![academia_logo[2]_kopyası.jpg](https://static.wixstatic.com/media/41ac1e_939bb58634034bdab04bef9c691f05a9~mv2.jpg/v1/fill/w_252,h_144,al_c,q_80,usm_0.66_1.00_0.01,enc_auto/academia_logo%5B2%5D_kopyas%C4%B1.jpg)
ISO 27001:2013 Bilgi GüvenliÄŸi Yönetim Sistemi Nedir ?
​
​
Bilgi güvenliÄŸi standardı BS 77992’nin revize edilip 2013 ’in sonlarında ISO 27001:2013 olarak deÄŸiÅŸtirilmesiyle yürürlüÄŸe giren bu standart kurumların bilgi güvenliÄŸi yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
​
Bilgi GüvenliÄŸi Yönetim Sistemi (BGYS) standardı, tüm kurulu türlerini (örneÄŸin, ticari kuruluÅŸlar, kamu kurumları, kar amaçlı olmayan kuruluÅŸlar) kapsar. Bu standard, dokümante edilmiÅŸ bir BGYS’yi kuruluÅŸun tüm ticari riskleri baÄŸlamında kurmak, gerçekleÅŸtirmek, izlemek, gözden geçirmek, sürdürmek ve iyileÅŸirmek için gereksinimleri kapsar. Bağımsız kuruluÅŸların ya da tarafların ihtiyaçlarına göre özelleÅŸtirilmiÅŸ güvenlik kontrollerinin gerçekleÅŸtirilmesi için gereksinimleri belirtir.
​
BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini saÄŸlamak için tasarlanmıştır.
​
Bilgi güvenliÄŸi yönetim sistemi , kurumunuzdaki tüm bilgi varlıklarının deÄŸerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir.
​
Kurum kendine bir risk yönetimi metodu seçmeli ve risk iÅŸleme için bir plan hazırlamalıdır.Risk iÅŸleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla- uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
​
ISO 27001 Kurumların risk yönetimi ve risk iÅŸleme planlarını , görev ve sorumlulukları, iÅŸ devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliÄŸi politikası yayınlamalı ve personelini bilgi güvenliÄŸi ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluÄŸunun ve performansının sürekli takip edildiÄŸi yaÅŸayan bir süreç olarak bilgi güvenliÄŸi yönetimi ancak yönetimin aktif desteÄŸi ve personelin katılımcılığıyla baÅŸarılabilir.
​
ISO 27001’den bahsederken karıştırılan ve dikkatle ayrılması gereken ÅŸey ISO 27001’in YÖNETÄ°M SÄ°STEMÄ° öngörmesidir. ISO 27001 size nasıl virüs bulaÅŸmayacağını anlatmaz.
​
Bilgisayar ağınıza saldırganların nasıl sızabileceÄŸini söylemez. Size toplam bilgi güvenliÄŸi ve “yaÅŸayan bir süreç olarak” bilgi güvenliÄŸinin nasıl “yönetileceÄŸini” tanımlar.
ISO/IEC 27001 sertifikası, Bilgi GüvenliÄŸi Yönetim Sisteminizin uygulama standardına göre denetlendiÄŸini ve uygun bulunduÄŸunu kanıtlar. Üçüncü taraf bir belgelendirme kuruluÅŸu tarafından yayınlanmı bir sertifika, hassas bilgilerin yetkisiz giriÅŸ ve deÄŸiÅŸikliklere karşı korunması için gerekli önlemleri almış olduÄŸunuzu da kanıtlar.
​
​