ISO 27001 Bilgi Güvenliği Yönetim Sistemi

🔐 ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sistemi
Bilgi sızdırıldıysa?
Sunuculara saldırı olduysa?
Çalışan bir e-postayı yanlış kişiye mi gönderdi?
Müşteri verisi çalındı mı?
💣 İşte ISO 27001 bu soruların hiçbirini sormanızı istemiyor çünkü öncesinde sizi tam güvenli bir kale gibi yapılandırıyor.

1. 🖥️🔐 ISO 27001 Nedir?
ISO 27001, kuruluşların bilgi varlıklarını korumak, veri sızıntılarını önlemek ve bilgi güvenliği risklerini yönetmek amacıyla oluşturulmuş uluslararası bir bilgi güvenliği yönetim sistemi (BGYS) standardıdır.

• Kapsamlıdır: Fiziksel veriden dijital altyapıya, insan kaynağından dış tedarikçiye kadar tüm bilgi güvenliği alanını kapsar.
• 3 Temel İlke:
  🔏 Gizlilik
  🧩 Bütünlük
  🌐 Erişilebilirlik

✍️ İpucu:
ISO 27001 yalnızca IT ekiplerini ilgilendirmez. Tüm çalışanlar, sistemin parçasıdır! 🤝

2. 🎯 ISO 27001’in Amacı Nedir?
Amacı, şirketlerin bilgi varlıklarını tehditlerden koruyacak sistematik bir yapı kurmasını sağlamaktır:

• Siber saldırılar,
• Yetkisiz erişim,
• Bilgi sızıntısı,
• Donanım arızası,
• Sosyal mühendislik saldırıları,
• Yanlışlıkla veri paylaşımı…

💡 Örnek:
Bir muhasebe departmanında müşteri bilgileri yanlış e-postayla başka firmaya gönderildi. ISO 27001 sayesinde olay kaydedildi, bildirildi ve prosedür çalıştı: Zarar en aza indirildi.
 
✍️ İpucu:
ISO 27001 size “sıfır açık” değil, “her açığa karşı senaryo” kazandırır.

3. 🌐 ISO 27001’in Kapsamı Nedir?
ISO 27001;

• 📁 Dijital ve basılı belgeler,
• 🧠 Kurumsal bilgi ve know-how,
• 🧑‍💻 Donanım ve yazılım,
• 🏢 Fiziksel güvenlik alanları,
• 🕵️‍♂️ İnsan kaynaklı riskler,
• 🤝 Tedarikçi ve iş ortağı güvenliği konularında sistemsel güvenlik sağlar.

📍 Teknik Detay:
114 kontrol maddesi (Annex A) ile bilgi güvenliğinin en küçük ayrıntılarına kadar tanımlandığı dünyanın en kapsamlı BGYS standardıdır. 💣

4. 🏢 ISO 27001 Belgesini Kimler Alabilir?

• 🏦 Bankalar,
• 🍫 Gıda firmaları,
• 📦 Ambalaj firmaları,
• 📡 Telekom firmaları,
• 💳 E-ticaret ve ödeme sistemleri,
• 🏥 Hastaneler ve sağlık kuruluşları,
• 📈 Finansal danışmanlık firmaları,
• 🏛️ Kamu kurumları,
• ☁️ Bulut hizmeti veren şirketler…

💡 Örnek:
Kişisel veri işleyen her şirket (KVKK / GDPR uyumu olan) ISO 27001 ile bu yükümlülükleri teknik olarak da sistemleştirebilir.

✍️ İpucu:
ISO 27001 belgesi, artık “veriyle iş yapan her firmanın” alması gereken yeni norm haline geldi. Özellikle AB ve global pazara açılmak isteyenler için vazgeçilmezdir.

5. 🛠️ ISO 27001 Nasıl Kurulur?
Kurulum süreci:

1. 🔍 Varlık Envanteri Çıkarılır: Hangi bilgi, nerede, kimde, nasıl korunuyor?
2. 🎯 Risk Değerlendirmesi Yapılır: Olası tehditler & zayıflıklar belirlenir.
3. 📜 BGYS Politikası Oluşturulur: Amaç, kapsam, sorumlular tanımlanır.
4. 🧩 Kontroller Belirlenir: Fiziksel, dijital ve davranışsal önlemler planlanır.
5. 📁 Dokümantasyon Hazırlanır: Politika, prosedürler, kayıt formları.
6. 🧪 Denetim & Sürekli İyileştirme Döngüsü Başlar (PUKO).

