İşletmelerin bilgilerinin gizliliği, erişilebilirliği ve bütünlüğünü sağlamak için bilgi yönetim sisteminin istediği kriterleri yerine getirmesini gösteren İSO 27001 sertifikasıdır. Bu sertifika için başvuru yapacaksanız, işletmenizde bilgi güvenliği yönetim sistemi standartlarına uygun şekilde sistem kurmalı ve uygulamalısınız.
Herkes bilgisini yazı olarak elektronik ortamda veya söz olarak birçok ortamda aktarabilir. Ayrıca bulunduğumuz zaman diliminde bilgi çok daha önemli bir pozisyonda yer almaktadır. Bu sebeple bilginin güvenliği de büyük bir tartışma konusu haline gelmiştir.
Teknoloji alanındaki gelişmeler ile ortaya çıkan tehditler bilginin güvenliğinin sorgulanmasına neden olmuştur. Bunun sonucunda bilginin kontrol edilmesine ihtiyaç duyulmuştur. Eğer bilgi güvenliği sağlanırsa müşteri memnuniyetinin elde edileceğinin farkına varılmıştır.
Peki, bilgi güvenliği ne anlama gelmektedir? Bilgi güvenliği; bilginin gizliliği, bütünlüğü ve ulaşılabilirliğini içine alan kavramların hepsi olarak ifade edilebilir. Bu yönden bakıldığında bilgi yönetim sistemi oluşturmak ve sertifikalandırmak için bir işletmenin bu kavramların hepsinin temel ilkelerini sağlaması gerekmektedir.
Bilgi güvenliği yönetim sistemi İSO 27001 standartlarının temel ilkeleri aşağıdaki gibidir:
Bu temel ilkeler G/B/U(C/I/A) kısaltmaları ile gösterilmektedir. Gizliliğin korunmasında, sadece yetkilendirilmiş şahısların bilgiye ulaşması yetkilendirme matrisine göre sağlanmaktadır. Böylece bilginin gizliliği garanti altına alınmaktadır. Ayrıca yetki sahibi olmayan kişiler bilgiye erişememektedir. Sonuç olarak gizliliğin ihlali mümkün olmamaktadır.
Bütünlük kavramında bilginin ve bilgi işleme yöntemlerinin doğruluğu ve tam oluşu garanti altına alınmaktadır. Bilgi güvenliği temel ilkeleri arasında 2. sırada yer alan bütünlük kavramı, bilgi işleme sürecinin korunmasını hedeflemektedir.
Ulaşılabilirlik kavramı ise, gerekli durumlarda yetkili kişilerin bilgi ve bilgi işleme sürecine doğru şekilde ulaşmasını garanti etmektedir. Ayrıca yetkili kişiler, yetki matrisi gereği, bilgiye ulaşmada herhangi bir engelle karşılaşmamalıdır. Ulaşılabilirlik özelliği, bu durumun garanti altına alınması anlamına gelmelidir.
Bilgi güvenliği yöntem sistemi sertifikası alındığı tarihten itibaren 1 yıl boyunca geçerli sayılmaktadır. Belgenin revizyonu için yapılacak denetlemeden önce gerekli olan bütün kontroller ve testler tamamlanmalıdır.
Bilgi güvenliği yönetim sistemi sertifikasını hangi işletmelerin alması gerektiği konusu hakkında açıklama yapalım. Bu sertifikanın uluslararası düzeyde geçerliliği bulunmaktadır. Ayrıca ISO 27001 sertifikası faaliyet alanı ne olursa olsun her işletmede uygulanabilir.
Bilgi güvenliği yönetim sertifikası bazı işletmeler için zorunluluk haline gelmiştir. Bu işletmeleri aşağıdaki gibi sıralayabiliriz:
Bunlara ek olarak İSO 27001 sertifikası aşağıdaki firmalar içinde zorunlu hale getirilmiştir:
Bilgi güvenliği yönetim uygulaması, yukarıda maddelenen şirketler haricinde zorunlu tutulan bir kriter değildir. Fakat bu sistemi firmalarında kuran, işleten ve takibini yapan işletmeler, çok iyi avantajlar elde etmektedir. İSO 27001 sertifikasının sağladığı avantajlar aşağıdaki gibidir:
Bu sertifikayı elde etmek için ilk önce İSO’nun belirlediği koşulları sağlamalısınız. Ardından bu koşulları yerine getirdiğinizi kanıtlamalısınız. İSO 27001 sertifikası almayı amaç edinmiş bir işletme aşağıdaki aşamaları yerine getirmelidir:
Bu sertifika, bilgi güvenliğiyle alakalı birden fazla kavram, detay içermektedir. Bu nedenle sertifika alım süresince dâhil olmak isteyen işletmeler, bu alanda danışmanlık hizmeti veren bizlere başvurabilirler. Ayrıca bu belge için çeşitli eğitimlerin alınmış olması lazımdır. ISO 27001 sertifikası eğitimlerinin, işletmenin kendi bünyesindeki çalışanları ve işveren tarafından alınması gerekmektedir.