ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS),  bir organizasyonun bilgi güvenliği risklerini etkili bir şekilde yönetmesine yardımcı olur. ISO 27001 sertifikasyonu, bir organizasyonun bilgi güvenliği yönetim sisteminin uluslararası kabul görmüş bir standarda uygun olduğunu doğrular.

Bu makalemizde ISO 27001 nedir, ne işe yarar, ISO 27001standartları nelerdir ve ISO 27001 belgesi nasıl alınır gibi tüm sorularınızın yanıtını bulacaksınız.

Bilgi sayesinde teknoloji üretilmeye başlandığından beri, bilgiyi üreten toplumların refahı artmaktadır. Bilgi, ülkelerin uluslararası arenada güçlenmelerine de olanak sağlamaktadır. Bu nedenle günümüzde bilginin korunması önemli hale gelmiştir. Kuruluşlar da sahip oldukları bilgiyi güvende tutmak için gelişmiş sistemlere ihtiyaç duymaktadır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) de bu sistemlerden biridir. ISO 27001, uluslararası kabul görmüş küresel bir standarttır. Yönetim sistemi, var olan ve her gün artan güvenlik tehditlerine karşı proaktif bir korunma sağlamayı hedefler.

Merkezi İsviçre’de bulunan International Organization for Standardization (ISO) tarafından yayınlanan ISO 27001 Bilgi Güvenliği Yönetim Sistemi, tüm dünyada gün geçtikçe daha fazla uygulama alanı bulmaktadır.

ISO 27001 Nedir?

ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir standarttır. Bu standart, bir organizasyonun bilgi varlıklarını yönetmek, korumak ve sürekli iyileştirmek için gereken en iyi uygulamaları ve gereksinimleri belirler.

ISO 27001’in temel amacı, bir organizasyonun bilgi güvenliği risklerini etkili bir şekilde yönetmesine yardımcı olmaktır. Bu, bilgi varlıklarının (örneğin, müşteri bilgileri, finansal bilgiler, ticari sırlar) korunmasını, potansiyel tehditlere ve risklere karşı güvenli bir ortam sağlamayı içerir.

ISO 27001’in ana bileşenleri şunlardır:

Bilgi Güvenliği Politikası: Organizasyonun bilgi güvenliği hedeflerini ve taahhütlerini tanımlar.

Risk Değerlendirmesi ve Yönetimi: Bilgi güvenliği risklerini belirlemek, değerlendirmek ve bu riskleri kabul edilebilir seviyelere indirmek için stratejiler oluşturur.

İş Süreçleri ve Prosedürleri: Bilgi güvenliği politikalarının ve prosedürlerinin uygulanmasını sağlar.

İzleme ve İyileştirme: Sürekli izleme, gözden geçirme ve iyileştirme faaliyetlerini içerir.

ISO 27001 sertifikasyonu, bir organizasyonun bilgi güvenliği yönetim sisteminin uluslararası kabul görmüş bir standarda uygun olduğunu doğrular. Bu, müşterilere, tedarikçilere ve diğer ilgili taraflara organizasyonun bilgi güvenliği ile ilgili taahhütlerini ve yeteneklerini kanıtlar.

ISO/IEC 27001 Neden Gereklidir?

ISO/IEC 27001, birçok organizasyon için gereklidir çünkü bilgi, modern iş dünyasında en değerli varlıklardan biridir. ISO/IEC 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir standardı temsil eder ve organizasyonların bilgi güvenliği risklerini etkili bir şekilde yönetmelerine yardımcı olur. İşte ISO/IEC 27001’in neden gereklilik olduğuna dair bazı ana nedenler:

ISO/IEC 27001, organizasyonların bilgi varlıklarını (örneğin, müşteri bilgileri, finansal bilgiler, ticari sırlar) korumalarına yardımcı olur. Bilgi güvenliği tehditlerine ve risklerine karşı etkili savunma mekanizmaları oluşturarak bu varlıkların güvenliğini sağlar.

