ISO 27001 Belgesi Rehberi
ISO 27001 Danışmanlığı
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Belgelendirme, kuruluşların bilgi varlıklarını güvende tutmayı amaçlayan bir standarttır. ISO 27001 BGYS Belgelendirme, şirketlerin bilgi varlıklarını ve müşteri bilgilerini korumalarına yardımcı olur. Firmalar ISO 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlığı alarak yönetim sistemi standart gereksinimlerini karşılamaları durumunda belgeyi almaya hak kazanırlar. Uzman kadrosu ve tecrübeli yetkinliği ile MA Belgelendirme & Mühendislik firmamız bütün ISO kategorilerinde olduğu gibi ISO 27001 danışmanlığı konusunda da tercih edebileceğiniz güler yüzlü kadrosuyla size rehberlik yapmaya hazırdır.
Dilerseniz hemen teklif alabilirsiniz.
ISO 27001 Nedir?
ISO 27001 belgesi, kurum ve işletmelerin bilgi güvenliği yönetim sistemi inşa etmelerini sağlayan uluslararası geçerliliği olan bir sertifikadır. ISO 27001 belgesiyle kurumlar bilgi varlıklarına yönelik olası tehlikeleri analiz ederler. Analiz sonrasında risklerin oluşması durumunda hangi kontrolleri uygulayacaklarına karar verirler. Bu belgenin kurallarının başarıyla uygulanmasıyla organizasyon içindeki bilgi yönetimi, risk yönetimi ve güvenlik uygulamaları daha verimli bir halde gerçekleşir.
ISO 27001’e Göre Kurulmuş Bir Sistemin ilkeleri:
- Gizlilik
- Bilginin sadece yetkili kişiler tarafından erişilebilmesi
- Bütünlük
- Bilginin doğruluğunun ve içeriğinin değişmemesi
- Ulaşılabilirlik
Şeklinde sıralanabilir.
Bilgi güvenliği uygulamasının başarıya ulaşması için sistemin sınırları tedarikçiden müşteriye, taşerondan hissedarlara kadar genişletilmelidir. Etkin ve verimli bir uygulama için organizasyon dışından tarafsız ve uzman bir danışmanlığa ihtiyaç duyulabilir. Bu konuda tecrübeli ve yetkin kadrosuyla MA Belgelendirme & Mühendislik firmamız siz müşterilerimize destek vermekten mutluluk duyacaktır.
ISO 27001 kurumların uygulayacakları güvenlik kontrollerini 10 temel prensiple açıklamaktadır:
- Şirket Güvenlik Politikası
- Fiziki ve Çevresel Güvenlik
- Personel Güvenliği
- Organizasyonel Güvenlik
- Varlıkların Sınıflandırılması ve Kontrolü
- Erişim Kontrolü
- İletişim ve Operasyon Yönetimi
- İş Devamlılığı Yönetimi
- Sistem Geliştirme ve Bakım
- Uyumluluk
Şirket Kurumsal Hafızası Emin Ellerde mi?
Bu soru, bilgi güvenliği konusunda şirket bünyesinde cevabı aranması gereken en temel sorulardan biri olarak karşımıza çıkmaktadır. İhtiyaca uygun bilgi güvenliğini sağlayacak yönetim sistemi kurmak atılacak ilk adım olmalıdır. Bir işletmenin başarılı ve sürekli olarak faaliyet sürdürebilmesi için etkin ve verimli bir risk yönetim sürecinin çalışıyor oluşu hayati öneme sahiptir. Bu tarz süreçler firmanın kurumsal değerini korumada önem arz eder. Aynı zamanda yatırım ve hedeflerini sürdürüp koruyabilmesi adına yapılması gereken kontrollerin firma içinde kabul edilmesi ve uygulanması adımları da temel oluşturur.
ISO 27001 standardı temel riskleri tanımlamak, değerlendirmek ve var olan riski ortadan kaldırmak için gereken önlemlerin alınmasını öne çıkaran bir risk yönetim sürecini öngörür. Bunun yanında riskleri tekrar değerlendirmek ve iç denetimi uygulamak da gereklidir.
