ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi; para ve diğer ticari varlıklar gibi, işletme için değeri olan ve bu nedenle korunması gereken bir varlıktır. Bilgi, kuruluşun faaliyetleri ve devamı için büyük bir önem taşır. Günümüzde “bilgi kaybı” firmalara büyük zararlar vermektedir. Kuruluşlara ait bilgilerin “yetkisiz, kötü niyetli” kişilerin eline geçmesi olumsuz etkilere yol açmaktadır ve bu durum sıklıkla yaşanmaktadır. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bu problemlere yönelik alınan tedbirler paketini içeren dünya çapında bir standarttır.

ISO/IEC 27001, hangi sektörden olursa olsun (finans, sağlık, enerji, eğitim, üretim, kamu ve BT sektörler’) büyük küçük tüm kuruluşlara uygulanmaktadır.

 

Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları Nelerdir?

 

• • Bilgi varlıklarının farkına varılır, kuruluş hangi bilgi varlıklarının olduğunu ve bunların değerinin farkına varır,
  • Kuruluş sahip olduğu varlıkları, kuracağı kontroller ile koruma metodlarını belirleyerek ve uygulayarak korur,
  • İş sürekliliği sağlar, uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olunur,
  • Tedarikçi ve müşterilerin bilgileri korunacağından ilgili tarafların güveni kazanılır,
  • Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz,
  • Performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur,
  • Yasal tepkileri önler,
  • Yüksek prestij sağlar,
  • Rekabet avantajı kazandırır.

 

 

ISO/IEC 27001 ile İlgili Yasal Şartlar Nelerdir?

 

• • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla işlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
  • 5809 Sayılı Elektronik Haberleşme Kanunu,
  • 26942 Sayılı Elektronik Haberleşme Güvenliği Yönetmeliği,
  • 5237 Sayılı Türk Ceza Kanunu vb.

 

Her an karşılaşılabilecek bazı siber saldırı türleri;

 

• • Program manipülasyonu,
  • Sahtekârlık ve taklit,
  • Erişim araçlarının çalınması,
  • Kimlik hırsızlığı,
  • Ticari bilgi hırsızlığı,
  • İstihbarat amaçlı faaliyetler,
  • Takip ve gözetleme,
  • Hackleme,
  • Virüsler, solucanlar (worms) truva atları,
  • Ajan yazılımlar (spyware),
  • Spam,
  • Hizmeti durduran saldırılar,
  • Sosyal mühendislik saldırıları.

 

Her kurumdaki güvenlik seviyesini belirlemek için en zayıf halkaya bakılır. Bilgi güvenliği konusunda en zayıf halka “insan” faktörüdür.

Teknik olarak ne kadar önlem alınırsa alınsın, bilinçsiz bir kullanıcının bulunduğu bir ortamda güvenlik sağlamak pek kolay olmayacaktır. Bunun sağlanması için duruma uygun güvenlik politikalarının belirlenmesi ve uygulanması gereklidir.

Bilgisayar güvenliği geniş anlamda bir koruyucu mekanizma olarak düşünüldüğünde, kişisel veya kurumsal bilgisayarlar için genel olarak aşağıdaki maddelerin uygulanmasına özen gösterilmesi önerilmektedir;

 

• • Kötücül yazılım koruma yazılımlarının kurulu olması,
  • Bu yazılımların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması,
  • Bilgisayarda parola korumalı ekran koruyucu kullanılması,
  • Kurmuş olduğunuz yazılımların paylaşıma açık olup olmadığının kontrolü,
  • Bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması,
  • Kullanılan parolaların tahmininin zor olacak şekilde belirlenmesi,
  • Parolaların gizli tutulması ve belirli aralıklarla değiştirilmesi,
  • Disk paylaşımlarında dikkatli olunması,
  • İnternet üzerinden indirilen veya e-posta ile gelen eklere dikkat edilmesi,
  • Önemli belgelerin parola ile korunması veya şifreli olarak saklanması,
  • Gizli veya önemli belgelerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi,
  • Kullanılmadığı zaman internet erişiminin kapatılması,
  • Önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması,
  • İşletim sistemi güncelleştirmelerinin yapılması gibi önlemler, basit gibi gözükebilecek ama hayat kurtaracak önlemlerden bazılarıdır.

