ISO 27001 Rehberi

ISO 27001 Prensipleri, Amaçları ve Bilgi Güvenliği Terimleri

ISO 27001 Bilgi Güvenliği Yönetim Sistemi yalnızca bir belgelendirme standardı değildir. Kuruluşların bilgi varlıklarını gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korumasını, bilgi güvenliği risklerini sistematik şekilde yönetmesini ve sürekli iyileştirmeyi esas alan uluslararası bir yönetim modelidir. Bu rehberde ISO 27001’in amacı, bilgi güvenliği yönetim prensipleri, temel bilgi güvenliği terimleri ve standardın uygulama yaklaşımını kapsamlı şekilde inceleyebilirsiniz.

ISO 27001 Prensipleri ve Bilgi Güvenliği Terimleri
Ana Konu ISO 27001 Yönetim Felsefesi
Odak Noktası Prensipler ve Bilgi Güvenliği Terimleri
Hedef Bilgi Güvenliğini Doğru Anlamak
TOEM Uzmanından Not

ISO 27001 standardını başarıyla uygulayan kuruluşlar yalnızca bir belge sahibi olmaz. Bilgi varlıklarını sistematik şekilde yönetebilen, bilgi güvenliği risklerini kontrol altına alan, müşteri güvenini artıran ve sürekli gelişen bir Bilgi Güvenliği Yönetim Sistemi oluştururlar. Bu nedenle standardın temel prensiplerini ve kullanılan kavramları doğru anlamak, başarılı bir uygulamanın ilk adımıdır.

ISO 27001’in Temel Amacı Nedir?

ISO 27001 standardının temel amacı; kuruluşların bilgi varlıklarını koruyabilecek, bilgi güvenliği risklerini sistematik şekilde yönetebilecek ve sürekli iyileştirilebilecek bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmasını sağlamaktır.

Bilgi güvenliği yalnızca bilgi işlem altyapısının korunması anlamına gelmez. Çalışanlar, süreçler, fiziksel ortamlar, yazılımlar, donanımlar, bulut hizmetleri ve üçüncü taraflarla paylaşılan bilgiler de bilgi güvenliği yönetiminin kapsamı içerisindedir. Bu nedenle ISO 27001; teknik kontrollerin yanında yönetsel ve organizasyonel kontrolleri de kapsayan bütüncül bir yaklaşım sunar.

Standardın temel hedefi; bilgi varlıklarının gizliliğini (Confidentiality), bütünlüğünü (Integrity) ve erişilebilirliğini (Availability) koruyarak kuruluşun faaliyetlerini güvenli, sürdürülebilir ve uluslararası kabul gören bir yönetim sistemi içerisinde yürütmesini sağlamaktır.

Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kuruluşun bilgi varlıklarını gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korumasını sağlayan yönetim sistemidir.

BGYS yalnızca teknik güvenlik önlemlerinden oluşmaz. Bilgi güvenliği politikaları, bilgi varlığı envanteri, risk değerlendirme yöntemi, risk işleme planı, erişim yetkileri, fiziksel güvenlik, tedarikçi güvenliği, olay yönetimi, iş sürekliliği, farkındalık eğitimleri ve sürekli iyileştirme faaliyetleri sistemin temel bileşenleridir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi; kuruluşların bilgi güvenliği risklerini planlı, ölçülebilir ve sürdürülebilir bir yapıda yönetmesini sağlar. Bu yaklaşım sayesinde bilgi güvenliği yalnızca bilgi işlem biriminin değil, tüm kuruluşun ortak sorumluluğu haline gelir.

ISO 27001 Kuruluşlara Ne Kazandırır?

ISO 27001 standardı, kuruluşların bilgi güvenliğini rastlantısal veya kişilere bağlı uygulamalarla değil, sistematik ve kurumsal bir yapı içerisinde yönetmesini sağlar.

Standardın doğru uygulanması; bilgi varlıklarının korunmasını, bilgi güvenliği olaylarının azaltılmasını, müşteri ve tedarikçi güveninin artırılmasını, yasal ve sözleşmesel yükümlülüklerin daha etkin yönetilmesini ve iş sürekliliğinin desteklenmesini sağlar.

