ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
ISO/IEC 27001:2005,(önceki BS 7799-2:2002), bir Bilgi Güvenliği Yönetim Sistemi
için gereklilikleri ortaya koyan bir standarttır. Bilgilerin düzenli olarak maruz
kaldığı bir takım tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize
edilmesine yardımcı olur. Bu standart, müşterilerinize ve diğer taraflara, uygun
güvenlik kontrollerinin seçildiğini ve bilgi varlıklarınızın güven altında olduğunu
göstermeniz için tasarlanmıştır.
Bu standard farklı yapı ve sektördeki bir çok kuruluş için aşağıdakileri içerir;
- Güvenlik gerekliliklerini ve amaçları belirlemek,
- Güvenlik risklerinin ekonomik olarak yönetildiğine emin olmak,
- Yasal gerekliliklere uygunluktan emin olmak,
- Bilgi güvenliği altyapınızın içerdiği uygulamaların ve kontrollerin, kuruluşun amaçladığı
güvenlik seviyesi ile uyuştuğunu göstermek,
- Mevcut bilgi güvenliği yönetim süreçlerini belirlemek va açıklamak,
- Yönetim tarafından, bilgi güvenliği yönetimi faaliyetlerinin durumunu belirlemek,
- İç ve dış tetkikçiler tarafından, kuruluşun, politikalara, prosedürlere ve standardlara
uygunluğunu değerlendirmek,
- Ticari ortaklarınıza, bilgi güvenliği politikalarınız, prosedürleriniz ve standardlarınız
hakkında bilgi sağlamak,
- Müşterilerinize, bilgi güvenliğiniz hakkında bilgi sağlamak.
- ISO/IEC 27001:2005 kullanan bir kuruluş, kendi BGYS’i için bir dayanak olarak, belgelendirmesini
yaptırabilir, böylece BGYS’in standardın gerekliliklerini yerine getirdiği kanıtlanmış
olur.