ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi; para ve diğer ticari varlıklar gibi, işletme için değeri olan ve bu nedenle korunması gereken bir varlıktır. Bilgi, kuruluşun faaliyetleri ve devamı için büyük bir önem taşır. Günümüzde “bilgi kaybı” firmalara büyük zararlar vermektedir. Kuruluşlara ait bilgilerin “yetkisiz, kötü niyetli” kişilerin eline geçmesi olumsuz etkilere yol açmaktadır ve bu durum sıklıkla yaşanmaktadır. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bu problemlere yönelik alınan tedbirler paketini içeren dünya çapında bir standarttır.

ISO/IEC 27001, hangi sektörden olursa olsun (finans, sağlık, enerji, eğitim, üretim, kamu ve BT sektörler’) büyük küçük tüm kuruluşlara uygulanmaktadır.

Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları Nelerdir?

• Bilgi varlıklarının farkına varılır, kuruluş hangi bilgi varlıklarının olduğunu ve bunların değerinin farkına varır,
• Kuruluş sahip olduğu varlıkları, kuracağı kontroller ile koruma metodlarını belirleyerek ve uygulayarak korur,
• İş sürekliliği sağlar, uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olunur,
• Tedarikçi ve müşterilerin bilgileri korunacağından ilgili tarafların güveni kazanılır,
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz,
• Performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur,
• Yasal tepkileri önler,
• Yüksek prestij sağlar,
• Rekabet avantajı kazandırır.

ISO/IEC 27001 ile İlgili Yasal Şartlar Nelerdir?

• 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla işlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
• 5809 Sayılı Elektronik Haberleşme Kanunu,
• 26942 Sayılı Elektronik Haberleşme Güvenliği Yönetmeliği,
• 5237 Sayılı Türk Ceza Kanunu vb.

Her an karşılaşılabilecek bazı siber saldırı türleri;

• Program manipülasyonu,
• Sahtekârlık ve taklit,
• Erişim araçlarının çalınması,
• Kimlik hırsızlığı,
• Ticari bilgi hırsızlığı,
• İstihbarat amaçlı faaliyetler,
• Takip ve gözetleme,
• Hackleme,
• Virüsler, solucanlar (worms) truva atları,
• Ajan yazılımlar (spyware),
• Spam,
• Hizmeti durduran saldırılar,
• Sosyal mühendislik saldırıları.

Her kurumdaki güvenlik seviyesini belirlemek için en zayıf halkaya bakılır. Bilgi güvenliği konusunda en zayıf halka “insan” faktörüdür.

Teknik olarak ne kadar önlem alınırsa alınsın, bilinçsiz bir kullanıcının bulunduğu bir ortamda güvenlik sağlamak pek kolay olmayacaktır. Bunun sağlanması için duruma uygun güvenlik politikalarının belirlenmesi ve uygulanması gereklidir.

Bilgisayar güvenliği geniş anlamda bir koruyucu mekanizma olarak düşünüldüğünde, kişisel veya kurumsal bilgisayarlar için genel olarak aşağıdaki maddelerin uygulanmasına özen gösterilmesi önerilmektedir;

• Kötücül yazılım koruma yazılımlarının kurulu olması,
• Bu yazılımların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması,
• Bilgisayarda parola korumalı ekran koruyucu kullanılması,
• Kurmuş olduğunuz yazılımların paylaşıma açık olup olmadığının kontrolü,
• Bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması,
• Kullanılan parolaların tahmininin zor olacak şekilde belirlenmesi,
• Parolaların gizli tutulması ve belirli aralıklarla değiştirilmesi,
• Disk paylaşımlarında dikkatli olunması,
• İnternet üzerinden indirilen veya e-posta ile gelen eklere dikkat edilmesi,
• Önemli belgelerin parola ile korunması veya şifreli olarak saklanması,
• Gizli veya önemli belgelerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi,
• Kullanılmadığı zaman internet erişiminin kapatılması,
• Önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması,
• İşletim sistemi güncelleştirmelerinin yapılması gibi önlemler, basit gibi gözükebilecek ama hayat kurtaracak önlemlerden bazılarıdır.