ISO 27001 nedir?

“The International Organization for Standardization” yani “Uluslararası Standartlar Teşkilâtı” kısaca ISO olarak anılır; uluslararası standartlar belirleyerek pek çok alanda kalite yönetimini sağlar. Bu kalite yönetim sistemi denetimlerle desteklenir. Temelde yapılması gerekenlerin altını çizer ama nasıl yapılacaklarını belirtmez. Kalite yönetimi firmalardaki pek çok olumlu değerin de destekçisi durumundadır. Mesela maliyetlerin azaltılmasına, verimi artırıp kurumsallaşmada yardımcı rol oynar. Sürekli iyileştirmelerin de kılavuzu gibidir.

ISO 27000 standartları serisi ise kurum ve kuruluşlara daha ziyade bilgi varlıkları anlamında güvenliğin sağlanmasında yardımcı olmaktadır. 27000 serisinde bir düzineden çok standart çeşidi bulunur. Bu her bir standart bilgi güvenliği ile ilgili kapsamlı standartlar oluşturur. Kuruluşların bilgileri koruma altına alması denildiğinde çeşitli alanlar akla geliyor örneğin çalışanların ve müşterilerinizin bilgileri ya da finans raporlarınızın içerdiği bilgiler. Bütün bunların güvenliği bu çerçevede düşünülebilir. Yani ISO 27000 standartları ailesini kullanarak ki 27001 bilgi güvenliği sistemleri içinde en güçlüsü olarak tanımlanır, tüm bilgi varlığının güvenliğinin garanti altına alınması ve korunması sağlanabilir.

iso_27001

ISMS Nedir?

ISMS Bilgi Güvenliği Yönetimi Sistemi demektir. Yani “Information Security Management System”. Dünyanın neresinde ve hangi ölçekte olursa olsun bir şirketin ihtiyaç duyabileceği bu sistemler müşterilerine ve kendilerine ait bilgilerin güvende olması için ihtiyaç duyulan sistemlerdir. ISMS gereksinimlerini en iyi sağlayan standartlar işte ISO 27001 bünyesinde toplanmıştır. Modern çağda çok belirgin bir ihtiyaç olan bilgi güvenliğinin önemi  göz ardı edilemez. Bugün hemen hemen tüm sektörlerdeki irili ufaklı pek çok kuruluşun bu konuda gelişmelere ayak uydurması mecburiyet halini alıyor.

ISMS sistemli bir yaklaşımken; bunu uygulamak insanları, süreç yönetimini ve tabii ki bilişim teknolojileri açısından önlemleri de beraberinde getirmektedir. Bu kurallar bütününün hizmet ettiği öncelikli üç prensipten söz edilebilir. Bunlar:

  • confidentiality,
  • integrity ve
  • availability

yani

  • gizlilik,
  • güvenilirlik ve
  • ulaşılabilirlik olarak sıralanır.  

Belirttiğimiz gibi herhangi bir organizasyonun ve altında yer alan network yapılarının artık bilgi güvenliği konusunda hassasiyet göstermesi kaçınılmaz bir hal almıştır. Dijitale aktarılan bilgilerin çokluğu ve bilgilerin kabiliyetleri dolayısıyla kötüye kullanımları engellemek güvenlik artırımından geçiyor. Dijital dünyada yapabileceğimizin sınırı yok. Zamandan ve paradan tasarruf edebiliyor ve yaşamımızı dijital becerilerle kolaylaştırabiliyoruz. Bunun yanında risklere açık bir hale geldiğimizi de unutmamak gerekiyor. Şirketin maruz kaldığı riskleri önlemek içinse standartlar devreye giriyor.

ISO ve ISMS İçin Risk Nedir?

Risk değerlendirme sistemi bulundurması ile ISO 27001 Standartlar sistemi önceki sürümlerden ve diğer standartlardan ayrılıyor. Risklerin değerlendirilmesini ve standart olarak işlenip raporlanmasını zorunlu hale getiren ISO 27001 temelde zaten bu şekilde diğerlerinden farklı bir hal alıyor. Bu temel özellik risk iyileştirmelerini de beraberinde getiriyor. Risk oluşturan durumların bir dizi teknik değerlendirme yapılarak belirlenmesi, yapılabilecek iyileştirmelerin ortaya konması ve iyileştirme uygulamaları gibi aşamalarla bilgi güvenliğiniz bu çerçevede geliştiriliyor. İyileştirmelerin ardından süreç yinelenebilir ve sonuçta sıfıra indirgemeyi imkansız kılan, etkilerimizin ötesinde bir “artık risk” kalacaktır. Aynı şekilde risk değerlendirmesi genel olabileceği gibi sadece kurumun bir bölümünü de kapsayabilir. İşte tüm bu değişken ve bileşenler ISO 27001 gibi sistemlerle kontrol altında tutulabilir ve en iyi şekilde yönetilebilir. 

Kimler Kullanmalı?

Denetçiler, danışmanlar ve eğitim firmaları aracılığıyla isteyen kurum ve kuruluşlar hizmet ve bilgi alabilirler. ISO 27001 gibi bir sistemin işinize uygun olarak kurulması, daha sonra bu paralelde işletilmesi alabileceğiniz bir hizmet.  Eğitim ve danışmanlık kısmıysa üçüncü aşama olarak değerlendirebileceğiniz ve aslında süreklilik için önem arz eden devam iyileştirilmesi adına gerekli oluyor. Hangi amaçlara hizmet edecek bir güvenlik yönetimi sistemi düşünüldüğü, maliyeti veya sürdürülebilirliği, amaçlar, bu amaçlara uygunluk tabii ki ilk safhalarda ortaya konarak tartışılmalıdır.

Belediyeler, hastaneler, abonelikle işleyen telekomünikasyon şirketi ve eğitim kurumları gibi veri deposu olan her oluşum bu standartlara ihtiyaç duyarken az personeli ancak çok dökümanı olan nispeten küçük ölçekli şirketler de aslında aynı şekilde ihtiyaç içindedir. Örneğin havacılık, 2015 yılından bu yana sivil havacılık şirketleri kapsamda, pek çok kendine bağlı alt sektörüyle birlikte bu sektör standartlara bağlı hale gelmekte. Dijital dokümantasyon denilen bilgi yığınına dokunan her kurum için geçerli olan bir geçiş dönemindeyiz. Enerji sektöründen insan kaynaklarına kadar bu durum aynı.

Neden Bilgi Güvenliği?

Kurum içinde karşılaşılacak olası riskli bir durum ortaya çıktığında nasıl davranılacağı, riskler ortaya çıkmadan iç denetçi olarak başarı kazanan personelin önlemler için nasıl hareket edeceği gibi pek çok prosedürü uygulayabilmek için ISO 27001 çalışılmalıdır. Bu bir danışman ve eğitim vermesi sürecinde yapılabilir. Elbette ki bu noktada yöneticilere büyük görev düşüyor. Müşterilerinize güvence verebilmek, risk durumunda çalışanlarınızı zan altında kalmaktan korumak için ISO 27001 sertifikasıyla kurumunuzun prestijini garanti altına alabilirsiniz. Bilgi duyarlılığına özen gösteren, iş sürekliliğini sağlayan yeni nesil kurumlar için bu sistem gelecek vaat etmektedir.