ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumların kendilerinin ve müşterilerinin bilgilerini güvende tutmak için kullanılan uluslararası bilgi güvenliği yönetim standartıdır.

Günümüzde kurumlar veya kişiler için en önem verilen şeylerden birisi bilgidir. Bu nedenle herkes tarafından en önem verilen konuların başında gelen bilginin koruma altına alınarak güvenli bir şekilde yönetilmesi önem arz etmektedir. Kurumların finansal alandaki verileri, fikri mülkiyetleri ve müşterilerinin bilgilerinin korunması ISO 27001 sayesinde mümkün olmaktadır. Şirketlerde ISO 27001 standartının uygulanması, oluşabilecek risklerin azaltılmasında önemli bir rol üstlenirken gerekli olan güvenlik önemlerinin yerine getirilmesini de sağlamaktadır.

ISO 27001 Sertifikası Nedir?

ISO 27001 sertifikası gerekli olan tüm kurum ve kuruluşların bilgilerinin gizlilik bütünlük ve erişilebilirliklerini sağlamak amacıyla kurdukları bilgi güvenliği yönetim sistemini, bağımsız belgelendirme kuruluşları denetimden geçirmektedir. Bağımsız belgelendirme kuruluşlarının yaptıkları denetlemeler sonucunda kurumun istenilen kriterlere uygun olduğunun kanıtlanması akabinde kurum adına düzenlenen sertifikaya ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası denilmektedir.

ISO 27001 ve 5651 Sayılı Kanun

23 mayıs 2007 tarihinde resmi gazetede yayımlanarak yürürlüğe girmiş olan “5651 sayılı İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun” içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin yapılması gerekenlerin belirlendiği kanundur. Bu kanunun yürürlüğe girmesi ile birlikte internet ortamında yapılan yayınların kontrol altına alınması ve yapılan yayınlar sonucunda işlenebilecek suçların engellenmesini amaçlanmaktadır ve  bu kanun sayesinde  hukuken de bu alanda önlem alınmış olunur. 5651 sayılı kanunun yürürlüğe girmesiyle birlikte kurumların sahip olduğu internet hizmetlerini toplu olarak çalışanlarının ya da müşterilerinin kullanımına açması durumunda yerine getirmesi gereken şartlar bulunmaktadır. Bunlara örnek olarak;

  • İnternet sağlayıcısı kurum kendi ağları içerisinde kullanılan IP adres bilgilerini ve bu adreslerin kullanmaya başladıkları, sonlandırdıkları tarihleri ve aynı zamanda kullanılan bu IP adreslerine bağlanan bilgisayarların MAC adreslerini de kayıt altına almakla sorumludur.
  • İnternet sağlayıcısı kurum kayıt altına alınan verilerin doğruluğunu ve tamlığını kontrol etmeli ve elde edilen verilerin dosyanın oluşturulduğu zaman bilgisi ile günlük bir şekilde kayıt altına almalı ve son yılda kayıt altına alınan tüm dosyaları sağlamakla yükümlüdür. Bu bilgilerin gizliliğinin sağlanması da 5651 sayılı kanun gereği internet sağlayıcısının görevidir.

ISO 27001 uluslararası bir standarttır ve bu standartlar uygulandığı takdirde bir düzenin olması beklenmektedir. Diğer yandan 5651 sayılı kanunun yürürlüğe girmesi ile hukuken neyin yapılması gerektiği neyin yapılmaması gerektiği de daha fazla netlik kazanmıştır.

KVKK ve GDPR Kapsamında Verilerin Korunması

“6698 Sayılı Kişisel Verilerin Korunması Kanunu” ile kişisel verilerinin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ve uyacakları kuralların belli olmasını amaçlamaktadır. Bu kanun ile birlikte artık kişilerin verileri kişinin kendi izni olmaksızın işlenemeyecek, üçüncü kişilere ve ya yurtdışına aktarılamayacaktır.

Türkiye’de kişilerin verileri nasıl Kişisel Verileri Koruma Kanunu (KVKK) gibi kanunlarla korunuyor ise Avrupa Birliği ülkelerinde de bu veri ve bilgiler Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) ile korunmaktadır. Bu yönetmelik ile Avrupa Birliği’ne üye olan Avrupa Birliği vatandaşlarının kişisel verilerinin korunması amaçlanmaktadır. GDPR 25 Mayıs 2018’den itibaren Avrupa Birliği’ne üye olan ülkelerde yürürlüğe girmiş ve bu ülkelerde bulunan kuruluşlarda kişisel verilerin Genel Veri Koruma Yönetmeliği (GDPR)‘nde belirtildiği kurallar doğrultusunda güvenliğinin sağlanması hedeflenmiştir.

Bilgi günümüzde hızlı bir şekilde üretilirken bir yandan da hızla tüketilmektedir. Günümüz bilgi çağında bilgiye ulaşmak internet sayesinde çok daha kolay hale gelmiştir. Artık bilgi kişiler, kurumlar için önemli iken ülkeler için de çok fazla önemli bir konumdadır. Çünkü artık güçlü bir ülke demek bilgiyi üretebilen ülke anlamına gelmektedir.  Bilginin bu kadar önemli olduğu bir dönemde bilgi üreten ülkeler için de bilgi ve iletişim teknolojileri konuları çok önemli bir hal almaktadır. Bilginin bu kadar önemli olduğu bir dönemde kişiler, kurumlar ve ülkeler bilgilerin güvende tutmak istemektedir. Bu nedenle hacker’lar tarafından siber saldırı gibi tehditlerden korunmak için yukarıda bahsedilen kanunlar ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi doğrultusunda belirlenen kuralların uygulanması gerekli hale gelmiştir. Siber güvenliğin sağlanması için ISO 27001 standartı çok önemlidir ve ihtiyaca ve gelişmelere göre de güncellenmektedir.

Bilgi güvenliğini sadece siber saldırı durumlar etkilememektedir. Doğal afetler, yangın sel, deprem gibi olaylar bilgi teknolojilerini etkilemekte ve zarar vermektedir. Bu derece farklı boyutlarda tehlikenin söz konusu olduğu bir durumda ISO 27001’da olduğu gibi risklerin önceden tahmin edilebilir bir durumda olunması avantaj sağlayacaktır.

ISO 27001 Sertifikasının Faydaları Nelerdir?

  • İşletmenin bilgilerinin güvenliğini sağlar ve bilgilerin kaybolması gibi riskleri en aza indirir.
  • Bilgilerin kaybolmasından dolayı oluşabilecek kayıpların önlenmesini sağlar ve daha verimli bir çalışma ortamı oluşmuş olunur.
  • Bilgilerin saklanması için en iyi yöntemin seçilmesi sağlanır.
  • Kurum bilgilerini önem düzeyine göre ayırmadan tüm bilgiler saklanmaktadır.
  • Bilgi güvenliği alanındaki eksikler veya yanlışlar belirlenir ve bunlara göre çözümler oluşturulur.
  • Yasal gereklilikler tamamlanarak işletme standartlara uygun hale getirilir.

Sonuç olarak görülüyor ki tüm ülkeler için bilgi güçtür. Herkes bu gücü bir şekilde elde etmek istemektedir. Bilgi güvenliğini sağlamak için ne kadar kanun çıkarılsa da bazı kişiler bunlara uymamaktadır. Bu nedenle 5651 sayılı kanun, 6698 Sayılı Kişisel Verilerin Korunması Kanunu gibi kanunlar ne kadar insanların haklarını savunsa da ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin sunmuş olduğu avantajlardan faydalanılmalı ve bilgi güvenliği en iyi şekilde sağlanmalıdır.