Bilgi Güvenliği ve BT Yönetişim Hizmetleri

ISO 27001 Nedir

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı, İngiliz Standardı tarafından 1999 yılında yayınlanan ve 2002 yılında revize edilen BS 7799-2 standardı referans alınarak 2005 yılında Bilgi Güvenliği Yönetim Sistemi Gereksinimleri olarak ISO/IEC 27001:2005 adı ile yayınlanmıştır.

2013 yılında ISO/IEC 27001 standardı Annex SL ile uyumlu olacak bir biçimde revize edilerek, tüm ISO standartlarına uygun bir çatı yapısı oluşturmaktadır. Buradaki amaç bütün yönetim sistemlerine temel oluşturacak genel çerçeveyi belirlemektir. Kurum ihtiyaçları gereği sahip olunan birden fazla yönetim sisteminin hem yönetimi hem de denetimi açısından bu çatı yapısı önemli bir husus oluşturmaktadır.

ISO 27001 Nedir?

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliği problemlerinin ele alınmasını, kurumun değerli varlıklarının tespit edilmesini ve bu varlıkların yönetilmesini destekleyen bir bilgi güvenliği yönetim sistemi standardıdır. ISO 27001 küçük, orta ve büyük ölçekli her sektördeki işletmelerin bilgi güvenliği varlıklarını yönetmelerine yardımcı olmaktadır.

Ayrıca ISO 27001 ülkemizde belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi ve bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi’nin yapısı aşağıdaki gibidir:

  • Güvenlik Politikaları
  • Bilgi Güvenliği Organizasyonu
  • İnsan Kaynakları Güvenliği
  • Varlık Yönetimi
  • Erişim Kontrolü
  • Kriptografi
  • Fiziksel ve Çevresel Güvenlik
  • Operasyon Güvenliği
  • İletişim Güvenliği
  • Sistem Edinim, Geliştirme ve Bakım
  • Tedarikçi İlişkileri
  • Bilgi Güvenliği Olay Yönetimi
  • İş Sürekliliği
  • Uyum