ISO 27001 Bigi Güvenliği Yönetim Sistemi
ISO 27001 Standardının amacı, bir şirket veya kuruluşa Bilgi Güvenliği kavramının temel prensiplerini
sağlayarak, bilgi güvenliği yönetim sistemini kurmak ve dokümante etmektir.
Bilgi nedir?
Bilgi, bir kurum veya kuruluşun faaliyetlerini yürütmek için kullandığı verilerin anlamıdır. Bilgi, bir kurumun devamlılığını ve varlığını sağlayan tek faktördür ve güvenliği sağlanmalıdır.
Bilgi Türleri aşağıdaki gibidir
- Kağıda basılmış
- Elektronik olarak saklanmış
- Elektronik ortama gönderilmiş veya aktarılmış
- Kurumsal videolarda gösterilmiş
- Görüşmeler sırasında sözlü olarak iletilmiş
Bilgi Güvenliği Nedir?
Bilgi Güvenliği ise hayati önem taşıyan bilgilerin korunması, bütünlüğünün sağlanması, erişilebilir ve kullanılabilir olmasının sağlanması için alınan gerekli ve önemli tedbirler ve önlemlerdir.
Bilgi Güvenliği kavramının temel prensiplerini C-I-A kısaltmasıyla kısaca şöyle belirtebiliriz:
- Gizliliğin korunması (Bilgilere yalnızca yetkili kişilerin erişebilmesinin sağlanması),
- Bütünlük (Bilgilerin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması),
- Kullanılabilirlik (Yetkili personelin gerektiğinde bilgilere ve ilgili varlıklara erişebilmesinin sağlanması)
Bilgi Güvenliği Yönetim Sistemi Nedir?
Bilgi Güvenliği Yönetim Sistemi ise, personelin bilgi güvenliğine ilişkin önlemleri ve tedbirleri sistematik bir şekilde alması, bilgi güvenliğine ilişkin çalışmaları daha etkin ve kurallara uygun hale getirmesi ve sürekliliğini sağlaması için kaynakların kullanıldığı bir yönetim sistemi biçimidir. Bilgi Güvenliği Yönetim Sisteminin uluslararası alanda en üst standardı ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır.
ISO 27001 KURULUM AŞAMALARI
- Bilgi varlıklarının sınıflandırılması, kategorilendirilmesi, sistem kritikliğinin belirlenmesi.
- Varlıkların gizlilik, bütünlük ve erişilebilirlik kriterlerine göre değerlendirilmesi
- Risk yaklaşımı için bir çerçeve sunulması
- Risk analizi raporunun hazırlanması
- Risklerin derecelendirilmesi
- Üst düzey yönetime risklerin sunulması için çerçevenin oluşturulması
- Risk analizi raporu değerlendirmelerine göre risk işleme planının hazırlanması Üst düzey yönetimin
- Risk tedavi planına uygulanacak kontrolleri belirleme
- Dokümantasyon oluşturma
- Kontrolleri yapılandırma
- Dahili denetim
- Kayıt tutma
- Yönetim incelemesi