 

 

Ayrıntılı Bilgi İçin Bize Ulaşın;

 

 

 

 

ISO/IEC 27701:2019 Kişisel Veri Yönetim Sistemi Nedir?

ISO/IEC 27701 standardı, kuruluşlarda gizliliğin yönetimi için ISO/IEC 27001 ve ISO/IEC 27002’nin uzantısı olacak şekilde bir Kişisel Veri Yönetim Sistemi (PIMS) oluşturulması, uygulanması, sürdürülmesi ve sürekli olarak iyileştirilmesi adına gereklilikleri belirten ve kılavuzluk sağlayan bir standarttır.

Türkiye’de de Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte giderek daha da önem kazanan veri koruma konusunu mevcut durumda en kapsamlı ve sistematik şekilde ele alan standarttır. Bu anlamda ISO/IEC 27701, hem Avrupa Birliği Veri Koruma Tüzüğü (GDPR) hem de KVKK’ya uyum sağlamak isteyen kuruluşlar açısından rehber niteliği taşıyan ve belgelendirilebilir nitelikteki bir standarttır.

ISO/IEC 27701 standardı kişisel veri işleme noktasında sorumlulukları bulunan veri sorumluları ve veri işleyenler için rehberlik sağlamakta ve Kişisel Veri Yönetim Sistemi’nin gereksinimlerini ortaya koyarak kuruluşlarda hesap verilebilir bir sistem oluşturmaya katkı sağlamaktadır.

Kamu ve özel kuruluşlar, devlet kurumları ve kar amacı gütmeyen kuruluşlar da dahil olmak üzere kişisel veri işleyen tüm veri sorumlusu ve veri işleyen kuruluşlar  için uygulanabilir bir standarttır.

ISO/IEC 27701 standardı aynı ISO/IEC 27001 gibi risk temelli yaklaşımı esas almakta, bununla birlikte ISO/IEC 27701’e ilave olarak kişisel veriler ve gizliliğe ilişkin risklerin de ele alınması için bir çerçeve sunmaktadır. ISO/IEC 27701 sertifikası almak isteyen kuruluşların ya halihazırda ISO/IEC 27001 ve ISO/IEC 27002’yi uyguluyor olması veya tek bir tetkik ile tüm bu standartları uyguluyor olduğunu göstermesi gerekmektedir.

 

ISO/IEC 27701 Kişisel Veri Yönetim Sistemi’nin Kuruluşunuza Sağlayacağı Faydalar Nelerdir?

 

• • KVKK, GDPR vb. ulusal ve uluslararası veri koruma kanun, yönetmelik ve mevzuatlarına uyumu kolaylaştırır.
  • Kişisel bilgilerin gizliliğinin yönetimi konusunda tüm ilgili taraflara güvence sağlar.
  • Kuruluşlara şeffaflık ve hesap verebilirlik noktasında katkı sağlar.
  • Veri sorumlusu ve veri işleyenler için rehberlik sağlar.
  • Kişisel bilgiler ve gizliliğe ilişkin risklerin yönetimini kolaylaştırır.
  • Gizliliğin yönetimine ilişkin süreçlerinizi kurumsallaştırmanıza olanak sağlar.
  • Kişisel bilgilerin/verilerin gizliliğinin ve veri koruma anlayışının kuruluşta içselleştirilmesine destek olur.

 

 

Ayrıntılı Bilgi İçin Bize Ulaşın;

 

 

 

 

ISO/IEC 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi Nedir?

