ISO 27001 Prensipleri, Amaçları ve Bilgi Güvenliği Terimleri
ISO 27001 Bilgi Güvenliği Yönetim Sistemi yalnızca bir belgelendirme standardı değildir. Kuruluşların bilgi varlıklarını gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korumasını, bilgi güvenliği risklerini sistematik şekilde yönetmesini ve sürekli iyileştirmeyi esas alan uluslararası bir yönetim modelidir. Bu rehberde ISO 27001’in amacı, bilgi güvenliği yönetim prensipleri, temel bilgi güvenliği terimleri ve standardın uygulama yaklaşımını kapsamlı şekilde inceleyebilirsiniz.
ISO 27001 standardını başarıyla uygulayan kuruluşlar yalnızca bir belge sahibi olmaz. Bilgi varlıklarını sistematik şekilde yönetebilen, bilgi güvenliği risklerini kontrol altına alan, müşteri güvenini artıran ve sürekli gelişen bir Bilgi Güvenliği Yönetim Sistemi oluştururlar. Bu nedenle standardın temel prensiplerini ve kullanılan kavramları doğru anlamak, başarılı bir uygulamanın ilk adımıdır.
ISO 27001’in Temel Amacı Nedir?
ISO 27001 standardının temel amacı; kuruluşların bilgi varlıklarını koruyabilecek, bilgi güvenliği risklerini sistematik şekilde yönetebilecek ve sürekli iyileştirilebilecek bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmasını sağlamaktır.
Bilgi güvenliği yalnızca bilgi işlem altyapısının korunması anlamına gelmez. Çalışanlar, süreçler, fiziksel ortamlar, yazılımlar, donanımlar, bulut hizmetleri ve üçüncü taraflarla paylaşılan bilgiler de bilgi güvenliği yönetiminin kapsamı içerisindedir. Bu nedenle ISO 27001; teknik kontrollerin yanında yönetsel ve organizasyonel kontrolleri de kapsayan bütüncül bir yaklaşım sunar.
Standardın temel hedefi; bilgi varlıklarının gizliliğini (Confidentiality), bütünlüğünü (Integrity) ve erişilebilirliğini (Availability) koruyarak kuruluşun faaliyetlerini güvenli, sürdürülebilir ve uluslararası kabul gören bir yönetim sistemi içerisinde yürütmesini sağlamaktır.
Bilgi Güvenliği Yönetim Sistemi Nedir?
Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kuruluşun bilgi varlıklarını gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korumasını sağlayan yönetim sistemidir.
BGYS yalnızca teknik güvenlik önlemlerinden oluşmaz. Bilgi güvenliği politikaları, bilgi varlığı envanteri, risk değerlendirme yöntemi, risk işleme planı, erişim yetkileri, fiziksel güvenlik, tedarikçi güvenliği, olay yönetimi, iş sürekliliği, farkındalık eğitimleri ve sürekli iyileştirme faaliyetleri sistemin temel bileşenleridir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi; kuruluşların bilgi güvenliği risklerini planlı, ölçülebilir ve sürdürülebilir bir yapıda yönetmesini sağlar. Bu yaklaşım sayesinde bilgi güvenliği yalnızca bilgi işlem biriminin değil, tüm kuruluşun ortak sorumluluğu haline gelir.
ISO 27001 Kuruluşlara Ne Kazandırır?
ISO 27001 standardı, kuruluşların bilgi güvenliğini rastlantısal veya kişilere bağlı uygulamalarla değil, sistematik ve kurumsal bir yapı içerisinde yönetmesini sağlar.
Standardın doğru uygulanması; bilgi varlıklarının korunmasını, bilgi güvenliği olaylarının azaltılmasını, müşteri ve tedarikçi güveninin artırılmasını, yasal ve sözleşmesel yükümlülüklerin daha etkin yönetilmesini ve iş sürekliliğinin desteklenmesini sağlar.
ISO 27001 ayrıca kuruluşların bilgi güvenliği olgunluğunu artırır. Riskler düzenli olarak değerlendirilir, kontroller uygulanır, sonuçlar izlenir ve sistem sürekli iyileştirilir. Bu sayede bilgi güvenliği yalnızca belge alma süreciyle sınırlı kalmaz; günlük operasyonların doğal bir parçası haline gelir.
ISO 27001’in Temel Bilgi Güvenliği Yönetim Prensipleri
ISO 27001 standardının etkili uygulanabilmesi için yalnızca standart maddelerini bilmek yeterli değildir. Standardın arkasındaki bilgi güvenliği yönetim prensiplerinin de doğru anlaşılması gerekir.
Bu prensipler; kuruluşun bilgi varlıklarını doğru tanımasını, risklerini etkin yönetmesini, uygun kontrolleri seçmesini, çalışanların bilgi güvenliği sorumluluklarını anlamasını ve sistemin sürekli geliştirilmesini sağlar.
