Bilgi güvenliğinin ilkeleri şu şekilde açıklanabilir:

  • Gizlilik ilkesi: Bilgiye sadece ulaşım yetkisi verilmiş kişiler ulaşabilmelidir.
  • Bütünlük ilkesi: Bilgi ve bu bilgiyi işleme yöntemleri bir bütün olarak ele alınmalıdır. Bilgi, yetkisi olmayan kişiler tarafından değiştirilememelidir.
  • Erişebilirlik ilkesi: Bilgiye ancak yetkisi olan kullanıcılar erişebilmelidir.

Bilgi güvenliği, bir kuruluşta, politikalar, prosedürler, süreçler, organizasyonel yapılar, yazılım ve donanım fonskiyonları, hepsi birlikte bir kontrol kümesi oluşturularak sağlanabilir.

ISO/IEC 27001 standardı, bu sistemin kuruluşunda süreç yaklaşımını benimser. Kuruluştaki her bir faaliyet bir süreç olarak kabul edilebilir. Bir sürecin çıktısı ise başka bir sürecin girdisini oluşturabilir. Bilgi güvenliği yönetiminde süreç yaklaşımında, kuruluşun bilgi güvenliği risklerini yönetmek için, gerekli olan kontrol noktalarını tespit etmek ve işletmek gerekir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi varlıklarını korumak ve ilgili taraflara güven vermek için, yeterli güvenlik kontrollerini sağlamaya yönelik bir sistemdir. ISO 27001 Belgesi’ne sahip olan bir kuruluş, güvenlik risklerini bildiğini, bu riskleri yönettiğini, belli risklerin önüne geçmek için kaynak ayırdığını, müşterilerine ve üçüncü kişilere kanıtlamış olmaktadır. Bu belgeye sahip olmak, o kuruluşun yüzde yüz güvenlik seviyesine sahip olduğu anlamına gelmez. Bunu sağlamak da ayrıca mümkün değildir.

ISO 27001 standardını kuran ve uygulayan kuruluşlar, bu sistemi canlı tutabildikleri oranda, sahip oldukları ISO 27001 Belgesi anlam taşıyacaktır. Kuruluşun, bilgi güvenlik risklerini yönetebilmesi için mutlaka risk önleme planları geliştirmiş olması gerekir. Bu plan, bilgi güvenlik risklerini yönetim etkinliklerini, ayrılan kaynakları, çalışanların sorumluluklarını ve öncelikleri içeren bir plan olmalıdır. Bunun yanında hazırlanan risk önleme planı uygulanıyor olmalıdır.

Ayrıca, tespit edilen güvenlik kontrolleri mutlaka yapılıyor olmalı ve bu kontrollerin etkinliği ölçülmelidir. Bu sayede yöneticiler ve ilgili çalışanlar, karar verme süreçlerinde bunu kullanabilirler.

Kuruluşun güvenlik açıklarını zamanında tespit edebilme ve güvenlik ihlalleri olması halinde bunlara zamanında yanıt verebilme yeteneği, hazırlanan güvenlik prosedürlerine ne derece uyabildikleri ile ilgilidir.

Bütün bu açıklanan noktalar, ISO 27001 Bilgi Güvenlik Yönetim Sistemi’nin kuruluşta ne kadar kabul gördüğü ve ne kadar uygulanabildiğini ortaya koymaktadır. ISO 27001 Belgesi alacak kuruluşların, sadece sistemi kurmaları ve sistemin gerektirdiği dokümantasyon çalışmalarını tamamlamış olmaları yetmemektedir. Belge almak için sistemin gerekliliklerini yerine getirmek gerekmektedir.

TÜRCERT belgelendirme kuruluşu da uygunluk değerlendirme çalışmaları yapan bir kuruluştur ve bu konuda ilgili akreditasyon kuruluşlarından aldığı yetkiye dayanarak bu faaliyetlerini sürdürmektedir. ISO 27001 Belgesi’nin ne olduğu ve bu belge alınırken nelere dikkat edilmesi gerektiği konularında daha geniş bilgi almak istenirse ya da ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınacaksa, en doğru adres TÜRCERT belgelendirme kuruluşudur. TÜRCERT, deneyimli yönetici ve çalışanları ile her türlü desteği vermeye hazırdır.