ISO 27001 Nedir?

ISO 27001 Bilgi Güvenliği Yönetimi Sistemi yazısında, bilgi yönetim sistemleri konusunda fikir edinebileceğiniz, tüm dünyada kabul görmüş ISO 27001 bilgi güvenliği yönetimi sistemi konusunda detaylı bilgiler edinebileceğiniz, bilgilerin sistemli halde nasıl korunabileceğini sade anlaşılır bir biçimde anlatan ayrıca bilgi sistemi olgusunun şirketler tarafından nasıl anlaşıldığı ve bunu sistematik hale nasıl getirebildiklerini açıklayabilen bir sayfa olmasını amaçladık. Bilgi güvenliği sisteminin oluşturulması çeşitli aşamalar içermekte olup bu aşamaların içeriklerini ISO 27001 bilgi güvenliği yönetimi sistemi içerisinde nasıl olabildiğini başlıklar halinde açıklayacağız söz konusu işleyeceğimiz alt başlıklarımız şunlardır;

•ISO 27001 Nedir ?
•ISO 27001 Nasıl Alınır?

ISO 27001 Nedir?

Bilgi çağına geldiğimiz bu günlerde firmalar ve sektör gözüyle rakiplere avantaj sağlamak en büyük amaç halini dolayısıyla üstünlük sağlamak açısından en kıymetli sermaye bilgi halini almıştır. ISO 27001 bilgi güvenliği yönetimi sistemi firmaların müşteri ilişkileri yönetimi verilerini (CRM), AR-GE yatırımları sonucu elde ettiği verileri, firmanın müşterilerine ait gizli bilgileri belirli bir organizasyon ve sistem içerisine alan ve güvenliğini sağlayan tüm dünyada kabul görmüş bir yönetim sistemidir.

Bilgi Firmalar Açısından Niçin Önemlidir?

Bilgi bir kurumun işlerinin süreklilik arz edebilmesi sebebiyle önemlidir. Standart üretim teknikleri düşük kar marjlarına sebebiyet vermiştir. Piyasada olan değişiklikler firmaları ürün farklılaştırmasına ve ürünlerini kişiselleştirmeye yönelmesine sebep olmuştur. Ancak bilginin bu kadar değerli oluşu kötü niyetli kişilerin dikkatini çekmiş, firmaları bilgisayar korsanlarına karşı önlemler almaya itmiştir. Bilgi elde etmek artık ucuz değildir. Gelişe teknoloji ve AR-GE yatırımı gereksinimleri ile firmaların sermayeleri içerisindeki payı büyük boyutlara ulaşmış sermaye yönetimi gibi bilgi yönetiminin de sistematik bir halde yönetilmesini gerekli kılmıştır.

ISO 27001 Bilgi Güvenliği Yönetimi Belgesini Almanın Avantajları

Firmaların uzun uğraşlar ve yatırımlar sonucu elde ettiği bilgilerin, CRM verilerinin ya da ürün farklılaştırması yapmasına olana sağlayan AR-GE verilerinin siber saldırılar sonucunda yok olması ne yazık ki firmaları iflas noktasına getirebilmektedir. ISO 27001 bilgi güvenliği yönetimi sistemi sonucu verilerin güvenliği daha sistematik ve nitelikli olarak korunmakta güvenlik maliyetlerini önemli ölçüde düşürmektedir.

Gümrük ve Ticaret Bakanlığı tarafından resmi gazetede yayımlanmış olan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği ile ortaya çıkan yetkilendirilmiş yükümlü firma olma şartları yayımlanmış söz konusu şartları içerisinde ISO 27001 bilgi güvenliği yönetimi belgesine sahip olma niteliğide aranmıştır. Dolayısıyla belge sahibi olan firmalar ürünlerini gümrükte olan işlemlerde bekletmeyerek kendi üretim yerinde işlemlerini yapabilme zaman ve maliyetlerden tasarruf etme imkanına sahip olabilmiştir.

1.Firmaların bilgi yönetimine olan yaklaşımlarını daha düzenli ve sistemli hale getirerek bilgilerin sınıflandırılmasına yardımcı olur.
2.Firmanın prestij sahibi olmasına olanak sağlar.
3.Siber saldırılar sonucu firmanın en kötü senaryolara karşı hazırlık olmasına olanak tanır.

