Denetim

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Hem dünyada hem de ülkemizde, bilişim teknolojileri yaygınlaşmakta ve kullanımı hızla genişlemektedir. Ancak bu teknolojilerin ülkemizde etkin kullanımı konusunda bazı yetersizlikler söz konusudur. Özellikle ülkemizde bilişim teknolojileri ve bu teknolojilerin ana maddesi olan bilginin önemi yeni yeni kavranmaya başlanmıştır. Bilginin ne olduğu ve nasıl bir potansiyele sahip olduğu yeni yeni anlaşılmaktadır. Oysa bilgi içinde bulunduğumuz çağa damgasını vuran bir varlıktır. Bugün bilgi, teknoloji kulanımına bağlı olarak ön plana çıkmış gibi görünse de, aslında insanlığın var olduğu andan itibaren anahtar role sahip olmuştur ve geleceğin şekillenmesi bakımından da her zaman anahtar role sahip olacaktır.

Bilgi çağında ilerlemek, bir merdivenin basamaklarına basarak yukarı tırmanmak gibidir. Merdivenin alt basamaklarında veriyi ve bilgiyi paylaşmak daha kolaydır. Bu basamakta insanlar veya çalışanlar ellerindeki bilgiyi paylaşmaya daha açıktırlar. Ancak yukarılara çıkıldığı zaman bilgi değerlenmeye başlar ve paylaşımı artık daha güçtür.

Veri, İngilizcede data ifadesinin karşılığıdır (Latince datum, çoğulu data). MÖ 300 yıllarında matematikçi Öklid, bir çalışmasında data ifadesini kullanmıştır. Veri, bilginin ham, işlenmemiş şeklidir. Bilgi, verinin bir anlam taşıyacak şekilde düzenlenmiş halidir. Ya da işlenmiş veridir.

Bugün teknolojinin sağladığı hızlı bilgi işleme ve iletişim araçları sayesinde bilginin üretilmesi, depolanması, korunması, kullanılması, yayılması, paylaşılması, etkileşime girmesi ve artması inanılmaz derecede hız kazanmıştır. Özellikle bunda İnternet’in katkısı son derece fazladır. İnsanların iletişim kurma, çalışma ve günlük ihtiyaçlarını karşılama şekli, devamlı olarak bir dönüşüm halindedir.

Üretilen bilgilerin büyüklüğü, taşınması ve saklanması günümüzün en önemli konuları arasındadır. Üretilen bilgi kağıt, film, manyetik ve optik saklama ortamlarında depolanmakta ve başta İnternet olmak üzere elektronik kanallar kullanılarak aktarılmaktadır.

Amerikan Kongresi Kütüphanesi’nde saklanan basılı koleksiyonun tamamı 10 tera bayt’lık bir bilgi kapasitesine sahiptir. Oysa 2002 yılında üretilip depolanan bilgi kapasitesi bunun yüz bin katıdır. Bu bilginin yüzde 92’si genelde sabit disklerde saklanmaktadır. Bu bilginin yüzde 98’i mobil telefonlar üzerinden gönderilmiş ve alınmıştır. Yüzde 10’u ise İnternet üzerinden akmıştır.

Günümüzde insanlar çok yoğun bir bilgi bombardımanına mazruzdur. Bu nedenle bilgiye ulaşmak için seçici yöntemler kullanmak ve doğrudan ulaşılmak istenilen bilgiye erişmek önemlidir. Bir başka önemli nokta ise bilginin güvenliğini sağlamaktır.

Bilgi güvenliği, elektronik ortamlarda saklanan bilgilerin, saklanması ve taşınması sırasında bütünlüğünün bozulmaması, izinsiz erişimlerden korunması ve güvenilir bir bilgi işleme ortamının sağlanması amacı ile sürdürülen çalışmalardır. Bunu için uygun bir güvenlik politikasının tespit edilmesi ve uygulanması gerekmektedir. Bu politikalar, bilgiye yönelik faaliyetlerin sorgulanması, erişimlerin takip edilmesi, değişikliklerin kayıt altına alınması ve değerlendirilmesi, bilgiyi silme işlemlerinin kısıtlanması gibi kullanım şekillerine yöneliktir. Bilgi güvenliği konusunda karşı taraf, kötü niyetli olarak kabul edilmektedir. Bunlar bilgisayar korsanları veya saldırgan kişilerdir.

2005 yılında Uluslararası Standartlar Örgütü (ISO) tarafından bilgi güvenliğinin sağlanmasına yönelik olmak üzere ISO/IEC 27001 standardı yayınlanmıştır. Bu standardın temelinde, İngiliz Standartlar Enstitüsü tarafından yayınlanan BS 7799 standardı bulunmaktadır. Bilgi Güvenliği Yönetim Sistemi’ni oluşturan standartlardan birkaçı şunlardır:

  • TS EN ISO/IEC 27000 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Genel bakış ve sözlük
  • TS EN ISO/IEC 27001 … Gereksinimler
  • TS EN ISO/IEC 27002 … Bilgi güvenliği kontrolleri için uygulama
  • TS ISO/IEC 27003 …Bilgi güvenliği yönetim sistemi uygulama kılavuzu
  • TS ISO/IEC 27005 … Bilgi güvenliği risk yönetimi
  • TS ISO/IEC 27006 … Bilgi güvenliği yönetim sistemlerinin tetkik ve belgelendirmesini yapan kuruluşlar için şartlar
  • TS ISO/IEC 27007 … Bilgi güvenliği yönetim sistemleri denetimi için kılavuz
  • TS ISO/IEC 27008 … Denetçiler için bilgi güvenliği kontrolleri kılavuzu
  • TS ISO/IEC 27014 … Bilgi güvenliği yönetişimi
  • TS ISO/IEC 27015 … Finansal hizmetler için bilgi güvenliği klavuzu