Iso 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27001, bir kuruluşun Bilgi Güvenliği Yönetim Sistemi (BGYS) kurması, uygulaması, sürdürmesi ve sürekli iyileştirmesi için gereklilikleri belirleyen uluslararası bir standarttır.

🔒 BGYS'nin Temel Tanımı ve Amacı

ISO 27001'in temel amacı, kuruluşların bilgi varlıklarını koruma altına alarak riskleri sistematik bir şekilde yönetmelerini sağlamaktır.

Bilgi Güvenliğinin Temel Prensipleri (CIA Üçlüsü)

Standart, bilgi güvenliğini sağlamak için üç temel prensibe odaklanır:

1. Gizlilik (Confidentiality): Bilgilere yetkisiz erişimi engellemek. Bilginin sadece yetkili kişilere açık ve erişilebilir olmasını sağlamak.

2. Bütünlük (Integrity): Bilginin doğru, tam ve değiştirilmemiş olmasını sağlamak. Yetkisiz değişiklikleri önlemek.

3. Erişilebilirlik (Availability): Yetkili kullanıcıların ihtiyaç duydukları bilgilere ve sistemlere, ihtiyaç duydukları anda erişebilmelerini sağlamak.

Kapsam

ISO 27001, sadece IT (bilgi teknolojileri) sistemlerini değil, tüm bilgi varlıklarını kapsar. Bunlar:

• Elektronik Bilgi: Veri tabanları, e-postalar, sunucular, yazılımlar.

• Fiziksel Bilgi: Kağıt belgeler, arşivler.

• İnsan Bilgisi: Çalışanların deneyimi, bilgisi ve yetkinliği.

📑 ISO 27001'in Yapısı

ISO 27001 standardı, Yüksek Seviyeli Yapı (Annex SL) üzerine kurulmuştur (ISO 9001 ve ISO 14001 gibi).

• Madde 4-10 (Yönetim Şartları): Bu maddeler, üst yönetim taahhüdü, risk değerlendirmesi, iç denetim ve sürekli iyileştirme gibi BGYS'nin yönetimsel ve sistematik gerekliliklerini tanımlar.

• Ek A (Kontrol Listesi): Standardın kalbini oluşturan bu ek, 14 ana bölümde toplanmış 114 farklı güvenlik kontrol mekanizması (önlemi) içerir. Kuruluş, kendi risk değerlendirme sonuçlarına göre bu kontrollerden hangilerini uygulayacağına karar verir.

ISO 27001, bir kuruluşa bilgi güvenliği risklerini belirleme ve bu risklere karşı doğru kontrol önlemlerini uygulama konusunda sistematik bir metodoloji sunar.