ISO 27001 ayrıca kuruluşların bilgi güvenliği olgunluğunu artırır. Riskler düzenli olarak değerlendirilir, kontroller uygulanır, sonuçlar izlenir ve sistem sürekli iyileştirilir. Bu sayede bilgi güvenliği yalnızca belge alma süreciyle sınırlı kalmaz; günlük operasyonların doğal bir parçası haline gelir.

ISO 27001’in Temel Bilgi Güvenliği Yönetim Prensipleri

ISO 27001 standardının etkili uygulanabilmesi için yalnızca standart maddelerini bilmek yeterli değildir. Standardın arkasındaki bilgi güvenliği yönetim prensiplerinin de doğru anlaşılması gerekir.

Bu prensipler; kuruluşun bilgi varlıklarını doğru tanımasını, risklerini etkin yönetmesini, uygun kontrolleri seçmesini, çalışanların bilgi güvenliği sorumluluklarını anlamasını ve sistemin sürekli geliştirilmesini sağlar.

1. Gizlilik

Gizlilik, bilginin yalnızca yetkili kişiler tarafından erişilebilir olmasını ifade eder. ISO 27001 kapsamında gizlilik; erişim yetkilerinin yönetilmesi, kullanıcı rollerinin belirlenmesi, parola politikaları, gizlilik taahhütleri, şifreleme, fiziksel erişim kontrolleri ve bilgi sınıflandırması gibi uygulamalarla desteklenir.

Gizlilik prensibi, özellikle kişisel veriler, ticari sırlar, müşteri bilgileri, finansal kayıtlar, sözleşmeler, yazılım kaynak kodları ve stratejik bilgiler açısından kritik öneme sahiptir.

İşletmeye Katkısı

Gizlilik prensibi, yetkisiz erişim ve bilgi ifşası risklerini azaltır. Bu sayede müşteri güveni güçlenir, yasal yükümlülüklerin yerine getirilmesi kolaylaşır ve kuruluşun itibarı korunur.

2. Bütünlük

Bütünlük, bilginin doğruluğunun, tamlığının ve yetkisiz şekilde değiştirilmemiş olmasının korunmasıdır. ISO 27001 kapsamında bütünlük; değişiklik yönetimi, kayıtların korunması, loglama, onay mekanizmaları, veri doğrulama kontrolleri ve yetkilendirilmiş işlem süreçleriyle sağlanır.

Bilginin bütünlüğünün bozulması; hatalı kararlar alınmasına, müşteri verilerinin yanlış işlenmesine, finansal kayıtların güvenilirliğinin azalmasına ve operasyonel hatalara neden olabilir.

İşletmeye Katkısı

Bütünlük prensibi, kuruluşun karar alma süreçlerinde doğru ve güvenilir bilgi kullanmasını sağlar. Bu da operasyonel hataların, uygunsuzlukların ve veri manipülasyonu risklerinin azaltılmasına katkı sağlar.

3. Erişilebilirlik

Erişilebilirlik, bilgiye ve bilgi işleme sistemlerine ihtiyaç duyulan zamanda yetkili kullanıcılar tarafından erişilebilmesini ifade eder. ISO 27001 kapsamında erişilebilirlik; yedekleme, felaket kurtarma, kapasite yönetimi, iş sürekliliği, sistem izleme ve bakım faaliyetleriyle desteklenir.

Bilgi sistemlerinin erişilemez hale gelmesi; hizmet kesintilerine, müşteri memnuniyetsizliğine, operasyonel kayıplara ve sözleşmesel yükümlülüklerin ihlaline yol açabilir.

İşletmeye Katkısı

Erişilebilirlik prensibi, kritik süreçlerin kesintisiz yürütülmesini ve bilgi güvenliği olaylarının iş sürekliliği üzerindeki etkilerinin azaltılmasını sağlar.

4. Risk Temelli Yaklaşım

ISO 27001’in merkezinde risk temelli yaklaşım yer alır. Kuruluşlar bilgi varlıklarını belirler, bu varlıklara yönelik tehditleri ve zafiyetleri değerlendirir, risk seviyelerini analiz eder ve uygun risk işleme kararları alır.

Risk temelli yaklaşım, her kuruluşa aynı kontrollerin mekanik şekilde uygulanması yerine, kuruluşun gerçek ihtiyaçlarına ve risk profiline uygun önlemler alınmasını sağlar.

