ISO 27001 Bilgi Güvenliği Nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemin’den önce temel kavramlarından bir tanesi olan varlık kavramından bahsedelim.
Varlık Nedir?
Bilgi Güvenliği’nin temel kavramı olan varlık, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken tüm unsurlardır.
Bilgi Güvenliği’ndeki ana amaç ise firmanızdaki bilgi varlıklarının yetkisiz erişime karşı korunması amaçlanmaktadır.
Bilgi Varlıkları Nedir?
Firmanızdaki bilgi varlıkları:
- Yazılı, basılı tüm belgeler(liste, form, sözleşme vb.)
- Sözlü taşınan veriler(telefon ve sohbetler)
- Elektronik ortamdaki veriler (PC, CD,USB bellek)
- Hafızamızdaki veriler (Şirket çalışanları)
Firmanızda kurulacak bu sistem yukarıda belirtilen ve firmanızda çeşitli şekilllerde oluşan bilgi varlığını kapsar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
Bu sistem, güvenlik gereksinimlerini tanımlayan uluslararası denetlenebilir tek standarttır. Bilginin yetkisinin belirlenmesi, yok edilmesinden değiştirilmesinden korur. Aynı zamanda izinsiz erişimleri engelleme işlemi olarak tanımlanır.
Bu Sistemin arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim ve sistem proseslerini belirlemek ve uygulamaktır.
Bilgi varlığınız uygun bir şekilde korunmazsa;
-Gizli bilgiler açığa çıkabilir.
-Bilginin içeriğinde yetkisiz kişiler tarafından değişiklik yapılabilir.
-Bilgiye erişim mümkün olmayabilir.
-Kullanıcı hataları ve kötü niyetli girişimler oluşabilir.
Temel Kriterler Nelerdir?
Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.
Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.
Son olarak bu standardı diğer standartlardan ayıran temel farktan bahsedelim:
Bu standartta Ek.A olarak tanımladığımız kontroller, firmanızın bilgi işlem altyapısının sağlaması gereken kriterleri açıklamaktadır.
Bu kontroller aynı zamanda bu sistemin görünmeyen bütçesini belirleyecek olan aşamadır.
Bu kontroller:
1.BİLGİ GÜVENLİĞİ POLİTİKALARI
2.BİLGİ GÜVENLİĞİ ORGANİZASYONU
3.İNSAN KAYNAKLARI GÜVENLİĞİ
4.VARLIK YÖNETİMİ
5.ERİŞİM KONTROLÜ
6.KRİPTOGRAFİ
7.FİZİKSEL VE ÇEVRESEL GÜVENLİK
8.İŞLETİM GÜVENLİĞİ
9.HABERLEŞME GÜVENLİĞİ
10.SİSTEM TEMİNİ, GELİŞTİRME VE BAKIM
11.TEDARİKÇİ İLİŞKİLERİ
12.İHLAL OLAYI YÖNETİMİ
13.İŞ SÜREKLİLİĞİ YÖNETİMİ
14.UYUM