ISO 27001; bir bilgi güvenliği yönetim sisteminin oluşturulması, geliştirilmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürekliliği ve sürdürülebilirliği için bir model belirleyen bir standarttır.
Bu standart ISO tarafından 14 Ekim 2005 tarihinde yayınlanmış ve ISO/IEC 27000 serisi standartlarının içinde yerini almıştır. TSE Teknik Komitesi’nin 2 Mart 2006 tarihli toplantısında Türk standardı olarak kabul edilmiş ve TS ISO/IEC 27001 Bilgi Teknolojisi-Güvenlik Teknikleri-Bilgi Yönetim Sistemleri-Gereklilikler adıyla yayımlanmıştır. Bu standart, kuruluşların bilgi güvenliği yönetim sistemleri açısından belgelendirilmesi için gerekli standartları içermektedir. Sektör farkı gözetmeksizin tüm kuruluşlar bu sistemi uygulayabilir ve ISO 27001 sertifikası alabilir.
TS ISO 27001 Uygulamak İçin Neler Yapılmalı?
- Bilgi güvenliği organizasyonu oluşturularak güvenlik politikası belirlenmeli.
- Varlık yönetimi yapılmalı.
- İK tarafından görev ve sorumluluk tanımları yapılarak gizlilik anlaşmaları yapılmalı.
- Erişim ile ilgili güvenlik kontrolleri yapılmalı.
- Yetkiler ve yetkilere bağlı erişimler belirlenmeli.
- Çevresel ve fiziksel güvenlik sağlanmalı.
- Bilgi sistemleri tedariği güvenli yerlerden yapılmalı ve düzenli bakımı/gelişimi sağlanmalı.
- Bilgi güvenliğinin uygulanması ve yaşanabilecek olumsuz durumlara karşı yönetim düzeni oluşturulmalı.
- Çalışanlara; bilgi teknolojileri, siber hırsızlık, sahip olduğu şifreleri açıkta tutmama gibi bilgileri vermek üzere eğitimler düzenlenmeli.
- IT departmanı ile bilgi güvenliği konusunda devamlı çalışmalar yapılarak, düzenli aralıklarla çalışanlara kişisel çalışma bilgisayarlarına testler göndererek çalışanın davranışı değerlendirilmeli.
