![academia_logo[2]_kopyası.jpg](https://static.wixstatic.com/media/41ac1e_939bb58634034bdab04bef9c691f05a9~mv2.jpg/v1/fill/w_252,h_144,al_c,q_80,usm_0.66_1.00_0.01,enc_auto/academia_logo%5B2%5D_kopyas%C4%B1.jpg)
ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Nedir ?
Bilgi güvenliği standardı BS 77992’nin revize edilip 2013 ’in sonlarında ISO 27001:2013 olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı, tüm kurulu türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standard, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileşirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir.
BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bilgi güvenliği yönetim sistemi , kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir.
Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla- uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
ISO 27001’den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.
Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
ISO/IEC 27001 sertifikası, Bilgi Güvenliği Yönetim Sisteminizin uygulama standardına göre denetlendiğini ve uygun bulunduğunu kanıtlar. Üçüncü taraf bir belgelendirme kuruluşu tarafından yayınlanmı bir sertifika, hassas bilgilerin yetkisiz giriş ve değişikliklere karşı korunması için gerekli önlemleri almış olduğunuzu da kanıtlar.