DANIŞMANLIK >YÖNETİM SİSTEMLERİ DANIŞMANLIĞI > ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

🔐 ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sistemi
Bilgi sızdırıldıysa?
Sunuculara saldırı olduysa?
Çalışan bir e-postayı yanlış kişiye mi gönderdi?
Müşteri verisi çalındı mı?
💣 İşte ISO 27001 bu soruların hiçbirini sormanızı istemiyor çünkü öncesinde sizi tam güvenli bir kale gibi yapılandırıyor.
1. 🖥️🔐 ISO 27001 Nedir?
ISO 27001, kuruluşların bilgi varlıklarını korumak, veri sızıntılarını önlemek ve bilgi güvenliği risklerini yönetmek amacıyla oluşturulmuş uluslararası bir bilgi güvenliği yönetim sistemi (BGYS) standardıdır.
  • Kapsamlıdır: Fiziksel veriden dijital altyapıya, insan kaynağından dış tedarikçiye kadar tüm bilgi güvenliği alanını kapsar.
  • 3 Temel İlke:
    🔏 Gizlilik
    🧩 Bütünlük
    🌐 Erişilebilirlik
✍️ İpucu:
ISO 27001 yalnızca IT ekiplerini ilgilendirmez. Tüm çalışanlar, sistemin parçasıdır! 🤝
2. 🎯 ISO 27001’in Amacı Nedir?
Amacı, şirketlerin bilgi varlıklarını tehditlerden koruyacak sistematik bir yapı kurmasını sağlamaktır:
  • Siber saldırılar,
  • Yetkisiz erişim,
  • Bilgi sızıntısı,
  • Donanım arızası,
  • Sosyal mühendislik saldırıları,
  • Yanlışlıkla veri paylaşımı…
💡 Örnek:
Bir muhasebe departmanında müşteri bilgileri yanlış e-postayla başka firmaya gönderildi. ISO 27001 sayesinde olay kaydedildi, bildirildi ve prosedür çalıştı: Zarar en aza indirildi.
 