İşletmeye Katkısı

Risk temelli yaklaşım, kaynakların doğru alanlara yönlendirilmesini sağlar. Böylece bilgi güvenliği yatırımları daha verimli planlanır ve kritik riskler öncelikli olarak yönetilir.

5. Uygun Kontrollerin Seçilmesi

ISO 27001’de kontroller, risk değerlendirme sonuçlarına göre seçilir. Kuruluş; riskleri azaltmak, kabul etmek, aktarmak veya kaçınmak gibi kararlar aldıktan sonra uygun kontrolleri belirler ve Uygulanabilirlik Bildirgesi (SoA) ile bu kararları dokümante eder.

Kontroller yalnızca teknik önlemlerden ibaret değildir. İnsan kaynakları güvenliği, tedarikçi ilişkileri, fiziksel güvenlik, erişim kontrolü, olay yönetimi, iş sürekliliği ve uyum gibi birçok alanı kapsar.

İşletmeye Katkısı

Uygun kontrol seçimi, gereksiz uygulamalardan kaçınmayı ve gerçekten ihtiyaç duyulan güvenlik önlemlerine odaklanmayı sağlar. Bu da sistemin uygulanabilirliğini ve etkinliğini artırır.

6. Çalışan Katılımı ve Farkındalık

Bilgi güvenliği yalnızca teknik ekiplerin sorumluluğu değildir. Kuruluşta bilgiye erişen, bilgiyi işleyen veya paylaşan tüm çalışanlar bilgi güvenliği yönetim sisteminin bir parçasıdır.

ISO 27001 kapsamında çalışanların bilgi güvenliği politikalarını, gizlilik kurallarını, güvenli çalışma prensiplerini, olay bildirim süreçlerini ve kişisel veri güvenliği sorumluluklarını anlaması beklenir.

İşletmeye Katkısı

Çalışan farkındalığı, insan kaynaklı bilgi güvenliği olaylarını azaltır. Sosyal mühendislik, yanlış paylaşım, zayıf parola kullanımı ve yetkisiz erişim gibi risklerin kontrol altına alınmasına katkı sağlar.

7. Sürekli İyileştirme

ISO 27001, yaşayan bir yönetim sistemi yaklaşımına dayanır. Riskler, kontroller, olaylar, iç tetkik sonuçları, performans göstergeleri ve yönetimin gözden geçirmesi sonuçları düzenli olarak değerlendirilir.

Sürekli iyileştirme sayesinde Bilgi Güvenliği Yönetim Sistemi değişen teknolojilere, yeni tehditlere, organizasyonel değişikliklere ve yasal gerekliliklere uyum sağlayabilir.

İşletmeye Katkısı

Sürekli iyileştirme prensibi, bilgi güvenliği yönetim sisteminin güncel kalmasını sağlar. Kuruluş değişen tehdit ortamına karşı daha hazırlıklı hale gelir.

7 Prensibin Ortak Amacı

ISO 27001’in temel prensipleri birbirinden bağımsız uygulamalar değildir. Gizlilik, bütünlük, erişilebilirlik, risk yönetimi, kontrol seçimi, çalışan farkındalığı ve sürekli iyileştirme birlikte çalışarak kuruluşun bilgi güvenliği olgunluğunu güçlendirir.

Bu prensiplerin ortak amacı; bilgi güvenliğini yalnızca teknik bir zorunluluk olarak değil, kuruluşun yönetim sistemi, iş sürekliliği, müşteri güveni ve kurumsal itibarı açısından stratejik bir unsur olarak ele almaktır.

Denetçi Bakış Açısı

ISO 27001 denetimlerinde yalnızca dokümanların varlığına değil, bilgi güvenliği prensiplerinin günlük faaliyetlerde gerçekten uygulanıp uygulanmadığına bakılır. Risk analizi, SoA, erişim kontrolleri, farkındalık eğitimleri ve olay yönetimi kayıtlarının sistemle tutarlı olması beklenir.

ISO 27001’de Sık Kullanılan Bilgi Güvenliği Terimleri

ISO 27001 standardı uygulanırken birçok teknik ve yönetsel kavram birlikte kullanılır. Bu terimlerin doğru anlaşılması; Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması ve denetlenmesi açısından büyük önem taşır.

Aşağıda ISO 27001 uygulamalarında en sık karşılaşılan temel bilgi güvenliği terimlerini bulabilirsiniz.

