Nedir? Nasıl?

ISO 27001 Sertifikası Nedir ve Neden Gereklidir?

Domainhizmetleri.com olarak 11 Ekim 2021 tarihinde ISO/IEC 27001:2013 Bilgi Güvenliği standartlarına uyumluluğumuzu tescilleyen bir sertifikaya sahip olduk. ISO/IEC 27001 Sertifikası nedir ve neden gereklidir konuları hakkında kısa ve faydalı bilgileri aşağıda detaylandırmaya çalışacağım.

1) ISO Nedir?

ISO 27001’in tanımını yapmadan önce ISO’dan bahsedelim. Açılımı International Organization for Standardization (Uluslararası Standardizasyon Kuruluşu) olan ISO, Uluslararası standartların geleceği hakkında ki düşüncelerini paylaşmak için Londra’da 25 ülkeden 67 uzman kişi ile birlikte 1946 yılında faaliyetlerine başladılar. Resmi olarak 1947 tarihinde Uluslararası standartların belirlenmesi için çalışan bir sivil toplum kuruluşu oldular.

ISO’nun ilk standardını 1951 tarihinde yayınladı. İsmi ISO/R 1:1951 olan standartta, geometrik ürünlerin sıcaklığa bağlı olarak değişkenlik gösterebileceği için kontrollerde sapma payını en aza indirmeyi amaçlayan standart sıcaklık referansı belirlenmiştir. Bu standart gelişen teknolojiler ile bir çok değişiklik yaşamıştır. ISO/R 1:1951 standardı güncel olarak ISO 1:2016 olarak devam etmekte olup, ürünlerin boyutu, konumu, bicimi ve yüzey dokusu gibi yeni standartlar eklenmiştir. Sonrasında bir çok farklı alanda belirledikleri yeni standartlar ile en popüler organizasyonlardan biri haline gelmiştir.

2) ISO Neden Önemlidir?

ISO standartlarının temel amacı, firmaların ürünleri veya hizmetleri tüm dünya genelinde uygun bir yapıda olacak şekilde sunması ve üretim sürecini yönetmesidir. Bu sayede firmalar daha az risk ile daha kaliteli ürünleri tüm dünyaya sunabilmesi kolaylaşır.

Firmalar dünya standartlarına uygun ürün veya hizmet sunsalar bile rakip firmalar arasında öne çıkabilmek amacıyla sertifika ile bu durumu tescil ederler. ISO standartları dünya genelinde daha popüler olduğu için bir firmanın ISO standartlarına uygun olduğunu tescil etmesi halinde rakip firmalar arasında yaşanan rekabette pozitif bir fark yaratabilmektedir.

3) En Popüler ISO Standartları Nelerdir?

ISO yaklaşık 74 senedir standartlar yayınlamaya devam ediyor ve toplamda 21000’den fazla standardı bulunuyor. En popüler ISO standartlarından bazıları;

ISO 13216 (ISOFIX CHILD SEATS FOR CARS)

En çok bilinen uluslar arası standart olan ISOFIX, 1999 yılında araçlarda bulunan çocuk koltukları için güvenlik amacıyla ISO tarafından belirlenmiş bir standarttır.

ISO 9660 (ISO IMAGES FOR COMPUTER FILES)

CD teknolojisinin yaygınlaşmasından sonra karışık yapıda CD’ye yazılan verilerin düzeni konusunda bir dosya sistemi standardı belirlenmiştir. Günümüzde bilinen işletim sistemi imajlarının çoğu ISO standardına uygun yayınlanmaktadır. .iso uzantısına sahip olan bu imajlar tüm verileri tek bir dosya içerisinde bulundurur, bu sayede veri uyuşmazlığı problemine çözüm olmuştur.

ISO 6 (CAMERA FILM SPEED)

Eskiden filmler ile çalışan dijital kameraların, ISO 6 standardı ile birlikte, kamera filmlerinin ışığa hassasiyeti, aydınlatma gibi faktörleri göz önünde bulundurarak farklı kamera filmleri üretildi. Bulunan ortama göre kamera filmleri değiştirilerek daha profesyonel fotoğrafların çekilmesine ve profesyonel fotoğrafçılığın gelişimine yardımcı oldu.