✍️ İpucu:
ISO 27001 size “sıfır açık” değil, “her açığa karşı senaryo” kazandırır.
3. 🌐 ISO 27001’in Kapsamı Nedir?
ISO 27001;
  • 📁 Dijital ve basılı belgeler,
  • 🧠 Kurumsal bilgi ve know-how,
  • 🧑‍💻 Donanım ve yazılım,
  • 🏢 Fiziksel güvenlik alanları,
  • 🕵️‍♂️ İnsan kaynaklı riskler,
  • 🤝 Tedarikçi ve iş ortağı güvenliği konularında sistemsel güvenlik sağlar.
📍 Teknik Detay:
114 kontrol maddesi (Annex A) ile bilgi güvenliğinin en küçük ayrıntılarına kadar tanımlandığı dünyanın en kapsamlı BGYS standardıdır. 💣
4. 🏢 ISO 27001 Belgesini Kimler Alabilir?
  • 🏦 Bankalar,
  • 🍫 Gıda firmaları,
  • 📦 Ambalaj firmaları,
  • 📡 Telekom firmaları,
  • 💳 E-ticaret ve ödeme sistemleri,
  • 🏥 Hastaneler ve sağlık kuruluşları,
  • 📈 Finansal danışmanlık firmaları,
  • 🏛️ Kamu kurumları,
  • ☁️ Bulut hizmeti veren şirketler…
💡 Örnek:
Kişisel veri işleyen her şirket (KVKK / GDPR uyumu olan) ISO 27001 ile bu yükümlülükleri teknik olarak da sistemleştirebilir.
✍️ İpucu:
ISO 27001 belgesi, artık “veriyle iş yapan her firmanın” alması gereken yeni norm haline geldi. Özellikle AB ve global pazara açılmak isteyenler için vazgeçilmezdir.
5. 🛠️ ISO 27001 Nasıl Kurulur?
Kurulum süreci:
  1. 🔍 Varlık Envanteri Çıkarılır: Hangi bilgi, nerede, kimde, nasıl korunuyor?
  2. 🎯 Risk Değerlendirmesi Yapılır: Olası tehditler & zayıflıklar belirlenir.
  3. 📜 BGYS Politikası Oluşturulur: Amaç, kapsam, sorumlular tanımlanır.
  4. 🧩 Kontroller Belirlenir: Fiziksel, dijital ve davranışsal önlemler planlanır.
  5. 📁 Dokümantasyon Hazırlanır: Politika, prosedürler, kayıt formları.
  6. 🧪 Denetim & Sürekli İyileştirme Döngüsü Başlar (PUKO).
✍️ İpucu:
ISO 27001’de “en büyük açık”, insan hatasıdır. Teknik altyapı kadar farkındalık eğitimi şart!
6. 🌟 ISO 27001’in Avantajları Nelerdir?
  • 🔐 Veri sızıntılarını engeller.
  • 💼 İtibar ve müşteri güvenini artırır.
  • 📊 Regülasyonlara (KVKK, GDPR) uyum sağlar.
  • ⚙️ BT altyapısında riskleri kontrol altına alır.
  • 🔄 Sürekli iyileştirme kültürü kazandırır.
  • 💰 Veri kaybı kaynaklı maliyetleri minimize eder.
✍️ İpucu:
Bu belge sayesinde firmalar, “veriniz bizde güvende” mesajını somut şekilde verebilir.
7. 📜 ISO 27001 Belgesi Nasıl ve Nereden Alınır?
📝 Akredite belgelendirme kuruluşlarından alınır.
💡 Öncesinde sistemin kurulması, risk analizlerinin yapılması ve tüm dokümantasyonun hazır olması gerekir.
  • Süreç:
    1. Başvuru
    2. Doküman kontrolü
    3. Yerinde denetim
    4. Uygunsuzlukların giderilmesi
    5. Belgelendirme
8. 🔍 Denetim Süreci Nasıl İlerler?
🔍 1. Aşama: Politika, risk analizi, varlık envanteri gibi dokümanlar incelenir.
🏢 2. Aşama: Ofiste, sistem üzerinde saha denetimi yapılır.
📝 Tespitler, uygunsuzluklar, gözlemler raporlanır.
✅ Düzeltici faaliyetlerin tamamlanmasıyla belge verilir.
✍️ İpucu:
Denetçi; “Bu verilere sadece yetkili kişiler erişebilir mi? Erişim logları tutuluyor mu?” gibi detayları bizzat görmek ister.
9. ⏳Belgenin Geçerliliği
📆 3 yıl geçerlidir.
📅 1. ve 2. yıllarda gözetim denetimleri yapılır.
📋 3. yılın sonunda yeniden belgelendirme gerekir.
✍️ İpucu:
Belgeyi aldıktan sonra sistem unutulmamalı. Siber tehditler gelişir, sistem güncellenmelidir.
10. ⚖️ Zorunlu mu?
🚫 Hukuken zorunlu değildir.
Ancak:
✅ KVKK / GDPR gibi veri koruma yasalarıyla uyumu destekler.
✅ E-ticaret, finans, sağlık gibi sektörlerde beklenti hâline gelmiştir.
✅ İhalelerde ve müşteri güveninde öncelik sağlar.
✍️ İpucu:
Bugün yasal zorunluluk olmayabilir ama yarın veriniz sızarsa... O zaman geç olur.
11. 🤝 Danışmanlığı Nedir?
ISO 27001 danışmanlığı;
📊 Risk analizinden,
📁 Politika ve prosedürlerin yazımına,
🎓 Eğitim ve tatbikatlara,
🔧 Teknik kontrollerin değerlendirilmesine kadar uçtan uca bir sistem kurulumu sağlar.
✍️ İpucu:
Sadece belge değil, siber güvenlik mimarisi kurulur. Şirket veriniz değilse bile, müşteri veriniz sizin sorumluluğunuzdadır!
12. 🎓 Eğitimi Nedir?
📘 Eğitim içerikleri şunları kapsar:
  • BGYS temel kavramlar,
  • ISO 27001'in kontrol setleri (Annex A),
  • Risk değerlendirme metodolojileri,
  • Varlık envanteri nasıl çıkarılır,
  • Sosyal mühendislik vakaları,
  • Gerçek saldırı örnekleri ile vaka analizi…
 
13. ISO 27001 ile İlgili Neler Yapıyoruz? 🚀
🔐 Kuruma özel BGYS kurulumu,
📊 Bilgi varlığı envanteri ve risk analizi,
📑 Politika ve prosedürlerin yazımı,
🎓 Tüm çalışanlar için bilgi güvenliği farkındalık eğitimi,
🔧 Teknik BT denetimi desteği (firewall, antivirüs, erişim kontrolü),
🧪 Denetim öncesi hazır olma simülasyonu,
📣 KVKK ve GDPR uyum entegrasyonu…
💬 Son söz:
Çağımızda en büyük sermaye: BİLGİ.