ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

Img
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO/IEC 27001:2013,(önceki BS 7799-2:2002), Bilgi Güvenliği Yönetim Sistemi için gereklilikleri ortaya koyan bir standarttır. Bilgilerin düzenli olarak maruz kaldığı bir takım tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur. Bu standart, müşterilerinize ve diğer taraflara, uygun güvenlik kontrollerinin seçildiğini ve bilgi varlıklarınızın güven altında olduğunu göstermeniz için tasarlanmıştır.

Bu Standard farklı yapı ve sektördeki birçok kuruluş için aşağıdakileri içerir;
· Güvenlik gerekliliklerini ve amaçları belirlemek
· Güvenlik risklerinin ekonomik olarak yönetildiğine emin olmak
· Yasal gerekliliklere uygunluktan emin olmak
· Bilgi güvenliği altyapınızın içerdiği uygulamaların ve kontrollerin, kuruluşun amaçladığı güvenlik seviyesi ile uyuştuğunu göstermek
· Mevcut bilgi güvenliği yönetim süreçlerini belirlemek ve açıklamak
· Yönetim tarafından, bilgi güvenliği yönetimi faaliyetlerinin durumunu belirlemek
· İç ve dış tetkikçiler tarafından, kuruluşun, politikalara, prosedürlere ve standardlara uygunluğunu değerlendirmek
· Ticari ortaklarınıza, bilgi güvenliği politikalarınız, prosedürleriniz ve standardlarınız hakkında bilgi sağlamak
· Müşterilerinize, bilgi güvenliğiniz hakkında bilgi sağlamak
ISO/IEC 27001:2005 kullanan bir kuruluş, kendi BGYS’i için bir dayanak olarak, belgelendirmesini yaptırabilir, böylece BGYS’in standardın gerekliliklerini yerine getirdiği kanıtlanmış olur.

Kuruluşa yönelik faydaları;
· Bilgi varlıklarının gizliliğinin korunması,
· Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
· Kurumsal itibarın korunması,
· İş sürekliliğinin sağlanması,
· Bilgi kaynaklarına erişimin denetlenmesi,
· Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
· Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,
· Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,
· Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,
Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.