ISO 639 (LANGUAGE CODES)

ISO dünya genelinde tanınan dilleri kolay ifade edebilmek için kısaltmalar oluşturdu ve tüm dünya genelinde bu standartların uygulanmasını sağladı. Bu standardı anlatabilmek için Türkçe için “tr”, İngilizce için “en” gibi kısaltmalarını örnek verebiliriz.

ISO 9000 (QUALITY MANAGEMENT)

Küçük veya büyük firmaların, müşterilerine sorunsuz ve kaliteli ürünler sunmasına yardımcı olan ISO 9000 ailesi standartları kalite yönetimi konusunu ele alır ve 170 ülkede yaklaşık bir milyondan fazla ISO 9000 ailesine bağlı olarak üretilen ISO 9001 sertifikasına sahip şirket bulunmaktadır.

ISO/IEC 27001 (INFORMATION SECURITY MANAGEMENT)

Bilgi güvenliği yönetimi standardı olan ISO/IEC 27001:2013, firmaların veya kuruluşların bilgi güvenliğinin yönetimini ve saklanma koşulları üzerinde yaşanabilecek riskleri önceden tespit edip sorunları en aza indirmeyi amaçlar.

4) ISO/IEC 27001 Detayları Nelerdir?

Bilginin günümüzde olan önemi ile birlikte bu bilgilerin korunması konusunda firmalar önlemlerini arttırmaya başladı. Bilgi güvenliği yönetimi için en popüler güvenlik standartları ISO tarafından belirlenmiş olan ISO/IEC 27000 ailesi içerisinde bulunuyor. Bu nedenle firmalar bu standartları baz alarak bilgilerinin güvenliği için önlemler alıyor.

ISO 27001 standartlarına uygunluk sertifikasını alabilmek için IAF ve TURKAK gibi akredite firmaların onayladığı sertifikasyon kuruluşları tarafından firmalar detaylı bir denetime tabii tutulur. Yaygın kullanım haliyle ISO 27001’in yanında tarihlerle yayınlanır. Örneğin: ISO 27001:2013. Bu, sertifikanın düzenlenerek üzerinde yapılan değişikliklerle yayınlandığı son sürüm yılını ifade etmektedir. Şuan Türkiye’de geçerli sürüm 2013 yılına aittir. Bu yüzden ISO 27001:2013 olarak kullanılır.

2013 sürümüne göre sertifika geçerlilik tarihi maksimum 3 yıl olup, denetimler ise her yıl gerçekleşmek durumundadır.

ISO/IEC 27001 standartların temel amacı bilgilerin en doğru şekilde kurgulanmış güvenlik politikaları ile birlikte bilgi güvenliğini sağlamaktır. Bu sayede bilgiler saklanırken yaşanabilecek riskler en aza indirgenmektedir. ISO/IEC 27001 standardının 3 temel adımı bulunmaktadır. Bu adımlar;

a) Gizlilik

Verilerin yetkisiz kullanıcılar tarafından ifşa edilmesinin veya erişilebilmesinin önüne geçebilmek için izlenen işlemleri kapsamaktadır. Önemli şirket verilerinin sadece yöneticilerin veya yetkililerin görüntüleyebilmesi için erişim politikalarının uygulanması veya veri transferlerinin şifreli bir yapıda sağlanması gibi önlemleri gizlilik adımına örnek olarak verebiliriz. Fiziksel dosyaların ise güvenli bir şekilde saklandığına emin olunması ve atılacak bir fiziksel dosyanın her hangi bir bilginin görünemeyecek şekilde imha edilmiş olması da gizlilik adımına dahildir.