Birçok sektörde, yasal ve düzenleyici gereksinimler, organizasyonların bilgi güvenliği konusunda belirli standartlara uygun olmalarını zorunlu kılar. ISO/IEC 27001 sertifikasyonu, bu gereksinimlere uygunluğun kanıtı olarak kabul edilebilir.

ISO/IEC 27001 sertifikasyonu, müşterilere, tedarikçilere ve diğer ilgili taraflara organizasyonun bilgi güvenliği taahhütlerini ve yeteneklerini kanıtlar. Bu, müşteri güvenini artırabilir ve organizasyona rekabet avantajı sağlayabilir.

ISO/IEC 27001, organizasyonların bilgi güvenliği risklerini etkili bir şekilde değerlendirmelerine ve yönetmelerine yardımcı olur. Bu, iş sürekliliğini sağlamak ve potansiyel tehditlere karşı hazırlıklı olmak için kritik öneme sahiptir.

ISO/IEC 27001, organizasyonların sürekli iyileştirme ve mükemmeliyet için bir çerçeve sağlar. Sürekli izleme, gözden geçirme ve iyileştirme faaliyetleri sayesinde organizasyonlar, bilgi güvenliği performansını sürekli olarak geliştirebilirler.

ISO/IEC 27001 sertifikasyonu, organizasyonların iş ortakları ve tedarik zinciri boyunca bilgi güvenliği standartlarını ve uygulamalarını standardize etmelerine yardımcı olabilir. Bu, iş ortaklarıyla güvenilir ilişkiler kurmayı ve sürdürmeyi kolaylaştırabilir.

ISO 27001 Belgesi Nasıl Alınır?

ISO 27001 belgesi almak için aşağıdaki adımları takip etmeniz gerekmektedir:

Hazırlık ve Farkındalık:

Organizasyonunuzda ISO 27001 standardına uygun bir bilgi güvenliği yönetim sistemi kurmayı hedeflediğinizden emin olun. İlgili personelin ve yöneticilerin ISO 27001 ve bilgi güvenliği konusunda eğitim almasını sağlayın.

Ön Değerlendirme (GAP Analizi):

Mevcut bilgi güvenliği uygulamalarınızı ve süreçlerinizi ISO 27001 gereksinimleriyle karşılaştırarak eksiklikleri belirleyin.

Bilgi Güvenliği Politikası ve Prosedürlerin Oluşturulması:

ISO 27001 gereksinimlerine uygun bir bilgi güvenliği politikası ve prosedürleri oluşturun. Bu politikaların ve prosedürlerin organizasyon genelinde uygulanmasını sağlayacak bir plan hazırlayın.

Risk Değerlendirmesi ve Risk Yönetimi:

Bilgi güvenliği risklerini belirleyin, değerlendirin ve yönetmek için uygun kontrol önlemlerini belirleyin. Kabul edilebilir risk seviyelerini tanımlayın ve riskleri bu seviyelere indirgemek için eylem planları oluşturun.

Dokümantasyon ve Kayıt Tutma:

ISO 27001 gereksinimlerine uygun olarak tüm dokümantasyonu hazırlayın ve güncelleyin. İlgili kayıtları (örneğin, eğitim kayıtları, risk değerlendirme sonuçları) tutun ve gerektiğinde gözden geçirin.

Uygulama ve İzleme:

ISO 27001 politikalarını ve prosedürlerini organizasyon genelinde uygulayın. Sürekli izleme ve iç denetimlerle ISO 27001 uyumunun sürdürülmesini sağlayın.

Yönetim Gözden Geçirme:

Üst yönetimle düzenli olarak bilgi güvenliği performansını gözden geçirin. Gerekli iyileştirme faaliyetlerini belirleyin ve uygulayın.

Dış Denetim ve Sertifikasyon:

Bağımsız bir sertifikasyon kuruluşuyla anlaşarak dış denetim ve sertifikasyon sürecini başlatın. Denetim sürecini başarıyla tamamladıktan sonra, ISO 27001 sertifikasını alın.

ISO 27001 belgesi almak için süreç karmaşık olabilir ve zaman alabilir. Profesyonel danışmanlık hizmetleri alarak bu süreci daha etkili ve verimli bir şekilde yönetebilirsiniz.

