ISO Yönetim Sistemleri

ISO 27001 - Bilgi Güvenlği Yönetim Sistemi

ISO 27001 Standardının amacı ise bilgi güvenliği yönetim sistemini kurmak ve belgelendirmek bir firmaya şirkete veya kuruluşa Bilgi Güvenliği kavramının temel ilkelerini sağlamaktadır.

Bilgi Nedir?

Bilgi bir kurumun kuruluşun veya organizasyonun faaliyetlerini yürütmekte kullandıkları verilerin anlam kazanmış haline denir. Bilgi bir kurumun sürekliliğini ve varlığına sağlayan yegane faktördür ve güvenliğinin sağlanması gerekir.

Bilgi Türleri aşağıdaki gibidir.

 • Kağıt üzerine basılmış, yazılmış
 • Elektronik olarak saklanan
 • Posta ya da elektronik ortama aktarılmış
 • Kurumsal videolarda gösterilen
 • Söyleşiler sırasında sözlü olarak aktarılan

Bilgi Güvenliği Nedir?

Bilgi Güvenliği ise hayati öneme sahip bilginin korunması, bütünlüğünün sağlanması ve erişebilir ve ulaşabilir olmasının sağlanması için alınan gerekli ve önemler ve tedbirlerdir.

Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:

 • Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),
 • Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)
 • Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi Güvenliği Yönetim Sistemi ise Bilgi güvenliği ile ilgili alınan tedbirlerin ve önlemlerin sistematik şekilde alınması, bilgi güvenliğine dair yapılan çalışmaların daha etkin ve kurallara bağlı yapılması, sürekliliğinin sağlanmasına yönelik kaynakların personelinde kullanıldığı bir yönetim sistemi şeklidir. Bilgi Güvenliği Yönetim Sisteminin uluslararası arenada en üst düzey standardı ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır.

ISO 27001 KURULUM AŞAMALARI

 • Bilgi varlıkların sınıflandırılması, kategorileştirilmesi, sistem açısından kritikliklerinin belirlenmesi.
 • Gizlilik, bütünlük ve erişe bilirlik kriterlerine göre varlıkların değerlendirilmesi
 • Risk yaklaşımı için bir çerçevenin sunulması
 • Risk analizi raporunun hazırlanması
 • Risklerin derecelendirilmesi
 • Risklerin üst yönetime sunulması için çerçeveyi oluşturma
 • Üst yönetimin risk analiz raporu değerlendirmelerine göre risk işleme planının hazırlanması
 • Risk işleme planına uygulanacak kontrolleri belirleme
 • Dokümantasyon oluşturma
 • Kontrolleri yapılandırma
 • İç tetkik
 • Kayıtları tutma
 • Yönetimin gözden geçirmesi