ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kuruluşların sahip oldukları bilgilerin güvenliğini sağlamak amacıyla oluşturulmuş uluslararası bir standarttır. Bu standart doğrultusunda, kuruluşlar bilgi güvenliğini sağlamak için Yönetim Politikaları, Prosedür ve Talimatlar ile Bilgi Güvenliği Yönetim Sistemini tanımlamakta, uygulamakta ve etkinliğini sürekli iyileştirmektedir.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistem Standardı, ISO* ve IEC** tarafından oluşturulan Ortak Teknik Komite (JTC) tarafından hazırlanan uluslararası kabul görmüş bir standarttır. (*ISO; International Organization for Standardization, **IEC; International Electrotechnical Commission

İlk Bilgi Güvenliği Standardı, BSI tarafından kabul edilen BS 7799 Standardı olarak yayınlanmış olup (1995), bu standart esas alınarak hazırlanan ISO/IEC 17799 Bilgi Güvenliği Yönetim Sistem Standardı, ilk uluslararası Bilgi Güvenliği Yönetim Sistem Standardı olarak yayınlanmıştır (2000). Daha sonra ISO/IEC 27000 standartlar ailesi olarak tanımlanan Bilgi Güvenliği Standartları dünden bugüne aşağıdaki gibi gelmiştir.

Müşteriler, Tedarikçiler, İş Ortakları, Çalışanlar, Kamu Kurum/Kuruluşları ve diğer ilgili tarafların en önemli ihtiyaç ve beklentilerinden biri olan “Güvenilir Kuruluş” olabilmektir. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin uygulanması, etkinliği ve sürekliliği “Güvenilir Kuruluş” olmanın önemli bir uluslararası göstergesi olarak kabul edilmektedir.

Kuruluşların iş süreçlerini yürütmek ve iş sürekliliğini sağlamak için ihtiyaç duyduğu en önemli varlıklardan biri bilgidir. ISO 27001, sistematik bir yaklaşımla bilgi varlıklarının güvenliğini ve sürekliliğini sağlamak için kuruluşlara uygulanabilir bir yol haritası sunmaktadır.

Kağıt ortamında oluşan kurumsal bilgilerin azaldığı günümüzde, e-devlet, e-fatura, e-irsaliye gibi uygulamalarla neredeyse tüm iş süreçleri elektronik ortama taşınmaktadır. Elektronik ortamda oluşan ve saklanan bilgiler, güvenliği sağlanmış bir bilgi teknolojileri altyapısına ihtiyaç duymaktadır. ISO 27001, kuruluşların sahip oldukları bilgi teknolojilerinin etkinliği, sürekliliği ve güvenliği için sistematik bir yaklaşım sunmaktadır.

Bilgi teknolojilerinin hızlı gelişmesi, buna bağlı olarak iş süreçlerinin değişen teknolojilere uygun hale gelmesi kaçınılmazdır. Kuruluşların sahip oldukları bilgi varlıklarının büyük çoğunluğu, bilgi teknolojileri altyapısı kullanılarak elektronik ortamda oluşmakta ve saklanmaktadır.

Siber güvenlik risklerinin arttığı günümüzde, bilginin muhafazasının önemi artmaktadır. Kuruluşlar, sahip oldukları bilgi varlıklarının muhafazası için etkin bir Bilgi Güvenliği Yönetim Sistemine ihtiyaç duymaktadır. ISO 27001, kuruluşların bu ihtiyaçları için reçete sunmaktadır. Siber saldırılar günden güne artmaktadır ve neden olduğu maddi ve itibarî zarar felaketiniz olabilir. ISO 27001 işinizin saygınlığını ve şirketinizin itibarını korur. Müşterilerinize ve tüm paydaşlarınıza güven vererek işinize değer katar.