✍️ İpucu:
ISO 27001’de “en büyük açık”, insan hatasıdır. Teknik altyapı kadar farkındalık eğitimi şart!

6. 🌟 ISO 27001’in Avantajları Nelerdir?

• 🔐 Veri sızıntılarını engeller.
• 💼 İtibar ve müşteri güvenini artırır.
• 📊 Regülasyonlara (KVKK, GDPR) uyum sağlar.
• ⚙️ BT altyapısında riskleri kontrol altına alır.
• 🔄 Sürekli iyileştirme kültürü kazandırır.
• 💰 Veri kaybı kaynaklı maliyetleri minimize eder.

✍️ İpucu:
Bu belge sayesinde firmalar, “veriniz bizde güvende” mesajını somut şekilde verebilir.

7. 📜 ISO 27001 Belgesi Nasıl ve Nereden Alınır?
📝 Akredite belgelendirme kuruluşlarından alınır.
💡 Öncesinde sistemin kurulması, risk analizlerinin yapılması ve tüm dokümantasyonun hazır olması gerekir.

Süreç:

1. Başvuru
2. Doküman kontrolü
3. Yerinde denetim
4. Uygunsuzlukların giderilmesi
5. Belgelendirme

8. 🔍 Denetim Süreci Nasıl İlerler?
🔍 1. Aşama: Politika, risk analizi, varlık envanteri gibi dokümanlar incelenir.
🏢 2. Aşama: Ofiste, sistem üzerinde saha denetimi yapılır.
📝 Tespitler, uygunsuzluklar, gözlemler raporlanır.
✅ Düzeltici faaliyetlerin tamamlanmasıyla belge verilir.

✍️ İpucu:
Denetçi; “Bu verilere sadece yetkili kişiler erişebilir mi? Erişim logları tutuluyor mu?” gibi detayları bizzat görmek ister.

9. ⏳Belgenin Geçerliliği
📆 3 yıl geçerlidir.
📅 1. ve 2. yıllarda gözetim denetimleri yapılır.
📋 3. yılın sonunda yeniden belgelendirme gerekir.

✍️ İpucu:
Belgeyi aldıktan sonra sistem unutulmamalı. Siber tehditler gelişir, sistem güncellenmelidir.

10. ⚖️ Zorunlu mu?
🚫 Hukuken zorunlu değildir.
Ancak:
✅ KVKK / GDPR gibi veri koruma yasalarıyla uyumu destekler.
✅ E-ticaret, finans, sağlık gibi sektörlerde beklenti hâline gelmiştir.
✅ İhalelerde ve müşteri güveninde öncelik sağlar.

✍️ İpucu:
Bugün yasal zorunluluk olmayabilir ama yarın veriniz sızarsa… O zaman geç olur.

11. 🤝 Danışmanlığı Nedir?
ISO 27001 danışmanlığı;

• 📊 Risk analizinden,
• 📁 Politika ve prosedürlerin yazımına,
• 🎓 Eğitim ve tatbikatlara,
• 🔧 Teknik kontrollerin değerlendirilmesine kadar uçtan uca bir sistem kurulumu sağlar.

✍️ İpucu:
Sadece belge değil, siber güvenlik mimarisi kurulur. Şirket veriniz değilse bile, müşteri veriniz sizin sorumluluğunuzdadır!

12. 🎓 Eğitimi Nedir?
📘 Eğitim içerikleri şunları kapsar:

• BGYS temel kavramlar,
• ISO 27001’in kontrol setleri (Annex A),
• Risk değerlendirme metodolojileri,
• Varlık envanteri nasıl çıkarılır,
• Sosyal mühendislik vakaları,
• Gerçek saldırı örnekleri ile vaka analizi…

13. ISO 27001 ile İlgili Neler Yapıyoruz? 🚀

• 🔐 Kuruma özel BGYS kurulumu,
• 📊 Bilgi varlığı envanteri ve risk analizi,
• 📑 Politika ve prosedürlerin yazımı,
• 🎓 Tüm çalışanlar için bilgi güvenliği farkındalık eğitimi,
• 🔧 Teknik BT denetimi desteği (firewall, antivirüs, erişim kontrolü),
• 🧪 Denetim öncesi hazır olma simülasyonu,
• 📣 KVKK ve GDPR uyum entegrasyonu…

💬 Son söz:
Çağımızda en büyük sermaye: BİLGİ.