Sinem Varol, Danışman
ISO/IEC 27001 Bilgi Güvenliği
Yönetim Sistemi (BGYS) standardı sertifikasına sahip olmak bir kuruluşun bilgi
güvenliği yönetim sistemini kurduğunun ve işlettiğinin göstergesidir. Bilgi
güvenliği yönetim sistemini işletiyor olmak kuruluşun bu doğrultuda bir
politikası olduğunu, bu sistemde kuruluşta görev sahibi olanların rol ve
sorumluluklarının neler olduğunun belirlendiğini, bilgi güvenliği risk ve
fırsatlarının yönetildiğini ve iç tetkiklerin yapıldığını gösterir.
ISO/IEC 27001 bilgi güvenliği yönetim sistemi işletiyor
olmanın kuruluşa farklı açılardan birçok faydası mevcuttur. Bilgi güvenliği
riskleri yönetildiğinde belirsizliğin amaçlar üzerindeki etkileri azaltılabilir
veya ortadan kaldırılabilir, kullanıcıların ağ ve ağ hizmetlerine erişimi
yönetilerek yetkisi olmayan kişilerin bilgiye erişimi kısıtlanabilir ya da ağ
güvenliğinin yönetilmesiyle ve bilgi transfer sürecinde belirli kurallar
uygulanarak kuruluşta haberleşme güvenliği sağlanabilir. Bunlar gibi birçok
fayda kuruluşun fiziksel ve dijital ortamda bulunan tüm çalışan, müşteri ve
ilgili üçüncü taraf bilgilerinin güvenliğini sağlamaya yardımcı olur.
ISO/IEC 27001 standardı ilk olarak 2005’te yayınlanmıştır.
Daha sonra 2013 versiyonu ve son olarak da 2017 versiyonu yayınlanmıştır. Bu
standartların Türkçeye çevrilmiş versiyonları TS ISO/IEC 27001:2005, TS ISO/IEC
27001:2013 ve TS ISO/IEC 27001:2017 şeklindedir. Standart ana maddelerinde
bilgi güvenliği yönetim sisteminin kurulması için gerekli olan maddeler
açıklanmıştır. Ayrıca, EK A kontrolleri olarak bilinen, standardın
uygulanmasına yönelik referans kontrol amaçları ve kontroller sayesinde
standarda uyum için yapılması gerekenler kuruluşlar tarafından daha net
anlaşılmakta ve bilgi güvenliği yönetim sisteminin hayata geçirilmesi ve
sürdürülmesi daha kontrollü olarak gerçekleşmektedir.
ISO/IEC 27001 standardı sertifikasına kuruluşlar kendi gerek
gördüğü ve sahip olmak istedikleri takdirde sahip olabilir ya da bazı sektörler
ve kuruluşlar için bu sertifikaya sahip olmak zorunlu hale gelmiştir. Bu
yazının devamında, Türkiye’deki kanun, yönetmelik ve tebliğlerde yer aldığı
üzere hangi kuruluşların ISO/IEC 27001 sertifikasına sahip olması gerektiği
incelenmiştir.
Bilgi Teknolojileri ve İletişim Kurumu
·
Elektronik İmza ile İlgili Süreçlere ve Teknik
Kriterlere İlişkin Tebliğde 30 Ocak 2013 tarihinde yapılan değişiklikte elektronik
sertifika hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001
standartlarına uyma zorunluluğu getirilmiştir.
·
25 Ağustos 2011 tarihli Kayıtlı Elektronik Posta
Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğde kayıtlı
elektronik posta hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001
standartlarına uyma zorunluluğu getirilmiştir.
·
15 Ekim 2010 tarihinde yayınlanan Elektronik
Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin
Tebliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme
şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerini kapsamaktadır.
Bu şirketlerin TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre sistem
belgelendirmesi yapmak üzere akredite edilmiş kuruluşlardan alınması gereken
bir uygunluk belgesine sahip olma yükümlülükleri bulunmaktadır. Bu kapsamda TS
ISO/IEC 27001 veya ISO/IEC 27001 standardı uygunluk belgesi aranan
işletmecilerin listesi aşağıda verilmiştir:
-
Görev Sözleşmesi İmzalayan İşletmeciler
-
İmtiyaz Sözleşmesi İmzalayan İşletmeciler
-
Uydu Haberleşme Hizmeti Veren İşletmeciler
-
Altyapı İşletmeciliği Hizmeti Veren İşletmeciler
-
Sabit Telefon Hizmeti İşletmecileri
-
GMPCS Mobil Telefon Hizmeti Veren İşletmeciler
-
Sanal Mobil Şebeke Hizmeti İşletmecileri
-
İnternet Servis Sağlayıcıları
-
Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti
Veren İşletmeciler
Enerji Piyasası Düzenleme Kurumu
·
Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılan
26 Aralık 2014 tarihli değişiklikte iletim faaliyetini gerçekleştiren lisans
sahibi tüzel kişiler için çalıştırdığı kurumsal bilişim sistemi ile endüstriyel
kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
standardına uygun bir şekilde işletmekle yükümlü tutulmuştur. Ayrıca, sevkiyat
kontrol merkezi kurmakla yükümlü dağıtım lisans sahipleri için de çalıştırdığı
Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001
Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme
zorunluluğu getirilmiştir.
