Bilgi Güvenliği Yönetim Sistemi, işletmelerin gizli bilgiler başta olmak üzere tüm bilgilerini standarta bağlı şekilde yönetmek için oluşturulmuş sistematiksel bir yaklaşım prensibidir. ISO 27001 belgesi amaçları yaklaşık 30 yıl kadar öncesine dayanan bilgisayar ve internet sektörünün firmalara entegre hale gelmesiyle yasal bir zorunluluk haline gelmeye başlamıştır. Bu sistem üzerinde İngiltere liderliğinde bir standart yapısı oluşturulmuş ve IAF (Uluslararası Standartlar Organizasyonu) ile ortak halde çalışmalar yapılmıştır. Bu şekilde 140’tan fazla ülke tarafından benimsenmiş olan iso 27001 bilgi güvenliği yönetim sistemi standardı ortaya çıkmıştır.

ISO 27001 ile birlikte tüm işletmeler için bilgi güvenliği sistemi oluşturmak ve bu oluşumu başlatmak, sürekliliğini sağlamak, iyileştirmeye yönelik risk ve fırsat analizleri yapmak genel prensipler olarak ortaya konmuştur. ISO 27001 belgesi amaçları bu prensiplere göre belirlenmiştir.

 

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin Temel Prensipleri bir kaç başlık altında sıralanabilir.

Gizlilik prensibi; İşletmenin bünyesinde gizli ve korunması gereken tüm bilgilerin işletme sahibi yada o bilgilere ulaşması gereken kişiler dışında tüm kişilere karşı kapalı olmasını sağlamak ve yetkisi olmayan insanlar tarafından bu bilgilere ulaşımı engelleyerek bilginin sızdırılmasının önüne geçilmesi prensibidir. Çünkü bazı bilgiler gizli olup korunmak durumundadır.
Kullanılabilirlik prensibi; Yetkisi olan kişilerin herhangi bir bilgiye ihtiyaç duyduğunda ağa girerek o kişiler tarafından bilgiye hemen ulaşılabilmesi prensibidir. Her hangi bir sorun veya yasaya karşı o bilgiye çok kısa sürede ulaşılabiliyor olması gerekmektedir.
Bütünlük Prensibi; Korunan ve gizli bilginin ham girildiği şekliyle ve bozulmamış haliyle saklanarak, yetkisi olan kişiler dahilinde ulaşılabilir olması prensibidir. Ulaşılmak istenen bilgi, ham halinden uzaklaşmış veya değiştirilmişse bütünlük prensibi söz konusu olamaz.

 

Bilgi Güvenliği Hedefleri Nasıl Oluşturulur?

Bilgi Güvenliği amaçları aşağıdakileri sağlamalıdır;

  • Bilgi güvenliği politikası ile tutarlı olmalı,
  • Ölçülebilir olmalı (uygulanabilirse),
  • Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını dikkate almalı,
  • Duyurulmalı ve uygun şekilde güncellenmelidir.

Kuruluş bilgi güvenliği hedeflerini ve amaçlarını nasıl başaracağını planlarken, ne yapılacağı, hangi kaynakların gerekli olacağı, kimin sorumlu olacağı, ne zaman tamamlanacağı ve sonuçların nasıl değerlendirileceği gibi bilgi güvenliği amaçları ile ilgili yazılı bilgileri muhafaza etmelidir.

 

ISO 27001 Belgesi Amaçları ile ilgili Terim ve Kavramlar

  • Bilgi için gerekli kaynakları belirleyerek sağlamak ve risk oluşumunu tahmin ederek o bilginin sistematiksel kullanımını sağlayarak risk analizi yapmak,
  • Risk analizini yaptıktan sonra analize ait derecelendirmeyi oluşturarak risk değerlendirmesini görmek,
  • Oluşabilecek riskleri belirledikten sonra o risklere karşı kriterler belirlemek için risk derecelendirmeleri yapmak,
  • İşletmeyi kontrol ederek ve yönlendirerek riskleri için paralel bir yapı oluşturarak risk yönetimini sağlamak,
  • Riski değiştirmek için alınacak tüm önlemlerin uygulanması için risk işlemesini gerçekleştirmek,
  • Bilgi Güvenliği ile ilgili tüm kontrolleri belirten açıklayıcı dokümante edilmiş bilgiler oluşturarak uygulanabilirlik bildirgesi yapmak.

Sistem kurulur ve işletilirken tüm risk analizlerinin yapılması, risk yönetimi, iş sürekliliklerinin planlanması, acil durumlara karşı önlem ve tedbirler almak, prosedürleri, prosesleri hazırlamak ve bunları kayıt altında tutmak gerekmektedir.

 

iso 27001 belgesi amaçları