TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Günümüzde kurumlar ve bireylerin sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir.

Koruma bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika ya da kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilenmesiyle mümkün olabilir.

Bilgi güvenliği; iş sürekliliği, kaçınılmaz felaket durumlarında kaybın en aza indirilmesi, firma kaynaklarının her koşulda gizliliğinin, ulaşılabilirliğinin ve bütünlüğünün korunması amaçlarını taşır.

BGYS, günümüz iş dünyasında vazgeçilmez hale gelen bilgi güvenliği konusunda tüm dünya tarafından kabul görmüş standartlara uygun bir yapı sunmaktadır. BGYS kavramının ve bağlı olduğu standartların doğru anlaşılması bu yapının sağlayacağı faydayı önemli ölçüde arttıracaktır. BGYS kurulumunu fazladan bir iş yükü ve gereksiz zaman kaybı olarak görmenin baştan kaybetmek anlamına geleceği bilinmelidir.

Bilgi Güvenliği Nedir?

Bilgi, insanın etrafında olup bitenleri tam ve doğru olarak kavramasını sağlayan kişiselleştirilmiş enformasyondur. Bilgi, kendini düşünceler, öngörüler, sezgiler, fikirler, alınan dersler, uygulamalar ve yaşanan deneyimler şeklinde gösterir.

Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır.

Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi birçok biçimde bulunabilir. Bilgi, kağıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta yada elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arası sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır.

İş (aktiviteler), organizasyon (yönetimsel birimler), işin mekânı, varlıklar ve teknoloji karakteristikleri belirtilerek ve kapsam dışında kalacak olan her ayrıntının sebepleri açıklanarak BGYS'nin sınırları ve kapsamı tanımlanır. Hangi yönetimsel birimlerin ve aktivitelerin bilgi güvenliği yönetim kapsamı içerisinde yer alacağı belirtilmelidir.

Bilgi Güvenliği Yönetim Sistemi kapsam dokümanının çok sık değişime uğraması gerekmese de "yaşayan" bir dokümandır. Gerektiğinde kapsamın içeriği değiştirilebilir. Fakat kapsamın ilk aşamada belirlenirken yönetilebilir boyutta tutulması önemlidir. Bu yüzden organizasyonun fiziksel yapısı ve süreçleri göz önüne alınmalıdır. Örneğin; az görülmesine rağmen yönetilebilirlik adına çok büyük bazı organizasyonlarda Finans bölümü ve Yazılım geliştirme bölümü için iki ayrı BGYS oluşturulduğu gibi örnekler mevcuttur.

Bilgi güvenliği politikaları, bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.

Her seviyedeki politikanın tek bir dokümanda bulunması yerine, en üst seviyede temel ilkeleri barındıran bir Bilgi Güvenliği Politikası'nın oluşturulması ve bu dokümanla diğer ayrıntılı politikaların ilişkilendirilmesi tavsiye edilmektedir.

Bilgi güvenliği konularını incelerken üç kavram bakış açısından ele alınır. Bu üç kavrama başka kurumlar iki kavram bakış açısı daha eklemektedirler. Bu beş kavram, BGYS temelinde kullanılan üçü olan gizlilik, bütünlük ve erişilebilirlik ile bu üçü kadar sık dile getirilmeyen diğer iki öğe olan hesap verebilirlik ve yetkilendirmedir.

•Gizlilik •Bütünlük •Kullanılabilirlilik •Hesap verebilirlilik •Yetkilendirme

Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.

Sadece teknik önlemlerle (güvenlik duvarları, atak tespit sistemleri, antivirüs yazılımları, anticasus yazılımlar, şifreleme, vb.) bilgi güvenliğinin sağlanması mümkün değildir. BGYS; insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS'nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS'nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir.

Bilgi Güvenliği Yönetim Sistemi Neden Gereklidir?

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve is sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.

Aşağıda bir kuruluşa BGYS'nin sağlayacağı faydalar ana hatlarıyla belirtilmektedir:

  • Tehdit ve risklerin belirlenerek etkin bir risk yönetiminin sağlanması.
  • Kurumsal prestijin korunması ve artısı
  • İş sürekliliğinin sağlanması.
  • Bilgi kaynaklarına erişimin denetlenmesi
  • Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi.
  • Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması.
  • Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması.
  • Personelin, müşterilerin ve yüklenicilerin görevlerini yerine getirirken, bilgi sistemleri kaynaklarını kotu amaçlı olarak kullanma ve/veya kaynakları suiistimal etmelerinin engellenmesi.
  • Bilgi varlıklarının gizliliğinin korunması
  • Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi.
  • Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetmenlere açık olmasının sağlanması.

Bilgi Güvenliği Yönetim Sisteminin Yararları Nelerdir?

Bilgi güvenliği yönetim sisteminin kurumlara sağlayacağı yararları şöyle sıralamak gerekirse:

  • Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissederler.
  • İş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilginin birçok tehlikeye karşı korunmasını sağlar.
  • Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil eder.
  • Rakiplerinizin bir adım önüne geçmenizi sağlar.
  • Uluslararası ihalelere katılımda şart olan ISO/IEC 27001:2005 gerekleri sağlanmış olur.
  • Tek bir bilgi güvenlik ihlalinin çıkaracağı masraf çok büyük olabilir. Belgelendirme işlemi maruz kalacağınız bu tür masrafları azaltır ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir.
  • Bilgi güvenliğiniz ile ilgili sigorta primlerinizde düşüş sağlar.
  • İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara kanıtlamanıza yardımcı olur.
  • Organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
  • Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.
  • Donanım ve veriye daha güvenilir erişim sağlanır.
  • Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
  • Düzenli olarak gerçekleştirilen denetimler sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur.
  • Gizlilik sağlanır.
  • Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.
  • Bütünlük sağlanır.
  • Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
  • Bilgiye ulaşılabilirlik, elde edilebilirliği sağlanır.
  • Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.

Daha fazla bilgiye Bilgi Güvenliği portalımızdan ulaşabilirsiniz.