ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Nedir ?

   ISO / IEC 27001, güçlü bir bilgi güvenliği yönetim sistemi için gerekliliklerin detaylandırıldığı, uluslararası bilgi güvenliği yönetim standardıdır.

  Günümüzde kuruluşlar hem kendi hem de bağlı oldukları yasal ve sözleşmelerden kaynaklı; işledikleri, sakladıkları ve yönettikleri bilgi ve bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak zorundalar.

   ISO/IEC 27001 Bilgi güvenliği standardı risk tabanlı yaklaşımı ile kuruluşların bu süreçlerinde bilgi ve bilgi varlıklarının korunması için doğru insan kaynakları, prosedürler ve bilgi teknolojileri altyapıları ile hedeflenen güvenlik düzeyini sağlamaktadır. ISO / IEC 27001 her sektörden her büyüklükteki firmanın şirket süreçlerine entegre etmek için uygundur.

  Her türlü finansal, müşteri özel bilgileri vb. gibi kritik verilerin kuruluşunuz tarafından risk tabanlı bir yaklaşım kullanarak en doğru şekilde koruduğunuz kanıtı ISO/IEC 27001 sertifikasıdır.

  Bu sebeple her geçen gün ISO 27001 Belgelendirmesi hem yasal hem de sözleşmesel beklentiler doğrultusunda zorunlu hale gelmektedir.

  Dış sorunlar, teknik hatalar, casusluk veya bilgiyi kötüye kullanım gibi çeşitli bilgi varlıklarının zarar görmesine neden olan durumlardan dolayı her yıl her milyonlarca hasar meydana gelmektedir. ISO 27001‘e göre bir bilgi güvenliği yönetim sisteminin hedefi, kurumsal riskleri tanımlamak, bunları analiz etmek ve kontrol edilebilir hale getirmek için uygun önlemleri kullanmaktır.

  ISO 27001, ISO 9001’den iyi bilinen bir yaklaşım olan Plan-Do-Check-Act döngüsü ile uyumludur. Bu nedenle Bilgi güvenliği yönetim sistemini mevcut bir yönetim sistemine entegre etmek kolaylıkla yapılabilir.

ISO 27001 Neden Gereklidir? 

   Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS (Bilgi Güvenliği Yönetim Sistemi) gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.

ISO 27001 Kimleri İlgilendirir ?

   ISO 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi büyük öneme sahip olduğu alanlarda özellikle gereklidir. ISO 27001, bilgi teknolojileri taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir. Müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

ISO 27001 alma zorunluluğu olan sektörler şunlardır:

Görev sözleşmesi imzalayan firmalar

• İmtiyaz sözleşmesi imzalayan firmalar
  

• Uydu haberleşme hizmeti veren firmalar
  

• Altyapı işletmeciliği hizmeti veren firmalar
  

• Sabit telefon hizmeti veren firmalar
  

• GMPCS mobil telefon hizmeti veren firmalar
  

• Sanal mobil şebeke hizmeti veren firmalar
  

• İnternet servis sağlayıcıları
  

• Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar
  

• E-fatura özel entegratör yetkisi almak isteyen firmalar
  

• Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçı firmalar
  

• Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
  

• Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar
  

ISO 27001 alması zorunlu firmalar

Enerji Sektöründe Faaliyet Gösteren Firmalar

    26.12.2014 tarihli ve 29217 sayılı Resmi Gazete'de yayımlanan değkliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK), Petrol, Elektrik, Doğalgaz Piyasası'ndaki firmalar için ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmayı zorunlu hale getirmiştir. Söz konusu piyasalardaki lisans sahipleri 01.03.2016'dan itibaren akredite bir belgelendirme kurumundan ISO 27001 belgesini almakla yükümlüdür.

Gümrük Firmaları

   T.C. Gümrük ve Ticaret Bakanlığı tarafından, 10 Ocak 2013 tarihli Resmi Gazete'de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında hayata geçirilen, Yetkilendirilmiş Yükümlü statüsü; gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına (ISO 27001 ve ISO 9001) sahip firmalara veriliyor. Söz konusu statüye sahip üretici ve ihracatçı firmaların ilk avantajı olan yerinde gümrükleme ile ihracata yönelik gümrük işlemleri firmanın kendi tesislerinde kolaylıkla yapılıyor. Gümrüğe gelmesine ve gümrükte beklemesine gerek kalmayan firma, kendi tesisinde güvenle işlemlerini gerçekleştiriyor. Böylelikle hem zamandan hem de operasyon maliyetlerinden tasarruf ediyor. Ayrıca, gerçekleştirilen sertifikasyon sayesinde söz konusu firmaların piyasadaki prestiji de artıyor.

E-Fatura Hizmeti Verecek Özel Entegratör Firmalar

  Gelir İdaresi Başkanlığı - Denetim ve Uyum Yönetimi Daire Başkanlığı'nın Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu'nda, e-Fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgeleri alma zorunluluğu getirildiği bildirilmektedir.

Özel entegratör firma ;

• Bilgi güvenliği için TS ISO IEC 27001 veya ISO 27001 belgelerine,
  
• İş sürekliliği (Societal security - Business continuity) için ISO 22301 belgesine,
  
• Bilgi Teknolojileri Hizmet Yönetimi Sistemi için TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.
  

ISO/IEC 27001 İle ilgili Terim ve Kavramlar 

Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.

Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.

Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.

Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.

Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.

Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.

Uygulanabilirlik bildirgesi: Kuruluşun BGYS'si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildiri. 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları 

• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
  

• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarını belirler ve uygulayarak korur.
  

• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
  

• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
  

• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
  

• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
  

• Çalışanların motivasyonunu arttırır.
  

• Yasal takipleri önler.
  

• Yüksek prestij sağlar.