Bilgi Güvenliği Yönetim Sistemi, bir kuruluşun gizli ve korunması gerekli bilgilerini yönetebilmek amacı ile benimsenen sistematik bir yaklaşımdır. Bilgi güvenliği konusu ilk olarak 1900’lerin son yıllarında dile getirilmeye başlanmış ve bu yönde ilk standartlar İngiltere’de ortaya konmuştur. Daha sonra Uluslararası Standartlar Organizasyonu ile Uluslararası Elektroteknik Komisyonu birlikte çalışmışlar ve ISO 27000 standartlarını hazırlamışlardır.

ISO 27000 standartları içinde öne çıkan iki standart bulunmaktadır. Bunlardan biri ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır ve sistemin temel standardı budur. Diğer standart ise ISO 27002 Bilgi Güvenliği Yönetim Sistemi için Uygulama Prensipleri standardıdır. Bu standart, kuruluşların Bilgi Güvenliği Yönetim Sistemi çalışmalarını başlatmak, sistemi kurmak, devamlılığını sağlamak ve sürekli iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koymuştur. Bilgi güvenliği ile ilgili riskleri karşılamak amacıyla ISO 27002 standartlarında ortaya konulan kontrol hedeflerinin kuruluş içinde nasıl uygulanacağı ve denetleneceği ISO 27001 standartlarında yer almaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin esas aldığı prensipler şunlardır:

  • Gizlilik. Gizlilikten kasıt, kuruluş bünyesinde korunması gereken bilgilere yetkisi olmayan kişilerin ulaşımının kapalı olmasıdır. Ya da bu bilgilerin yetkisi olmayan kişiler tarafından açığa çıkarılmasının önüne geçilmesidir. Yani bilgi gizlidir ve korunmalıdır.
  • Kullanılabilirlik. Bilginin kullanılabilir olması, bilgiye her ihtiyaç duyulduğunda, yetkisi olan kişiler tarafından hemen ulaşılabilmesi anlamına gelmektedir. Kuruluşta bir sorun yaşanıyor olması durumunda bile bilgi erişilebilir ve kullanıma hazır durumda olmalıdır. Burada da esas olan bilgiye ulaşma yetkisi olan kişilerin bilgiye ulaşabilmesidir.
  • Bütünlük. Bilginin bütünlüğü, bilginin kaynağında olduğu şekliyle, değiştirilmeden, bozulmadan ve tutarlı bir şekilde yetki verilmiş kişiler için ulaşılabilir olması anlamına gelmektedir. Bilgi kısmen de olsa değiştirilmiş veya bozulmuş ise, bilginin bütünlüğünden bahsedilemez.

Bilgi güvenliğine önem veren ve bilgiyi korumayı amaç edinen bir kuruluş, bilginin bulunduğu noktaları sınıflandırmalı ve bilginin korunma yöntemine karar vermiş olmalıdır. Bilgi Güvenliği Yönetim Sistemi işte bu güvenliği sağlamaya ve sürdürmeye yönelik bir sistemdir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi temel prensipleri konusunda daha fazla bilgi almak için, TURCERT belgelendirme kuruluşunun deneyimli yöneticilerine ve çalışanlarına başvurabilirsiniz.