ISO 27001 Bilgi Güvenliği Yönetimi Belgesi Nasıl Alınır?

ISO 27001 bilgi güvenliği yönetimi belgesine sahibi olma kararı vermiş firma ile danışmanlık hizmeti sözleşmesi imzalanmasından itibaren belgelendirme sürecine başlanır. Belgelendirme denetimine belli bir sistem ve planlı süreç ile profesyonel olarak hazırlanılmaktadır. Belgelendirme için hazırlık süreci nitelikli , yorucu ve takım çalışmasını gerektiren bir süreç olup belirli aşamaları ve yükümlülükleri vardır. Süreç aşamaları;

1.Varlıkların sınıflandırılması,
2.Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
3.Firmaya özgü risk analizi
4.Risk analizi sonucunda ortaya çıkacak rapora göre uygulanacak kontrol yöntemlerini belirlemek,
5.Sistem için gerekli eğitimlerin firma personeline verilmesi
6.Firma için gerekli olan özgün dokümantasyonun hazırlanması ve oluşturulması
7.Bilgi yönetimi sisteminin firmada yürütülmesi
8.İç tetkiklerde bulunma
9.Belgelendirme denetimi öncesi son inceleme ve firma yönetimi ile toplantı
10.Belgelendirme denetimi sonucu belgenin alınması

ISO 27001 Hakkında Alırken Bile Akılda Kalan Sorular

ISO 27001 Bilgi Güvenliği Yönetimi Belgesi Almak Zorunlu Mudur?

ISO 27001 bilgi güvenliği yönetimi belgesi 26 haziran 2014 tarihinde Resmi Gazetede yayımlanmış olan yasal değişikler sonucu bazı sektörler için isteğe bağlı olmaktan çıkmıştır. Söz konusu zorunluluk getirilen firmalar Enerji Piyasası Kurumu denetimine bağlı olan tüm Petrol, Elektrik ve doğalgaz konusunda katma değer yaratan tüm firmalardır.

Gelir İdaresi Başkanlığı – Denetim ve Uyum Yönetimi Daire Başkanlığı elektronik Fatura Uygulaması Özel Entegrasyon Kılavuzu içerisinde, e-Fatura hizmetinde bulunan özel entegratör şirketlerine ISO 27001 bilgi güvenliği yönetimi belgesini alma zorunluluğu koşmuştur.

Bilgi Güvenliği Yönetimi Belgesine Kimler Sahip Olabilir?

Günümüz şartlarında hizmet sektörünün tüm sektörler içerisindeki payının artması, üretim yapan firmaların üretimlerini daha nitelikli hale getirmesi üretilen ürünlerin tüketicilerin istek ve kullanım alanlarına göre daha kişisel yapılabilmesi ihtiyacı bilginin önemini firmalar açısından vazgeçilmez kılmıştır. Büyüklüğüne bakılmaksınız tüm firmalar ISO 27001 bilgi güvenliği yönetimi belgesine sahip olabilir burada ayırt edici kriter firmanın geleceğe dair vizyon sahibi olabilmesidir.

Vizyon sahibi Firma Olmak Nedir?

Gelişen ticari şartlar; bilgi yönetimini bilmeyen bunun sistematiğine ihtiyacı olmadığını düşünen firmalara sadece iflas etmesine olanak tanımıştır. Yalnızca üretim yapmak firmaları sadece düşük kar marjlarına mahkum etmiş geleceğe dair vizyonunu geliştiren firmaların AR-GE yatırımları sonucu çağımızın en kıymetli madeni olan bilgiyi elde etmesi ve ISO 27001 bilgi güvenliği yönetimi sistemi ile yönetmesi aşırı kar sağlayan piyasalara adım atmasını sağlayamıştır. Yeni ürünler ortaya çıkarması sonucunda firmalar piyasa kaymağını rahatlıkla kontrolü altına almıştır.

Piyasa Kaymağı Nedir?