ISO 27001 ile bilgi güvenliğinin 3 adımı olan Gizlilik, Bütünlük ve Erişebilirlik şartları entegre bir şekilde ele alınır ve sistematik bir şekilde yönetilir;

• Gizlilik, esasına uygun olarak; bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması sağlanır. Yetkisiz kişilerin bilgiye erişimi engellenir. Herkes “bilmesi gerektiği kadar” bilgiye erişir.
• Bütünlük, esasına göre; Bilginin içeriğinin doğru, güncel ve geçerli olması garanti altına alınır. Yetkisiz kişiler tarafından değiştirilmemesi, yanlışlıkla silinmemesi için gerekli kontroller sağlanır. Doğru yedekleme metotları ile olası veri kayıpları önlenir.
• Erişilebilirlik, esası doğrultusunda; Bilgiye ihtiyaç duyulduğunda kesintisiz ulaşılabilmesi güvence altına alınır. Bilgi, olması gereken yerde ve gerektiğinde kullanıma hazır, ulaşılabilir olmalıdır. Bu amaçla tüm altyapının uygun hale getirilmesi sağlanır.

Bilgi güvenliğinin sağlanması için teknik tedbirlerin yanısıra idari tedbirlerin de alınması gerekmektedir. Bilgi varlıklarının korunması için gerekli tüm tedbirlerin belirlenmesi, planlanması, gerçekleştirilmesi, kontrol edilmesi ve sürekli iyileştirilmesi için sistematik bir yaklaşım sunan ISO 27001 ihtiyaç duyulmaktadır.

Ürün/Hizmet sunulan müşterilerin en önemli ihtiyaç ve beklentilerinden biri olan “gizlilik” şartı, iş sözleşmelerinde/şartnamelerde yer almaktadır. İş sözleşmelerine uygun hareket etmek ve cezai duruma düşmemek için etkin ISO 27001 bilgi güvenliği yönetim sistemi ihtiyaç duyulmaktadır.

ISO 27001 Belge Zorunluluğu

Kamu İhale Kanununa (KİK) göre düzenlenen ihaleler başta olmak üzere kamu/özel hizmet alım şartnamelerinde, katılımcı kuruluşların ISO 27001 belgesine sahip olması ön şart olarak talep edilmektedir. Özellikle savunma sanayi gibi projenin gizliliğinin ön planda olduğu işlerde kuruluşların ürün/hizmet sunumuna katılabilmesi için ISO 27001 Bilgi Güvenliği Yönetim Sistemine sahip olması zorunludur.

Bilgi güvenliğinin en önemli kriterlerden biri olarak görülen bazı riskli sektörlerde/işlerde faaliyet gösteren kuruluşların ISO 27001 belgesine sahip olması Mevzuat şartı olarak tanımlanmıştır. Bu gibi durumlarda ilgili kuruluşların ürün/hizmet sunumunun kesintiye uğramaması ve yasal yaptırımla karşılaşılmaması için ISO 27001 Bilgi Güvenliği Yönetim Sistemine sahip olması zorunludur. Mevzuat gereği ISO 27001 zorunluluğu getirilen bazı sektörler aşağıdaki gibidir;

• Maliye Bakanlığına bağlı Gelir İdaresi Başkanlığının (GİB) kontrolündeki E Fatura işlemlerinde “Özel Entegratör Yetkisi” almak isteyen kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları, uygulamaları ve belgelendirilmesi zorunlu hale getirilmiştir. Ayrıca bu kuruluşlar ISO 9001 Kalite Yönetim Sistemi, ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi ve ISO 22301 İş Sürekliliği Yönetim Sistemini de uygulamakla yükümlü kılınmıştır.
• Sağlık Bakanlığına bağlı hizmet sunan kamu ve özel sağlık kuruluşlarına yazılım hizmeti veren işletmelerin ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları, uygulamaları ve belgelendirilmesi yayınlanan genelge ile zorunlu hale getirilmiştir.
• Gümrük işlemlerinin kolaylaştırılması yönetmeliğinde değişiklik yapılmasına dair yönetmelik kapsamında Yetkilendirilmiş Yükümlü Statüsüne (YYS) sahip olmak isteyen kuruluşların ISO 9001 Kalite Yönetim Sistemi ve ISO 27001 Bilgi Güvenliği Yönetim Sistemine sahip olmaları zorunlu kılınmıştır.
• Enerji Piyasası Düzenleme Kurulu’nun (EPDK) Lisans Yönetmeliklerinde de zorunlu bir şart haline getirilen ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile kurumsal bilişim altyapısının ve endüstriyel kontrol sistemlerinde bilgi güvenliğinin sistematik olarak yönetilmesi amaçlanmıştır.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında tüm kuruluşların sahip oldukları kişisel verilerin muhafazası yasal bir zorunluluk haline gelmiş olup, ISO 27001 Bilgi Güvenliği Yönetim Sisteminin etkin uygulanmasıyla kuruluşların bu yükümlülüklerini sistematik bir yaklaşımla yerine getirmesi sağlanmaktadır.

