ISO 27001 yardımıyla Bilgi Güvenliği Sistemi
Dijital dönüşümün ortasında “bilgi güvenliği” konusu şirketler için giderek daha önemli hale geliyor. Yeterli güvenlik önlemleri alınmadığında, bilgisayar korsanları tarafından veri kaybı ve hırsızlığı, web tabanlı saldırılar nedeniyle operasyonel aksaklıklar veya verilerin kötüye kullanılması riski vardır. Yapılandırılmış bir yaklaşım için bir alternatif, ISO 27001’e göre bir Bilgi Güvenliği Yönetim Sistemidir (ISMS).
ISO 27001 nedir?
ISO/IEC 27001, bütünsel bir Bilgi Güvenliği Yönetim Sisteminin uygulanmasına yönelik önde gelen uluslararası standarttır. Bilgi yönetimi süreçleri için risklerin tanımlanması, değerlendirilmesi ve yönetilmesine odaklanır. Gizli bilgilerin güvenliği hayati bir stratejik faktör olarak vurgulanmaktadır. Bilgi bizi her yerde kuşatır ve her sürecin bir parçasıdır. Bazen önemsiz olabilir, ancak çoğu zaman kritik ve gizlidir. Kuruluşunuz için bu önemli ayrımı yapabilmek için bilgiyi sınıflandırmak gerekir. Çünkü ISO/IEC 27001’e göre bir Bilgi Güvenliği Yönetim Sistemindeki (BGYS) koruyucu önlemler bu sınıflandırmaya dayanır. Bir BGYS, iş verilerini ve bunların gizliliğini korumak için bir çerçeve oluşturur. Aynı zamanda, küresel olarak tanınan standart, şirketin süreçlerinde yer alan BT sistemlerinin kullanılabilirliğini sağlar. Bu bağlamda, ISO 27001 sertifikası piyasaya güçlü bir sinyal gönderir: yani, bağımsız bir dış değerlendirme ve ISMS’nizin etkinliğinin onaylanması. EN ISO/IEC 27001:2017-06 ile Avrupa Standardizasyon Komitesi (CEN) tarafından koordine edilen bir versiyon yayınlanmıştır. İki düzeltmeyi (corrigenda) Cor 1:2014 ve Cor 2:2015 birleştirmektedir. Düzeltme ile ilgili değişiklikler sadece ilgili gerekliliklerin iyileştirilmiş bir tanımını içermekte, ancak yeni ek gereklilikler içermemektedir. ISO/IEC 27001:2013 versiyonuna göre verilen sertifikalar geçerliliğini korumaktadır.
ISO 27001 sertifikası kimler için uygundur?
ISMS standardı ISO 27001 dünya çapında geçerlidir. Her büyüklükteki ve sektördeki şirketlere bilgi güvenliklerini planlamak, uygulamak ve izlemek için bir çerçeve sağlar. Gereklilikler, özel ve kamu şirketlerinin yanı sıra kar amacı gütmeyen kuruluşlar için de geçerlidir ve bağlayıcıdır. Örneğin, Almanya’da kritik bir altyapı sektörüne (KRITIS) ait olan ve bir eşik değeri aşan şirketler bilgi güvenliklerini nasıl sağladıklarını göstermek zorundadır. KRITIS sektörleri arasında enerji, su, sağlık, finans ve sigorta, gıda, ulaşım ve trafik, bilgi teknolojisi ve telekomünikasyon yer almaktadır. İlgili uygulama kanıtları güvenlik denetimleri, testler veya sertifikalar yoluyla sağlanabilir. Bu amaçla, ISO 27001 gibi tanınmış standartlar ya da alternatif olarak Alman Federal Bilgi Güvenliği Ofisi (BSI) tarafından tanınan sektöre özgü güvenlik standartları denetim için temel olarak kullanılabilir.
ISO 27001 standardını şirketim için yararlı kılan nedir?
ISO/IEC 27001’e göre bir BGYS uygulamak şirketiniz için stratejik bir karardır. Standardın kasıtlı genel gerekliliklerine uygunluk, şirketin özel durumunu yansıtmalıdır. Şirkette uygulama, şirketin büyüklüğü ve yapısının yanı sıra ihtiyaç ve hedeflere, güvenlik gereksinimlerine ve organizasyonel süreçlere bağlıdır. Uygulama için özellikle değerli olan, standardın Ek A’sında yer alan önlemlerin uygulanmasıdır. Yönetim sistemi odaklı gereklilikler bölümüne (bölüm 4-10) ek olarak, ISO standardı, Ek A’daki 14 bölümde çeşitli güvenlik yönleri için 114 somut önlem içeren 35 kontrol hedefinin kapsamlı bir listesini içerir. Bu önlemler, şirketinizle ilgili oldukları ölçüde yönetim sisteminin bir parçası olarak uygulanmalıdır. Şirketin süreçlerinin ISO 27001 ile tutarlı bir şekilde uyumlaştırılmasının çeşitli faydalar sağladığı gösterilmiştir:
- Güvenlik seviyesinin sürekli iyileştirilmesi.
- Mevcut risklerin azaltılması.
- Uyumluluk gerekliliklerine uygunluk.
- Çalışanlar arasında artan farkındalık.
- Artan müşteri memnuniyeti
Üst yönetimin dahil olduğu iç denetimler ve yönetim incelemeleri bunu başarmak için dahili kaldıraçlardır. Diğer olumlu yönler arasında düzenleyici makamlar, sigorta şirketleri, bankalar ve ortak şirketler gibi paydaşların şirketinize daha fazla güven duyması yer alır. Çünkü sertifikalı bir yönetim sistemi, kuruluşunuzun riskleri yapılandırılmış bir şekilde yönettiğini ve sürekli iyileştirmelere (CIP) bağlı olduğunu göstererek istenmeyen etkilere karşı daha dirençli olmasını sağlar. Uluslararası ISO/IEC 27001 standardı, ISO 9001 (kalite yönetimi) veya ISO 14001 (çevre yönetimi) gibi diğer yönetim sistemlerinden bağımsız olarak da uygulanabilir, işletilebilir ve belgelendirilebilir.