Şirketlerin ürettiği ürün ve hizmetler çağımızda standart olarak sunulması sadece düşük karlı piyasalarda bulunmasına sebep olmuştur. Firmaların rekabetin yoğun olduğu piyasalardan daha az rekabetli piyasalara geçme ihtiyacını doğurmuştur. Bilgi çağı ve bilgi toplumunda AR-GE yatırımları sonucu elde edilmiş yeni bilgilerin elde edilmesi ve ISO 27001 bilgi güvenliği yönetimi sistemi ile yönetilmesi etkin yatırımların benzersiz ürünlere dönüşümünü sağlamıştır. Benzersiz ürünü sunan ilk firma olmak ve rakipsiz kalmak firmalara istediği fiyattan istediği miktarda ürünü satmasına olanak tanımıştır. Firmanın ürünlerini aşırı karlı olarak satmasına piyasa kaymağına sahip olmak denmektedir.

ISO 27001 Bilgi Güvenliği Yönetimi Sistemi Hangi Firmaları İlgilendirir?

•Görev sözleşmesine imza atan şirketler
•İmtiyaz sözleşmelerine imza atan işletmeler
•Uydu haberleşme konusunda hizmette bulunan şirketler
•Altyapı işletmeciliği konusunda hizmette bulunan şirketler
•Sabit telefon konusunda hizmette bulunan şirketler
•GMPCS mobil telefon konusunda hizmette bulunan şirketler
•Sanal mobil şebeke konusunda hizmette bulunan şirketler
•İnternet servis sağlayıcıları konusunda hizmette bulunan şirketler
•Hava ulaşım araçlarında bulunan GSM 1800 mobil telefon hizmetinde bulunan şirketler
•E-fatura özel entegratör yetkisi alma amacında bulunan şirketler
•Gümrük işleri kolaylaştırma yetkisi alma amacında olan şirketler
•Elektronik haberleşme şebekesini sağlayan ve alt yapısının işletilmesini sağlayan şirketler
•Bilişim sektöründe faaliyette bulunan ve kamu ihalesine katılan yazılım, donanım ve entegratör olan şirketler

ISO 27001 Belgesi Kaç Yıl Geçerlidir?

Bilgi güvenliği yönetimi belgesini almaya hak kazanmış tüm firmaların denetim sonrası ilgilendiği ilk konu söz konusu belgenin ne kadar süre geçerli olduğudur. ISO 27001 bilgi güvenliği yönetimi belgesi diğer tüm ISO belgelerinde olduğu gibi 3 yıl geçerli olmaktadır. ISo 27001 bilgi güvenliği yönetimi belgesi alınma tarihinden itibaren yıllık rutin denetimlerle bilgi güvenliği sisteminin firma tarafından işletildiği ve yeterliliklerin sağlanmaya devam ettiğinin tespit edilmesiyle 3 yıllık geçerlilik sonuna kadar kullanılabilmektedir.

ISO 27001 Bilgi Güvenliği Yönetimi Belgemi Aldım Fakat Ertesi Yıl Olan Denetimden Kalırsam Ne Olur?

ISO 27001 bilgi güvenliği yönetimi belgesi 3 yıllık geçerlilik süresiyle denetimden geçen firmalara verilir. Belge sahibi firma ertesi yılki kontrol denetiminden kalırsa denetimi gerçekleştiren denetçinin tespit ettiği eksikleri tamamlaması için 60 gün ek süre verilir. Verilen ek süre sonunda gerçekleştirilen denetimde de eksiklerin giderilmediği tespit edilirse ISO belgesi koşulsuz şartsız iptal edilir.

ISO 27001 Bilgi Güvenliği Yönetimi Sistemi Sadece Bilgi Teknolojisi Departmanını mı ilgilendirir?

ISO 27001 bilgi güvenliği yönetimi sistemi sadece BT departmanını değil tüm firmayı ve tüm departmanlarını kapsayan firma yöneticilerinden standart çalışanlarına kadar tümünü kapsayan bir sistemdir. Firmalar tarafından algılanan yanlışlardan başlıcası ISO 27001 bilgi güvenliği yönetimi sistemi sadece tek departmana mal ediliyor olmasıdır. Sistem bilginin verinin olduğu tüm departmanları kapsamaktadır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir