İşletmelerin bilgilerinin gizliliği, erişilebilirliği ve bütünlüğünü sağlamak için bilgi yönetim sisteminin istediği kriterleri yerine getirmesini gösteren İSO 27001 sertifikasıdır. Bu sertifika için başvuru yapacaksanız, işletmenizde bilgi güvenliği yönetim sistemi standartlarına uygun şekilde sistem kurmalı ve uygulamalısınız.
İSO 27001 Temel İlkeleri Nelerdir?
Herkes bilgisini yazı olarak elektronik ortamda veya söz olarak birçok ortamda aktarabilir. Ayrıca bulunduğumuz zaman diliminde bilgi çok daha önemli bir pozisyonda yer almaktadır. Bu sebeple bilginin güvenliği de büyük bir tartışma konusu haline gelmiştir.
Teknoloji alanındaki gelişmeler ile ortaya çıkan tehditler bilginin güvenliğinin sorgulanmasına neden olmuştur. Bunun sonucunda bilginin kontrol edilmesine ihtiyaç duyulmuştur. Eğer bilgi güvenliği sağlanırsa müşteri memnuniyetinin elde edileceğinin farkına varılmıştır.
Peki, bilgi güvenliği ne anlama gelmektedir? Bilgi güvenliği; bilginin gizliliği, bütünlüğü ve ulaşılabilirliğini içine alan kavramların hepsi olarak ifade edilebilir. Bu yönden bakıldığında bilgi yönetim sistemi oluşturmak ve sertifikalandırmak için bir işletmenin bu kavramların hepsinin temel ilkelerini sağlaması gerekmektedir.
Bilgi güvenliği yönetim sistemi İSO 27001 standartlarının temel ilkeleri aşağıdaki gibidir:
- Gizliliğin korunmasıdır.
- Bütünlüğün sağlanmasıdır.
- Ulaşılabilirlik yönünden açılım göstermesidir.
Bu temel ilkeler G/B/U(C/I/A) kısaltmaları ile gösterilmektedir. Gizliliğin korunmasında, sadece yetkilendirilmiş şahısların bilgiye ulaşması yetkilendirme matrisine göre sağlanmaktadır. Böylece bilginin gizliliği garanti altına alınmaktadır. Ayrıca yetki sahibi olmayan kişiler bilgiye erişememektedir. Sonuç olarak gizliliğin ihlali mümkün olmamaktadır.
Bütünlük kavramında bilginin ve bilgi işleme yöntemlerinin doğruluğu ve tam oluşu garanti altına alınmaktadır. Bilgi güvenliği temel ilkeleri arasında 2. sırada yer alan bütünlük kavramı, bilgi işleme sürecinin korunmasını hedeflemektedir.
Ulaşılabilirlik kavramı ise, gerekli durumlarda yetkili kişilerin bilgi ve bilgi işleme sürecine doğru şekilde ulaşmasını garanti etmektedir. Ayrıca yetkili kişiler, yetki matrisi gereği, bilgiye ulaşmada herhangi bir engelle karşılaşmamalıdır. Ulaşılabilirlik özelliği, bu durumun garanti altına alınması anlamına gelmelidir.
İSO 27001 Belgesi Geçerlilik Süresi
Bilgi güvenliği yöntem sistemi sertifikası alındığı tarihten itibaren 1 yıl boyunca geçerli sayılmaktadır. Belgenin revizyonu için yapılacak denetlemeden önce gerekli olan bütün kontroller ve testler tamamlanmalıdır.
Bilgi güvenliği yönetim sistemi sertifikasını hangi işletmelerin alması gerektiği konusu hakkında açıklama yapalım. Bu sertifikanın uluslararası düzeyde geçerliliği bulunmaktadır. Ayrıca ISO 27001 sertifikası faaliyet alanı ne olursa olsun her işletmede uygulanabilir.
Bilgi güvenliği yönetim sertifikası bazı işletmeler için zorunluluk haline gelmiştir. Bu işletmeleri aşağıdaki gibi sıralayabiliriz:
- İnternet servisleri bu sertifikayı bulundurmalıdır.
- Sanal mobil şebeke hizmetleri için sertifika şarttır.
- Altyapı işletmeciliği bu sertifikayı almalıdır.
- Sabit veya mobil telefon firmaları için sertifika zorunludur.