b) Bütünlük

Her hangi bir verinin yetkisiz kullanıcılar tarafından değiştirilmesi, silinmesi veya işlenmesinin önüne geçmek için gerekli önlemleri kapsar. Bu sayede yetkisi olmayan kişiler tarafından saklanan verilerin kasıtlı veya istenmeden bütünlüğünün bozulmasını, tamamının silinmesini veya içerisinde yapılabilecek güncellemeleri engellemektedir.

c) Erişilebilirlik

Bilgiler güvenli şekilde korunurken, bu verilere yetkili kullanıcıların kolaylıkla erişmesi de gerekiyor. Anlık olarak gelişen durumlar veya yapılması gereken güncellemeler de geliştirilen önlemler güvenlik kadar, işlem hızı ve yetkili kişilerin verilere erişim kolaylığı da sağlanmalı. Bu sayede yaşanabilecek riskler ve sorunlar tespit edilerek hızlı bir şekilde çözümü sağlanabilmekte veya verilerin güncellenmesi gereken durumlarda bu işlemler zaman kaybetmeden yapılabilmektedir.

Bu nedenle Gizlilik ve Bütünlük adımlarında oluşturulan güvenlik politikaları verilerin erişebilir olması konusunda zorluk yaşatmamalı ve tüm adımların birbirlerine uyumlu şekilde geliştirilmiş olması önemlidir.

ISO/IEC 27001:2013 standartlarına uyulabilmesi için firmalar veya kurumlar tarafından Bilgi Güvenliği Yönetim Sistemi (BGYS) planlaması yapılır. Bu planlamada oluşturulan güvenlik politikaları tüm çalışanları veya kullanıcıları kapsar. Bilgi güvenliğinin sağlanması için tüm ekibin bu konuda yardımcı olması gerekiyor. Firma veya kurumların yetkilileri bilgi güvenliği konusunda bilgilendirerek, ekip üyelerinin de bu bilgiler doğrultusunda çalışma alışkanlıklarını değiştirerek bilgi güvenliği için en önemli adımlardan biri atılmış olur.

Bir senaryo ile örnek vermek gerekirse, şirket e-posta adresinize bir mail ulaştı. Konu başlığı ise “Telefon Kazandınız”. Tasarımsal olarak profesyonel görünen, telefonu üreten firma yetkilisinin imzası ve marka logosunun da bulunduğu mailin içeriğini kontrol etmeye başladınız. Bu mail içerisinde kazanmış olduğunuz söylenen telefonu alabileceğinizi anlatan adımları uygulamanızı ve ekte iletilen formu doldurup bu mail adresini yanıtlamanızı istiyor. Firma yetkilileri BGYS planlaması yapmamış ve sizlere zararlı içerikler hakkında bilgi vermemiş olabilir. Bilginiz olmadığı için güvenilir sanarak indirmiş olduğunuz ekteki dosyayı cihazınızda açmışsanız ve bilgisayarınız içerisinde lisanslı bir virüs programı da bulunmuyorsa ekte bulunan zararlı yazılım çalışmaya başlar.

Cihazınızda ve hatta internet ağında bulunan bütün cihazlar içinde ki tüm veriler zararlı yazılım tarafından tamamen silinebilir, şifrelenebilir veya ifşalanabilir. Bu nedenle BGYS planlamasına sadece IT sorumlusunun değil tüm personellerin dikkat etmesi gerekir.

Kısaca ISO/IEC 27001 standartları sizlere bilgi güvenliğini sağlamanız için bir çerçeve oluşturup, bilgileri daha doğru, güvenli ve bütünlüğünü bozmadan saklamanıza yardımcı olmaktadır.

5) ISO/IEC 27001 Standartlarının Avantajları Nelerdir?

