ISO 27001 uluslararası standardına uymak, kuruluşunuzu etkin bir bilgi güvenliği yönetim sistemi (BGYS) ile donatmak anlamına gelir. Pratik bir perspektiften bakıldığında, kuruluşunuz için en iyi BGYS’yi uygulamak istiyorsanız, bunun nasıl yapılacağı sürecinde size rehberlik etmesi için ISO 27001 spesifikasyonlarına başvurabilirsiniz.
ISO 27001 Nedir?
ISO 27001, bir kuruluş için etkili bir BGYS oluşturmayı ve uygulamayı amaçlayan bir metodolojidir. Basitçe söylemek gerekirse, sağlam bir BGYS, ISO 27001 uygulamasının ana temasıdır. BGYS “ne” ise, ISO 27001 “nasıl” dır.
Risk tabanlıdır, yani öncelikle bir kuruluş ve veri koruma sistemi içindeki riskleri tanımlamak ve değerlendirmek üzerine kurulmuştur. Bu değerlendirmelere dayanarak önlemlerin alınması bir sonraki adımdır, bunu sürekli izleme ve iyileştirmeler izler.
ISO 27001 ‘in amacı nedir?
Amacı, “bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi” için kılavuzlar sağlamaktır.
ISO 27001’e dayalı bir BGYS sistemi oluşturmanın amacı, bir kuruluşun veri gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır.
- Gizlilik: bilgiye yalnızca yetkili kişiler tarafından erişilebilir
- Dürüstlük: Bilgilerdeki değişiklikler sadece yetkili kişiler tarafından yapılabilir
- Kullanılabilirlik: yetkili kişilerin bilgilere zamanında ve kesintisiz erişimi vardır
BGYS nedir?
BGYS, bir şirketin siber güvenliği için önemlidir. Temel amacı şirketin (ve şirketin müşterilerinin) verilerini korumak, veri ihlalleri ve siber saldırı riskini azaltmak ve meydana gelirse hasarı azaltabilecek kontroller belirlemek olan bir dizi somut politikadır.
BGYS’nizi kurduktan sonra, veri güvenliği tehditleriyle ilişkili riskleri yönetmek için gerekli politikalara, prosedürlere, teknik önlemlere ve personel eğitimine derinlemesine bakabilirsiniz.
ISO 27001 ‘in kapsamı nedir?
Her türlü hassas bilgiyle ilgilenen herhangi bir kuruluş, ISO 27001 uyumluluğu için adaydır.
IT, finans, ilaç ve sağlık endüstrileri en önemli adaylardır. Ancak sonuçta, büyüklüğü veya türü ne olursa olsun, herhangi bir kuruluş, ISO 27001’e uyum sağlamaktan büyük fayda görür. Özel, kamu, kar amacı güden veya gütmeyen kuruluşların tümü veri ihlallerine açıktır.
Buna ek olarak, ISO 27001 uluslararası bir standarttır, yani nerede iş yapıyor olursanız olun kolayca tanınır.
ISO 27001 nasıl uygulanır
ISO 27001’i veri güvenliğindeki en iyi uygulamalara genel bir bakış olarak görebilirsiniz. Kuralcı değildir. BGYS’nizi uygularken izlemeniz gereken adım adım talimatlar değildir. Her kuruluşun bireysel risk değerlendirmesine dayanarak kendileri için uygun bir BGYS elde etmesini sağlayan bir kılavuzdur.
Kuruluş, ISO 27001 tarafından önerilen önlemlerin kendisinde bulunan her risk için en mantıklı olduğu benzersiz koşullarını göz önünde bulundurarak karar verebilir. Ve BGYS’sini uygulamaya koyabilir.
Veri korumasına bütüncül bir yaklaşım
ISO 27001, veri güvenliğine üç ana açıdan bakan bütünsel bir yaklaşım içerir: insanlar, teknoloji ve süreçler. Bu nedenle, bir araya getirdiğiniz BGYS’nin kuruluşunuzun ve iş süreçlerinizin tüm alanlarında görünür olmasını beklemelisiniz.
Bunun nedeni, tek başına teknolojinin verileri güvence altına almak için yeterli olmayacağıdır. Veri ihlallerinden çoğu zaman bir insan faktörü vardır. IT departmanının kontrol edemeyebileceği tüm açıları düşünün; mesela bir e-postada yanlışlıkla sızdırılan hassas bilgiler, kendi bilgisayarlarını veya güvenli olmayan ağları kullanan uzak çalışanlar veya bir yöneticinin telefonunun çalınması.