Kuruluşun iş süreçlerinin gerçekleştirilmesi ve bilgiye ulaşmanın önemli bir altyapısı olan internetin (personel, ziyaretçiler vd tarafından) kullanımında 5651 Sayılı Kanun (İnternet Ortamında Yapılan Yayınları Düzenleyen Kanun) kapsamında alınması gereken tedbirler, ISO 27001 Bilgi Güvenliği Yönetim Sistemiyle birlikte kolayca ele alınmakta ve sistematik olarak yönetilmektedir.

Bilgi güvenliğinde zaafiyete neden olabilecek risklerin etkin bir şekilde yönetilmesi, bu risklere karşı alınması gereken tedbirlerin belirlenmesi, güvenlik tedbirlerinin alınması ve risklerin önlenmesi için ISO 27001 Bilgi Güvenliği Yönetim Sisteminin etkin bir şekilde kurulması ve uygulanması gereklidir. Bilgi güvenliği zaafiyet olaylarının oluşması sonucu müşteri ve diğer ilgili tarafların güveninin kaybedilmesi, maddi-manevi zararların oluşması, dolayısıyla kuruluşun itibarının ve saygınlığının zarar görmesi söz konusu olacaktır. Bu gibi istenmeyen durumların önlenmesinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi sistematik bir yaklaşım sunmaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, tüm kurum ve kuruluşlarda uygulanabilir bir standarttır. Özellikle sağlık sektörü gibi özel nitelikli kişisel bilgilerin muhafazasının yasal olarak gerektiği sektörler başta olmak üzere eğitim, finans, çağrı merkezi, Uydu haberleşme hizmeti, savunma sanayi hizmetleri, arge merkezleri, bilgi ve iletişim teknolojileri (Mobil, veri merkezi, yazılım, donanım, entegratör, internet servis sağlayıcı vb) hizmetleri gibi bilgi güvenliği açısından riskli hizmet sunan kuruluşlar, ISO 27001 Bilgi Güvenliği Yönetim Sistemini etkin bir şekilde kurmalı ve uygulamalıdır.

Müşteri, tedarikçi, çalışan ve diğer ilgili tarafların ihtiyaç ve beklentilerine göre bilgi güvenliği yükümlülüğü olan tüm kurum ve kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemine ihtiyacı bulunmaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin bir kuruluşta kurulmasında öncelikle süreci bir proje yönetimi mantığında ele almak zorunludur. Projenin amaç, kapsam ve hedefleri öncelikle belirlenmeli, projede görev alacak ekibin belirlenmelidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemleri danışmanlığında deneyimli bir danışmanlık firmasıyla hareket etmek projenin etkinliğini artıracaktır. Kuruluş bünyesinde ISO 27001 standart şartlarına hakim bir uzmanın bulunması halinde proje ekibi sadece kuruluş bünyesindeki personelden oluşacak şekilde belirlenir. Proje ekibi belirlendikten sonra aşağıdaki yol haritasına uygun olarak projenin yönetilmesi sağlanır;

