ISO 27001 Kitabı

ISO 27001, bilgi güvenliğini kurumsal ortamda sağlamak için geliştirilmiş uluslararası bir standarttır. Kitabımızın amacı bilgi güvenliği temellerini açıklamak ve ISO 27001 – Bilgi Güvenliği Yönetim Sistemi’nin kurumlarda uygulanmasına yardımcı olmaktır.

Birinci bölümde “bilgi güvenliği” konusunda temel bilgiler yer almaktadır. Bilgi nedir, tehditler nelerdir ve temel olarak bilgi güvenliği nasıl sağlanır. İkinci bölümde tümüyle standardın maddeleri ele alınmıştır. Maddeler, uygulayıcı gözüyle yorumlanarak yapılacak çalışmalar açıklanmıştır. Üçüncü ve dördüncü bölümde Bilgi Güvenliği Yönetim Sisteminin süreçleri ve bu süreçler temelinde yapılacak çalışmalar sıralı bir düzen içinde – fark analizinin yapılması, varlık envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, iş sürekliliğinin sağlanması ve diğer gerekli konular açıklanmaktadır. Beşinci bölümde bu süreçte gerekli olan dokümantasyon hakkında genel bilgiler ve doküman örnekleri yer almaktadır. Altıncı ve sonraki bölümlerde ise iç tetkik, düzeltici faaliyetler ve iyileştirme işlemlerine yönelik temel bilgiler yer almaktadır.

ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sisteminin kurulması ve sürdürülmesi iki yönlü bir çalışmadır. Bunlardan birincisi yönetimsel, ikincisi de teknik (bilgisayar altyapısı) yönlerdir. ISO 27001, ISO 9001 gibi bir “yönetim sistemi”dir, roller ve sorumlulukların tanımlanması, dokümantasyon hazırlanması, iç tetkiklerin ve düzeltici faaliyetlerin yapılması vb. konuları aynen içerir. Teknik taraf ise bilgi güvenliğini sağlamada kullanılacak bilgisayar sistemleri ve teknolojilerdir. Firewall ile internet erişiminin kontrol edilmesi, bilgisayar ağları, dosyalara erişim, loglama, anti-virüs vb. araçların kullanımı gibi “teknik” işlerdir.