ISO 27001

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi (ISO 27001); kuruluşların bilgi varlıklarının güvenliğini yönetmelerine yardımcı olan uluslararası bir standarttır. Bilgi Güvenliği Yönetim Sistemi (BGYS), tüm kurumsal verilerin (finansal bilgiler, fikri mülkiyet hakları, çalışan bilgileri veya üçüncü taraflarca yönetilen bilgiler gibi) gizliliği, bütünlüğü, kullanılabilirliği ve uygulanması çerçevesinde bir yönetim sağlamaktadır.

2013 yılında ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) tarafından yayınlanmıştır. ISO 27000 standartlar ailesine aittir. Ayrıca uluslararası geçerliliği olan tek belgelenebilir bilgi güvenliği standardı niteliği taşımaktadır.

BGYS (Bilgi Güvenliği Yönetim Sistemi) Nedir?

BGYS, kabul edilebilir düzeyde bilgi güvenliği riski sağlamak amacıyla kurumsal verilere yönelik riskleri yönetmek için bir dizi politika, süreç ve sistemden oluşan tanımlanmış, belgelenmiş bir yönetim sistemidir. Devam eden risk değerlendirmeleri, bir dizi kontrol yoluyla yönetilmesi gereken güvenlik tehditlerini ve güvenlik açıklarını belirlemeye yardımcı olmaktadır.

ISO 27001 uyumlu bir BGYS’ye sahip olmak, tüm kurumsal verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini optimize edilmiş ve uygun maliyetli bir şekilde yönetmenize yardımcı olmaktadır.

ISO 27001 Sertifikası Nedir?

Sertifikası, kuruluşunuzun verilerini korumak ve sağlamak için bünyesindeki çalışanlara, süreçlere ve teknolojiye (örneğin araçlar ve sistemler) yatırım yaptığını gösteren bir belgedir.

Akredite bir belgelendirme kuruluşu aracılığıyla gerçekleştirilen ve tüketicilerinize, yatırımcılarınıza ve diğer ilgili taraflara bilgi güvenliğini uluslararası en iyi uygulamalara göre yönettiğinize dair kanıt sağlayan bir belgedir.

ISO 27001 Nasıl Uygulanır?

Projenin kapsamını belirlemek, risk değerlendirmesi yapmak, gerekli kontrolleri uygulamak, uygun dahili becerileri geliştirmek, eylemlerinizi desteklemek için politika ve prosedürler oluşturmak, teknik uygulama gibi çeşitli adımları içermektedir. Ayrıca, riskleri azaltmak için kuruluşa önlemler aldırmak, tüm çalışanlar için farkındalık eğitimi vermek, BGYS’yi sürekli olarak izlemek ve denetlemek ve belgelendirme denetimini gerçekleştirmek temel uygulamaları arasında yer almaktadır.

ISO 27001 Sertifikası Geçerliliği Ne Kadardır?

Sertifika alındıktan sonra, üç yıl süreyle geçerlidir. Kuruluşların sürekli iyileştirme sürecinin bir parçası olabilmesi adına, sertifikayı aldıktan sonra, bir belgelendirme kuruluşu tarafından uygunluğu izlemek için genellikle yıllık olarak değerlendirilmeye tabii tutulmaktadır.

ISO 27001 Sertifikasının Avantajları

40.000’den fazla kuruluşun sertifikalı olduğu, dünya çapında tanınan bir bilgi güvenliği standardıdır. Ayrıca kuruluşların veri güvenliği önlemlerini yerleşik ve güvenilir bir kıyaslama ile uyumlu hale getirmelerine yardımcı olmaktadır. Bununla birlikte, sertifika almanın sayısız avantajı vardır;

  1. Nerede olursa olsun verilerinizin korunması
  2. Siber saldırılara karşı savunma
  3. Bilgi güvenliği maliyetlerinin azaltılması
  4. Gelişen güvenlik tehditlerine karşı yanıt verme
  5. Bilgi güvenliği kültürü oluşturulması
  6. Sözleşme yükümlülüklerinin karşılanması

ISO 27001 Kimler için Zorunludur?