CE Danışmanı ISO 27001 belgesi almak için uzman kadrosuyla yardımcı olur.

Belgelendirme Kuruluşları ve Denetim

ISO 27001 standardına göre kuruluşlar bir sistem oluşturarak şartları yerine getirmeye çalışırlar. Belgelendirme Kuruluşları işletmelerin şartları yerine getirip getirmediğini denetler, varsa uygunsuzluklar bunları kuruluşlara raporlar ve uygunsuzluklar giderildikten sonra da firmaya sertifika verir. Belgelendirme kuruluşları ise o ülkedeki akreditasyon kuruluşu tarafından denetlenir. Denetçiler, genellikle belgelendirme kuruluşlarında tam zamanlı olarak çalışmazlar. Çoğunlukla dışarıdan sözleşmeli olarak çalışırlar. Kuruluşun büyüklüğüne göre denetim süresi değişir.

27001 2022’de Neler Değişti?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, 2022 yılında yenilenmiştir. Bu makalede yeni versiyonda yapılan değişiklikler ele alınacaktır.  2013 yılındaki standardın adı Bilgi Güvenliği Yönetim Sistemleri Gereksinimleri iken Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması olarak yenilenmiştir. Böylece standart, bilgi güvenliği perspektifini genişleterek siber güvenliğe doğru yönelmiştir.

ISO/IEC 27001’in son versiyonu 25 Ekim 2022 tarihinde yayınlanmıştır. Standardın 2022 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde düzenlenmiştir. Firmalar, 31 Ekim 2025 tarihine kadar mevcut bilgi güvenliği yönetim sistemlerini ISO/IEC 27001:2022 şartlarına uygun hale getirmelidir.

27001 standardı 10 maddeden oluşmaktadır. İlk üç madde bilgilendirme amaçlıyken, kuruluşlar tarafından uygulanması gerekenler dördüncü maddeden itibaren başlamaktadır. Dördüncü maddede kuruluşun bağlamı, beşinci maddede liderlik, altıncı maddede planlama, yedinci maddede destek, sekizinci maddede operasyon, dokuzuncu maddede performans değerlendirme ve onuncu maddede iyileştirme başlıkları yer almaktadır. 2022 versiyonunda bunlara ek olarak, altıncı maddede ‘değişikliklerin planlanması’ başlığı getirilmiştir. Dokuzuncu maddede ise içerikte bir değişiklik olmamakla birlikte alt kırılımlar oluşturulmuştur.

Revizyonla birlikte gelen temel değişiklikler şunlardır:

• Madde 4.2 c) ilgili tarafların ihtiyaç ve beklentilerinin BGYS tarafından ele alınacağı ilave

edilmiştir.

• 6. Madde (yeni bir 6.3 alt maddesini içermektedir)
• 8.2 maddesi «Süreçler için kriterler oluşturmak ve bu kriterler için kontrolleri uygulama» ile genişletilmiştir.
• 9.2 maddesine 2 alt madde ilave edilmiştir.
• Madde 9.3’ün artık 3 alt maddesi bulunmaktadır.
• 10. madde yeniden yapılandırılmıştır.

2022 versiyonunda yapılan değişiklikler şöyle:

Madde 4.4 Bilgi Güvenliği Yönetim Sistemi:

“Kuruluş bu standardın gerekliliklerine uygun olarak ihtiyaç duyulan süreçler ve bunların etkileşimleri de dahil olmak üzere bir bilgi güvenliği yönetim sistemi kurmalı, uygulamalı, sürdürmeli ve sürekli olarak iyileştirmelidir.

Madde 6.1.3 Bilgi Güvenliği Risk İşleme:

Aşağıdakileri içeren bir Uygulanabilirlik Bildirgesi üretilmesi:

-Gerekli kontroller (bkz. 6.1.3 b ve c)

-Dahil edilmelerin gerekçesi

-Gerekli kontrollerin uygulanıp uygulanmadığı ve

-Ek A kontrollerinden herhangi birinin hariç tutulmasının gerekçesi

Madde 6.2  Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama 2022

Kuruluş, uygun işlevler ve seviyelerde bilgi güvenliği amaçlarını tesis etmelidir.

