Kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi varlıklarını korumak ve ilgili taraflara güven veren, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Bilgilerin düzenli olarak maruz kaldığı birtakım tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur. Bu standart, müşterilerinize ve diğer taraflara, uygun güvenlik kontrollerinin seçildiğini ve bilgi varlıklarınızın güven altında olduğunu göstermeniz için tasarlanmıştır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardı, aşağıdaki konular için uygulanır;
• Güvenlik gerekliliklerini ve amaçlarını belirlemek,
• Güvenlik risklerinin ekonomik olarak yönetildiğine emin olmak,
• Yasal gerekliliklere uygunluktan emin olmak,
• Bilgi güvenliği altyapınızın içerdiği uygulamaların ve kontrollerin, kuruluşun amaçladığı güvenlik seviyesi ile uyuştuğunu göstermek,
• Mevcut bilgi güvenliği yönetim süreçlerini belirlemek ve açıklamak,
• Yönetim tarafından, bilgi güvenliği yönetimi faaliyetlerinin durumunu belirlemek,
• İç ve dış tetkikçiler tarafından, kuruluşun, politikalara, prosedürlere ve standartlara uygunluğunu değerlendirmek,
• Ticari ortaklarınıza, bilgi güvenliği politikalarınız, prosedürleriniz ve standartlarınız hakkında bilgi sağlamak,
• Müşterilerinize, bilgi güvenliğiniz hakkında bilgi sağlamak.
ISO 27001 Bilgi Güvenliği Yönetim Sisteminin faydaları;
• Bilgi varlıklarının gizliliğinin korunması,
• Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
• Kurumsal itibarın korunması,
• İş sürekliliğinin sağlanması,
• Bilgi kaynaklarına erişimin denetlenmesi,
• Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
• Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,
• Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,
• Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,
• Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.