Bu nedenle, ISO 27001’i temel alan bir BGYS aşağıdan yukarıya doğru bir yaklaşım yerine yukarıdan aşağıya bir yaklaşım kullanılarak uygulanmalıdır.
ISO 27001’in uygulanması için temel ön koşullardan biri de yönetimin dahlidir. Kağıt üzerinde en iyi BGYS’ye sahip olabilirsiniz, ancak yönetiminiz arkasında değilse, kuruluşunuzda asla geçerlilik kazanmayacaktır.
Güncel teknoloji ve yazılıma sahip olmak iyi bir şeydir, ancak insanların eğitimleri ve ilkelerinize uymaları da aynı derecede önemlidir. ISO 27001 bunu dikkate alır ve bu noktaların da teknolojinin kendisi kadar ele alındığından emin olunmasına yardımcı olur.
ISO 27001’in uygulanmasının ana adımları
- Paydaşları tanımlama
- Paydaşlar beklentilerini bilgi güvenliği açısından tanımlar
- Riskleri değerlendirin. Boşlukları analiz edin.
- Riskleri belirlenen beklentileri karşılayacak şekilde ele almak için kontrolleri ve diğer yöntemlerini tanımlayın
- Kontrolleri ve diğer risk tedavi yöntemlerini uygulamak
- Kontrollerin beklendiği gibi çalışıp çalışmadığını sürekli olarak ölçün
- Sistemin her zaman en iyi durumda olmasını sağlamak için sürekli iyileştirmeler yapın
Risk değerlendirmesi
ISO 27001’in gerektirdiği resmi risk analizini yapmak için, öncelikle size yardımcı olacak bir danışman tutup tutmayacağınıza veya bunu kendi başınıza yapıp yapmayacağınıza karar vermeniz gerekir.
Büyük şirketler, bunun gibi görevlere adanmış çalışanlara veya tüm ekiplere sahip olabilir, bu nedenle kendi başlarına bir değerlendirme yapmaya karar verebilirler. Öte yandan, deneyimli bir danışmanı işe almak, tüm ekibin değerli zamanını oldukça göz korkutucu bir görevde kullanmadan sürecin daha hızlı ve sorunsuz ilerlemesini sağlayabilir.
Küçük bir kuruluş, kendi risk değerlendirmesini yapacak kadar küçük olduğuna karar verebilir. Sonra kendilerini böyle bir meydan okumaya hazır hissetmediklerini düşündüklerinde tekrar bir uzmanı tercih edebilirler.
Ne yapmayı seçerseniz seçin, önce varlıkların bir listesini (buna elektronik dosyalar, donanım ve fikri mülkiyet gibi şeyler dahil) ve bunlara kimin sahip olduğunu, başka bir deyişle hangi riskten kimin sorumlu olduğunu derlemeniz gerekir.
Bir varlık listesi oluşturduktan sonra, bunlarla ilişkili tehditleri ve güvenlik açıklarını düşünmenin ve ardından her bir riskin değerlendirilmesinin zamanı geldi. Hangilerinin en muhtemel olduğunu ve hangilerinin en kötü sonuçlara yol açacağını belirleyebilmek için her riski puanlayacaksınız ve bu nedenle diğerlerine göre önceliklendirmelisiniz.
ISO 27001 risk değerlendirmesi tamamlandıktan sonra, riskleri hafifletme yöntemlerini ve kontrollerini bulmaya hazırsınız demektir.
ISO 27001 için 14 kontrol
Bir kuruluşun BGYS’sinin işin tüm yönlerini etkilemesinin beklenmesi gerektiğini yukarıda anlattık. Bunun ne anlama geldiğini daha iyi anlamak için, ISO 27001’in Ek A‘sı, bir şirketin bilgi güvenliği sisteminin 14 alanını kapsar ve belirli bir alanda kullanılabilecek kontrolleri açıklar.
