ISO 27001 Nedir?

ISO 27001 nedir sorusuna şu şekilde cevap verilebilir. Kurum veya kuruluşların, bilgi varlıklarını etkin bir şekilde koruması, müşterilerin gizli bilgilerini güvende tutmalarına ve yönetmelerine yardımcı olan, doğru ürün veya hizmeti çıkarmasına yönelik olarak bilgi güvenliği yönetim sisteminin kurulması ve geliştirilmesi konusunda rehberlik eden ve ISO tarafından hazırlanıp yayınlanan uluslararası yönetim standardına verilen isimdir. Bilgi güvenliği yönetim sistemi sayesinde işletmeler kendi risklerini tanımlayabilir, bu riskleri yönetebilir veya azaltabilir. Ayrıca bu doğrultuda gerekli güvenlik önlemlerini yerine getirirler.

ISO 27001 (İnternational Organization for Standardization) Uluslararası standardizasyon örgütünün ortak kararlar alarak yayımladığı bir kalite yönetim sistemi standardıdır. Bu standart tüm dünyada bulunan bütün akredite belgelendirme kuruluşları tarafından hem üretim hemde hizmet sektöründe uygulanabilen bir yapıdır.
ISO: Standardı Yayınlamış olan tüm dünyada kabul edilen örgütün adıdır. (Uluslararası Standartlar Örgütünün kısaltılmasıdır.)
27001: Uluslararası Standartlar Örgütü (ISO) tarafından Kalite Yönetim Standardına verilen isimdir.
2022: Sistemin Yayınlandığı veya Revize edildiği Tarihi göstermektedir. (5 yıl süreyle ISO tarafından toplanılarak gerekli revizyon işlemleri onaylanır. Her 8 yılda bir bu tarih değişmektedir.)
TS: Türkçe Standart kısaltması
EN: Avrupa Normu kısaltması

Bu standart ISO tarafından yayınlanmış ve Türk Standartları Enstitüsü (TSE) tarafından Türkçeye çevrilmiştir. Tüm dünyada geçerli olan iso 27001 bilgi güvenliği yönetim sistemi nerede olursa olsun ve hangi kurum veya kuruluş tarafından kurulmak istenirse, bu standardın şartlarını kabul etmiş sayılır ve şartları karşılamak zorundadır.
ISO 27001:2013 Standardı; Bilgi varlıklarını etkin bir şekilde korumak , izinsiz ve yasa dışı yollardan erişilme olasılığını en aza indirmek, ilgili taraflara güven vermek, yeterli ve orantılı güvenlik kontrollerini sağlamak amacıyla kullanılmaktadır. Daha detaylı bilgi için diğer sitemize burayı tıklayarak giriş yapabilirsiniz.

ISO 27001 Belgesi Ne Gibi Yararlar Sağlar?

ISO 27001 Belgesi, kurum veya kuruluşların bilgi güvenliği yönetim sistemlerine verilen bir belge türüdür. ISO 27001, bilgi yönetiminde sağlam ve sistematik bir yaklaşım getirerek kuruluşunuzu korumanıza ve riski azaltmanıza yardımcı olur. iso 27001 belgesi sadece ürün/hizmet aşamasında değil bir işletmenin tüm faaliyetlerini ilgilendiren bir yönetim sistemidir. Bu faaliyetler işletmenin yapısına göre satış, satın alma, tasarım, insan kaynakları, üretim, imalat, muhafaza, iletişim, bilgi işlem, dokümantasyon vb. gibi şekillendirilebilir.

ISO 27001 Belgesi bir çok müşteri tarafından kurumsal kimlik altına geçmeleri ve bilgi güvenliğini sağlamaları için büyük bir faktör olarak görülmektedir. Ayrıca kuruluşların çalıştığı müşteriler doğrultusunda çoğunlukla zorunlu olarak iso belgesi istenmektedir. Bu sebeplerden dolayı bilgi güvenliği yönetim sistemi yapısını işletme bünyesine kurmak size bir çok avantaj sağlayacaktır.

Avantajları Nelerdir?