Bilgi güvenli amaçları aşağıdakileri sağlamalıdır:

1. a) Bilgi güvenliği politikası ile tutarlı olmalı,
2. b) Ölçülebilir olmalı (uygulanabilirse)
3. c) Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme sonuçlarını dikkate almalı,
4. d) İzlenmeli,
5. e) Duyurulmalı,
6. f) Uygun şekilde güncellenmeli,
7. g) Dokümante bilgi olarak mevcut olmalıdır.

Madde 6.3 Değişikliklerin planlanması 2022

Kuruluş, bilgi güvenliği yönetimi sisteminde değişiklik ihtiyacını belirlediğinde, değişiklikler planlı bir şekilde gerçekleştirilmiştir.

Madde 7.4 İletişim 2022

Kuruluş, aşağıdakiler de dahil olmak üzere bilgi güvenliği yönetim sistemi ile ilgili iç ve dış iletişim ihtiyacını belirlemelidir:

1. a) İletişim konusu,
2. b) Ne zaman iletişim kurulacağı,
3. c) Kiminle iletişim kurulacağı,
4. d) Nasıl iletişim kurulacağı

Madde 8.1 İletişimsel planlama ve kontrol 2022

Kuruluş gereksinimleri karşılamak ve Madde 6’da belirlenen eylemleri uygulamak için ihtiyaç duyulan süreçleri aşağıdakileri yaparak planlamalı, uygulamalı ve kontrol etmelidir:

-Süreçler için kriterlerin belirlenmesi,

Süreçlerin kontrollerinin kriterlere uygun olarak uygulanması

Süreçlerin planlandığı gibi yürütüldüğünden emin olmak için gerekli olduğu sürece dokümante edilmiş bilgi mevcut olmalıdır.

Kuruluş, planlanan değişiklikleri kontrol edilmeli ve istenmeyen değişikliklerin sonuçlarını gözden geçirerek, gerektiğinde olumsuz etkileri azaltmak için harekete geçmelidir.

Kuruluş, bilgi güvenliği yönetim sistemi ile ilgili dışarıdan sağlanan süreçlerin ürünlerin veya hizmetlerin kontrol edilmesini sağlamalıdır.

Madde 9.1 İzleme, ölçe,  analiz ve değerlendirme 2022

Kuruluş şunları belirlemelidir:

1. a) Bilgi güvenliği süreçleri ve kontrolleri de dahil olmak üzere izlenmesi ve ölçülmesi gerekenler;
2. b) Geçerli sonuçları sağlamak için izleme, ölçme, analiz ve değerlendirme yöntemleri. Seçilen yöntemler, geçerli sayılması karşılaştırılabilir ve tekrarlanabilir sonuçlar üretilmelidir;
3. c) İzleme ve ölçmenin ne zaman yapılacağı;
4. d) İzleme ve ölçmeyi kimin yapacağı;
5. e) İzleme ve ölçme sonuçlarının ne zaman analiz edilip değerlendirileceği;
6. f) Bu analizleri kimin analiz edeceği ve değerlendireceği.

Madde 9.3 İç Tetkik  2022

9.3.2 Yönetimin gözden geçirmesi girdileri

1. a) Önceki yönetimin gözden geçirmelerinden gelen görevlerin durumu;

b)Bilgi güvenliği yönetim sistemi ile ilgili iç ve dış konulardaki değişiklikler;

1. c) Bilgi güvenliği yönetim sistemi ile ilgili ilgili tarafların ihtiyaç ve beklentilerindeki değişiklikler;
2. d) Aşağıdaki trendler dahil olmak üzere bilgi güvenliği performansı hakkında geri bildirim:

1) Uygunsuzluklar ve düzeltici faaliyetler,

2) İzleme ve ölçme sonuçları,

3) Tetkik sonuçları,

4) Bilgi güvenliği amaçlarının yerine getirilmesi.