ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEM STANDARTI
ISO 27001: BİLGİ GÜVENLİĞİ YÖNETİM SİSTEM STANDARTI
Bilgi, türüne göre, elde edilebilmesi için ciddi emek, zaman ve maddi yatırım gerektiren önemli bir varlıktır. Doğal olarak bu kadar çaba harcanarak elde edilen bilginin gizliliğini sağlayabilmek ve her an kullanıma hazır halde tutabilmek de çok önemli bir kavramdır.
Giderek gelişen teknoloji sayesinde, klasörler, dosyalar ve hatta kasalarda saklanan dokümanlar artık dijital platformlarda saklanmaya ve burada sürekli güncek halde tutulmaya başlandı.
Kurum ve kuruluşların elinde bulundurduğu ve büyük emeklerle oluşturduğu bilgiler, hem giderek artan rekabetin baskısı hem de “kazanma” içgüdüsü ile rakiplerin ve kısa yoldan bilgiye erişmeye çalışan kötü niyetli kişilerin hedefi haline geldi.
Bildiğimiz anlamdaki savaşlar giderek yerini siber savaşlara bırakmaya başladı. Ülkeler arasındaki gerilimlerde siber saldırılar bir strateji haline gelirken milli duyguları güçlü gruplar da, ülkelerinin bu konudaki stratejilerinden bağımsız olarak siber saldırılara imza atar hale geldi.
Bu saldırılar her zaman şirket ve/veya ülke dışından gelmiyor. Bilgi güvenliğinin önemini kavrayamamış, mevcut teknolojiler ve bunlarla yapılabileceklere uzak, önemsemeyen çalışanların yaptığı dikkatsizlikler bilgi güvenliğini önemli ölçüde tehdit ediyor. Öte yandan kızgın, kırgın ve mutsuz bir çalışan, sadece intikam duygusu ile bile bilgilere bilerek zarar verebiliyor.
Özetle; elimizde olan ve bizin için son derece değerli olan bilgiler her yönden gelebilecek saldırılara artık çok açık.
Bu durumun farkında olan kurum, kuruluş ve kişiler bilgilerini korumak için bir takım uygulamalar ile güvenliklerini sağlamaya çalışıyor.
Kurum ve kuruluşların oluşturduğu, içyapılarında kullandığı ve korumak durumunda olduğu bilgiler ise çok çeşitli;
- Müşterileri bilgileri,
- Tedarikçi bilgileri,
- Ticari bilgiler,
- Mali bilgiler,
- Personel bilgileri,
- İmalat süreçlerine ait bilgiler,
- Know-how ve daha pek çoğu…
Bu durumda ortaya çıkan soru şu: Koruma önlemleri ne kadar etkili ve sürdürülebilir?
Pek çok kurum ve kuruluş anti virüs yazılımları ve firewall uygulamalarının yeterli olacağını düşünüyor. Oysa saldırı şekilleri her geçen gün değişiyor, kurum içi ve kurum dışı yeni tehditler ortaya çıkıyor. Dolayısıyla bir defa yapılan hardware ve software yatırımları bilgi güvenliğini sağlamaya yetmiyor. Güvenlik kavramının tüm alt bileşenleri ile birlikte bir bütün olarak değerlendirilmesi, sürekli kontrol edilmesi ve gereken her durumda iyileştirme önlemlerinin hemen alınması kavramı, yani “yönetilmesi” gerekiyor.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, ulusal ve uluslararası tüm platformlarda kabul görmüş yönetim sisteminin kurulması ve işletilmesini sağlayan bir standarttır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı sayesinde kurum ve kuruluşlar bilgi güvenliği kapsamında değerlendirilen konularda gerçek güvenliğe ulaşmış olacaktır;
- Bilgi envanterinin oluşturulması,
- Bilgilerin tekilleştirilmesi,
- Bilgilerin önem seviyelerinin derecelendirilmesi,
- Bilgi derecelendirmesine uygun olarak erişim yetkilerinin belirlenmesi ve tanımlanması,
- Bilgi derecesine göre yeni giriş, silme ve değiştirme yetkilerinin belirlenmesi ve tanımlanması,
- Bilginin korunmasına yönelik kurum/kuruluş politikasının oluşturulması, tüm çalışanlar, tedarikçiler ve diğer paydaşlar ile açıkça paylaşılması,
- Bilgi güvenliği yönetim sisteminin ihtiyaç duyduğu tüm prosedür ve proseslerin oluşturulması ve şirket içinde paylaşılması,
- Kurum ve kuruluşa ait bilgilerin korunma şekline ait risklerin analiz edilmesi ve açıklar için teknik önlem planlanması,
- Bilgi koruma yönetim sisteminde sorumluluk ve yetkilerin somut olarak şekillendirilmesi,
- Yönetim sisteminin beklenen sonuçları vermesini etkileyecek risklerin analiz edilerek önlem planlanması,
- Yapılması gereken iyileştirmelerin gerçekleştirilmesini garanti altına alma,
- İç denetimler ile sürecin denetlenmesi ve açıkların yakalanarak iyileştirilmesi,
- Üst yönetim gözden geçirmeleri ile mevcut durumun sürekli takip edilmesi.
Apak Akademi olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin kurularak belgelendirme kurumlarının denetimize hazır hale getirilmesinde, tecrübeli personeli ile hizmet vermeye hazır…