Iso 27001 Bilgi Güvenliği Yönetim Sisteminin İlkeleri Ve Amaçları Nelerdir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) temel ilkeleri, bilginin korunmasını sağlayan üç ana sütuna dayanırken, amaçları bu korumayı sistematik bir yaklaşımla iş sürekliliğine ve kurumsal itibara katkı sağlayacak şekilde hayata geçirmektir.

 

🔒 BGYS'nin Temel İlkeleri (CIA Üçlüsü)

ISO 27001'in bilgi güvenliğini ele alırken esas aldığı üç temel koruma hedefi (prensibi) şunlardır:

  1. Gizlilik (Confidentiality):

    • Prensip: Bilginin sadece yetkili kişiler tarafından erişilebilir olmasını sağlamaktır. Yetkisi olmayan kişilerin bilgiye erişimi, ifşa edilmesi veya açığa çıkarılması engellenir.

    • Uygulama: Güçlü kimlik doğrulama, erişim kontrol listeleri ve şifreleme yöntemleri ile sağlanır.

  2. Bütünlük (Integrity):

    • Prensip: Bilginin içeriğinin doğru, tam ve geçerli olmasını garanti altına almaktır. Bilginin yetkisiz veya yanlışlıkla değiştirilmesi, silinmesi veya yok edilmesi önlenir.

    • Uygulama: Veri doğrulama, dijital imzalar, karma algoritmaları ve düzenli yedekleme metotları ile sağlanır.

  3. Erişilebilirlik (Availability / Kullanılabilirlik):

    • Prensip: Bilgiye yetkili kullanıcıların ihtiyaç duydukları anda ve kesintisiz olarak ulaşabilmesini güvence altına almaktır.

    • Uygulama: Düzenli bakım, yedekli altyapı (redundancy), iş sürekliliği planları ve felaket kurtarma (Disaster Recovery) prosedürleri ile sağlanır.

 

Bu üç ilke, kuruluşun bilgi varlıklarının değerini korumasının temel anahtar noktalarıdır.

 

🎯 ISO 27001'in Amaçları

ISO 27001'in temel amacı, bu üç ilkeyi, kuruluşun iş bağlamına uygun, risk temelli ve sürekli iyileşen bir yönetim sistemi içerisinde uygulamaktır.

 

1. Riskleri Sistematik Olarak Yönetmek

  • Odak: Bilgi güvenliği risklerinin (siber saldırılar, donanım arızası, insan hatası, vb.) belirlenmesi, değerlendirilmesi ve bunlara karşı yeterli ve orantılı güvenlik kontrollerinin sağlanması.

  • Sonuç: Bilgi varlıklarına yönelik tehdit ve zafiyetler sistematik bir şekilde yönetilerek zarar görme olasılığı minimize edilir.

 

2. Yasal ve Düzenleyici Şartlara Uyum Sağlamak

  • Odak: Kuruluşun tabi olduğu tüm yasal zorunluluklara, mevzuatlara ve sözleşme şartlarına (Örn: KVKK, GDPR) uyum sağlaması ve bu uyumun kanıtlanabilir olması.

  • Sonuç: Yasal takipleri ve olası tazminat sorumluluklarını önler.

 

3. İş Sürekliliğini Güvence Altına Almak

  • Odak: Önemli güvenlik olayları (saldırılar, doğal afetler) durumunda bile, kritik iş süreçlerinin ve bilgi kaynaklarının erişilebilir kalmasını sağlamak.

  • Sonuç: İş akışının kesintiye uğraması önlenir ve operasyonel dayanıklılık artırılır.

 

4. Kurumsal İtibarı ve Güveni Korumak

  • Odak: Müşterilere, tedarikçilere ve tüm paydaşlara, hassas bilgilerinin koruma altında olduğu konusunda güven vermek.

  • Sonuç: Kurumsal saygınlık korunur, müşteriler ve iş ortakları karşısında rekabet avantajı ve güvenilirlik sağlar.

 

Kuruluşlar, bu amaçlara ulaşmak için BGYS'yi PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsü içerisinde işletir ve sürekli olarak geliştirir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitim Bölüm 1 | Proje Planlama ve Yönetimi videosu, BGYS'nin kuruluş aşamasındaki planlama ve yönetim hedeflerini anlamanıza yardımcı olabilir.

İlginizi Çekebilecek Konu Başlıkları
BU KONU HAKKINDAKİ YORUMUNUZ NEDİR?
KULLANICI GİRİŞİ

Gmail Hesabım İle Bağlan

Yeni Kayıt Formu
Şifremi Unuttum?