·
Elektrik Piyasası Lisans Yönetmeliğinde 26
Aralık 2014 tarihinde bir değişiklik yapılmıştır. Bu yapılan değişiklikle
birlikte, OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve
üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal
bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi
Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü
getirilmiştir. Aynı yönetmelikte 24 Şubat 2017 tarihinde yapılan değişiklikle
birlikte dağıtım lisans sahipleri için lisans alma tarihinden itibaren yirmi
dört ay içerisinde OSB dağıtım lisansı sahipleri hariç olmak üzere, kurumsal
bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi
Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü
getirilmiştir. Aynı yönetmelikte 23 Aralık 2015 tarihinde yapılan değişiklikle
birlikte tedarik lisansı sahipleri için lisans alma tarihinden itibaren yirmi
dört ay içerisinde TS ISO/IEC 27001 standardı için Türk Akreditasyon Kurumuna
akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini
Kuruma sunma yükümlülüğü getirilmiştir.
·
Petrol Piyasası Lisans Yönetmeliğinde 26 Aralık
2014 tarihinde yapılan değişiklikle birlikte rafinerici lisans sahiplerine tesislerin
devreye alınma tarihinden itibaren yirmi dört ay içerisinde kurumsal bilişim
sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği
Yönetim Sistemi standardına uygun bir şekilde işletme zorunluluğu
getirilmiştir.
Gümrük ve Ticaret Bakanlığı
·
21 Mayıs 2014 tarihinde yayınlanan Gümrük
İşlemlerinin Kolaylaştırılması Yönetmeliğinde belirtildiği üzere yetkilendirilmiş
yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişilerin yapacakları
başvuruda ISO 27001 sertifikasının aslı veya düzenleyen kuruluş tarafından
onaylı örneğini ibraz etmeleri gerekmektedir.
Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı
·
19 Kasım 2019 tarihinde yayınlanan e-Belge Özel
Entegratörleri Bilgi Sistemleri Denetim Kılavuzunda yer aldığı üzere GİB’den
izin alan/alacak olan Özel Entegratör kuruluşlarının ISO/IEC 27001:2013 Bilgi
Güvenliği Yönetim Sistemi Belgesine sahip olma zorunluluğu bulunmaktadır. e-Belge
denildiğinde e-Fatura, e-İrsaliye, e-Bilet, e-Arşiv gibi belgeleri
kapsamaktadır. Aynı kılavuzda özel entegratörün yılda en az bir kez sızma testi
yaptırması gerektiği belirtilmiştir.
Ticaret Bakanlığı
·
Türkiye Cumhuriyeti Ticaret Bakanlığı, 6563
sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat
kapsamında, Türkiye Odalar ve Borsalar Birliği'ni ticari elektronik ileti
izinlerinin ve şikâyet süreçlerinin yönetilebildiği ulusal bir platform
kurmakla görevlendirmiştir. İleti Yönetim Sistemi A.Ş., Türkiye Odalar ve
Borsalar Birliği tarafından bu amaçla hizmet vermek üzere kurulmuştur. 4 Ocak
2020 tarihinde Ticari İletişim ve Ticari Elektronik İletiler Hakkında
Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik yayınlanmıştır. Bu
yönetmelikte geçtiği üzere, Ticaret Bakanlığı tarafından ticari elektronik
ileti yönetim sistemini kurmakla yetkilendirilen Kuruluş (İleti Yönetim Sistemi
A.Ş.), ticari elektronik ileti gönderiminin aksamaması için gerekli teknik
tedbiri almak ve İYS’ye yönelik Bakanlık tarafından istenen diğer iş ve
işlemleri yürütmekle yükümlüdür. Bu kapsamda, İYS API (Application Programming
Interface) lisansı kullanım hakkı elde ederek kendi müşterilerine İYS
entegrasyon hizmeti sunan iş ortaklarının TÜRKAK onaylı ISO 27001 - Bilgi Güvenliği
Yönetim Sistemi Sertifikası’na sahip olmaları veya bu belgenin altı ay içinde
tamamlanacağını taahhüt etmeleri gerekmektedir.
