ISO 27001 Nedir ?

ISO 27001 bilgi güvenliği yönetim sistemi (BGYS) için bir standarttır. Bir BGYS, bir kuruluşun bilgi risk yönetimi süreçleri içerisinde bulunan tüm yasal, fiziksel ve teknik kontrolleri içeren politika ve prosedürlerin bir taslağıdır.

Dokümantasyonuna göre, ISO 27001 ” bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, işletilmesi, izlenmesi, denetlenmesi, sürdürülmesi ve geliştirilmesi için bir model sağlamak” amacıyla geliştirilmiştir.

ISO 27001 yukarıdan aşağıya, risk temelli bir yaklaşım kullanmaktadır ve bu teknolojiden bağımsızdır. Şartname altı bölümden oluşan bir planlama süreci belirlemektedir:

  1. Bir güvenlik politikası belirle.
  2. BGYS’nin kapsamını belirle.
  3. Bir risk değerlendirmesi yürüt.
  4. Tanımlanan riskleri yönet.
  5. Uygulanacak olan denetim hedeflerini ve denetimleri seç.
  6. Uygulanabilirlik bildirgesi hazırla.

Şartname belgeleme, yönetim sorumluluğu, iç denetimler, sürekli iyileştirme, düzeltici ve iyileştirici faaliyetlerin detaylarını içermektedir. Standart bir kuruluşum tüm bölümleri arasında işbirliği gerektirmektedir.