Gelişen teknoloji ile beraber bilginin gizliliği prensibi bütün işletmeler; kamu ve özel sektör kuruluşları için daha önemli hale gelmiştir. Bu bağlamda, özellikle son yıllarda, bir kurum bünyesinde yer alan ve kurumun paydaşlarını ilgilendiren her türlü bilginin korunması, işlenmesi ve aktarılması gibi süreçlerde uluslararası düzeyde geçerli olan bir standardın gerekliliği doğmuştur. Bu ihtiyaca yönelik olan geliştirilen ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilginin güvenliği konusunda işletmelerin izlemesi gereken yol haritasını ortaya koymaktadır. Bilginin gizliliği kadar ona sadece yetkili kişilerin erişimini doğru şartlar altında sağlamak da yine bu standardın içerisinde yer alan bir diğer konudur. Böylelikle, bilginin hitap ettiği gerçek ya da tüzel kişilerin; işletme hissedarlarının, müşterilerin, tedarikçilerin mağdur olma ihtimali ortadan kalkmaktadır. Bütün bu gereklilikler neticesinde, bilgi güvenliği konusunda sorumluluk sahibi olan bütün firmalar, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme hizmeti alarak bu sürece dahil olmaktadır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Konusu Hangi İşletmeleri Kapsamaktadır?
Uluslararası düzeyde geçerli bir standart olan ISO 27001, faaliyet gösterdiği sektör veya büyüklük farketmeksizin her işletmede uygulanabilir. Fakat, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme bazı kuruluşlar için zorunluluk haline getirilmiştir. Bu kurumların faaliyet alanlarını şöyle sıralayabiliriz:
1. İnternet servisleri
2. Sabit ya da mobil telefonlar
3. Sanal mobil şebeke hizmetleri
4. Uydu ve haberleşme
5. Elektronik haberleşme
6. Altyapı işletmeciliği
7. Görev ve imtiyaz sözleşmesi imzalayan firmalar.
8. Bilişim sektöründe yer alan ve yazılım ve donanım hizmeti veren firmalar.
9. Gümrük işleri kolaylaştırma yetkisine sahip olmak isteyen firmalar.
Faaliyet alanları yukarıda verilen firmaların yanında, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme;
• 2014 yılında çıkarılan bir kanun ile Enerji Piyasası Düzenleme Kurumu (EPDK) ve elektrik, petrol, doğalgaz sektörlerinde faaliyet gösteren firmalar,
• 2015 tarihinde yürürlüğe giren bir yasa ile e-fatura hizmeti veren / verecek özel entegratör firmalar
için zorunlu hale getirilmiştir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Ne Gibi Avantajlar Sağlar?
ISO 27001’i uygulamak, bu bahsedilen firmalar dışında zorunlu bir kriter değildir. Fakat bu sistemi işletmelerinde kuran, işleten ve takip eden her kurum, çok büyük avantajlar elde etmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme ‘nin sağladığı avantajlara kısaca göz atmakta fayda var:
1. Bilgi güvenliği konusundaki riskleri, tehditleri ve birçok problemi ortadan kaldırır ya da en aza indirir.
2. Kurum bünyesinde bilgi güvenliği süreçleri için harcanan zaman ve iş yükü azalır.
3. İşletmede bulunan bütün personeller üzerinde bilgi güvenliği konusunda bir farkındalık yaratır.
4. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme ‘nin sağladığı en önemi avantajlardan biri de kuruma saygınlık ve prestij katması; aynı zamanda piyasada rekabet gücünü yükseltmesidir.
5. Yasal zorunluluklar karşılanmış olur. Bununla beraber, birçok ihaleye giriş izni sağlar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Süreci
ISO 27001, bilgi güvenliği konusunda birçok bilgi, kavram ve detay içermektedir. Bu nedenle, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme sürecine dahil olmak isteyen firmalara, bu alanda danışmanlık hizmeti veren kuruluşlarla beraber çalışması önerilmektedir. Fakat ISO 27001 belgesini bir danışmanlık firması ile çalışarak değil de kendi bünyesinde personeller ile beraber almak isteyen işletmelerin de bu personellere ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme eğitimleri aldırması gerekmektedir. Bu eğitimi veren çok sayıda akredite olmuş eğitim firması mevcuttur. ISO 27001 sürecini bir danışmanlık firması ile başlatmak her zaman daha kolaydır ve zamandan ciddi oranda tasarruf sağlamaktadır.
ISO 27001 belgesine sahip olmayı hedefleyen firmalar, her durumda, bu standardın gereklilikleri yerine getirmek zorundadır. Gerekli dokümantasyonun sağlanması, kayıtların oluşturulması, sistem bileşenlerin kurulması ve benzeri gibi adımlar ISO 27001’de yer alan şekliyle gerçekleştirilmelidir. Bilgi güvenliği sistemini kuran, takip eden ve herhangi bir problem olmadığını tespit eden her firma, daha sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme sürecini tamamlamak üzere yetkili bir belgelendirme kuruluşuna başvuru gerçekleştirir. Bu kuruluştan gelen bağımsız denetçiler işletme sahalarını ziyaret edip gerekli kontrolleri yaptıktan sonra eğer ortada bir sorun yoksa olumlu bir rapor hazırlamaktadır. Bu rapora istinaden ilgili işletmeye ISO 27001 sertifikası verilmektedir.