tr en

ISO 27001 specifies the systematic structure of a process-oriented management system for information security. It also specifies the requirements for such a system.

DENETİK is an accredited organization from TÜRKAK for ISO 27001 certification.

ISO 27001

Management System for Information Security

This comprehensive approach offers many decisive advantages:

Increased security awareness among employees and managers
Safeguarding of the security objectives confidentiality, availability, integrity, authenticity, and reliability of information
Contribution to safe guarding business continuity
Legal certainty through systematic adherence to relevant laws on information security and data protection
Reduced risk of management liability
Cost savings through security incidents avoided

ISO 27001

Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, her sektör ve büyüklükteki kuruluşa uygulanabilen bir standarttır.

Bu standart, dokümante edilmiş bir BGYS’ yi, kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek gereksinimlerini kapsar.

Günümüzde kuruluşlar için değerli olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından korunması, süreklilik ve sistematikliği gerekmektedir.

Koruma, bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika ya da kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilendirilmesiyle mümkün olmaktadır.

Bir kuruluş için Bilgi Güvenliği Yönetim Sistemi’nin benimsenmesi stratejik bir karar olmalıdır. Kuruluş, yönetim sisteminin tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler, kuruluşun büyüklüğü ve yapısından etkilenir.

ISO 27001 ile kuruluşlar uygulayacağı güvenlik kontrollerini belirler.

ISO 27001

Neden Gereklidir?

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.

ISO 27001

Faydaları Nelerdir?

İç denetimlerinizin bağımsız bir şekilde sağlandığını gösterir ve kurumsal yönetişim ve iş devamlılığı gereksinimlerini karşılar. Kuruluşa yönelik faydaları;

. Bilgi varlıklarının gizliliğinin korunması,
. Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
. Kurumsal prestijin korunması,
. İş sürekliliğinin sağlanması,
. Bilgi kaynaklarına erişimin denetlenmesi,
. Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
. Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,
. Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,
. Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,
. Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.

Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir.

Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar.

Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular.

Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar.

Kurum ve kurum çalışanları bilgi güvenliği sistemi ile;

Bilgi varlıklarının farkındalılığı ve motivasyonu artar,
- Sahip olduğu bilgi varlıkları korunabilir
- İş sürekliliği sağlanır,
- Müşteri ve tedarikçilerle sağlıklı bir yapı kurulur,
- Rekabette avantaj sağlanır,
- Yasal uyumluluk sağlanır.

ISO 27001

Prosesleri Nelerdir?

ISO 27001 kuruluşun BGYS’sini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser.

Standart Tanımı
Planla
BGYS’nin kurulması

Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması
Uygula
BGYS’nin gerçekleştirilmesi ve işletilmesi

BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi
Kontrol Et
BGYS’nin izlenmesi ve gözden geçirilmesi

BGYS politikası , amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi
Önlem al
BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi

BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi

ISO 27001

Niçin Önemlidir?

. Kurumsal seviyenin tarafsız bir kuruluş tarafından değerlendirilmesi,
. Bilgi güvenliği Yönetim Sistemi’ne sahip olma prestijini kazanmak,
. Saygın müşteriler tarafından tercih edilmek,
. Bilgi güvenliği olmaması sebebi ile maruz kalınabilecek maddi ve manevi maliyetler,
. Çalışanların farkındalılığının artması