Bilgi Güvenliği Yönetim Sistemi (BGYS ISO 27001)

ISO 27001; kuruluşlarda bilgi güvenliğinin sağlanması ve sistemin sürekli iyileştirilmesi için uygulanan bir yönetim sistemidir. Kuruluşlar için bilgi, diğer önemli ticari varlıklar gibi, değeri yüksek olan ve bu nedenle korunması gereken bir varlıktır. Bilgi güvenliği sistemi bilgiyi; ticari olarak sürekliliği sağlamak kayıpları en aza indirmek, fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için tehlike ve tehditlerden korur. Bilgi; kağıt üzerinde, elektronik ortamda saklanabilir, posta yoluyla veya elektronik olarak gönderilebilir, film olarak gösterilebilir veya sözlü olarak ifade edilebilir. Bilgi hangi biçimde olursa olsun, uygun bir şekilde korunmalıdır. ISO 27001’in Yararları:

• Bilgi güvenliğine önem verildiğini gösterir.
• İşin devamlılığını sağlar.
• Müşterinin güveni kazanılır.
• Yasal mevzuatlara uyulmuş olunur.
• Rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar.
• Bilgi sistemlerini ve ağları, bilgisayar destekli sahtekârlık, casusluk, sabotaj ile yangın ve sel gibi tehdit ve tehlikelerden korur.

ISO/IEC 27001:2013'deki Temel Değişiklikler Neler ? SO/IEC 27001, 2013 yılında revize edilmiştir. İlk olarak 2005 yılında yayımlanan standart şirketlerin bugün karşılaştıkları önemli konu ve güçlüklere yönelik olarak güncellenmiştir. Yeni standardı kapsayan temel değişiklikler:

• Yeni standart tüm yönetim sistemlerine uyum sağlayacak şekilde yeni yüksek seviye yapıya göre hazırlandı. Bu sayede birden fazla yönetim sistemini entegre etmek artık kolay olacak.
• Terminolojik olarak değişime uğrayan yeni standart içinde ayrıca bazı tanımlar yeniden yazıldı.
• Risk değerlendirme gereksinimleri BS ISO 31000 ile daha uyumlu hale getirildi.
• Üst Yönetimin Sorumluluğu gerekliliklerinde ‘liderlik’ konusuna vurgu yapıldı.
• Koruyucu eylemlerin yerine risk ve fırsatlar daha fazla ön planda yer alıyor.
• SOA gereksinimleri benzer kalmakla beraber riskleri ele alma sürecindeki kontrol noktalarını belirleme ihtiyacında daha fazla açıklık sağlandı.
• Annex A kontrolleri değişen tehditleri yansıtacak şekilde değişime uğradı. Tekrarlar kaldırıldı ve daha mantıklı bir gruplandırmaya kavuşturuldu. Tedarikçi ilişkilerinde yer alan kriptografi ve güvenlik konularını kapsayan özel denetimler yeni standarda eklendi.
• Hedeflerin ve performans kriterlerinin belirlenmesi ve de performans sonuçlarının izlemesi konusunda daha büyük bir vurgu