ISO 27001 NEDİR?
İlk olarak, ISO 27001'in tam adının “ISO/IEC 27001 – Information technology — Security techniques — Information security management systems — Requirements.” olduğunu belirtelim.
Uluslararası Elektroteknik Komisyonu (IEC)’nun Uluslararası Standardizasyon Örgütü (ISO) ile ortaklaşa yayınladığı, bilgi güvenliğine odaklanan uluslararası bir kurumsal bilgi güvenliğini sağlamaya yönelik standarttır.
ISO-27001, bilgi güvenliğini yönetmek için geliştirilmiş bir dizi standardın parçasıdır: ISO/IEC 27000 serisi.
ISO 27001 NEDEN BU KADAR ÖNEMLİ?
Standart, şirketlere yalnızca en değerli bilgilerini korumak için gerekli “yapabilme bilgisini(know-how)” sağlamakla kalmaz, aynı zamanda bir şirket ISO 27001'e göre sertifika alabilir ve bu şekilde müşterilerine ve ortaklarına verilerini koruduğunu kanıtlayabilir.
Kişiler ayrıca bir kursa katılarak ve sınavı geçerek ISO 27001 sertifikası alabilir ve bu şekilde becerilerini potansiyel işverenlere kanıtlayabilir.
Uluslararası bir standart olduğu için ISO 27001 tüm dünyada kolayca tanınır ve kuruluşlar ve profesyoneller için iş fırsatlarını artırır.
ISO 27001'in temel amacı, bilginin üç yönünü korumaktır:
- Gizlilik: Bilgiye sadece yetkili kişilerin erişim hakkı vardır.
- Bütünlük: Bilgileri yalnızca yetkili kişiler değiştirebilir.
- Erişilebilirlik: Bilgi, ihtiyaç duyulduğunda yetkili kişiler tarafından erişilebilir olmalıdır.
ISO 27001'in odak noktası, bir şirketteki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Bu, bilgilere ne gibi potansiyel sorunların gelebileceğini bularak (yani risk değerlendirmesi) ve ardından bu tür sorunların oluşmasını önlemek için ne yapılması gerektiğini tanımlayarak (yani, risk azaltma veya risk tedavisi) yapılır.
Bu nedenle, ISO 27001'in ana felsefesi, riskleri yönetmek için bir sürece dayanmaktadır: risklerin nerede olduğunu bulunması ve ardından güvenlik kontrollerinin (veya güvencelerinin) uygulanması yoluyla bunların sistematik olarak ele alınması.
ISO 27001, bir şirketin Uygulanabilirlik Beyanı adı verilen bir belgede uygulanacak tüm kontrolleri listelemesini gerektirir.