TS ISO IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

ISO 27001 nedir?

Bu amaçları uygulamaya yönelik, ISO 27001 standardı, ülkelere göre özel tanımlar içermeyen, genel

tanımların bulunduğu uluslararası bir standarttır.

Günümüzde, sadece çalışanlarıyla değil, müşterileri, iş ortakları ve hissedarlarıyla birlikte tanımlanan

kurumlarda, bilginin gizliliği, bütünlüğü ve ulaşılabilirliğine ilişkin güven ortamının yaratılması, stratejik

bir önem taşımaktadır. Bilgi güvenliğini sağlamak, teknolojik çözümlerle birlikte sağlam bir güvenlik

yönetim sisteminin kurulması ile mümkün olabilmektedir. Etkin bir bilgi güvenlik yönetim sisteminin

oluşturulması amacıyla hazırlanmış bir standarttır.

ISO/IEC 27001 İle ilgili Terim ve Kavramlar

Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek,

gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir

parçası.

Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.

Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.

Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile

karşılaştırılması prosesi.

Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan

koordineli faaliyetler .

Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.

Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri

açıklayan dokümante edilmiş bildiri.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

 

• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.

• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarını belirler ve uygulayarak

korur.

• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine

sahip olur.

• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların

güvenini kazanır.

• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.

• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.

• Çalışanların motivasyonunu arttırır.

• Yasal takipleri önler.

• Yüksek prestij sağlar.

ISO1/IEC 27001 Standardının Madde Başlıkları

0.1 Genel

0.2 Proses yaklaşımı

0.3 Diğer yönetim sistemleriyle uyumluluk

1 Kapsam

1.1 Genel

1.2 Uygulama

2 Atıf yapılan standardlar ve/veya dokümanlar

3 Terimler ve tarifleri

3.1 Varlık

3.2 Kullanılabilirlik

3.3 Gizlilik

3.4 Bilgi güvenliği

3.5 Bilgi güvenliği olayı

3.6 Bilgi güvenliği ihlal olayı

3.7 Bilgi güvenliği yönetim sistemi

3.8 Bütünlük

3.9 Artık risk

3.10 Riskin kabulü

3.11 Risk analizi

3.12 Risk değerlendirme

3.13 Risk derecelendirme

3.14 Risk yönetimi

3.15 Risk işleme

3.16 Uygulanabilirlik bildirgesi

4 Bilgi güvenliği yönetim sistemi

4.1 Genel gereksinimler

4.2 BGYS’nin kurulması ve yönetilmesi

4.3 Dokümantasyon gereksinimleri

5 Yönetim sorumluluğu

5.1 Yönetimin bağlılığı

5.2 Kaynak yönetimi

6 BGYS iç denetimleri

7 BGYS’yi yönetimin gözden geçirmesi

7.1 Genel

7.2 Gözden geçirme girdisi

7.3 Gözden geçirme çıktısı

8 BGYS iyileştirme

8.1 Sürekli iyileştirme

8.2 Düzeltici faaliyet

8.3 Önleyici faaliyet