ISO 27001 yönetim sistemini uygulayarak itibarınızı, gizli bilgilerinizi koruyabilir, doğabilecek zararları önleyip maddi tasarruf sağlayabilirsiniz. müşteri ve pazar gereklilikleriyle uyumlu hale gelebilir ve risklerinizi azaltabilirsiniz. Standardı benimseyerek ve etkili süreçleri kuruluşunuza yerleştirerek müşterilerinize, çalışanlarınıza ve diğer üçüncü taraflara, bilgi güvenliği konusunda uluslararası kabul görmüş ciddi bir uygulamanız olduğuna dair açık bir mesaj vermiş olursunuz. Hangi sektörde olursa olsun iso 27001 belgesi sahibi olmak bu pazar payının tarafınıza yönelmesinde büyük bir rol oynayacaktır. Pazar payının sürekliliği her daim devam etmekte olup sağlamış olduğu fayda yönetim sistemini tam olarak işletmenizde kurmanız ve uygulamanızla mümkün olabilir. Bilgi güvenliği yönetim sistemi ile işletmeniz içinde tüm analizleri gerçekleştirebilir ve maliyetlerinizi nasıl etkilediğini gözlemleyebilirsiniz. İşletmenize kurmuş olduğunuz iso 27001 Bilgi Güvenliği Yönetim Sistemi size pazar avantajı sağlamak dışında firmanızda sürekli bir iyileştirme, süreklilik ve disiplin kazandırmaktadır. Ayrıca bilgi çağı olması ve siber saldırılar gibi bir çok tehlikeler ile işletmelerin karşı karşıya olması sebebi ile hem kendi işletme bilgilerinizi hem de müşterilerinizin mülkü olan bilgileri korumak ancak iso 27001 Bilgi Güvenliği Yönetim Sistemi ile mümkün olacaktır.

ISO 27001 belgeli bir firmada çıkabilecek her sorun yada problem aynı zamanda bir iyileştirme fırsatı olarak görülmekte olup problemin çözümünden önemlisi onun bir daha tekrarlanmamasını sağlamak için yol göstermektedir.

Bilgi Güvenliği Yönetim Sistemini kurmaya karar veren Toem Kalite Danışmanlık müşterilerinin bizlere yaptığı geri dönüşler şu şekildedir.

  • Firmanın imajına ve bilgi varlıklarının korunmasına ciddi bir katkı sağladığı,
  • İşlerine güven kattığı,
  • Rekabet gücü düzeyinin arttığı,
  • Varlık envanterleri sayesinde bilgi sistemlerine koruma sağladıkları,

vb. gibi dış faktör yararları olduğu tespit edilmiştir. Aynı zamanda etkili bir yönetimin, firma kültürünün kurulan bilgi güvenliği yönetim sistemine entegre edilmesi sonucu gelişmesi, kalite sistemi bilincinin oluşması, daha düzgün bir dokümantasyon, Sistematik bir yaklaşım, tutarlılık, etkinlik, üretkenlik, verimlilik artışı, maliyetlerin belirli bir zaman sonra azalması ve kurumsallaşma yolunda hızlı bir ilerleme gibi iç faktör yararları olduğu tespit edilmiştir.

ISO 27001 Belgeli işletmelerin kurmuş olduğu Bilgi Güvenliği Yönetim Sistemi ile;

Üst yönetimin ve diğer personelin ulaşmak istediği kayıt ve bilgilere ulaşmak çok rahat ve kolaylaşmaktadır. Bu sayede eldeki verilerin incelenip daha doğru ve hızlı bir karar verilmesine imkan sağlar. Ayrıca asıl amaçlardan biri olan bilgi güvenliği de bölümler/birimler arası dış etkenlerin müdahalelerine karşı sağlanmış olur.
Bölümler arasındaki ilişkilerde standart yapısı gereği iyileşmeler meydana gelmekte ve hizmet/üretim hızlanmaktadır.
Özellikle üretim yapan firmalarda üretim, depo, sevkiyat gibi alanlarının iyileştirilmesi sağlanmaktadır.
Tedarikçilerin performans takiplerini etkinleştirmekte ve tedarikçi ilişkilerinde iyileşme gözlenmektedir.
Müşteri şikayetlerini analiz etmeye müteakip bu şikayetlerin azalmasında ve müşteri memnuniyetinin artması sağlanmaktadır.
Reklam & Tanıtım anlamında ve rekabette, ihracatta kolaylıklar gözlenmektedir.

Peki ISO 27001:2013 Standart Maddeleri Nelerdir?

ISO 27001:2013 Standart Maddeleri aşağıdaki gibidir

0 GİRİŞ
1 KAPSAM
2 ATIF YAPILAN STANDART VE/VEYA DOKÜMANLAR
3 TERİMLER VE TARİFLER
4 KURULUŞUN BAĞLAMI
4.1 Kuruluşun ve bağlamının anlaşılması
4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
4.4 Bilgi güvenliği yönetim sistemi
5 LİDERLİK
5.1 Liderlik ve bağlılık
5.2 Politika
5.3 Kurumsal roller, sorumluluklar ve yetkiler
6 PLANLAMA
6.1 Risk ve fırsatları ele alan faaliyetler
6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
7 DESTEK
7.1 Kaynaklar
7.2 Yeterlilik
7.3 Farkındalık
7.4 İletişim
7.5 Yazılı bilgiler
8 İŞLETİM
8.1 İşletimsel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirme
8.3 Bilgi güvenliği risk işleme
9 PERFORMANS DEĞERLENDİRME
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç tetkik
9.3 Yönetimin gözden geçirmesi
10 İYİLEŞTİRME
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Referans kontrol amaçları ve kontroller

iso 27001 nedir