Faaliyetlerini yürütebilmek adına ISO 27001 Belgesinin zorunlu olarak alınması gereken sektörler:

  • Bilişim sektörüne ve savunma sanayi projelerine yönelik açılan kamu ihalelerine girecek olan bütün firmalar
  • Yazılım hizmeti veren, ürün üreten ve satışını yapan firmalar
  • İnternet servis sağlayıcıları
  • Uydu haberleşme şirketleri
  • Altyapı Hizmeti veren firmalar
  • E-fatura yetkisi alan firmalar
  • Mobil şebeke hizmeti veren firmalar
  • Elektrik sektöründe faaliyet gösteren firmalar
  • Doğal gaz sektöründe faaliyet gösteren firmalar
  • Petrol sektöründe faaliyet gösteren firmalar

Bu sektörler dışında ISO 27001 Belgesini almalarının avantaj sağlayacağı diğer işletmeler:

  • Sağlık kuruluşları
  • Telekomünikasyon şirketleri
  • Bankalar
  • Sigorta şirketleri
  • Devlet kurumları

ISO 27001 Denetimleri Nasıl Çalışır?

Sertifika, bir belgelendirme kuruluşu tarafından bir dış denetim gerçekleştirildikten sonra alınabilmektedir. Denetçiler, BGYS Standardının gerekliliklerini karşılayıp karşılamadığını değerlendirmek için kuruluşun uygulamalarını, politikalarını ve prosedürlerini detaylı bir şekilde incelemektedirler. Bu incelemeler doğrultusunda, gerekliliklerin uygunluğu ve uygunsuzluklar için verilen süreler göz önünde bulundurularak düzetici eylemlerin gerçekleştirilmesi sonucunda, kuruluş, ISO sertifikası almaya hak kazanmaktadır.

ISO 27001 Risk Yönetimi, Kontrol ve Gereksinimleri

Risk yönetimi, bir BGYS’nin temellerini oluşturur. Rutin risk değerlendirmeleri, belirli bilgi güvenliği risklerinin belirlenmesine yardımcı olur. Ayrıca bilgi güvenlik risklerini yönetmek ve azaltmak için uygulanabilecek bir dizi kontrol ve gereksinimler önermektedir;

  • Bilgi güvenliği politikaları
  • Bilgi güvenliğinin organizasyonu
  • İnsan kaynakları güvenliği
  • Varlık yönetimi
  • Erişim kontrolü
  • Fiziksel ve çevresel güvenlik
  • Operasyonel güvenlik
  • İletişim güvenliği
  • Sistem edinme, geliştirme ve bakım
  • Tedarikçi ilişkileri
  • Bilgi güvenliği olay yönetimi
  • İş sürekliliği yönetiminin bilgi güvenliği yönleri
  • Uyumluluk

ISO 27001, ISO 27701 ve KVKK Arasındaki İlişki

Kişisel Verilerin Korunması Kanunu (KVKK), kuruluşların işledikleri kişisel verileri korumak için politikalar, prosedürler ve süreçler de dahil olmak üzere uygun teknik ve organizasyon önlemlerini benimsemelerini gerektirmektedir.

Bir BGYS için uluslararası standart olan ISO27001, ihlal riskini azaltmak ve gerekli teknik ve operasyonel gereksinimleri elde etmek için mükemmel bir başlangıç noktası sağlamaktadır.

ISO 27001’i uygulayan kuruluşlar, BGYS’lerini veri işleme de dahil olmak üzere gizlilik yönetimini kapsayacak şekilde genişletmek için ISO 27701’i kullanabileceklerdir.

Ayrıca her iki standardı da uygulamak, KVKK’ nın gizlilik ve bilgi güvenliği gereksinimlerini karşılamanıza ve uyumluluğunuzu göstermenize yardımcı olacaktır.

ISO 27001’in bir kuruluşa KVKK açısından sağladığı yararlar;

  • KVKK’nın veri güvenliği gerekliliklerine uymak için gerekli önlemlerin alındığına dair ikna edici kanıtlar sunabilme becerisi
  • Sadece kişisel verilerin değil, tüm kurumsal bilgilerin ve fikri mülkiyetin korunması
  • Riskleri azaltma, izleme ve gözden geçirmenin yanı sıra sürekli gelişen veri güvenliği tehdidine ayak uydurma becerisi
  • Bilgi güvenliğini çevreleyen bir farkındalık kültürü

ISO 27001 Sertifikasını Almak Ne Kadar Sürer?

ISO 27001 uygulama süreci yönetim sisteminin boyutuna ve karmaşıklığına bağlı olarak, küçük ve orta ölçekli kuruluşlar için bu süreç max. (2-3) ay içinde tamamlanmaktadır.

ISO 27001 Danışmanlık Hizmetleri

Mutlu Patent olarak, eğitim, yazılım ve uyumluluk araçlarına ek olarak; Standarda uyumu desteklemek için uzman ISO27001 danışmanlık hizmetleri sağlamaktayız. Buna;

  • ISO27001 boşluk analizi ve kaynak belirleme,
  • kapsam belirleme,
  • risk değerlendirmeleri,
  • strateji ve daha fazlası dahildir.
Hemen Teklif Alın