Riskli Alanlar
Bilgi güvenliğini tehdit eden risklerin nereden kaynaklandığının tespiti için gözden geçirilmesi gereken unsurlar şu başlıklar altında toplanabilir:
- Altyapı zaafiyetleri
- Eksik / yanlış yatırımlar
- Siber saldırılar
- Test edilmemiş güvenlik sistemi
- Yetkisiz kimselerce erişim
- Çalışan kaynaklı tehditler
ISO 27001 Belgesi Kimler İçin Gereklidir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kamu kurumları ve kritik altyapı sektörlerindeki özel işletmeler için zorunlu hale getirildi. Yani kritik altyapı üreten sağlık altyapı, elektrik, bankacılık gibi sektörlerde ISO 27001”in zorunlu hale getirilmesiyle ilgili bir eylem maddesi oluşturuldu. Ayrıca bilişim sektöründe faaliyette gösterip de kamu ihalelerine giren bilgisayar yazılımı ve donanımı alanındaki firmalar için ISO 27001 şartı aranmaktadır. Günümüzde kritik altyapı uzmanlaşması gerçekleştiren ve ISO 27001 şartı aranan bilişim alt sektörlerine aşağıda yer verilmiştir:
- Enerji sektöründe faaliyet gösterenler
- İmtiyaz sözleşmesi imzalamış şirketler
- Elektronik haberleşme ve alt yapısını işleten firmalar
- Altyapı işletmeciliği hizmeti sunucuları
- Hava taşıtlarında uçuş esnasında mobil telefon hizmeti verenler
- Sabit telefon ya da uydu haberleşme hizmeti sunucuları
- Sanal mobil şebeke hizmeti sunucuları
- Mobil telefon hizmeti sunan şirketler
- İnternet servis sağlayıcıları
- E-Fatura hizmeti için yetki almak isteyen şirketler
- Gümrük işlemlerini kolaylaştırma yetkisi almak isteyen ihracatçı firmalar
ISO 27001 Belgesi Nasıl Alınır?
Bu belgeyi almak için öncelikle ISO 27001 ‘in belirlediği standartları sağlamalı ve bu standartları sağladığınızı kanıtlamalısınız.
- Öncelikle ISO 27001 standardının gereklerinin yerine getirilip getirilmediği denetlenerek ölçülmelidir.
- Bu noktada firmalar belgelendirme danışmanlığı veren MA Belgelendirme & Mühendislik’ten hizmet alabilirler.
- Sistemde standartların sağlanmadığı durumlar tespit edilirse bunlar mutlaka standartlara uygun bir hale getirilmesi için çözümler üretilmelidir.
- Ardından teftiş aşaması geçilir. Bu aşamada ISO’nun akreditasyon verdiği belgelendirme kuruluşları devreye girerek inceleme yaparlar. Yapılan incelemede firmanın standartları sağladığı gözlemlenirse belgelendirilmeye hak kazanır.
- Aksi takdirde firmadan standartları ikinci bir teftiş tarihine kadar yerine getirmesi tavsiye edilir.
ISO 27001 Belgesi ve KOSGEB Desteği
TÜRKAK akreditasyonlu belgelendirme işlemlerinde KOSGEB desteği mevcuttur.
ISO 27001’in İçeriği
- Kapsam
- Referanslar
- Terimler, tarifler
- Organizasyonun bağlamı
- Liderlik ve bağlılık
- Planlama
- Destek
- Operasyon
- Performans değerlendirme
- İyileştirme
Bu ana standart maddelerinin yanı sıra ek A’da 14 tane güvenlik kontrol maddesi, yaklaşık 114 başlıklarıyla 146 maddeye kadar çıkabilen bir içerik söz konusu. Ayrıca 27001’in ek A’sının nasıl uygulanacağını anlatan ISO 27002’de mevcut bulunuyor.
ISO 27001 Almanın Faydaları Nelerdir?
Bu standartları sağlayıp ISO 27001 Belgesi’ne uygun görülen bir firma:
- Geleceği için kritik önem teşkil eden bilgileri alternatif yedekleme protokolleri ile güvence altına almıştır.
- Endüstriyel bilgi hırsızlığına engel olmak için oldukça etkili bir yaklaşım benimsemiştir.
- Müşterisinin bilgilerine önem verdiğini göstermiş olur. Günümüzde firmaların hataları dolayısıyla milyonlarca insanın kişisel bilgileri sızdırılabilmektedir. Bilinçli müşteriler için bu husus çok önemlidir.
- Bilgisayar korsanlığına karşı önlemini aldığı için olası bir siber saldırının getireceği yıkımı minimuma indirmiştir.
- Müşterinin gözünde saygınlığı artmıştır.
ISO 27001 Belgesi’nin Geçerlilik Süresi Nedir?
ISO 27001 Belgesi’nin geçerlilik süresi 3 yıldır.
Pandemi ISO 27001 talebini artırdı
Pandemiyle birlikte özellikle uzaktan erişim ve internet kullanımının artması neticesinde çalışma, eğitim ve ticaret sanala kaydı. Bu durum siber güvenlik açıklarının da artmasına yol açtı. Dünya Ekonomik Forumu Global Riskler Raporu’nda yer alan verilere göre dünyada her 39 saniyede bir siber suç işlendiği açıklandı.
