ISO 27001 – Bilgi Güvenliği Yönetim Sistemi

Kuruluşların bilgi varlıklarını sistemli ve güvenli biçimde yönetmesini sağlayan, uluslararası geçerliliği olan bir standarttır. Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini garanti altına alır.

 ISO 27001 Standartının Amacı

  • Bilgi güvenliği risklerini tanımlamak ve kontrol altına almak
  • Siber saldırılara ve veri kaybına karşı koruma sağlamak
  • Yasal ve sektörel bilgi güvenliği gerekliliklerine uyum

 ISO 27001 Standartının Başlıca Gereklilikler

  • Bilgi varlıklarının ve risklerinin tanımlanması
  • Güvenlik politikaları ve prosedürlerin oluşturulması
  • Yetkilendirme ve erişim kontrolü
  • Fiziksel ve siber güvenlik önlemleri
  • Olay yönetimi ve veri ihlallerine hazırlık
  • İç denetimler ve sürekli iyileştirme

ISO 27001:2022 – Temel Maddelerle Özet

  1. Kuruluşun Bağlamı
    Kuruluş, bilgi güvenliğini etkileyen iç ve dış faktörleri belirlemeli, risk ortamını analiz etmelidir.
  2. İlgili Taraflar ve Beklentileri
    Müşteriler, çalışanlar, tedarikçiler, regülasyon kurumları gibi ilgili tarafların bilgi güvenliği ihtiyaçları belirlenmelidir.
  3. BGYS Kapsamı
    Bilgi güvenliği yönetim sisteminin hangi alanları, faaliyetleri ve süreçleri kapsadığı net şekilde tanımlanmalıdır.
  4. Bilgi Güvenliği Politikası
    Kuruluş, bilgi varlıklarını korumaya yönelik taahhüt içeren bir bilgi güvenliği politikası geliştirmeli ve duyurmalıdır.
  5. Risk Yönetimi
    Bilgi güvenliği ile ilgili tehditler, açıklar ve riskler tanımlanmalı; bu risklere uygun kontrol önlemleri belirlenmelidir.
  6. Varlık Yönetimi
    Kuruluş, sahip olduğu bilgi varlıklarını (veri, sistem, yazılım, insan vb.) tanımlamalı ve sınıflandırmalıdır.
  7. Yetkilendirme ve Erişim Kontrolleri
    Bilgilere sadece yetkili kişilerin erişmesi sağlanmalı; görev ve roller bazında yetki kısıtlamaları uygulanmalıdır.
  8. Fiziksel ve Çevresel Güvenlik
    Sunucu odaları, arşiv alanları gibi fiziksel varlıklar koruma altına alınmalı, yetkisiz erişim önlenmelidir.
  9. İnsan Kaynakları Güvenliği
    Personel, işe girişten çıkışa kadar bilgi güvenliği kurallarına uygun olarak yönetilmelidir.
  10. İletişim ve Operasyon Güvenliği
    Bilgi alışverişi, veri iletimi ve sistem yönetimi süreçleri güvenli şekilde gerçekleştirilmelidir.
  11. Şifreleme ve Bilgi Transferi
    Hassas bilgilerin transferinde uygun kriptografik yöntemler kullanılmalı, veri güvenliği sağlanmalıdır.
  12. Bilgi Sistemlerinin Tedarik, Geliştirme ve Bakımı
    Yeni yazılım ve sistem geliştirme süreçleri bilgi güvenliği ilkelerine göre tasarlanmalı ve izlenmelidir.
  13. Bilgi Güvenliği Olay Yönetimi
    Güvenlik ihlalleri, siber saldırılar veya veri sızıntılarına karşı olay kayıt ve müdahale prosedürleri uygulanmalıdır.
  14. İş Sürekliliği Yönetimi
    Bilgi sistemlerinin kesintiye uğramaması için felaket senaryoları ve yedekleme çözümleri oluşturulmalıdır.
  15. Uyum ve Mevzuata Uygunluk
    KVKK, GDPR gibi yasal düzenlemelere ve sektör gerekliliklerine tam uyum sağlanmalıdır.
  16. Performans Değerlendirme ve İç Denetim
    Sistem etkinliği, belirli aralıklarla iç denetimlerle kontrol edilmeli ve sonuçları analiz edilmelidir.
  17. Yönetimin Gözden Geçirmesi
    Üst yönetim, bilgi güvenliği sisteminin etkinliğini düzenli olarak gözden geçirmeli ve stratejik yönlendirmeler yapmalıdır.
  18. Sürekli İyileştirme
    Bilgi güvenliği sistemi, tehditlere karşı sürekli geliştirilmeli ve güncel tutulmalıdır.