Merhabalar, bu yazımda siz değerli okurlarımla ISO 27001’in genel çerçevede ne olduğu ve önemini paylaşmaya çalışacağım. Şimdiden iyi okumalar dilerim.
ISO 27001 Nedir?
Bilgi, bir kurumun ve/veya kuruluşun en değerli malvarlığıdır. Bilginin kurum ve/veya kuruluşun içerisinde güvenli bir şekilde tutulması ve saklanması da bu malvarlığının sigortasıdır. Hal böyleyken kurumların ve kuruluşların bilgilerini nasıl güvenli bir şekilde göndereceğini, bilgilerini nasıl güvenli bir şekilde saklayacağını ve bilgiyi hangi prosedürlerde güvenli bir şekilde işleyeceğinin uluslararası standartlarda belirlenmesi gerekmektedir.
Bu aşamada ISO 27001 devreye girmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilginin korunması, bilginin aktarılması ve bilginin işlenmesi aşamalarını orantılı bir şekilde düzenleyerek kurumların ve/veya kuruluşların güvenilir olduğuna dair bir kanıt işlevi görmektedir.
Ayrıca, ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), düzenleyici bir organ olarak görev aldığı kadar aynı zamanda denetimci bir organ olarakta karşımıza çıkar ve koyduğu standartların uygulanıp uygulanmadığını da denetler ve bu standartlara göre sertifikalandırma işlemi gerçekleştirir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Denetimleri
ISO 27001 denetimlerini genelde denetçi kişi ve/veya kurumlar gerçekleştirir. Bu denetimler esnasında genelde bir denetçi şartların sağlanıp sağlanmadığını kurumdan ve/veya kuruluştan göstermesini ister. Bu şartların sağlanması ile,
- Kurumun ve/veya kuruluşun bilginin işlenmesi, düzenlenmesi ve aktarılması aşamalarına hakimiyeti tam olur.
- Kurumun ve/veya kuruluşun bilgiyi koruması kolaylaşır.
- Kurumun ve/veya kuruluşun güvenlik açıklıklarına karşı direnci arttırılır.
- Kurumun ve/veya kuruluşun bilgi güvenliği farkındalığı özelinde büyük bir ilerleme kaydetmesi sağlanır.
- Kurumun ve/veya kuruluşun saygınlığı arttırılır.
- Kurumun ve/veya kuruluşun rekabet avantajı kazanması sağlanır.
- Kurumun ve/veya kuruluşun iş sürekliliği garanti altına alınır.
- Kurumun ve/veya kuruluşun riskleri minimize edilmiş olur.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Kimler için Uygundur ?
ISO 27001, hangi şartta olursa olsun tüm kurum ve kuruluşlar için uygundur ve alınması gereklidir. Ancak özellikle finans, sağlık, kamu kurum ve kuruluşları ile teknoloji sektörü için farklı bir önem derecesine sahiptir. Çünkü bu alanlar bilginin korunması için en önemli alanlardır.
ISO 27001, aynı zamanda kurum ve kuruluşların müşterilerine bilgilerinin koruma altında olduğu bilgisini de vermektedir.
ISO 27001 alma zorunluluğu olan sektörler şunlardır:
- Görev sözleşmesi imzalayan firmalar
- İmtiyaz sözleşmesi imzalayan firmalar
- Uydu haberleşme hizmeti veren firmalar
- Altyapı işletmeciliği hizmeti veren firmalar
- Sabit telefon hizmeti veren firmalar
- GMPCS mobil telefon hizmeti veren firmalar
- Sanal mobil şebeke hizmeti veren firmalar
- İnternet servis sağlayıcıları
- Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar
- E-fatura özel entegratör yetkisi almak isteyen firmalar
- Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçı firmalar
- Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
- Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Denetçilerinin Hoşuna Giden Uygulamalar
ISO 27001 alacak kişi ve kurumlar için geçmiş yıllarımın birikiminde bazı tavsiyeler de sunmak isterim. Bu tavsiyeler, hem denetçiler hem de bilgi güvenliği için önemlidir.
- Cihazların ve işletim sistemlerinin güncelliğinin sürekli olarak kontrol ediliyor olması denetçiler tarafından hoş karşılanmaktadır.
- SIEM ve SOAR ürünlerinin kullanılıyor olması denetçilerin gayet hoş karşıladığı uygulamalardır.
- EDR / XDR ürünlerinin kullanılıyor olması da denetçilerin çok hoş karşıladıkları uygulamalardır.
- Firewall, Switch, Hub ve benzeri ağ cihazlarının kayıtlarının da bir sistemde tutuluyor olması denetçilerin hoşuna giden bir uygulamadır.
- Son zamanlarda Network-based Security (Ağ Tabanlı Güvenlik) için özellikle NDR (Network Detection Response) cihazlarının da kullanılması denetçilerin hoş karşıladıkları uygulamalardır.
- NAC cihazlarının var olması denetçilerin hoş karşıladığı uygulamalardan bir tanesidir.
- SoC ve NoC hizmetleri almakta denetçilerin çok hoş karşıladığı uygulamalardan bir tanesi ve hatta belki de en önemlisidir.