ISO 27001 Nedir?
ISO 27001, Uluslararası Standardizasyon Örgütü (ISO) tarafından yayımlanan, Bilgi Güvenliği Yönetim Sistemi (BGYS) gereksinimlerini tanımlayan uluslararası bir standarttır. Bu standart, bir kurumun bilgi varlıklarını sistematik olarak yönetmesi, riskleri değerlendirmesi ve uygun güvenlik kontrollerini uygulaması için bir çerçeve sunar.
En son sürümü ISO 27001:2022, Ekim 2022'de yayımlandı ve kontrol maddelerini dört ana kategoriye sadeleştirdi: Organizasyonel, İnsan, Fiziksel ve Teknolojik kontroller. Toplam 93 kontrol maddesi bulunuyor.
BGYS'nin Temel Bileşenleri
Risk Değerlendirme ve İşleme
ISO 27001'in kalbinde risk yönetimi yer alır. Kurum, bilgi varlıklarına yönelik tehditleri ve güvenlik açıklarını belirlemelidir. Her risk için olasılık ve etki değerlendirilir; ardından riskin azaltılması, kabul edilmesi, transfer edilmesi veya ortadan kaldırılması kararı verilir.
Bilgi Güvenliği Politikaları
Üst yönetim tarafından onaylanan bilgi güvenliği politikaları, kurumun güvenlik yaklaşımını ve hedeflerini tanımlar. Bu politikalar çalışanlara iletilmeli ve düzenli olarak gözden geçirilmelidir.
Sürekli İyileştirme (PUKÖ Döngüsü)
BGYS, Planla-Uygula-Kontrol Et-Önlem Al (PDCA) döngüsü ile sürekli iyileştirme prensibine dayanır. İç denetimler, yönetim gözden geçirmeleri ve düzeltici faaliyetler bu döngünün parçasıdır.
Sertifikasyon Süreci
ISO 27001 sertifikasyon süreci genellikle 6-12 ay sürer ve aşağıdaki aşamalardan oluşur:
- Boşluk analizi: Mevcut durumun standart gereksinimlerle karşılaştırılması
- BGYS kurulumu: Politikaların, prosedürlerin ve kontrollerin oluşturulması
- Risk değerlendirme: Varlık envanteri, tehdit analizi ve risk işleme planı
- Uygulama: Kontrollerin devreye alınması ve çalışan eğitimleri
- İç denetim: Bağımsız iç denetçiler tarafından BGYS'nin değerlendirilmesi
- Yönetim gözden geçirmesi: Üst yönetimin BGYS performansını değerlendirmesi
- Dış denetim (Aşama 1): Dokümantasyon incelemesi
- Dış denetim (Aşama 2): Uygulama etkinliğinin yerinde denetlenmesi
ISO 27001'in Kurumsal Faydaları
- Yasal uyum: KVKK, GDPR ve sektörel düzenlemelere uyum sürecini kolaylaştırır
- Müşteri güveni: Uluslararası geçerliliğe sahip sertifika ile kurumsal itibar güçlenir
- İhale avantajı: Kamu ihalelerinde ve büyük kurumsal projelerde ISO 27001 şartı aranır
- Risk azaltma: Sistematik risk yönetimi ile güvenlik olaylarının önüne geçilir
- İş sürekliliği: Olay müdahale ve felaket kurtarma planları ile kesintiler minimize edilir
- Maliyet tasarrufu: Güvenlik olaylarının maliyeti, önleme yatırımlarından çok daha yüksektir
Türkiye'de ISO 27001
Türkiye'de özellikle kamu kurumları, bankalar, enerji şirketleri ve sağlık kuruluşları ISO 27001 sertifikasına sahip olma zorunluluğuyla karşı karşıya. BDDK, EPDK ve SGK gibi düzenleyici kurumlar, denetimlerinde ISO 27001 uyumunu kontrol ediyor. KVKK kapsamında kişisel veri işleyen tüm kurumlar için bilgi güvenliği yönetim sistemi kurması bir zorunluluk değilse de güçlü bir tavsiyedir.
Marta Teknoloji'nin ISO 27001 Danışmanlığı
Marta Teknoloji, ISO 27001 sertifikalı kadrosuyla kurumunuzun bilgi güvenliği yönetim sistemi kurulumu, iç denetim ve sertifikasyon hazırlığı süreçlerinde destek veriyor. Boşluk analizinden sertifika denetimine kadar tüm süreçte yanınızdayız. İletişim sayfamızdan ücretsiz ön değerlendirme toplantısı talep edebilirsiniz.