ISO/IEC 20000-1, ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) tarafından Bilgi Teknolojileri Hizmet Yönetimi (BTHY) konusunda hazırlanmış uluslararası bir standarttır. ISO 20000 standardı, daha etkili BT hizmetleri sunulmasına yardımcı olmak için tasarlanan bir dizi yönetim sürecini tanımlamaktadır. ISO 20000, kuruluşunuzun Bilgi Teknolojileri Hizmet Yönetimi’ni yönetmenizi kolaylaştıran bir metodoloji ve çerçeve sunarken kuruluşunuzun en iyi uygulamaları takip etmesine de imkan tanıyan bir yapıdadır. Standart gerekliliklerinin yerine getirilmesi sayesinde kuruluşlar sunmakta oldukları Bilgi Teknolojileri Hizmetlerinin gelişimine imkan tanıyacak en iyi uygulamaları da gerçekleştirebilmektedirler. ISO 20000, küçük, orta ya da büyük ölçekli her türlü işletmeye uygun olarak geliştirilmiş bir standarttır.

 

ISO 20000 Standardı Hangi Kuruluşlar İçin Daha Önemlidir?

 

• • Bilgi Teknolojileri hizmetlerini dışarıdan temin eden kuruluşlar,
  • Bilgi Teknolojileri hizmetlerinin verimini artırmak ve buna bağlı olarak da Bilgi Teknolojileri giderlerini azaltmak isteyen kuruluşlar,
  • Bilgi Teknolojileri yönetim sistemlerinin kalitesini yükseltmek isteyen Bilgi Teknolojileri hizmet sağlayıcıları,
  • Ulusal ve uluslararası müşterilerine vermiş vermiş oldukları Bilgi Teknolojileri hizmetlerine ilişkin güvence sunmak isteyen Bilgi Teknolojileri hizmet sağlayıcıları.

 

 

ISO 20000 BTHY Sisteminin Faydaları Nelerdir?

 

• • Kuruluşunuzca yürütülen Bilgi Teknolojisi hizmetlerinizin sürdürülebilir, yönetilebilir ve kontrol edilebilir olduğunu güvence altına almanıza yardımcı olur,
  • Kuruluş personelinize, yöneticilerinize, müşterilerinize vb. sunmakta oldugunuz Bilgi Teknolojileri hizmetlerinizin kalitesini artırmanızı sağlar,
  • Kuruluşunuzca yürütülen Bilgi Teknolojileri hizmetlerinizdeki olası kesintilerde tepki sürelerinizi kısaltır,
  • Kuruluşunuzda sürekli iyileştirme kültürünü oluşturmanıza yardımcı olur,
  • Kuruluş olarak sunmuş olduğunuz hizmetlerden faydalanan tüm tarafların (personel, kamu kurumları, özel kuruluşlar, vb.) memnuniyetlerinin artmasını sağlar,
  • Kuruluş hizmetlerinizin sunumunda süreklilik sağlar.

 

 

ISO 20000 ve ITIL’ın Farkı Nedir?

ISO 20000 ve ITIL arasındaki temel fark, ISO 20000’in kuruluşunuza bir metodoloji ve çerçeve sunarken, ITIL’ın ise tüm BT süreçlerinin nasıl yönetileceğine dair ayrıntıları sunmasıdır. Bir diğer ifadeyle ISO 20000 neyin yapılması gerektiğini tanımlarken, ITIL ise bunların nasıl yapılacağını tanımlamaktadır. ISO 20000, ITIL’den bağımsız olarak uygulanabilmekle birlikte, ISO 20000 ve ITIL birarada uygulanabilmektedirler.

ITIL, bir standardın aksine, BT hizmetlerinizi işinizin daha geniş ihtiyaçları ile uyumlu hale getirmeye odaklanan en iyi uygulamaların pratik bir çerçevesidir. Bir kuruluş olarak, ITIL konusunda belgelendirilmek mümkün değildir, bununla birlikte ISO 20000, ITIL’ın temel prensiplerine dayanmakta ve belgelendirme kuruluşlarınca belgelendirilebilmektedir.

Ayrıntılı Bilgi İçin Bize Ulaşın;