ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Sparta Siber Güvenlik Bilgi Güvenliği Yönetim Sistemi (BGYS) Baş Denetçi ve Denetçi ekibi, müşterilerimize BGYS kurulum ve sürdürme süreçlerinde kapsamlı bir rehberlik sağlamak için hazır bulunmaktadır. Sizin kuruluşunuzun özel ihtiyaçlarına uygun olarak tasarlanmış çözümler sunarak, ISO 27001 standartlarını karşılayan bir Bilgi Güvenliği Yönetim Sistemi'nin başarılı şekilde uygulanması ve sürdürülmesi için gerekli adımları birlikte planlayabiliriz. Müşterilerimize, varlıklarını koruma, riskleri azaltma ve uyumluluk sağlama konularında yardımcı olmak amacıyla en iyi uygulamaları ve etkili stratejileri sunuyoruz.

ISO 27001 BGYS Nedir?
ISO 27001 BGYS, organizasyonun hassas bilgilerini yönetebilmek amacıyla benimsenmiş hassas bir yaklaşımdır. Bu sistemde temel amaç hassas bilgilerin güvenliğini sağlamak olup çalışanları, bilgi ve bilgi işleme varlıklarını ve iş süreçlerini kapsar.

Bir organizasyonda bilgi güvenliği sistemi kurmak ve bunun devamlılığını sağlamak için yol gösterici ve en yaygın kullanılan uluslararası standart “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri İçin Gereksinimler” standardıdır. Bu standart, organizasyon içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar.

Organizasyonların kendi sektörüne özel güvenlik önlemleri için yöntem belirleme ve uygulama konusunda uluslararası, harmonize sektör standartlarına (ISO IEC TR 27019, NIST SP 800, IEC/TS 62443 vs. seri standartları gibi) başvurulur.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında; BGYS’nin kurulumu, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli uygulanır.

BGYS’nin Amacı ve Faydaları Nelerdir?

Sahip olunan bilgi, veri, bilgi sistemleri (donanımsal ve yazılımsal) güvenliğinin etkinliğini sağlamak için bir takım politika, prosedür, talimat, raporlama sistemi, analiz sistemleri gibi araç ve tekniklere ihtiyaç vardır. Bu nedenle global bilgi güvenliği standardı olan ISO/IEC 27001 çerçevesinde, belgelendirme öncesi standardın öngördüğü birtakım çalışmaların kuruluşta gerçekleştirilmesi gerekmektedir.

Bu ihtiyaçtan yola çıkarak Sparta ekibi, ofansif siber güvenlik uzmanları tarafından gerçekleştirilen testlerde tespit edilen, önemli bilgilerinizin ve bilgi sistemlerinizin güvenliğini tehlikeye atabilecek tehdit ve açıklıkların detayları üzerinde çalışmaya başlar. Sparta uzmanları ISO/IEC 27001 standardı direktiflerine uygun politika, prosedür, dokümantasyon, varlık envanteri ve risk analizi gibi çalışmalar gerçekleştirip, PUKÖ döngüsünü kullanarak uygulayacağı metodolojiyle kurumunuzu belgelendirme denetimine hazır hale getirilir.

Hangi Kurumlar ve Şirketler BGYS Kurmakla Yükümlü?

Yasal şartlar aşağıda belirtilen yönetmeliklerde açıklanmıştır. Bu doğrultuda eğer kurumunuz veya şirketiniz bu yönetmeliklerde yer alan kapsam içindeyse mutlaka BGYS kurmanız gerekmektedir.

• Kamu Kurumları: Kamu kurum ve kuruluşları, KamuNet ağına dahil olurken "KamuNet Ağı’na Dahil Olmak İçin Asgari Güvenlik Gereksinimleri"ni yerine getirmek amacıyla BGYS kurulumunu gerçekleştirmeleri gerekmektedir.
• Elektronik Haberleşme Sektörü: Elektronik haberleşme şebekesi sağlayan ve altyapısını işleten sermaye şirketleri, BTK tarafından elektronik haberleşme hizmeti sunan ve/veya 20.07.2010 tarihinden itibaren TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
• Gümrük İşleri: Gümrük işlerini kolaylaştırma yönetmeliği kapsamında yetkili yükümlü sertifikası (YYS) alacak ithalat ve ihracatçıların ISO/IEC 27001:2013 Belgesi alması zorunludur.
• Maliye Bakanlığı Gelir İdaresi Başkanlığı: E-fatura özel entegratörlük için başvuru yapan firmalara TS ISO/IEC 27001 Belgesi alınması gerekmektedir.
• Elektrik Dağıtım Şirketleri: Elektrik Piyasası Düzenleme Kurulu (EPDK) tarafından TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunlu hale getirilmiştir. Ayrıca Şubat 2017 tarihli ve 29989 sayılı Resmi Gazetede yayımlanan yönetmelik değişikliği ile elektrik dağıtım şirketlerinin TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almaları zorunludur.