- Uydu haberleşme firmaları sertifikayı bulundurmalıdır.
- Elektronik haberleşme firmalarında bu sertifika şarttır.
- Yazılım ve donanım hizmeti sağlayan şirketler bu sertifikayı almalıdır.
- Görev ve imtiyaz sözleşmesi imzalayan şirketler sertifikayı bulundurmalıdır.
- Gümrük işlerini daha kolay yapma yetkisine sahip olmak isteyen şirketler bu sertifikayı almak zorundadır.
Bunlara ek olarak İSO 27001 sertifikası aşağıdaki firmalar içinde zorunlu hale getirilmiştir:
- Enerji Piyasası Düzenleme Kurumu ve elektrik, doğalgaz, petrol sektörlerlerinde faaliyet gösteren şirketler bu belgeyi almalıdır. Bu zorunluluk 2014 yılında çıkarılan kanunla kesinleşmiştir.
- E-fatura hizmeti veren özel entegratör şirketleri için bu sertifika zorunludur. Bu tür şirketler için bu zorunluluk 2015 yılında çıkarılan kanunla yürürlüğe girmiştir.
Bilgi Güvenliği Yönetim Sertifikasının Avantajları Nelerdir?
Bilgi güvenliği yönetim uygulaması, yukarıda maddelenen şirketler haricinde zorunlu tutulan bir kriter değildir. Fakat bu sistemi firmalarında kuran, işleten ve takibini yapan işletmeler, çok iyi avantajlar elde etmektedir. İSO 27001 sertifikasının sağladığı avantajlar aşağıdaki gibidir:
- İşletme bünyesinde bilgi güvenliği süreçleri için sarf edilen zaman ve iş yükünü azaltır.
- Bilgi güvenliği alanındaki riskleri, önlemleri ve birçok sorunu ortadan kaldırır veya minimuma indirger.
- Bu sertifika işyerindeki tüm çalışanlar üzerinde bilgi güvenliğiyle alakalı farkındalık oluşturur.
- Bilgi güvenliği yönetim sertifikasının en önemli avantajlarından birisi işletmeye sağladığı saygınlıktır. Ayrıca işletme kendi sektöründe daha güçlü şekilde rekabet edebilir.
- Bu sertifika ile yasal zorunluluklar karşılanmış olmaktadır. Buna ek olarak bazı ihalelere giriş izni sağlanmaktadır.
İSO 27001 Sertifikası Elde Etme Süreci
Bu sertifikayı elde etmek için ilk önce İSO’nun belirlediği koşulları sağlamalısınız. Ardından bu koşulları yerine getirdiğinizi kanıtlamalısınız. İSO 27001 sertifikası almayı amaç edinmiş bir işletme aşağıdaki aşamaları yerine getirmelidir:
- Öncelikli olarak işletme sertifika standartlarını sağlayıp sağlamadığını denetlemelidir. Bunun için işletme içerisinde bir ekip kurulabilir. Ayrıca bilgi güvenliği yönetim sertifikası danışmanlığı veren bir firmadan hizmet talep edilebilir. Bu noktada Eurolife OSGB firması sizlere merak ettiğiniz tüm konular hakkında destek olacaktır.
- Sistemde sertifika standartlarının sağlanmadığı hususlar tespit edilirse bunlar standartlara uygun hale getirilmelidir. Kimi zaman yapılan değişiklikler çok basit olabildiği gibi kimi zamanda sistemin komple yeni baştan değişmesi gerekebilir.
- Daha sonra denetleme aşaması gelir. Bu kısımda ISO’nun akreditasyon verdiği belgelendirme firmaları denetlemeyi yapar. Yapılan incelemede işletmenin standartları sağladığı tespit edilirse sertifika hak edilir.
- Eğer ilk denetlemede işletme başarısız olursa, ikinci bir teftiş tarihine kadar işletmenin standartları yerine getirmesi istenir.
Bu sertifika, bilgi güvenliğiyle alakalı birden fazla kavram, detay içermektedir. Bu nedenle sertifika alım süresince dâhil olmak isteyen işletmeler, bu alanda danışmanlık hizmeti veren bizlere başvurabilirler. Ayrıca bu belge için çeşitli eğitimlerin alınmış olması lazımdır. ISO 27001 sertifikası eğitimlerinin, işletmenin kendi bünyesindeki çalışanları ve işveren tarafından alınması gerekmektedir.