ISO 27001 Bilgi Güvenliği Yönetim Sistemi İlke ve Amaçları Nedir?

ISO/IEC 27001, bilgi güvenliği yönetim sistemine ait temel ilkeleri gizlilik, bütünlük ve erişilebilirlik üçlüsü üzerine kurar. Standart; varlık envanteri, risk değerlendirmesi, kontrol seçimi, eğitim, izleme ve sürekli iyileştirme adımlarını sistemli bir döngü içinde tanımlar. Amacı, kuruluşun hangi sektörde faaliyet gösterirse göstersin elinde tuttuğu bilgi varlıklarını yetkisiz erişim, kayıp ve değişikliğe karşı korumaktır. Standart aynı zamanda yönetim taahhüdünü, kaynak tahsisini, dokümantasyon disiplinini ve hesap verebilirliği gerektirir. Annex A ile sunulan kontroller; politika, organizasyon, insan kaynağı, fiziksel güvenlik ve teknik tedbirler kategorilerinde toplanır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi İlke ve Amaçları Hangi İşletmelere Yönelik?

İlke ve amaçlar; veri tabanı barındıran her kuruluşa hitap eder. Yazılım geliştirme şirketleri, bulut hizmet sağlayıcıları, telekomünikasyon firmaları, finans şirketleri, sağlık zincirleri, e-ticaret platformları ve kamu hizmeti üreten kurumlar standardın çerçevesinden doğrudan yararlanır. KVKK kapsamında veri sorumlusu sıfatına sahip işletmeler için standart, idari ve teknik tedbir yükümlülüğünün karşılanmasında referans çerçeve görevi görür. Tedarikçi denetiminden geçen üretici firmalar da müşteri sözleşmelerinde gizlilik şartını kanıtlamak için ilkeleri benimser.

Belgelendirme Süreci ve Denetim Aşamaları

İlke ve amaçların kuruluş içinde hayata geçirilmesi, somut bir belgelendirme süreciyle taçlandırılır. İlk adımda üst yönetimin desteği yazılı politika ile ilan edilir ve kapsam tanımlanır. Sonrasında varlık envanteri çıkarılır, risk değerlendirmesi yürütülür, kontrol seçimi uygulanabilirlik beyanı ile belgelenir. Çalışanlara eğitim verildikten ve sistem en az üç ay işletildikten sonra iç tetkik yapılır, yönetim gözden geçirme toplantısı düzenlenir. Akredite belgelendirme kuruluşu önce dokümantasyonu inceler, ardından saha denetimi gerçekleştirir. Uygunsuzluklar kapatıldığında üç yıl geçerli sertifika düzenlenir. Belgenin sürekliliği yıllık gözetim denetimleriyle sağlanır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi İlke ve Amaçları Belgesinin Faydaları

Yönetim Taahhüdünün Belirginleşmesi: Üst yönetim, bilgi güvenliği politikasını imzalayarak hesap verebilirlik zinciri kurar.
Risk Tabanlı Karar Alma: Yatırım kararları, risk düzeyine göre önceliklendirildiği için kaynak israfı azalır.
Yasal Uyum Çatısı: KVKK, sektör mevzuatları ve sözleşme yükümlülükleri tek bir çerçeve altında izlenir.
Pazar Güvenilirliği: İhalelerde ve büyük müşteri sözleşmelerinde belgenin varlığı ön şart olarak aranır.
İş Sürekliliği: Olay yönetimi ve süreklilik planları, kesinti veya saldırı durumunda servis seviyelerini korur.
Kurum Kültürü: Bilgi güvenliği farkındalığı eğitimleri ile çalışan kaynaklı hatalar belirgin biçimde azalır.

Sistem Kalite'nin ISO 27001 Bilgi Güvenliği Yönetim Sistemi İlke ve Amaçları Danışmanlık Hizmetleri

Sistem Kalite, ilke ve amaçların kuruluşun süreçleriyle örtüşecek biçimde uygulanması için danışmanlık hizmeti verir. Hizmet kapsamı sektörün hassasiyetine göre özelleştirilir; finans kuruluşları için BDDK, sağlık kuruluşları için Sağlık Bakanlığı tebliğleri ile uyum noktaları takip edilir.

Ön Değerlendirme: Mevcut politika seti ve teknik altyapı standardın gerekleriyle karşılaştırılır, açıklar matris olarak raporlanır.
Politika ve Prosedür Yazımı: Bilgi güvenliği politikası, kabul edilebilir kullanım kuralları, kriptografi politikası ve olay yönetimi prosedürü kuruluşa özel hazırlanır.
Risk Çalıştayı: Bölüm yöneticileri ile birlikte tehdit kataloğu çıkarılır, risk derecelendirmesi ve kontrol kararı verilir.
Eğitim Programı: Genel farkındalık, BT teknik personel ve yönetici düzeyinde üç ayrı eğitim modülü uygulanır.
İç Tetkik ve Belgelendirme: Belgelendirme denetimi öncesinde bağımsız iç tetkik yürütülür, bulgular kapatılır ve denetimde firma temsil edilir.

Sistem Kalite, 1999'dan bu yana sistem belgelendirme alanında çalışan deneyimli kadrosuyla bilgi güvenliğini bir doküman seti olarak değil işletmenin işleyişine yerleşen bir disiplin olarak kurar. Süreç sonunda kuruluş, akredite belgelendirme kuruluşunun denetiminden geçecek olgunluğa eriştirilir.