Ulaştırma ve Altyapı Bakanlığı
·
21 Haziran 2017 tarihinde yayınlanan KamuNet Ağına
Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğde
bahsedildiği üzere, KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşu
kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre
belgesini almakla ve güncelliğini sağlamakla yükümlüdür. Aynı tebliğde yer
aldığı üzere KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşunun
KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri
gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması
gerekmektedir.
Bunların yanı sıra, bazı yönetmelik ve tebliğlerde de
doğrudan ISO/IEC 27001 sertifikasının alınması şart koşulmadığı halde bir BGYS kurulması,
teknik açıklıkların tespit edilmesi ya da risklerin yönetilmesi gibi konularda gereklilikler
belirtilmiştir. Bu gereklilikler ISO/IEC 27001 standardına uyumlu hale
gelindiğinde karşılanmış olacaktır diyebiliriz. Aşağıda BGYS kurulmasını
gerektiren ya da ISO/IEC 27001 standardıyla ilişkilendirilebilen tebliğ ve
yönetmeliklere yer verilmiştir.
Bankacılık Düzenleme ve Denetleme Kurumu
·
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat
Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 5.
maddesinde ödeme sistemi ve menkul kıymet mutabakat sistemi işleticisi olan
tüzel kişilerin yeterli risk yönetimine sahip olmaları ve bilgi güvenliği ve
güvenilirliğine dair tedbir almaları gerektiği belirtilmiştir. Kuruluşta BGYS
faaliyete geçirildiği takdirde risk yönetimi süreci işletiliyor ve bilgi
güvenliğine dair tedbirler hayata geçirilmiş olacaktır.
·
14 Eylül 2007 tarihli Bankalarda Bilgi
Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat, katılım,
kalkınma ve yatırım bankalarını kapsamaktadır. Bu tebliğde bu bankalar için etkin
bir risk yönetimi yapılması, yeni projelerin getireceği risklerin yönetilmesi, verilerin
gizlilik, bütünlük ve ulaşılabilirliklerini sağlamaya yönelik tedbirlerin alınması,
verilerin hassasiyet derecelerine göre sınıflandırılması ve personelin güvenlik
konusunda farkındalık kazanması gibi hususları yerine getirmeleri gerektikleri
belirtilmiştir. Aynı zamanda bağımsız ekiplerce düzenli aralıklarla sızma testi
yaptırılması gerektiğine yer verilmiştir. ISO/IEC 27001 standardına uyumlu hale
gelindiğinde bu hususların tamamı yerine getirilmiş olur. Bu tebliğ 1 Temmuz
2020 tarihinde yürürlükten kalkacaktır.
·
15 Mart 2020 tarihinde yayınlanan Bankaların
Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
mevduat, katılım, kalkınma ve yatırım bankalarını kapsamaktadır. Bu
yönetmelikte bu bankaların bilgi varlıklarını sınıflandırarak varlık envanteri
hazırlamaları, risk yönetim süreci tesis etmeleri, farkındalığı artıracak
çalışmalar yapmaları, önemli projeler ve değişiklikler için bilgi güvenliği
gereksinimlerini belirlemeleri gerektiği belirtilmiştir. Aynı zamanda bilgi
güvenliği yönetim ve bilgi sistemleri süreklilik yönetim sistemlerinin ulusal
veya uluslararası standartları ya da en iyi uygulamaları referans almalarının
esas olduğu belirtilmiştir. Bu bankaların bağımsız ekiplere yılda en az bir
defa sızma testi yaptırmaları gerektiğine de yer verilmiştir. ISO/IEC 27001
standardına uyum süreci bu şartların tamamını kapsamaktadır. Bu yönetmelik 1
Temmuz 2020 tarihinde yürürlüğe girecektir.
·
6 Nisan 2019 tarihinde yayınlanan Finansal
Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine
ve Denetimine İlişkin Tebliğde bilgi güvenliği yönetim sürecinin tesis
edilmesi, personelin farkındalığının arttırılması, verilerin hassasiyet
derecelerine göre sınıflandırılması, 2 yılda bir sızma testi yaptırılması gibi
gerekliliklerden bahsedilmiştir. Aynı zamanda ISO/IEC 27001 standardına uyum
ile ilişkilendirilebilir bilgi sistemleri sürekliliğinin sağlanması, erişim
yönetimi yapılması gibi hususlar da mevcuttur.