1. Gizlilik
Gizlilik, bilginin yalnızca yetkili kişiler tarafından erişilebilir olmasını ifade eder. ISO 27001 kapsamında gizlilik; erişim yetkilerinin yönetilmesi, kullanıcı rollerinin belirlenmesi, parola politikaları, gizlilik taahhütleri, şifreleme, fiziksel erişim kontrolleri ve bilgi sınıflandırması gibi uygulamalarla desteklenir.
Gizlilik prensibi, özellikle kişisel veriler, ticari sırlar, müşteri bilgileri, finansal kayıtlar, sözleşmeler, yazılım kaynak kodları ve stratejik bilgiler açısından kritik öneme sahiptir.
Gizlilik prensibi, yetkisiz erişim ve bilgi ifşası risklerini azaltır. Bu sayede müşteri güveni güçlenir, yasal yükümlülüklerin yerine getirilmesi kolaylaşır ve kuruluşun itibarı korunur.
2. Bütünlük
Bütünlük, bilginin doğruluğunun, tamlığının ve yetkisiz şekilde değiştirilmemiş olmasının korunmasıdır. ISO 27001 kapsamında bütünlük; değişiklik yönetimi, kayıtların korunması, loglama, onay mekanizmaları, veri doğrulama kontrolleri ve yetkilendirilmiş işlem süreçleriyle sağlanır.
Bilginin bütünlüğünün bozulması; hatalı kararlar alınmasına, müşteri verilerinin yanlış işlenmesine, finansal kayıtların güvenilirliğinin azalmasına ve operasyonel hatalara neden olabilir.
Bütünlük prensibi, kuruluşun karar alma süreçlerinde doğru ve güvenilir bilgi kullanmasını sağlar. Bu da operasyonel hataların, uygunsuzlukların ve veri manipülasyonu risklerinin azaltılmasına katkı sağlar.
3. Erişilebilirlik
Erişilebilirlik, bilgiye ve bilgi işleme sistemlerine ihtiyaç duyulan zamanda yetkili kullanıcılar tarafından erişilebilmesini ifade eder. ISO 27001 kapsamında erişilebilirlik; yedekleme, felaket kurtarma, kapasite yönetimi, iş sürekliliği, sistem izleme ve bakım faaliyetleriyle desteklenir.
Bilgi sistemlerinin erişilemez hale gelmesi; hizmet kesintilerine, müşteri memnuniyetsizliğine, operasyonel kayıplara ve sözleşmesel yükümlülüklerin ihlaline yol açabilir.
Erişilebilirlik prensibi, kritik süreçlerin kesintisiz yürütülmesini ve bilgi güvenliği olaylarının iş sürekliliği üzerindeki etkilerinin azaltılmasını sağlar.
4. Risk Temelli Yaklaşım
ISO 27001’in merkezinde risk temelli yaklaşım yer alır. Kuruluşlar bilgi varlıklarını belirler, bu varlıklara yönelik tehditleri ve zafiyetleri değerlendirir, risk seviyelerini analiz eder ve uygun risk işleme kararları alır.
Risk temelli yaklaşım, her kuruluşa aynı kontrollerin mekanik şekilde uygulanması yerine, kuruluşun gerçek ihtiyaçlarına ve risk profiline uygun önlemler alınmasını sağlar.
Risk temelli yaklaşım, kaynakların doğru alanlara yönlendirilmesini sağlar. Böylece bilgi güvenliği yatırımları daha verimli planlanır ve kritik riskler öncelikli olarak yönetilir.
5. Uygun Kontrollerin Seçilmesi
ISO 27001’de kontroller, risk değerlendirme sonuçlarına göre seçilir. Kuruluş; riskleri azaltmak, kabul etmek, aktarmak veya kaçınmak gibi kararlar aldıktan sonra uygun kontrolleri belirler ve Uygulanabilirlik Bildirgesi (SoA) ile bu kararları dokümante eder.
Kontroller yalnızca teknik önlemlerden ibaret değildir. İnsan kaynakları güvenliği, tedarikçi ilişkileri, fiziksel güvenlik, erişim kontrolü, olay yönetimi, iş sürekliliği ve uyum gibi birçok alanı kapsar.
Uygun kontrol seçimi, gereksiz uygulamalardan kaçınmayı ve gerçekten ihtiyaç duyulan güvenlik önlemlerine odaklanmayı sağlar. Bu da sistemin uygulanabilirliğini ve etkinliğini artırır.
6. Çalışan Katılımı ve Farkındalık
Bilgi güvenliği yalnızca teknik ekiplerin sorumluluğu değildir. Kuruluşta bilgiye erişen, bilgiyi işleyen veya paylaşan tüm çalışanlar bilgi güvenliği yönetim sisteminin bir parçasıdır.
ISO 27001 kapsamında çalışanların bilgi güvenliği politikalarını, gizlilik kurallarını, güvenli çalışma prensiplerini, olay bildirim süreçlerini ve kişisel veri güvenliği sorumluluklarını anlaması beklenir.