• Mevcut Durum Analizi; Proje hedefleri doğrultusunda mevcut durum incelenerek, hedeflerle mevcut durum arasındaki farklar tespit edilir. Mevcut durum analizi sonrası Proje Amaç, Kapsam ve Hedefleri gerekirse güncellenir.
• Proje Planlama; Mevcut durum analizi sonrası belirlenen eksikliklerin giderilmesi için yapılması gereken faaliyetler, sorumlular ve termin planlanır. Proje bütçesi hazırlanır. Proje hedeflerine ulaşmak için proje süresince oluşacak maliyetlerin önceden planlanması önemlidir.
• Bilgi Güvenliği Eğitimleri; Proje amaç, kapsam ve hedefleri doğrultusunda tüm proje ekibine ve ilgili tüm personele temel bilgi güvenliği eğitimlerinin verilmesi ile farkındalığın sağlanması esastır.
• Varlık Envanteri; Kuruluş, sahip olduğu bilgi varlıklarının envanterini çıkararak bunların farkına varır. Sahip oldukları bilgi varlıklarının hassasiyetlerine göre sınıflandırılması sağlanarak hangi bilginin güvenliğinin hangi derecede sağlanması gerektiği belirlenir
• Risk Yönetimi; Kuruluş, sahip olduğu bilgilerin gizliliği, bütünlüğü ve erişilebilirliğini zaafiyete uğratabilecek tehditleri belirler. Bu tehditlerin ortaya çıkma ihtimali ile ortaya çıktığında oluşturacağı etki belirlenerek Risk Değerlendirmesi yapılır. Risk değerlendirme sonucu analiz edilerek “Kabul Edilebilir Risk Seviyesi”ne gelinceye kadar ilgili tehditlere karşı tedbir alınması sağlanır.
• Acil Durum Yönetimi; Beklenmedik bir durumda alınması gereken tedbirler, acil durum müdahale yöntemleri tanımlanır ve iş sürekliliğinin sağlanması için yol haritası önceden belirlenir.
• Dokümantasyon; Bilgi Güvenliği Yönetim Sisteminin uygulama esasları (Politika, Prosedür, El Kitabı, Talimat vb) sistematik olarak tanımlanır, onaylanır ve ilgili taraflarla paylaşılır. Kuruluşa özgü bilgi güvenliği kurallarının “İç Kaynaklı Doküman” olarak dokümante edilmesinin yanısıra, kuruluş dışında hazırlanmış olan ve kuruluşun uyması gereken bilgi güvenliği kuralları da “Dış Kaynaklı Doküman” olarak belirlenir ve tanımlanır.
• Uygulama; Tüm kuruluş çalışanlarının / bölümlerin Bilgi Güvenliği Yönetim Sistemi dokümantasyonuna uygun çalışması sağlanır. İlave eğitimlerle BGYS kurallarının kuruluşta uygulanması sağlanır.
• İç Denetim; Kuruluşta uygulanan BGYS’nin etkinliğini kontrol etmek amacıyla kuruluş içinde eğitim almış, yetkin iç denetçilerden oluşan bir ekip ile tüm bölümlerin / süreçlerin denetlenmesi sağlanır. İç denetimde tespit edilen uygunsuzlukların kök neden analizi yapılarak tekrarını önelyecek kalıcı tedbirler belirlenir ve düzeltici faaliyetler başlatılır. Gerçekleşen düzeltici faaliyetlerin etkinliği ayrıca kontrol edilir
• Yönetimin Gözden Geçirmesi (YGG); Üst Yönetim tarafından ISO 27001 Standardının öngördüğü gündem maddeleri gözden geçirilerek BGYS’nin etkinliği gözden geçirilir. Gözden geçirme sonrası tespit edilen eksikliklerin giderilmesi için yapılacaklar, BGYS’nin sürekli iyileştirme fırsatları ve değişiklikler ihtiyaçlarına dair kararlar alınır. Alınan kararlar sistematik bir şekilde ele alınır, gerekli görevlendirme yapılır, termin verilir ve sonuçlanıncaya kadar takip edilir.
• Dış Denetim; BGYS’nin etkinliği ve ISO 27001standart şartlarına uygunluğu için akredite belgelendirme kuruluşlarına müracaat edilmesi sağlanır. 1.Aşama ve 2.Aşama denetimler planlandıktan sonra denetimler gerçekleştirilir. Gerçekleşen denetimler sonrası tespit edilen uygunsuzluklar düzeltici faaliyet sistematiğine göre ele alınır, kök neden analizi yapılarak, uygunsuzluğun tekrarını önleyici kalıcı tedbirlerin alınması sağlanır. Uygunsuzlukların kapatılması sonrası 3 yıllık geçerliliğe sahip ISO 27001 Belgesi düzenlenmiş olur. Yılda en az 1 kez yapılan gözetim denetimleriyle BGYS’nin etkinliği Belgelendirme Kuruluşu tarafından kontrol edilir. Bu denetimlerde tespit edilen uygunsuzlukların sayısı ve büyüklüğüne göre Belgelendirme Kuruluşunun belgeyi iptal etme veya askıya alma hakkı saklıdır.
• Sürekli İyileştirme; BGYS’nin uygulanmasında iyileştirme fırsatlarının belirlenmesi ve sistemin sürekli iyileştirilmesi sağlanır. BGYS’nin değişen şartlara uygun hale getirilmesi ve bu çerçevede sürekli iyileştirilmesi üst yönetimin sorumluluğundadır. BGYS büten bir proje değildir, sürekliliği olan bir yönetim aracıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistem Standardı aşağıdaki 10 maddeden oluşmaktadır. İlk 3 maddede standardın amacı ve kapsamı hakkında genel bilgiler verilmekte olup kuruluştan herhangi bir şart istenmemektedir. Kuruluştan istenen ISO 27001 BGYS şartları Madde 4 ila Madde 10 arasında tanımlanmıştır. Ayrıca standardının son kısmında yer alan Ek A (Annex A) Referans kontrol amaçları ve kontroller başlığında kuruluşun bilgi güvenliğiyle ilgili uyması gereken önemli kurallar yer almaktadır. Bu kuralların uygulanma durumu kuruluş tarafından hazırlanan bir “Uygulanabilirlik Bildirgesi” ile tanımlanmalıdır.

