Bilgi Güvenliği ve diğer ilgili standartlar
ISO/IEC 27001, BGYS için gereklilikleri ortaya koyan bir standarttır. Bilgilerin düzenli olarak maruz kaldığı tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur. Standart, risk değerlendirmesi, belirlenen risklere kontrollerin uygulanması, tanımlanan risklerin izlenmesi, kontrol yönetimi sistemlerinin bakımı v.b. gibi, risk yönetimi ile ilgili konulara odaklanmıştır.
Bilgi güvenliği yönetim sistemi, organizasyondaki bilgi varlıklarının değerlendirilmesini, bu varlıkların zayıflıklarını ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizinin yapılmasını gerektirir. Organizasyon bir risk yönetimi metodunu seçmeli ve risklere karşı bir plan hazırlamalıdır.
Organizasyon, planla-uygula-kontrol et-önlem al çevrimi içinde risk yönetimi faaliyetlerini yürütmeli ve çalışmaları, riskler kabul edilebilir bir düzeye getirilene kadar sürdürmelidir.
Bu standart, organizasyonların büyüklüğüne bakılmaksızın, BGYS’nin kurulması, bakımı ve idamesi ile ilgili kurumlara yardım etme ve belgelendirme amacıyla oluşturulmuştur. ISO/IEC 27001 standardı diğer yönetim standartlarıyla (ISO 9001, ISO 14001) uyumlu olarak geliştirildiğinden, yönetim standartlarının gerekliliklerini de yerine getirmektedir.
ISO 27001 organizasyonların risk yönetimi planlarını, görev ve sorumluluk tanımlarını, iş devamlılığı planlarını, acil durum yönetimi prosedürlerini hazırlamasını zorunlu tutar. Uygulamada bunlara ilişkin kayıtların tutulması gerekir.
ISO 27001 Bilgi Güvenliği Sistemini Kurma Aşamaları
- Varlıkların (Assets) sınıflandırılması
- Varlıkların, gizlilik, bütünlük ve erişebilirlik kriterlerine göre değerlendirilmesi
- Risk analizi
- Risk analizinin sonuçlarına göre, uygulanacak kontrollerin belirlenmesi
- Dokümantasyonun oluşturulması
- Kontrollerin uygulanması
- İç tetkiklerin yapılması
- Kayıtları tutulması
- Yönetimin gözden geçirmesi
- Belgelendirme