Bilgi Varlığı
Kuruluş için değer taşıyan ve korunması gereken her türlü bilgi, yazılım, donanım, hizmet, fiziksel kayıt, insan kaynağı veya dijital ortam bilgi varlığı olarak değerlendirilir.
Risk
Bir tehdidin mevcut bir zafiyetten yararlanarak bilgi varlığı üzerinde olumsuz etki oluşturma ihtimalidir. ISO 27001 risk temelli yönetim yaklaşımını esas alır.
Tehdit
Bilgi varlıklarına zarar verme potansiyeli bulunan kişi, olay veya durumdur. Siber saldırılar, doğal afetler, insan hataları ve kötü niyetli faaliyetler tehdit örnekleri arasında yer alır.
Zafiyet
Bir tehdidin yararlanabileceği güvenlik açığı veya eksikliktir. Eksik güncellemeler, zayıf parolalar veya yetersiz fiziksel güvenlik önlemleri zafiyet örnekleridir.
Kontrol
Riskleri kabul edilebilir seviyeye indirmek amacıyla uygulanan teknik, fiziksel veya yönetsel güvenlik önlemleridir.
Uygulanabilirlik Bildirgesi (SoA)
Kuruluşun hangi bilgi güvenliği kontrollerini neden uyguladığını veya uygulamadığını gösteren temel ISO 27001 dokümanıdır.
Bilgi Güvenliği Olayı
Bilgi güvenliğini etkileyen veya etkileme potansiyeli bulunan her türlü olaydır. Yetkisiz erişim, veri kaybı, zararlı yazılım veya sistem kesintileri buna örnek gösterilebilir.
Risk İşleme
Belirlenen risklerin azaltılması, kabul edilmesi, aktarılması veya ortadan kaldırılması amacıyla alınan kararların planlanması ve uygulanması sürecidir.
Denetçi Bakış Açısı

ISO 27001 denetimlerinde yalnızca kavramların bilinmesi değil, bu kavramların kuruluş içerisinde nasıl uygulandığı da değerlendirilir. Bilgi varlığı envanteri, risk analizi, SoA, olay kayıtları ve iç tetkik sonuçlarının birbirini desteklemesi beklenir.

Bu Konular da İlginizi Çekebilir

Sık Sorulan Sorular

ISO 27001'in temel prensipleri nelerdir?

ISO 27001; gizlilik, bütünlük, erişilebilirlik, risk temelli yaklaşım, uygun kontrollerin uygulanması, çalışan farkındalığı ve sürekli iyileştirme prensipleri üzerine kuruludur.

CIA üçlüsü nedir?

CIA; Confidentiality (Gizlilik), Integrity (Bütünlük) ve Availability (Erişilebilirlik) kavramlarından oluşur ve ISO 27001 bilgi güvenliği yaklaşımının temelini oluşturur.

Bilgi varlığı neyi ifade eder?

Kuruluş için değer taşıyan ve korunması gereken her türlü bilgi, sistem, yazılım, donanım, hizmet, fiziksel kayıt ve insan kaynağı bilgi varlığı olarak değerlendirilir.

SoA neden hazırlanır?

Uygulanabilirlik Bildirgesi (SoA), kuruluşun hangi ISO 27001 kontrollerini uyguladığını, hangilerini uygulamadığını ve bunun gerekçelerini gösteren temel dokümandır.

ISO 27001 neden risk temellidir?

Çünkü uygulanacak kontroller kuruluşun kendi bilgi güvenliği risklerine göre belirlenir. Böylece kaynaklar en kritik risklere yönlendirilir ve sistem daha etkin hale gelir.

ISO 27001 Danışmanlığı

Bilgi Güvenliği Yönetim Sisteminizi Doğru Temeller Üzerine Kurun

ISO 27001 standardının prensiplerini ve bilgi güvenliği kavramlarını doğru anlamak, başarılı bir Bilgi Güvenliği Yönetim Sistemi kurmanın ilk adımıdır. TOEM Kalite olarak kuruluşunuza uygun, uygulanabilir ve sürdürülebilir ISO 27001 danışmanlık hizmeti sunuyoruz.

ISO belgesi fiyatı ve teklif

Ön teklif almak için butona tıklayarak teklif sayfamıza geçebilir, talebinizi orada iletebilirsiniz; ekibimiz değerlendirdikten sonra size dönüş yapar.