top of page
  • VMİ Danışmanlık

ISO 27001 Danışmanlık Hizmeti ve BGYS Politikası


iso 27001danışmanlığı, bilgi güvenliği danışmanlığı

Bilgi Güvenliği Yönetim Sistemi BGYS Danışmanlığında Deneyim Paylaşımı

Bugün en çok konuştuğumuz konulardan biri kurumların dijital dönüşümdür. IOT, nesnelerin interneti, iş zekası uygulamaları, büyük veri, akıllı şehirler uygulamaları dijital dönüşümünde önümüzdeki büyük fırsatlar olarak görüüyor. Bilgi hazinemiz büyük tehlike altında. Bilgi varlıklarımızın korunabilmesini sağlayabilmek için kurumlarımızda bilgi güvenliği yönetim sistemini kurmamız gerekiyor. Bilgi güvenliği, siber güvenlik çalışmaları sadece bilgi teknolojileri, BT, İletişim Teknolojileri, IT, bilişim güvenliği uzmanlarının çalışmalarıyla gerçekleştirilemez. Bilgi Güvenliği Yönetim Sistemleri, BGYS, ISO 27001 Danışmanlığı alanında hizmet veren VMİ Danışmanlık olarak sahada gördüğümüz yaklaşımları buradan paylaşarak deneyimlerin yayılmasını amaçlıyoruz.

Bilgi varlıklarımız üzerindeki risk çok büyük. Bilgi varlıklarımızın korunabilmesini öncelikli bir iş olarak görmemiz gerekiyor. Bilgiyi koruyabilmek için önce onu tanımlamalıyız. Tanımadığımız, tanıyamadığımız bilgiyi nasıl koruyacağımızı siz düşünün! Bugün kurumların karşılaşabileceği bilgi güvenliği, siber güvenlik risklerinin en aza indirgenebilmesi için bilgi güvenliği yönetim sistemi temelli yaklaşımlar içinde olmamız gerekiyor. Kurumlarımızda, şirketlerimizde iş sürekliliğinin sağlanması, önceliklerimiz arasında olmalıdır. Bilgi Güvenliği Yönetim Sistemlerinin ayakta kalabilmesi için kurumlarımızın BGYS çalışmalarını sahiplenmesi gerekiyor. Özellikle bilgi güvenliği yönetim sistemlerine üst yönetimin desteğiyle sağlanması şarttır. Aksi halde yapılan çalışmalar kocaman bir dokümantasyon yığınından ve bir belden başka bir şey olmuyor.

TS ISO/IEC 27001 Danışmanlık Hizmeti ve Bilgi Güvenliği Politikası

Kurumsal olarak bilgi güvenliğinin sağlanması için şirketlerde, kurumlarda özel ilgi alan grupları, siber olaylara müdahale ekipleri, etik hackerların eğitim seviyesi sürekli geliştirilmeli, iyileştirilmeli ve kurumun siber olaylara, bilgi güvenliği olaylarına müdahale kapasitesi artırılmalıdır. VMİ Danışmanlık Türkiye’de önemli kurumsal çalışmalar yapılmış olsa da bu çalışmaların yeterli olmadığı görüşündedir. Bu yazımızda ISO 27001 Danışmanlığımız sırasında gördüğümüz önemli bir konuya değinmek istiyoruz. Bilgi Güvenliği Yönetim Sistemlerinin ve ISO’nun temel temel politiklarından biri olan “Bilgi Güvenliği Politikası” hakkında olacaktır. Çünkü bazı kurumlarda oluşturulan bilgi güvenliği politikalarının çok üstün körü olduğunu görüyoruz. Oysa BGYS’nin en önemli dokümanlarından ve en önemli göstergelerinden biri olan bilgi güvenliği politikası çok özenle hazırlanması gerekir.

