ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Denetimi

Yaşadığımız çağa “bilişim çağı”, “dijital çağ”, “bilgi çağı” gibi çeşitli adlar verilmektedir. Bilginin küreselleştiği bu çağda bilginin gizliği, bütünlüğü ve kullanılabilirliğinin korunması oldukça önemlidir.

 

Globalleşen dünyada kurum içi tehditler olduğu gibi kurum dışı tehditlerde fazla olduğundan dolayı kuruluşların faaliyetlerini sürdürmeleri açısından bilgi çok önemlidir.  Bilgi, kurumun faaliyetlerini sürdürmesi amacıyla kurumun faaliyetlerini ve iş sürekliliğini koruması oldukça fazladır. Kuruluşların bilgilerinin korunması ve denetlenmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi adında uluslararası sertifika programı geliştirilmiştir. ISO 27001, küçük, orta ve büyük ölçekli her kuruluşa uygulanabilir.

 

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin 6. maddesi gereğince iç denetimlerin yapılması zorunludur.  BGYS iç denetimi; kuruluşların iş süreçlerini BGYS süreçlerine göre yapılıp, yapılmadığını, yasal mevzuata uygunluğu kontrol etmek amacıyla yapılmaktadır.  BGYS’nin sertifikanın geçerliği, kuruluşun istenilen hedefleri sağlamadaki durumu gibi nedenlerden dolayı sürekli denetlenmelidir.

 

Uzmanlarımızla, ISO 27001 standartlarına uygun bir şekilde denetimlerinizi gerçekleştirerek, bilgilerinizin bütünlüğü, güvenliği ve gizliliğini koruma altında olduğundan emin olabilirsiniz.

ISO/IEC 27001:2017 BİLGİ GÜVENLİK YÖNETİM SİSTEMİ STANDARDI NEDİR ?

BGYS, bilgi güvenliğini kurmak, işletmek, izlemek ve geliştirmek için iş riski yaklaşımına dayalı, dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış bir yönetim sistemidir.

BGYS’nin ihtiyaç duyduğu gereksinimlere cevap vermek için kullanılan standart ISO/IEC 27001:2017 standardıdır.

Bu standart, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri gözönüne alan bir risk analizi yapılmasını gerektirir.

Bu standart yaşayan, dolayısı ile tehdit ve saldırılara reaksiyon gösteren ve kendini yenileyen bir bilgi güvenliği sisteminde yer alması gereken öğeleri tanımlamaktadır.

Bilgi Güvenliği Neden Gereklidir ?

Bilgi Teknolojilerinin kullanımı ile bilginin üretilmesi, depolanması,

paylaşılması, kullanılmasının kolaylaşması, her yerden erişilebilmesi 

çok önemli riskler ortaya çıkarmıştır. Şöyleki,  her gün yeni zararlı

yazılımlarla karşı karşıya kalınması, siber saldırıların çoğalması,

kullanıcıların çeşitli yöntemlerle kandırılmaları bilgi güvenliği

zafiyetininden  yararlanma uygulamaları olarak görülmektedir.

Güvenlik sorunları, güvenlik çözümlerinden daha önde gitmektedir.

Dikkat edilirse, önce zararlı bir yazılım ortaya çıkmakta, daha sonra

bu yazılımı tespit ve imha eden yazılımlar arkadan gelmektedir.

İnsanların desteği olmadan, en güçlü güvenlik ürünleri bile yeterli

koruma sağlayamaz. Şimdiye kadar sorunlarla karşılaşılmamış olması

bundan sonra da sorun yaşanmayacağının garantisini vermez.

Bilgi Güvenliği Sağlanmazsa Neler Olur ?
  • Finansal / mahrem bilgileri yetkisiz kişiler tarafından ele geçirilebilir/değiştirilebilir/kullanılmaz hale getirilebilir.
  • Bilgisayarınız kötü niyetli kişiler tarafından yasa dışı işlemlerde kullanılabilir. Böylece, üçüncü şahıslara karşı yapılacak saldırı mesuliyeti üstümüze kalır. Çünkü kayıtlarda sizin IP adresiniz görünmektedir.
  • PC/Laptop/ Mobil Cihaz/Sunucunuz tamamen veya kısmen durabilir.
  • Piyasaya karşı güven ve itibar kaybı oluşur.
  • Müşteri, personel , tedarikçi mağdur olur, zarar görür.
  • Stratejik bilgiler zarar görerek, kullanılamaz hale gelir.
  • Ciddi finansal kayıplar meydana gelir. Yasal yükümlülüklerin

     yerine   getirilememesi gibi bir durum oluşur.

ISO/IEC 27001:2017 BİLGİ GÜVENLİK YÖNETİM SİSTEMİ DANIŞMANLIK HİZMETLERİMİZ

ØStandardın istediği örgütsel yapıyı oluşturur.

ØKurum içi bilgi varlık  envanterini oluşturur, tasnif eder, kritiklik seviyelerini belirler.

Ø Varlıkların karşılaşabileceği muhtemel riskleri  çıkarır, risk değerlendirmesine tabi tutarak, hangi risklerin mutlaka  bertaraf edilmesi gerektiğini, hangi risklerin kabul edilebileceğini ve hangi risklerin artık risk olarak kalacağını belirler.

ØStandardın istediği politika, prosedür, talimat, form vb dökümanları hazırlar.

ØFarkındalık eğitimlerini verir.

ØPenetrasyon testini yapar.

Øİç Tetkik yaptırarak , firmayı denetime hazır hale getirir.