  • Bilgileri doğru, güvenilir ve bütünlüğünü koruyan bir yapı oluşturulur.
  • Yetkiler detaylı kontroller sonucu tanımlandığı için iş içerisinde ki karmaşıklık azalır.
  • Rakip firmalar ile rekabette bir adım öne geçilir.
  • Bilgi güvenliğinin sağlandığına dair bir sertifika alındığı için firmanıza güvenilirlik artar bu sayede müşteri memnuniyeti de doğru oranda artış gösterir.
  • Yaşanabilecek sorunlar önceden düşünüldüğü için büyük problemlerin oluşma riski en aza indirgenir.
  • Bilgi güvenliği hakkında tüm çalışanlar bilgilenildiği için yaşanabilecek siber saldırıların çoğunun önüne geçer.
  • Hukuka aykırı bir şekilde bilgilere erişimi ve işlenmesini engeller.

6) ISO/IEC 27001 Sertifikası Bilgi Güvenliğinin Garantisini Sağlar Mı?

ISO/IEC 27001 standartlarına uygunluğunu tescilleyen sertifika alınmış olsa da hiç bir firma bilgi güvenliğinin %100 sorunsuz şekilde saklanacağı garantisini verememektedir. ISO standartları bilgi güvenliğinin maksimum düzeyde sağlanması için yol gösterir. Bu yolu izleyerek firmalar güvenliğini arttırır fakat sürekli gelişen teknoloji nedeniyle sorun riski düşük bir ihtimal de olsa bulunmaktadır. Bu nedenle bilgi güvenliği hakkında %100 garanti verilemiyor.

7) ISO/IEC 27001 Standartlarına Kimler İçin Zorunludur?

  • Bilgiyi saklayan tüm kuruluşların bu bilgiyi en doğru ve güvenli şekilde saklaması gerekir. Bu nedenle ISO/IEC 27001 standardına sadece çok büyük kuruluşların değil, küçük kuruluşlarında bu standartlara uyması önemlidir. Fakat bazı sektörler için ISO/IEC 27001 uygunluk sertifikasına sahip olunması zorunludur. Bu sektörlerden bazıları;
  • T.C. Gümrük ve Ticaret Bakanlığı tarafından 2013 tarihinde YYS (Gümrük işleri Kolaylaştırma Yönetemliği kapsamında Yetkli Yükümlü Statüsü) sertifikasına sahip olmak isteyen tüm kuruluşlar.
  • EPDK (Enerji Piyasası Düzenleme Kurumu) tarafından 2014 tarihinde Doğalgaz, Elektrik ve Petrol Piyasasında hizmet veren kuruluşlar.
  • Uydu Üzerinden Haberleşme Hizmeti veren kuruluşlar(TÜRKSAT, bu kuruluşlara örnek olarak verilebilir) ve Elektronik haberleşme alt yapısı sağlayan kuruluşlar(Turkcell, Vodafone, TTNET, TurkNet vb.).
  • İnternet servis sağlayıcı kuruluşlar.
  • Kamu ihalelerine giren bilişim sektöründe bulunan kuruluşlar.
  • E fatura Entegratör Yetkisi almak isteyen kuruluşlar.
  • Mobil Şebeke Sağlayıcı kuruluşlar.

Kamu kurumlarının ISO/IEC 27001 sertifikası alma zorunluluğu olmasa bile BGYS planlaması yapma zorunluluğu bulunmaktadır.

8) Neden ISO/IEC 27001 Sertifikasını Tercih Ettik?

Domainhizmetleri olarak öncelliğimiz daima güvenlik ve müşteri memnuniyeti olmuştur. ISO standartlarına fiilen uyumlu şekilde çalışıyor olsak bile bunu ISO/IEC 27001 Standartlarına uyumluluk sertifikası alarak tescillemek istedik. Bilgileri sorunsuz ve en güvenli şekilde barındırmak için çalışmalarımızı tamamladık. Denetim sonucunda ISO/IEC 27001 standartlarına uygun ve uluslararası geçerliliği olan bir hizmet vermiş olduğumuzu tescilledik.

Bilgi Güvenliği hakkında belirlemiş olduğumuz politikanın detaylarına ulaşmak için buraya tıklayabilirsiniz.

Bu makale yardımcı oldu mu?

Subscribe
Bildir
guest
0 Yorum
Inline Feedbacks
View all comments