Bilgi Güvenliği Politikasının Olmazsa Olmazları

Açıklama kısmı: Bilgi güvenliği politikasının giriş yazısı genel açıklama bölümüdür. Burada bilgi güvenliği politikasıyla temel gerekçelerimizin birişini burada yapmamız gerekir. Örneğin, “Bilgi Çağı’nın temel gerekliliklerin biri olan bilgi güvenliğini sağlamak….” şeklinde kurulan bir cümle böyle bir ifadeyi karşılar.

Amaç kısmı: Bilgi güvenliği politikasının amacını belirtmemiz gerekiyor. Neden bilgi güvenliği politikasına ihtiyaç duyuyoruz. Örneğin, “Çalışanlarının, bilgi sistemleri kaynaklarını kullanırken uyması gereken bilgi güvenliği kurallarını belirlemek, bilginin gizliliğini, bütünlüğünü, erişilebilirliğini sağlamak…” şeklinde yazılan cümleler amacı karşılar.

Kapsam kısmı: Bilgi güvenliği politikası kapsam kısmında uyulması gereken kurallar vardır. Kapsamda kurum için değer ifade eden her şey bilgi, belge, donanım, insan, marka…vb.

Yasal yaptırımlar kısmı: Burada kurumunuzda bilgi güvenliği ile ilgili bir ihlal gerçekleşirse yönetmeliklere, sistemlere, yasalara, politika uyulmaz ise ihlallere karşı uygulanacak cezai yaptırımları açıklar.

Vaat kısmı: Bilgi güvenliğinin yönetim sisteminin geliştirilmesi ile ilgili bir söz Bilgi Güvenliği Politikası’nda yönetimin ağırlığı olarak görülebilir.

Tanımlar kısmı: Burada uzun uzun her tanımı ve genel tanımları anlatmaya gerek yok. Açık olmayan, anlaşılamayacağı düşünülen terimler açıklanır.

Bilgi Güvenliği Politikası Nedir?

Temel olarak, kurumda uygulanmakta olan bilgi güvenlik politikalarını çalışanlara, paydaşlara, tedarikçilere duyurmak amacıyla kullanılır. Bilgi güvenliği politikası kurumun ortak alanlarında asılması durumunda herkes tarafından kolaylıkla okunmuş olur. Böylelikle insanlar daha çok bilgi sahibi olurlar. TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardında Bilgi Güvenliği Politikası, Kurumlarda kabul edilebilir güvenlik seviyesinin tanımlanması için kullanılıyor. Bilgi güvenliği yönetim sistemi kurulumunda Bilgi Güvenliği Politikası en temel dokümanlardan biridir. Her kurumun yapısı farklıdır. Bilgi Güvenliği Politikası her kurum için farklılık gösterse de temel bölümleri aynıdır. Amaç, hedefler, yasak yükümlülükler, vaat kısmı genellikle her politikada bulunur.

Bilgi Güvenliği Politikası’nın temel amacı: Bilgi güvenliği yönetim sisteminin ilanı, duyurulması, yasal yaptırımların bu politika amacıyla ifade edilmesidir. VMİ Danışmanlık ISO 27001 Danışmanlığı konusundaki ihtiyaçlarınız sizinle işbirliğine hazırdır.

Not: TS ISO/IEC 27001:2013 neyi ifade eder? TS ISO/IEC 27001 Standardı. Başındaki TS, Türk Standartlarını, sonraki ISO International Organization for Standardization-ISO’yu, IEC ise Uluslararası Elektroteknik Komisyonunu, The International Electrotechnical Organization-IEC’yi ifade eder. 27001 ise standardın numarasıdır. 2013 ise standardın revize edildiği tarihtir.

Son Yazılar

Hepsini Gör

VERBİS'e kayıt süresi uzatılacak mı?

VERBİS'e kayıt süresi uzatılacak mı? Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, KVKK'ya hem yurt içi hem de yurt dışı olmak üzere toplam 4 bin 839 ihbar ve şikayet başvurusu

bottom of page