·
Ödeme Kuruluşları ve Elektronik Para
Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde kuruluşun
verileri güvenlik hassasiyet derecelerine göre sınıflandırmaları ve buna uygun
derecede güvenlik kontrolleri tesis etmeleri, bilgi güvenliği politikası ve
bilgi güvenliği yönetim süreci oluşturmaları, bağımsız ekiplere yılda en az bir
defa sızma testi yaptırmaları gerekmektedir. Bu tebliğ ödeme hizmeti sağlayan
ve gerçekleştiren kuruluşları ve elektronik para ihraç eden kuruluşları
kapsamaktadır. ISO/IEC 27001 standardına göre BGYS işletildiğinde gerekli
görülen süreçler sağlanmış olacaktır.
Bilgi Teknolojileri ve İletişim Kurumu
·
13 Temmuz 2014 tarihli Elektronik Haberleşme
Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti
sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten
şirketleri kapsamaktadır. Bu işletmecilerin BGYS’yi kurmaları, uygulamaları ve
sürekliliğini sağlamaları gerekmektedir. Bunun yanı sıra varlık envanteri
oluşturma, risk değerlendirme ve işleme yapılması, bilgi güvenliğinin
farkındalığının arttırılması ve bilgi güvenliği olaylarının izlenmesi ve gözden
geçirilmesi gibi hususlar da ISO/IEC 27001 standardının uygulanmasıyla birlikte
yerine getirilecek gereklilikler arasında sayılabilir.
Enerji Piyasası Düzenleme Kurumu
·
Enerji Sektöründe Kullanılan Endüstriyel Kontrol
Sistemlerinde Bilişim Güvenliği Yönetmeliğine belirtildiği üzere EKS
(Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber
yayınlanmıştır. Bu rehberdeki kontrollerin öneri mahiyetinde olduğuna yer
verilmiş, rehberin içinde de yazıldığı üzere EKS’lerin güvenliğinin
denetlenmesi için bir el kitabı olma niteliğindedir. Rehberde ISO/IEC 27001
standardı ile ilişkilendirilebilir erişim kontrolü, risk değerlendirme, belirli
aralıklarla sızma testi gerçekleştirilmesi, personel güvenliği ve bilgi
güvenliği programının planlanması hususları bulunmaktadır. Standardın getirdiği
gereklilikler, bu rehberde belirtilen güvenlik kontrolleri için büyük bir fayda
sağlayacaktır. Yönetmelikte belirtildiği üzere yükümlü kuruluşlar aşağıdaki
gibidir:
-
Elektrik iletim lisansı sahibi,
-
OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik
dağıtım lisansı sahibi,
-
OSB üretim lisansı sahibi hariç olmak üzere geçici
kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her
bir elektrik üretim tesisi sahibi,
-
Boru hattı ile iletim yapan doğal gaz iletim
lisansı sahibi,
-
Sevkiyat kontrol merkezi kurmakla yükümlü doğal
gaz dağıtım lisansı sahibi,
-
Doğal gaz depolama lisansı sahibi (LNG, yer altı
depolama),
-
Ham petrol iletim lisansı sahibi,
-
Rafinerici lisansı sahibi tüzel kişiler.
Kişisel Verileri Koruma Kurumu
·
Kurumun Ocak 2018’de yayınladığı Kişisel Veri
Güvenliği Rehberi (Teknik ve İdari Tedbirler) kişisel verileri işleyen gerçek
ve tüzel kişiler için siber güvenliğin sağlanması, kişisel veri güvenliğinin
takibi gibi konular üzerine öneriler sunmuştur. Bu rehberde belirtildiği üzere erişimin
sınırlandırılması, düzenli olarak zafiyet taramaları ve sızma testlerinin
yapılması, risk ve tehditlerin belirlenip buna uygun önlemler alınması,
farkındalık çalışmaları gibi hususlar ISO/IEC 27001 standardına uyumluluk ile
örtüşmektedir. Rehberde bulunan teknik tedbirler özet tablosu aşağıda
verilmiştir. Bu tablodaki teknik tedbirlerin, standardın Ek A kontrol
maddeleriyle olan benzerliği gözden kaçmamalıdır.
