Kurumlarda bilginin önemi ve IT operasyonlarının kurum operasyonlarının merkezindeki rolü arttıkça, bilginin kaybı önemli bir risk kalemi olarak görülmeye başlamıştır. Bunun sonucunda ulusal ve uluslararası standart organizasyonları (ISO, IEC, TSE vs.) kurumlarda bilginin korunması ve anahtar kelime olarak İş Sürekliliği'nin sağlanmasına yönelik kural ve standartlar ortaya koymuştur.
TS ISO/IEC 27001 Nedir?
Piyasada bilinen ismiyle ISO 27001, Kurumsal Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının teknik ismidir. Kurumunuzda bilgi güvenliğini sağlamaya yönelik faaliyetlere yönelik bir çerçeve belgesi denebilir. Bu sistem temelde bilgi varlıklarını tanımlamayı, bunlara ilişkin riskleri belirlemeyi ve bu riskleri bertaraf etmeye yönelik faaliyetleri kapsar. Bunları bir çerçeveye oturtmak için kapsam, politika, prosedür ve uygulanabilirlik bildirgelerini kullanır. Sürekliliği sağlamak için ise düzenli farkındalık eğitimlerinin yapılmasını, periyodik bakım ve kontrol planlarının oluşturulmasını, iç ve dış denetimlerin gerçekleştirilmesini ister.
Kısaca TS ISO/IEC 27001, standardın kendi cümleleri ile, bir bilgi güvenliği yönetim sistemi’nin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymak amacıyla hazırlanmıştır.
TS ISO/IEC 27001 Tarihi
ISO/IEC 27001, International Standards Organisation (ISO) ve International Electrotechnical Commission (IEC) nin güvenlik standartlarını baz alarak oluşturulmuştur. Bir BGYS sisteminin nasıl kurulması ve işletilmesi gerektiği hususunda bir model teşkil eder. Bunu da Kalite Güvence (ISO 9000) ve Çevre Koruma (ISO 14000) gibi belgelerle benzer şekilde tanımlar.
- ISO 27001'in ilk sürümü sayılabilecek standart 1995'de İngiliz Standartlar Kurumu BSI tarafından BS 7799 kodu ile oluşturuldu. ISO'nun üzerinde yaptığı bazı değişimlerle ISO/IEC 17799 standardına dönüştü.
- 1999'da yayınlanan ve BS 7799 Part 2 olarak tanımlanan standart (BS 7799-2) ise "Bir Bilgi Güvenliği Yönetim Sistemi nasıl kurulmalıdır" sorusuna odaklanıyordu. 7799'un bu bölümü ISO tarafından 2005 yılında ISO 9000 standardına uyumlu hale getirilerek ISO/IEC 27001:2005 olarak adlandırıldı.
- Yine 2005 yılında yayınlanan BS7799 Part 3, risk analizi ve risk yönetimi konularını ele alıyordu. Bu da 27001 standardına uyumlu hale getirildi.
- 2013 yılında gelen güncellemelerle birlikte ISO/IEC 27001:2013 yayımlandı.
Türk Standartları Enstitüsü bu standartların çevirilerini yaparak yayımlamaktadır. TSE'nin yayınlandığı sürümlerde, standart isminin başında TS yer almaktadır. (Örn. TS ISO/IEC 27001:2013)
Referans Standartlar
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı bir çerçeve oluşturmaktayken, uygulamada bazı ek referans standartlardan yararlanılmaktadır. Bu referanslardan bazıları belli bir amaca yönelik açıklamalar içerirken, bazıları sektöre özel uygulamaları kapsamaktadır.
Referans Standart Örnekleri
ISO/IEC 27000 | BGYS - Genel bakış ve sözlük |
ISO/IEC 27002 | BGYS - Uygulama kodu |
ISO/IEC 27003 | BGYS - Kurulum kılavuzu |
ISO/IEC 27004 | İzleme, ölçme, analiz ve değerlendirme |
ISO/IEC 27006 | BGYS geçerli denetçi nitelik kılavuzu |
ISO/IEC 27008 | Denetçiler için bilgi güvenlik kontrolleri kılavuzu |
ISO/IEC 27019 | Enerji endüstrisi için bilgi güvenlik kontrolleri |
Referans standartlar ile ilgili daha detaylı bilgi için şu adresi inceleyebilirsiniz:
https://www.itgovernance.co.uk/iso27000-family