ISO 27001

ISO 27001 nedir?

ISO 27001 Uluslararası Standartlar Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından ortaklaşa geliştirilen, uluslararası bir bilgi güvenliği standardıdır.

Bilgi güvenliğinin birçok farklı tanımı vardır. ISO 27001 sertifikası ve uyumluluk yönetimi için bilgi güvenliği, bilgi ve bilgi teknolojisinin korunmasını sağlayan, gizlilik, bütünlük ve erişilebilirlik sağlayan unsurlardır.

ISO 27001, bilgi güvenliği yönetimi alanındaki dünyanın en iyi uygulamalarının açıklamalarını içerir. ISO 27001, bir kuruluşun bilgi kaynaklarını koruma yeteneğini göstermek için bir bilgi güvenliği yönetim sistemi için gereksinimler belirler. Bu Uluslararası Standart, Bilgi Güvenliği Yönetim Sisteminin (BGYS) geliştirilmesi, uygulanması, işletilmesi, izlenmesi, analizi, desteklenmesi ve geliştirilmesi için bir model olarak hazırlanmıştır.

Güvenliğin altında yatan temel ilke şirketin misyonunun yani şirketin ne için var olduğunu yerine getirilmesini sağlamaktır. Misyona yönelik tehditler kalıcı olabilir: örneğin, kritik bilgilerin açıklanmasına, bilgi değişikliklerine, işletim ortamının bozulmasına veya gerektiğinde bilgilerin kullanılamamasına neden olabilecek aktörler veya olaylar gibi.

Gizlilik, bütünlük ve kullanılabilirliği sağlamak için güvenlik çok önemlidir. İş, bilgi, bilgi teknolojisi, şirket kaynakları, altyapı ve ortaklar, üreticiler ve tüketicilerle olan ilişkilerin temel işlevlerinde bilgi güvenliği en öndedir. Risk altındaki iş alanı sadece şirketin teknik ortamı değildir, bu alan sadece bilgi veya bilgi teknolojisinden çok daha fazlasını kapsamaktadır ve bunların tümü bilgi güvenliği tarafından dikkate alınmalıdır.

Bugün, bilgi güvenliği alanındaki vurgu uyum yönetimine doğru kaymaktadır. Uyumluluk yönetimi, yasal gerekliliklere, zorunluluklara ve aynı zamanda sözleşmeleri kapsamındaki şirket yükümlülüklerine, personelin belirli bir kısmının doğru eylemi gerektiren diğer alanlardaki yükümlülüklere ve şirketin iş işlevlerini yerine getiren otomatik sistemlere uyumun sağlanmasını içerir. Güvenlik standartları, en iyi uygulamalara uygun olarak güvenlik işlevlerini yerine getirmesini sağlamak için bir şirketin kendi üzerinde bağlayıcı olarak kabul edebileceği bir diğer gerekliliklerdir.  Uygunluk Yönetimi, güvenlik standartlarına dayalı bir uygunluk yönetimi programının nasıl geliştirileceğini gösterir.

ISO 27001 fark analizi

Bu çalışma ile mevcut durumunuz analiz edilerek, yakın zamanda bir belgelendirme hedefi için eksikliklerin belirlenmesi, mevcut yapının kuvvetli ve zayıf yanlarının ortaya konulması sağlanır.

BGYS özgün olmalıdır. Başkasının bilgi güvenliği yönetim sistemleri sizin firmanıza birebir uymaz. Bilgi güvenliği yönetim sistemi bir elbise gibidir, her bedene her zevke göre çeşitlilik gösterir. Örneğin, ISO 27000 standartlar grubunda BGYS uygulanması ve denetimi için gerekli 20’den fazla standart vardır. Bilgi güvenliği sadece hacklenmek ya da diğer siber saldırılara maruz kalmak demek değildir. Çalışanların hatası sonucu meydana gelen veri kayıpları da bir o kadar fazladır.

Bu standarttın temel amacı hassas bilgiyi korumak için bilgi yönetimini güçlendirmektir. Bu standart kapsamında BGYS’nin kurulumu, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, yürütülmesi ve tekrar gözden geçirilmesi için PUKÖ kısa adlı verilen “Planla – Uygula – Kontrol et – Önlem al” modeli kullanılmaktadır.

Sızma Testinin rolü

Sızma testi çalışması, ISO 27001, PCI-DSS, COBIT, ISO 22301, ITIL, GDPR,  KVKK ve yasal uyumluluk çalışmalarınıza girdi sağlamak için kullanılır.