Risk yönetimi ile belirlenen güvenlik kontrollerine ve bu kontrollerin sürekli iyileşmesine dayanan yönetim sistemidir. Kurumların bilgilerinin gizliliğin, bütünlüğünün ve kullanılabilirliğinin korunması adına, risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını iş devamlılığı planlarını, acil durum olay yönetimini, bilgi güvenliğinin operasyonel prosedürlerinin hazırlanmasını ve uygulanmasını ve bunların kayıtlarının tutulması gerekmektedir. Tüm bu faaliyetler içinde bir dizi Bilgi Güvenliği (BG) politikası ve prosedürü yayınlamalı ve personeli bilgi güvenliği anlamında bilinçlendirmelidir.
- Bilgi varlıklarının gizliliğinin korunması,
- Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
- Kurumsal prestijin korunması,
- İş sürekliliğinin sağlanması,
- Bilgi kaynaklarına erişimin denetlenmesi,
- Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
- Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması.
ISO 27001 Neden Gereklidir?
Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları Nelerdir?
- Doğru, güvenilir ve geçerli bilgiler sağlar.
- Fazladan iş yükü ve gereksiz zaman kaybının önüne geçer.
- Riskleri minimize eder.
- İş sürekliliği sağlar.
- Bilgi varlıklarının gizliliğinin korunmasını sağlar.
- Kuruluş genelinde, bilgi sistemleri ve zayıflıkların nasıl korunacağı konusundaki farkındalığı artırır.
- Bilginin ve metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
- Yasal tarafların zorunlu kıldığı kriterler sağlanmış olur.
- Bilgi varlıklarına erişim korunur.
- Kurumsal saygınlık korunur.
- Rekabet avantajı sağlar.