BELGE SORGULA
ISO 27001 Belgesi

ISO 27001 Belgesi

ISO 27001 Standardı Nedir?

Bilgi, bir kurumda iş sürekliliği sağlanmasında ihtiyaç duyulan en önemli varlıklardan birisidir. Bir kurum faaliyetlerini yürütürken kazara veya ihmal dolayısıyla kaybettiği varlıkların (Örneğin; şirket arabası, binası, makinesi vb.) bir kısmını parayla veya başka bir yolla telafi edebilir. Ancak faaliyetlerin yürütülmesinde etkili olan bilginin kaybedilmesinin telafisi (eğer yedekleme yapılmadıysa) yoktur ya da çok zordur. Ayrıca günümüzde giderek gelişen ve değişen bilgi teknolojileri hayatın neredeyse her alanında rol oynamaktadır. İşte hem bilgi teknolojilerinin bu kadar etkili olduğu hem de bilginin saldırıya (siber vb.) bu kadar açık olduğu bir çağda bilgiyi korumanın ve güvenliğini sağlamanın önemi de giderek artmaktadır. Günümüzde birçok firmanın en fazla ihtiyaç duyduğu varlıklardan biri de bilgi güvenliği kapsamında belirli bir standardı yakalamak ve bilgi güvenliğini sağlamaktır. Bilgi güvenliği sadece eldeki bilginin gizliliğinin korunması değil aynı zamanda bilginin bütünlüğünün ve kullanılabilirliğinin korunmasıdır.

Bu kapsamda; standartlar ve standardizasyon denilince akla ilk gelen kurumlardan biri olan ISO (International Organization of Standardization – Uluslararası Standardizasyon Organizasyonu)’nun bilgi güvenliği yönetimi ve bilgi ile alakalı varlıkların güvenliği (the security of informational assets) hakkında belirlenen standartlara yönelik oluşturduğu doküman ya da yönerge ISO 27001 Standardı‘dır.

ISO 27001 Standardı, günümüzde yaygın olarak Bilgi Güvenliği Yönetim Sistemi ismiyle, ISO tarafından ise; ISO/IEC 27001 Standardı ismiyle anılmaktadır. 2013 yılında son versiyonu ISO tarafından yayınlanan ISO/IEC 27000 Standardları Ailesi’nin bir parçasıdır. ISO 27000 Standardları Ailesi; hem ISO hem de Uluslararası Elektroteknik Komisyonu’nun (IEC – International Electrotechnical Commission) alt komitelerinin ortak çalışmaları sonucunda yayınlanmıştır. Bu nedenle bu standart uluslararası toplumda ISO/IEC 27001 olarak geçer. ISO 27000 Standardları Ailesi hakkında detaylı bilgi için ISO’nun internet sitesine buradan erişebilirsiniz.  

ISO 27001 Standardı; bilgi güvenliğini, yönetimin kontrolü altına almayı amaçlar ve bu kapsamdaki belirli gereksinimleri sağlar. Bu Standard kapsamındaki şartları sağlayan firmalar, geçirdikleri denetimi başarıyla tamamlamalarının ardından akredite bir sertifikasyon kuruluşundan bu standarda yönelik sertifikayı alabilir.

 

ISO 27001 Standardı Alma Zorunluluğu Olan Kuruluşlar

ISO 27001 Standardı, dünyanın hangi ülkesinden veya sektöründen olursa olsun büyük – küçük tüm kuruluşlar tarafından elde edilebilir. Bu standart; finans, sağlık ve kamu gibi bilginin büyük öneme sahip olduğu sektörlerde özellikle gereklidir. Ayrıca ISO 27001 Standardı, bilgiyi başkaları adına yöneten taşeron şirketler için de oldukça önemlidir. ISO 27001 Standardı alma zorunluluğu olan kuruluşlar;

  • Görev sözleşmesi imzalayanlar,
  • İmtiyaz sözleşmesi imzalayanlar,
  • Uydu haberleşme hizmeti verenler,
  • Altyapı işletmeciliği hizmeti verenler,
  • Sabit telefon hizmeti verenler,
  • GMPCS mobil telefon hizmeti verenler,
  • Sanal mobil şebeke hizmeti verenler,
  • İnternet servisi sağlayanlar,
  • Hava taşıtlarında GSM 1800 mobil telefon hizmeti sunanlar,
  • E-fatura özel entegratör yetkisi almak isteyenler,
  • İhracat yaparken gümrük işleri kolaylaştırma yetkisi almak isteyenler,
  • Elektronik haberleşme sağlayan ve alt yapısını işletenler,
  • Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım hizmeti veren ve entegrasyon yapan firmalar olarak sıralanabilir.

ISO 27001 Standardı’nı almanın zorunluluğu kapsamındaki yapılan son yasal düzenleme 26.12.2014 tarihli ve 29217 sayılı Resmi Gazete’de yayınlanan değişikliklerdir. Bu değişikliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK); Petrol, Elektrik ve Doğal Gaz piyasasındaki firmalar için ISO 27001 Standardı’na sahip olmayı zorunlu hale getirmiştir. Ayrıca, T.C. Gümrük ve Ticaret Bakanlığı tarafından, 10 Ocak 2013 tarihli Resmi Gazete’de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında hayata geçirilen, Yetkilendirilmiş Yükümlü statüsü; gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına (ISO 27001 ve ISO 9001) sahip firmalara verilmektedir.

 

ISO 27001 Standardı Almanın Avantajları

Birçok firma bir dizi bilgi güvenliği kontrolüne sahiptir. Ancak bir Bilgi Güvenliği Yönetim Sistemi (Information Security Management System - ISMS) olmadan yapılan kontroller genellikle nokta çözümler sağlamaktansa, dağınık ve etkisi zayıf olma eğilimindedirler. Bu durum; bilgi güvenliğine yönelik sistemli bir yaklaşımı önemli ve hatta bazı kuruluşlar için zorunlu kılar.

ISO 27001 Standardı’na sahip olmak firmalara; bilgi ve veri güvenliğine yönelik birçok avantaj sağlar. Bu standarda sahip olmanın ve bu standardın gerekliliklerini yerine getirmenin sağladığı avantajlardan bazıları;

  • İçeriden ya da dışarıdan gerçekleşecek olan ihlal olaylarına karşı nasıl müdahale edilmesi gerektiği hakkında bilgi edinilmesi,
  • Olası bir felaket anında yapılacak olanlar hakkında bilgi edinilmesi,
  • Hem firmanın verilerinin hem de müşterilerin verilerinin herhangi bir ihlal ya da siber saldırıya karşı daha emniyetli olması ve risklerin azaltılması,
  • Bilgilerin gizliliğinin korunması,
  • Yasal açıdan zorunlu kılınan kriterlerin sağlanması,
  • Bilgi güvenliği kapsamında yapılanlar ile firmanın vizyonuna yön verilmesi,
  • Firma çalışanlarında bilgi güvenliği yönetimi ile alakalı bilinç ve dikkat oluşması,
  • Firmanın saygınlığının artması,
  • Müşterilerin şahsi bilgilerinin korunduğunu bilmesi ve müşteri memnuniyetinin artması olarak sıralanabilir.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Focus Keywords: ISO 27001 Standardı, bilgi güvenliği yönetim, müşteri memnuniyeti, Bilgi Güvenliği Yönetim.

Meta Açıklaması: Bu yazı, ISO 27001 Standardı hakkında önemli bilgiler içermekte, genel bilgi vermekte ve avantajlarından bahsetmektedir.