• Madde 1 Scope (Kapsam)
• Madde 2 Normative references (Atıf Yapılan Referanslar; Standart, Doküman vb)
• Madde 3 Terms and definitions (Terimler ve Tarifler)
• Madde 4 Context of the organization (Kuruluşun Bağlamı)
  4.1 Understanding the organization and its context (Kuruluşun ve bağlamının anlaşılması)
  4.2 Understanding the needs and expectations of interested parties (İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması)
  4.3 Determining the scope of the information security management system (Bilgi Güvenliği Yönetim Sisteminin kapsamının belirlenmesi)
  4.4 Information security management system (Bilgi Güvenliği Yönetim Sistemi)
• Madde 5 Leadership (Liderlik)
  5.1 Leadership and commitment (Liderlik ve taahhüt)
  5.2 Policy (Politika – Bilgi Güvenliği Politikası)
  5.3 Organizational roles, responsibilities and authorities (Kurumsal görev, sorumluluklar ve yetkiler)
• Madde 6 Planning (Planlama)
  6.1 Actions to address risks and opportunities (Risk ve fırsatları belirleme faaliyetleri)
  6.2 Information security objectives and planning to achieve them (Bilgi Güvenliği hedefleri ve bunlara erişmek için planlama)
• Madde 7 Support (Destek)
  7.1 Resources (Kaynaklar)
  7.2 Competence (Yetkinlik)
  7.3 Awareness (Farkındalık)
  7.4 Communication (İletişim)
  7.5 Documented information (Dokümante edilmiş bilgi)
• Madde 8 Operation of the Information Security management system (Bilgi Güvenliği Yönetim Sistemi operasyonu)
  8.1 Operational planning and control (Operasyonel planlama ve kontrol)
  8.2 Information security risk assessment (Bilgi Güvenliği Risk Değerlendirmesi)
  8.3 Information security risk treatment (Bilgi Güvenliği Risk İşleme)
• Madde 9 Performance evaluation (Performans değerlendirme)
  9.1 Monitoring, measurement, analysis and evaluation (İzleme, ölçme, analiz ve değerlendirme)
  9.2 Internal audit (İç denetim)
  9.3 Management review (Yönetim gözden geçirme)
• Madde 10 Improvement (İyileştirme)
  10.1 Nonconformity and corrective action (Uygunsuzluk ve düzeltici faaliyet)
  10.2 Continual improvement (Sürekli iyileştirme)
  Annex A (Ek A) Reference control objectives and controls (Referans kontrol amaçları ve kontroller)