ISO 27001 Bilgi Güvenliği Sistemi Prensipleri, İlkeleri, Amaçları Nelerdir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, işletmelerin gizli bilgiler başta olmak üzere tüm bilgilerini standarta bağlı şekilde yönetmek için oluşturulmuş sistematiksel bir yaklaşım prensibidir. Yaklaşık 30 yıl kadar öncesine dayanan bilgisayar ve İnternet sektörünün firmalara entegre hale gelmesiyle yasal bir zorunluluk haline gelmeye başlayan bu sistem üzerinde İngiltere liderliğinde bir standart yapısı oluşturulmuş ve IAF (Uluslararası Standartlar Organizasyonu) ile ortak halde çalışmalar yapılmıştır. Bu şekilde 100'den fazla ülke tarafından benimsenmiş olan iso 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ortaya çıkmıştır.

Bilgi Güvenliği ile birlikte tüm işletmeler için Bilgi Güvenliği Sistemi oluşturmak ve bu oluşumu başlatmak, sürekliliğini sağlamak, iyileştirmeye yönelik risk ve fırsat analizleri yapmak genel prensipler olarak ortaya konmuştur.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin Temel Prensipleri bir kaç başlık altında sıralanabilir.

Gizlilik prensibi; İşletmenin bünyesinde gizli ve korunması gereken tüm bilgilerin işletme sahibi yada o bilgilere ulaşması gereken kişiler dışında tüm kişilere karşı kapalı olmasını sağlamak ve yetkisi olmayan insanlar tarafından bu bilgilere ulaşımı engelleyerek bilginin sızdırılmasının önüne geçilmesi prensibidir. Çünkü bazı bilgiler gizli olup korunmak durumundadır.
Kullanılabilirlik prensibi; Yetkisi olan kişilerin herhangi bir bilgiye ihtiyaç duyduğunda ağa girerek o kişiler tarafından bilgiye hemen ulaşılabilmesi prensibidir. Her hangi bir sorun veya yasaya karşı o bilgiye çok kısa sürede ulaşılabiliyor olması gerekmektedir.
Bütünlük Prensibi; Korunan ve gizli bilginin ham girildiği şekliyle ve bozulmamış haliyle saklanarak, yetkisi olan kişiler dahilinde ulaşılabilir olması prensibidir. Ulaşılmak istenen bilgi, ham halinden uzaklaşmış veya değiştirilmişse bütünlük prensibi söz konusu olamaz.

ISO 27001 ile ilgili olan terim ve kavramlar şu şekilde özetlenebilir;

  • Bilgi için gerekli kaynakları belirleyerek sağlamak ve risk oluşumunu tahmin ederek o bilginin sistematiksel kullanımını sağlayarak risk analizi yapmak,
  • Risk analizini yaptıktan sonra analize ait derecelendirmeyi oluşturarak risk değerlendirmesini görmek,
  • Oluşabilecek riskleri belirledikten sonra o risklere karşı kriterler belirlemek için risk derecelendirmeleri yapmak,
  • İşletmeyi kontrol ederek ve yönlendirerek riskleri için paralel bir yapı oluşturarak risk yönetimini sağlamak,
  • Riski değiştirmek için alınacak tüm önlemlerin uygulanması için risk işlemesini gerçekleştirmek,
  • Bilgi Güvenliği ile ilgili tüm kontrolleri belirten açıklayıcı dökümante edilmiş bilgiler oluşturarak uygulanabilirlik bildirgesi yapmak.

Sistem kurulur ve işletilirken tüm risk analizlerinin yapılması, risk yönetimi, iş devamlılıkların planlanması, acil durumlara karşı önlem ve tedbirler almak, prosedürleri, prosesleri hazırlamak ve bunları kayıt altında tutmak gerekmektedir.