Türkiye’de siber saldırıların en çok artış yaptığı ülkeler arasında yer aldı. 2020 yılının ilk 10 ayında ülkemizde 102 bin siber saldırı gerçekleşirken saldırıların teknoloji ve e-ticaret sektörlerinde yoğunlaştığı gözlendi. Kamu, banka, finans, enerji ve sağlık sektörleri de bu saldırılardan hatırı sayılır bir pay aldı.
Dünya genelinde yıl içinde siber saldırı kaynaklı kayıpların maliyeti 3 trilyon doları aştığı ifade edilirken bu rakamın 2021 yılında iki katına çıkması bekleniyor. Gizli bilgiyi korumak için yapılan büyük yatırımlar, güvenlik duvarları ve teknik güvenlik önlemlerinin olayın sadece yüzde 20’lik kısmını etkileyebildiğini belirten uzmanlara göre güvenliğin yüzde 80’lik kısmı son kullanıcı farkındalığı ile alakalı. İşte insan faktörüne yapılacak yatırım ISO 27001 BGYS’nin uygulanmasından geçiyor.
Siber Güvenlik Google Aramalarda Sıçrama Yaptı
Danışmanlığını yaptığımız firmalardan zaman zaman “Neden ISO 27001 belgesini almalıyız? Ne işimize yarayacak?” gibi sorularla karşılaşıyoruz. Gelin bu sorulara cevap arayalım: ISO 27001 BGYS’nin çözüm getirdiği siber güvenlik 2020 yılında Google arama motorunda önceki yıllara göre yedi-sekiz kat daha fazla sorgulandı. Bu sorgulama artışında pandeminin etkilerinin önemli bir katkısı bulunuyor.
Türk İnternet haber sitesinde yer alan bir habere göre Türkiye’de yapılan “siber güvenlik” konulu internet aramaları 2014 yılından bu yana %737 oranında artış gösterdi. Haberi buradan okuyabilirsiniz.
Siber Güvenlikte Türkiye’de ilk 3 Şehir
Dünya genelinde ise bu artış oranı %337 oldu. Ülkemizde “siber güvenlik” konulu en çok arama yapılan ilk 3 şehir Elazığ, Ankara ve Kocaeli olarak sıralandı. Zaman geçtikçe her yıl yeni metotlar geliştiren siber suçlular, hayatın her alanında tehlike oluşturmaya devam ediyorlar.
Küçük, orta ya da büyük işletmelere karşı gerçekleştirilen siber saldırıların yüzde 80’i bilinçsiz çalışanlar nedeniyle başarıyla sonuçlanması da tehlikenin boyutlarını artırıyor. Sosyal mühendislik adı verilen. İnsan davranışlarındaki yanlışlar ve zaafları kullanan korsanlar, şirketleri rahatlıkla zor durumda bırakıyor.
Bilgisiz Kullanıcı En Zayıf Halka
Siber korsanlar, çalışanlar arasındaki zayıf halkayı belirleyerek şirket sistemlerine izinsiz bir şekilde kolaylıkla erişebiliyor. Birçok gizli belgeyi ele geçiren korsanların saldırıdan önce en zayıf halkayı seçmesi dikkat çekiyor. Berqnet Firewall Genel Müdürü Dr. A. Murat Apohan kurbanlar seçilirken genelde en zayıf halka olarak bilgisiz, dikkatsiz kullanıcılar belirlendiğine dikkat çekerek şu ifadeleri kullandı: “Sonrasında söz konusu kullanıcılar hakkındaki her türlü bilgi sosyal medyadan toplanıyor. Çalışanların zafiyetlerinden faydalanılarak çeşitli ikna yöntemleri kullanılıyor. Böylece korsanlar istedikleri bilgilere kolayca ulaşıyor. Bu tür tehlikelere karşı alınacak en etkili yöntem ise İSO 17001 sistemini uygulamaya koymaktan geçiyor.’’
Kurum çalışanlarının farkındalık düzeyini ölçüp, siber saldırılara karşı bilinçlendirmenin yolu ISO 27001 kapsamında bilgi güvenliği farkındalık eğitimlerinden geçiyor. Uzmanlar bu eğitimlerin belirli periyotlarla tekrarlanması gerektiğini ısrarla öneriyorlar. Böylelikle güvenlik yönetim sistemi olarak oluşturulan ve yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da katılımının sağlandığı iş süreçleri ile de devamlılık sağlıklı bir şekilde sağlanabilir.