International Organization for Standardization (ISO) 27001, kuruluşların bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini korumak amacıyla risk temelli bir yaklaşıma dayanan bilgi güvenliği yönetim sistemi (BGYS) kurmalarını, uygulamalarını, sürdürmelerini ve sürekli iyileştirmelerini sağlayan uluslararası bir standarttır. Bu standart, organizasyonların bilgi güvenliği risklerini sürekli olarak tanımlamalarına, değerlendirmelerine ve uygun kontrollerle yönetmelerine olanak tanımanın yanı sıra insan, süreç ve teknoloji unsurlarını bir çerçevede ele alarak bilgi güvenliği ve siber tehditlere karşı dayanıklılığın artırılmasına katkı sağlar (International Organization for Standardization, 2022). ISO 27001, bilgi güvenliği alanında uluslararası düzeyde yaygın olarak bilinen ve uygulanan standartlardan biridir (Çakır ve Uygun, 2019).
ISO/IEC 27001 standardı, kuruluşların bilgi güvenliği yönetim sistemini etkin bir şekilde kurabilmesi ve sürdürebilmesi için 4 ile 10 arasındaki maddelerde tanımlanan yönetim sistemi gereksinimlerini içermektedir (International Organization for Standardization, 2022);
| Madde No | Başlık | Açıklama |
|---|---|---|
| 4 | Kuruluşun Bağlamı | Kuruluşun iç ve dış bağlamı, ilgili taraflar ve BGYS kapsamının belirlenmesi. |
| 5 | Liderlik | Üst yönetimin taahhüdü, politika oluşturma ve rollerin belirlenmesi. |
| 6 | Planlama | Risk ve fırsatların ele alınması, bilgi güvenliği hedeflerinin belirlenmesi. |
| 7 | Destek | Kaynaklar, yetkinlik, farkındalık, iletişim ve dokümante edilmiş bilgiler. |
| 8 | Operasyon | Risk işleme planlarının uygulanması ve kontrol süreçlerinin yürütülmesi. |
| 9 | Performans Değerlendirme | İzleme, ölçme, iç denetim ve yönetimin gözden geçirmesi. |
| 10 | İyileştirme | Sürekli iyileştirme, uygunsuzlukların giderilmesi ve düzeltici faaliyetler. |
ISO 27001 standardı, ana gereksinim maddelerinin yanı sıra bilgi güvenliği kontrollerini içeren Ek A (Annex A) ile birlikte ele alınmaktadır. Annex A, kuruluşların bilgi güvenliği risklerini yönetebilmesi için uygulanabilecek organizasyonel kontroller, insan odaklı kontroller, fiziksel kontroller ve teknolojik kontroller olarak sınıflandırılmıştır kontrol setlerini tanımlayan bir referans çerçevesi sunmaktadır (International Organization for Standardization, 2022);
| ISO 27001:2022 Kontrol Kategorisi | Açıklama | Kontrol Sayısı |
|---|---|---|
| Organizasyonel Kontroller | Bilgi güvenliği politikaları, roller, sorumluluklar ve risk yönetimi süreçlerini kapsamaktadır. | 37 |
| İnsan Odaklı Kontroller | Çalışan farkındalığı, eğitim, işe alım ve disiplin süreçlerini içermektedir. | 8 |
| Fiziksel Kontroller | Tesis güvenliği, fiziksel erişim ve ekipmanların korunmasına odaklanmaktadır. | 14 |
| Teknolojik Kontroller | Erişim kontrolü, kriptografi, ağ güvenliği ve sistem koruma mekanizmalarını kapsamaktadır. | 34 |
| Toplam | 93 |
Kaynaklar
International Organization for Standardization. (2022). Information security, cybersecurity and privacy protection — Information security management systems — Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/27001
Çakır, H., & Uygun, M. (2019). ISO 27001 bilgi güvenliği yönetim sistemi standardının kamu kurumlarına uygulanabilirliğinin araştırılması: Ankara ili örneği. Uluslararası Yönetim Bilişim Sistemleri ve Bilgisayar Bilimleri Dergisi, 3(2), 59–78. https://doi.org/10.33461/uybisbbd.598989