Çalışan farkındalığı, insan kaynaklı bilgi güvenliği olaylarını azaltır. Sosyal mühendislik, yanlış paylaşım, zayıf parola kullanımı ve yetkisiz erişim gibi risklerin kontrol altına alınmasına katkı sağlar.
7. Sürekli İyileştirme
ISO 27001, yaşayan bir yönetim sistemi yaklaşımına dayanır. Riskler, kontroller, olaylar, iç tetkik sonuçları, performans göstergeleri ve yönetimin gözden geçirmesi sonuçları düzenli olarak değerlendirilir.
Sürekli iyileştirme sayesinde Bilgi Güvenliği Yönetim Sistemi değişen teknolojilere, yeni tehditlere, organizasyonel değişikliklere ve yasal gerekliliklere uyum sağlayabilir.
Sürekli iyileştirme prensibi, bilgi güvenliği yönetim sisteminin güncel kalmasını sağlar. Kuruluş değişen tehdit ortamına karşı daha hazırlıklı hale gelir.
7 Prensibin Ortak Amacı
ISO 27001’in temel prensipleri birbirinden bağımsız uygulamalar değildir. Gizlilik, bütünlük, erişilebilirlik, risk yönetimi, kontrol seçimi, çalışan farkındalığı ve sürekli iyileştirme birlikte çalışarak kuruluşun bilgi güvenliği olgunluğunu güçlendirir.
Bu prensiplerin ortak amacı; bilgi güvenliğini yalnızca teknik bir zorunluluk olarak değil, kuruluşun yönetim sistemi, iş sürekliliği, müşteri güveni ve kurumsal itibarı açısından stratejik bir unsur olarak ele almaktır.
ISO 27001 denetimlerinde yalnızca dokümanların varlığına değil, bilgi güvenliği prensiplerinin günlük faaliyetlerde gerçekten uygulanıp uygulanmadığına bakılır. Risk analizi, SoA, erişim kontrolleri, farkındalık eğitimleri ve olay yönetimi kayıtlarının sistemle tutarlı olması beklenir.
ISO 27001’de Sık Kullanılan Bilgi Güvenliği Terimleri
ISO 27001 standardı uygulanırken birçok teknik ve yönetsel kavram birlikte kullanılır. Bu terimlerin doğru anlaşılması; Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması ve denetlenmesi açısından büyük önem taşır.
Aşağıda ISO 27001 uygulamalarında en sık karşılaşılan temel bilgi güvenliği terimlerini bulabilirsiniz.
ISO 27001 denetimlerinde yalnızca kavramların bilinmesi değil, bu kavramların kuruluş içerisinde nasıl uygulandığı da değerlendirilir. Bilgi varlığı envanteri, risk analizi, SoA, olay kayıtları ve iç tetkik sonuçlarının birbirini desteklemesi beklenir.
Bu Konular da İlginizi Çekebilir
Sık Sorulan Sorular
ISO 27001'in temel prensipleri nelerdir?
ISO 27001; gizlilik, bütünlük, erişilebilirlik, risk temelli yaklaşım, uygun kontrollerin uygulanması, çalışan farkındalığı ve sürekli iyileştirme prensipleri üzerine kuruludur.
CIA üçlüsü nedir?
CIA; Confidentiality (Gizlilik), Integrity (Bütünlük) ve Availability (Erişilebilirlik) kavramlarından oluşur ve ISO 27001 bilgi güvenliği yaklaşımının temelini oluşturur.
Bilgi varlığı neyi ifade eder?
Kuruluş için değer taşıyan ve korunması gereken her türlü bilgi, sistem, yazılım, donanım, hizmet, fiziksel kayıt ve insan kaynağı bilgi varlığı olarak değerlendirilir.
SoA neden hazırlanır?
Uygulanabilirlik Bildirgesi (SoA), kuruluşun hangi ISO 27001 kontrollerini uyguladığını, hangilerini uygulamadığını ve bunun gerekçelerini gösteren temel dokümandır.
ISO 27001 neden risk temellidir?
Çünkü uygulanacak kontroller kuruluşun kendi bilgi güvenliği risklerine göre belirlenir. Böylece kaynaklar en kritik risklere yönlendirilir ve sistem daha etkin hale gelir.
Bilgi Güvenliği Yönetim Sisteminizi Doğru Temeller Üzerine Kurun
ISO 27001 standardının prensiplerini ve bilgi güvenliği kavramlarını doğru anlamak, başarılı bir Bilgi Güvenliği Yönetim Sistemi kurmanın ilk adımıdır. TOEM Kalite olarak kuruluşunuza uygun, uygulanabilir ve sürdürülebilir ISO 27001 danışmanlık hizmeti sunuyoruz.
ISO belgesi fiyatı ve teklif
Ön teklif almak için butona tıklayarak teklif sayfamıza geçebilir, talebinizi orada iletebilirsiniz; ekibimiz değerlendirdikten sonra size dönüş yapar.