ISO 27001 ‘in 14 kontrolü ve (kısaca) içerikleri şunlardır:
| Alan | İçerik |
| Bilgi güvenliği politikaları 2 kontrol | İlkeleri kuruluşun genel güvenlik yönüyle uyumlu hale getirme. İlke çalıştırma. |
| Bilgi güvenliği organizasyonu 7 kontrol | Kuruluş içindeki bilgi güvenliği uygulamalarını yönetme. Mobil cihazlara ve uzak iş gücüne hitap eder. |
| İnsan kaynakları güvenliği 6 kontrol | Bireylerin kuruluşta istihdam öncesinde, sırasında ve sonrasında sorumlulukları |
| Varlık Yönetimi 10 kontrol | Veri varlıklarının, veri depolamanın ve korumanın güvenliğini sağlama ve tanımlama. |
| Erişim kontrolü 14 kontrol | Çalışanların yalnızca kendileriyle ilgili bilgileri görüntüleyebilmelerini sağlamak. |
| Kriptografi 2 kontrolleri | Veri şifreleme, veri gizliliğinin korunması. |
| Fiziksel ve Çevre Güvenliği 15 kontrol | Kuruluşun tesislerine yetkisiz fiziksel erişimi veya hasarı önlemek. Donanım veya dosya depolama ekipmanının kaybolmasını veya çalınmasını önleme. |
| Operasyon Güvenliği 14 kontrol | Verilerin toplanması ve depolanması ile ilgili tesislerin güvenli olmasını sağlamak. Güvenlik açığı yönetimi. |
| İletişim güvenliği 7 kontrol | Ağlardaki bilgileri, kuruluş içinde veya 3. bir tarafa iletilirken korumak. |
| Sistem Edinimi, Geliştirme ve Bakım 13 kontrol | Tüm yaşam döngüsü boyunca güvenlik gereksinimlerinin korunması. |
| Tedarikçi ilişkileri 5 kontrol | Sözleşme tarafları hangi bilgileri kullanabilir ve bilgi güvenliği nasıl ele alınmaktadır? |
| Bilgi Güvenliği Olay Yönetimi 7 kontrol | Güvenlik sorunlarının ele alınmasından ve raporlanmasından kimin sorumlu olduğunu ve süreçteki adımları belirleme. |
| İş Sürekliliği Yönetimi 4 kontrol | İş kesintileri sırasında bilgi güvenliği sürecini sürdürmek için bir sistem oluşturmak. |
| Uyumluluk 8 kontrolleri | Kuruluşla ilgili yasa ve yönetmelikleri tanımlamak ve bunlara uymak. |
Sonuç
Açıkladığımız gibi, bir kuruluşun ISO 27001’de belirtilen tüm kontrolleri uygulaması gerekmez. Sadece kuruluşun risk değerlendirmesine ve beklentilerine dayanarak mantıklı olanlar dikkate alınmalıdırlar.
İyi bir BGYS’ye sahip olmanın ayrılmaz bir parçası sadece ISO 27001 uygulanması değil, aynı zamanda sistemin sürekli bakımı ve iyileştirilmesidir. Kuruluşunuzun veri güvenliği sisteminin güncel olduğundan ve güncel tutulduğundan emin olmanın tek yolu budur.
Safetica ISO 27001’e Uymaya Nasıl Yardımcı Olur?
Hassas Verilere Genel Bakış
Safetica, bilgi akışlarına ve hassas veri depolamaya genel bir bakış sunar ve kullanıcı operasyonlarını izlemenize yardımcı olur ve verilerin nasıl işlendiğine dair raporlar sunar.
Veri Sınıflandırma ve Güvenlik İlkeleri
Safetica ile verileri kolayca sınıflandırabilir ve buna dayanarak DLP politikaları uygulayabilir ve kullanıcılar hassas bilgilerle etkileşime girdiğinde istenen davranışları uygulayabilirsiniz.
Veri Şifreleme
Safetica, verilerinizi şifrelemenize yardımcı olur. Şifreleme, Safetica yönetim konsolunda merkezi olarak yönetilir.
Veri Sızıntısı Bildirimi
Bir güvenlik olayı durumunda, Safetica’nın gerçek zamanlı e-posta uyarı sistemi uygun personeli bilgilendirir. Ayrıntılar sağlar, böylece takip eylemleri gerçekleştirebilir ve veri sızıntısının etkisini en aza indirebilirsiniz.
Mevzuata Uygunluk
Safetica ve DLP politikaları ile yalnızca ISO 27001 ile değil, GDPR, PCI DSS, HIPAA, CMMC ve daha fazlası gibi diğer düzenlemelerle de uyumlu olduğunuzdan emin olabilirsiniz.
