve izleme
Amaç: Olayları kaydetmek ve kanıt oluşturmak
A.12.5 İşletimsel yazılımın kontrolü
Amaç: İşletim sistemlerinin bütünlüğünü sağlamak.
A.12.6 Teknik güvenlik açığı yönetimi
Amaç: Önlemek istismar güvenlik açıkları
A.12.7 Bilgi sistemleri denetim hususları
Amaç: Denetim faaliyetlerinin operasyonel sistemler üzerindeki etkisini en aza indirmek.
A.13 İletişim güvenliği
A.13.1 Ağ güvenliği yönetimi
Amaç: Ağlardaki ve destekleyici bilgi işleme tesislerindeki bilgilerin korunmasını sağlamak.
A.13.2 Bilgi aktarımı
Amaç: Bir kuruluş içinde ve herhangi bir dış kuruluş ile aktarılan bilgilerin güvenliğini sağlamak.
A.14 Sistem alımı, geliştirilmesi ve bakımı
A.14.1 Bilgi sistemlerinin güvenlik gereksinimleri
Amaç: Bilgi güvenliğinin tüm yaşam döngüsü boyunca bilgi sistemlerinin ayrılmaz bir parçası olmasını sağlamak. Bu, ortak ağlar üzerinden hizmet sağlayan bilgi sistemleri için gereksinimleri de içerir.
A.14.2 Geliştirme ve destek süreçlerinde güvenlik
Amaç: Bilgi güvenliğinin, bilgi sistemlerinin gelişim yaşam döngüsü içerisinde tasarlanmasını ve uygulanmasını sağlamak.
A.14.3 Test verileri
Amaç: Test için kullanılan verilerin korunmasını sağlamak.
A.15 Tedarikçi ilişkileri
A.15.1 Tedarikçi ilişkilerinde bilgi güvenliği
Amaç: koruma ... organizasyonlar tedarikçiler tarafından erişilebilen varlıklar.
A.15.2 Tedarikçi hizmet sunum yönetimi
Amaç: Tedarikçi sözleşmeleri doğrultusunda kabul edilmiş düzeyde bilgi güvenliği ve hizmet sunumu sağlamak.
A.16 Bilgi güvenliği olay yönetimi
A.16.1 Bilgi güvenliği olaylarının ve iyileştirmelerinin yönetimi
Amaçlar: Güvenlik olayları ve zayıflıkları hakkında iletişim de dahil olmak üzere bilgi güvenliği olaylarının yönetimine tutarlı ve etkili bir yaklaşım sağlamak.
A.17 İş sürekliliği yönetiminin bilgi güvenliği yönleri
A.17.1 Bilgi güvenliği sürekliliği
Amaç: Bilgi güvenliği sürekliliği kuruluşların iş sürekliliği yönetim sistemlerine yerleştirilecektir.
A.17.2 Fazlalıklar
Amaç: Bilgi işlem tesislerinin kullanılabilirliğini sağlamak
A.18 Uygunluk
A.18.1 Yasal ve sözleşme şartlarına uyum
Amaç: Bilgi güvenliği ve güvenlik gereklilikleriyle ilgili yasal, yasal, düzenleyici veya sözleşmeye bağlı yükümlülüklerin ihlalini önlemek.
A.18.2 Bilgi güvenliği incelemeleri
Amaç: Bilgi güvenliğinin kurumsal politika ve prosedürlere uygun olarak uygulanmasını ve işletilmesini sağlamak.
Bilgi Güvenliği Yönetim Sistemleri kısaca aşağıda tanımlanan gereksinimlerin yerine getirmesini bekler
ISO 27001 Sistemi uygulamayı düşünen bir kuruluşta veya Bilgi Güvenliği Yönetim Sistemi ile çalışan bir kuruluşta Üst Yönetimde ya da proseste bir yöneticiyseniz, ISO 27001 standardı yönetim sisteminin size de ne kadar değer katabileceği hakkında daha fazla bilgi sahibi olmanız gerekir.
Elde edebileceğiniz bazı önemli faydalara bakalım;
Bu standart, bilgi güvenliğinize yönelik tehditleri belirlemenize ve bunlara yönelik planlar oluşturmanıza yardımcı olur. Herhangi bir özel risk için, bir şeylerin yanlış gitmesi durumunda durumu kontrol edebilecek kadar sorumlu birisine sahip olursunuz. Bu tür bir süreç risk maruziyetini yönetebilir ve en aza indirebilir ve otomatik olarak daha güvenli bir bilgi alışverişine yol açabilir.
Şirketinizde ISO 27001'i uyguladığınızda, çalışanlar arasında farkındalık yaratır ve kuruluştaki rollerine bakılmaksızın bilgi güvenliğinden sorumlu olmalarını sağlamak için bilgi güvenliği eğitimi sağlarsınız.
Sonunda, veri koruma kuruluşun kültürüne doğru yol alır ve bir şekilde bilgi güvenliği sürecini herkesin anlayacağı ve başarmak için çalıştığı bir şekle sokar.
Değerli verilerini sizinle paylaşan tüm müşterilerinizin veya ortaklarınızın bilgi güvenliğinin öneminin bilincinde olduğunu ve bunu vermenizi beklediğini söylemek güvenlidir. ISO 27001 gibi bir bilgi güvenliği standardı sertifikasına sahip olmak, ortaklarınızın ve müşterilerinizin varlıklarına da önem verdiğinizi göstermenin güçlü bir yoludur. Bu, güven oluşturur, sizin için olumlu bir itibar yaratır ve sizi rakiplerinizden farklı kılar. ISO 27001 Sertifikası'na sahiptir.
Muhtemelen bazen bir müşteri, üçüncü taraf veya yasalar tarafından kuruluşunuzun bilgi güvenliğini göstermesi istenir.
Böyle durumlarda ISO 27001 mükemmel bir seçim olabilir. Bu standart, dünya çapında birçok kuruluş tarafından tanınmakta ve kullanılmaktadır ve açık ve pratik talimatlarını uygulayarak, bilgi ve veri güvenliği ile ilgili güvenilirliğinizi kanıtlayabilirsiniz.
Bu standardı uygulayarak, yatırım getirisini en az iki şekilde elde edebilirsiniz. Bunun bir yolu, sertifikanın potansiyel müşterileri çekebileceği ve potansiyel müşterileriniz tarafından yürütülen satış öncesi durum tespiti konusunda yardımcı olabileceğinden, kuruluşunuza kattığı pazarlama değeri yoluyladır.
İkincisi, bu standart, kuruluşunuzun finansal cezalara ve ilgili yasal sorunlara yol açan itibarını ciddi şekilde etkileyebilecek risklerin istenmeyen etkilerinden kaçınmanıza, ortadan kaldırmanıza veya azaltmanıza yardımcı olur.
ISO 27001 Faydalarını kısaca özetlersek;