Her bir kuruluş benzersiz bilgi güvenliği zorluklarıyla karşı karşıya kalmaktadır, bu nedenle ISO 27001 standart genel bir güvenlik yaklaşımını zorunlu kılmaya çalışmaz.
Bunun yerine, ISO 27001’i uygulamak, bilgi güvenliğine katkıda bulunan uygun süreçleri ve kurallara uyulmasına katkıda bulunur. güvenliğe katkıda bulunan süreçlerin ve kuralları varlığını belgeleyerek başarınızı göstermiş olursunuz ve bu sayede ISO 27001 standart sertifikasına sahip olabilirsiniz.
Uygulanabilirlik Beyanı
ISO 27001 standart belgesi Ek A’da belirtilen 114 bilgi güvenliği kontrolünden hangisini kurumunuz politikası olarak benimseyeceğinizi ve nedenini açıklamaktadır. Çok yönlü ele alınan ve incelenen bilgi güvenilirliği kontrolleri nedeniyle benimseyeceğiniz bu politikaların uygunsuz olma olasılığı vardır.
Bu Standart iki ana parçaya ayrılmıştır. Birinci, bölüm 0 dan 10 kadar 10 maddeden oluşur. Ek A olarak adlandırılan ikinci kısımda ise 114 hedef kontrolü ve bu kontrol için bir rehber niteliği taşımaktadır. 0 ile 3 arasındaki maddeler standardın (Giriş, Kapsam, Normatif referanslar, Terimler ve tanımlar) ISO 27001’in girişini belirler. Bilgi güvenliği yönetim sisteminin maddeleri şu şekildedir.
Madde 4: Kuruluşun Bağlamı
Bilgi Güvenliği Yönetim Sisteminin başarılı bir şekilde uygulanmasının hayati şartlarından biri o kuruluşun içeriğinin net bir şekilde anlaşılması gerekliliğidir. Kurum içi ve dışı konularına ilave olarak ilgili tarafların da belirlenmesi ve dikkate alınması standardın sağlanması için oldukça önemlidir. İhtiyaçlar ve bu ihtiyaçları düzenleyici konular dahil edilebilir ve bunun da ötesine geçebilir. Kapsamlı bir şekilde her şey göz önünde bulundurularak bir kuruluşun BGYS’nin kapsamını tanımlaması gerekir.
Bu standart belgesi, Bilgi Güvenliği Yönetim Sisteminin (BGYS) uygulanacağı ve takip edeceği işlem türünü ve bu sistemin uygulandığı sınırları belirlemenize yardımcı olur.
Bilgi güvenliği yönetim sisteminin uygulanabilirliği ve bu uygulanabilirliğin ana hatları, sahip olduğunuz kuruluş tarafından sağlanan hizmet ve ürün türleri yine bunlara ek olarak bu bu ürünlerin sağlandığı ortamlar bölgesel olarak ulusal yada uluslararası ve dünya geneli gibi açıklamayı içerecektir. Bu konuda çerçevenin belirlenmesi, kuruluşunuzun hangi kısımlarının BGYS’ye uygulanacağını belirlemeniz gerekmektedir.Bu süreçler, siteler, bölümler, vb. gibi alanları içermektedir.
BGYS genellikle şirket tanımına uygun olarak uygulanır ama bir işletmenin, sitenin veya yönetim ekibi sisteminizin kapsamına girmesinin uygunsuz ya da imkansız olduğu koşullar olabilir.
Madde 5: Liderlik
Kapsamlı ve yeterli bir liderlik için ISO 27001 gereklilikleri çok çeşitlidir ve değişkenlik göstermektedir. Üst yönetimin taahhüdü bir yönetim sistemi için zorunludur. Bir kuruluşun yada örgütün amaçları o onların hedeflerine göre belirlenmelidir. Bilgi güvenliği yönetim sistemi için gerekli kaynakların sağlanması ve kişilerin BGYS’ye katkıda bulunmalarının desteklenmesi, karşılama yükümlülükleri bunun için verilen örneklerdendir. Ayrıca üst düzey yönetimin bilgi güvenliğine göre politikalar oluşturması gerekmektedir. Oluşturduğu bu politikalar ve izleyeceği yol belgelendirilerek ilgili taraflara iletilmelidir. ISO 27001 standardının gerekliliklerini karşılamak ve BGYS’nin performansını raporlamak için görevler ve sorumluluklar da atanmalıdır. Standart için ihtiyaç duyulan eksiklikler giderilmelidir.
Madde 6: Planlama
Bilgi güvenliği yönetim sistemi alanlarında planlama yapılırken riskler ve fırsatlar her zaman göz önünde bulundurulmalıdır. BGYS için güvenilirliğin artmasında risk değerlendirmesi hayati bir öneme sahiptir.Bu nedenle, bilgi güvenliği hedefleri risk değerlendirmesine dayandırılmalıdır. Risk değerlendirilmesine dayandırılarak yapılan hedefler şirketin genel hedeflerine uygun olmalıdır. Ayrıca bunlara ek olarak şirket hedeflerinin en iyi şekilde geliştirilmesi gerekmektedir. Şirket içinde çalışan ve şirkete uyum sağlayarak çalışan herkes için güvenlik hedefleri en iyi şekilde sağlanarak standart yakalanır.
Madde 7: Destek
Destek sağlanmasının temel konularından olan kaynaklar,çalışanların yeterliliği, yetkinliği farkındalığı ve iletişim gibi konularda standart gerekliliği şirket için önemlidir.Diğer bir gereklilik de bilgileri ISO 27001’e göre belgelendirmektir. Belgelenen bilgilerin kaydedilmesi oluşturulmasının ve yenilenmesinin yanında kontrol edilmesi gereklidir. Bilgi güvenliği yönetim sisteminin başarısını desteklemek için uygun bir dokümantasyon sağlanmalıdır.
Madde 8: Çalışma
Bilgi güvenliğinin uygulanması için bütün bu süreçler zorunludur.Bu zorunluluk bir standart sağlamak için gereklidir. Bu süreçlerin planlanması, uygulanması ve kontrol edilmesi gerekir. Daha önce açıklandığı gibi üst yönetimin düşünmesi gerektiği bilgi güvenliği risk değerlendirmesi ve iyileştirme stratejileri uygulamaya konulmalıdır.
Madde 9: Performans Değerlendirmesi
ISO 27001 standardının gereklilikleri, Bilgi güvenliği yönetim sisteminin izlenmesini, ölçülmesini, analizini ve değerlendirilmesinin yapılmasını ummaktadır. Bölüm sadece kendi çalışmasını kontrol etmekle kalmaz aynı zamanda da iç ve dış denetimin yapılması gerekliliğini sağlar. Belirli zaman aralıklarıyla, üst yönetimin kuruluşun BGYS nin gözden geçirmesi gerekir. Belirli aralıklarda kontrol edilen bilgi güvenliği sistemi standart için güvenirliği sağlar.
Madde 10: İyileştirme
Değerlendirmede iyileştirme ve buna ek yenileme standart için yakından izlenir. Şirket içindeki uygunsuzluklar düzeltmek ve düzenlemek için harekete geçilerek bu uygunsuzluğun nedenleri ortadan kaldırılır ve uygulanabilir hale getirilir. Bilgi güvenliği yönetim sistemi şirketlerdeki eksikliklerin giderilmesinde ve şirketlerde gelişmelerin sağlanmasına ön ayak olur.