Teknik
Tedbirler
|
||
Yetki Matrisi
|
Şifreleme
|
Yedekleme
|
Yetki Kontrol
|
Sızma Testi
|
Güvenlik Duvarları
|
Erişim Logları
|
Saldırı Tespit ve Önleme Sistemleri
|
Güncel Anti-Virüs Sistemleri
|
Kullanıcı Hesap Yönetimi
|
Log Kayıtları
|
Silme, Yok Etme veya Anonim Hale
Getirme
|
Ağ Güvenliği
|
Veri Maskeleme
|
|
Uygulama Güvenliği
|
Veri Kaybı Önleme Yazılımları
|
Anahtar Yönetimi
|
Sermaye Piyasası Kurulu
·
5 Ocak 2018 tarihinde yayınlanan Bilgi
Sistemleri Yönetim Tebliğinde ele alındığı üzere bilginin gizliliğinin,
bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak
bilgi güvenliği politikasının hazırlanması, risk yönetiminin
gerçekleştirilmesi, bilgi varlıklarının envanterinin oluşturulması ve önem
derecesine göre sınıflandırılması gibi hususlar ISO/IEC 27001 standardı ile
ilişkilendirilebilir. Aynı zamanda erişim haklarının her yıl güncel durumla
uyumlulukları açısından değerlendirmeye tabi tutulması, en az yılda bir kez
sızma testi yaptırılması gibi hususlar da göz önünde bulundurulduğunda BGYS’nin
hayata geçirilmesinin çok avantajlı olacağını söyleyebiliriz. Bu tebliğe
uymakla yükümlü olan kurum, kuruluş ve ortaklıklar aşağıda verilmiştir:
-
Borsa İstanbul A.Ş.
-
Borsalar ve piyasa işleticileri ile
teşkilatlanmış diğer pazar yerleri
-
Emeklilik yatırım fonları
-
İstanbul Takas ve Saklama Bankası A.Ş.
-
Merkezi Kayıt Kuruluşu A.Ş.
-
Portföy saklayıcısı kuruluşlar
-
Sermaye Piyasası Lisanslama Sicil ve Eğitim
Kuruluşu A.Ş.
-
Sermaye piyasası kurumları
-
Halka açık ortaklıklar
-
Türkiye Sermaye Piyasaları Birliği
-
Türkiye Değerleme Uzmanları Birliği
Dijital Dönüşüm Ofisi
·
6 Temmuz 2019’da yayınlanan Bilgi ve İletişim
Güvenliği Tedbirleri Genelgesinde ağ güvenliği, kayıtların korunması, mobil
cihaz güvenliği, personel güvenliği gibi hususlara değinilmiştir. Genelgede
milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol
açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve
uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde “Bilgi ve
İletişim Güvenliği Rehberi” oluşturulacağı açıklanmıştır. Tüm kamu kurum ve
kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi
sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunlu
tutulmuştur.
Türkiye Cumhuriyeti Merkez Bankası
·
9 Ocak 2016’da yayınlanan Ödeme ve Menkul Kıymet
Mutabakat Sistemlerinde Kullanılan Bilgi Sistemleri Hakkında Tebliğde bilgi
güvenliği yönetim sistemi oluşturulması, risk yönetim çerçevesi oluşturulması, değişiklik
yönetimi gibi hususlara değinilmiştir. Ayrıca bilgi varlıklarının
sınıflandırılması, yılda en az bir defa sızma testi gerçekleştirilmesi,
personel farkındalığı gibi maddelere değinildiği de göz önünde bulundurulduğunda
BGYS kurulması ve işletilmesinin uyum açısından oldukça faydalı olacağı söylenebilir.
Özetleyecek olursak, kuruluşlarda bilgi güvenliğine verilen
önem ve yasal olarak getirilen zorunluluklar gün geçtikçe artmaktadır. ISO/IEC
27001 standardı baz alınarak kuruluşta bir bilgi güvenliği yönetim sistemi
kurulduğunda erişim yönetimi, risk yönetimi, iç denetim, düzeltici faaliyetler
gibi uygulamalar sayesinde kuruluşun hassas bilgilerinin yetkisiz kişilerin
eline geçmesi, yetkisiz kişilerin bilgilerin bütünlüğünü bozması önlenmiş olur
ve bilgilere ihtiyaç duyulduğunda erişilmesi sağlanmış olur. ISO/IEC 27001
standardına uyumla birlikte kuruluşların bilgi ifşasını önleyerek itibarının
korunması, birlikte iş yapılan üçüncü taraflara bilgilerinin güvenliği
konusunda güvence sağlanması, kuruluşa rekabet avantajı sağlaması ve yasal
yükümlülüklerin yerine getirilmesi sebebiyle küçükten büyüğe tüm kuruluşların
işletmesinde büyük faydalar sağlayacak bir yönetim sistemidir.
