İSO 2700:2013 Bilgi Güvenliği Yönetim Sistemi

Güvenlik, unsuru insanlık tarihi ile başlamaktadır. Maslow ihtiyaçlar hiyerarşisinde de aynı şekilde fizyolojik ihtiyaçlardan, sonra insanlığın ihtiyaç duyduğu en önemli konu ise “güvenlik” ihtiyacıdır.

Geçmişten günümüze, “bilgi güvenliği” insan yaşamında çok önemli yer tutmaktadır. Şöyle ki: insanlar kendi yaşamlarını devam ettirebilmek için özellikle tarımsal gıda malzemelerine ihtiyaç duyarlar, burada özellikle insanlık tarihi kadar eski olan, buğday önemli bir gıda maddesidir. İnsanlık bu ürünün nasıl ekileceği, hangi dönemde ekileceği, hasat işleminin ne zaman ve nasıl yapılacağı, bunda sonra ise bu ürünün nasıl muhafaza edileceği, nasıl tüketileceği, bu ürünün düşman saldırıları sırasında bozulmadan nasıl muhafaza edileceği gibi birçok konu bilgi ve bunun ne kadar güvenli olduğu ile alakalıdır. Geçmişten günümüze ise savaşlarda, işgallerde, medeniyetlerin yıkılmasında veya kurulmasında üretimin ve teknolojinin el değiştirmesi gibi bir çok konuda güvenilir bilgi ve bu bilgilerin güvenliği insanların yaşamı için büyük önem taşımıştır.

Özellikle sanayi devrimi ile teknolojinin insan hayatında hızlı gelişimi ile birlikte 21. Yüzyılda bilgi ve bilgi güvenliği çok büyük önem kazanmıştır. Bu teknolojik gelişim ise beraberinde bilginin elde edilmesini kolaylaştırmış ancak korumasını ve saklanmasını zorlaştırmıştır. Özellikle trilyonlarca cihazın internete bağlı olduğunu düşündüğümüz zaman bilgiye ulaşımın kolay ama korumanın zor olduğu daha da iyi anlaşılmaktadır. Bu kapsamda gelişmiş ülkeler bir çok konuda olduğu gibi bu konuda da bir standart sistem oluşturmuştur. Bu standardın adı ise İSO 27001 Bilgi Güvenliği Yönetim standardıdır. 

İSO 27001 Bilgi Güvenliği Yönetim Sistemi standardı ile amaçlanan, ulusal ve uluslararası işletmelerin ticari sırlarını, formülasyonlarını, tedarik ve üretim sistemlerini, organizasyonlarını, ticari faaliyetleri, müşteri ilişkileri ve benzeri konuları işletme içerisinde personelden, işletme dışında rakiplerden, tedarikçilerden, veya hacker dediğimiz kötü amaçlı yazılımlar ile firma veya kurum bilgilerini ele geçirerek işletmeye, kişiye her türlü vereceği zararlardan korumak amacı ile uygulanması planlanan bir sitemdir. 

Bilgi Güvenliği Yönetim Sistemi, işletmeler kadar devletler içinde çok önemlidir. Devletler için ise önemi, askeri sırlar, ticari sırlar, uluslararası gizli görüşmeler veya sözleşmelerin saklanması ve korunması çok büyük önem kazanmıştır. Günümüzde ise 3. Dünya savaşının bir çok uzman tarafından “siber savaş”lar olacağı beyan edilmektedir. Bu siber savaşlar da ülkelerin/kurumların/işletmelerin özel bilgilerinin çalınması, bilgi sistemlerinin yok edilmesi veya işlemez/çalışmaz duruma getirilmesidir. 

Tüm bu unsurları dikkate aldığımızda İSO 27001 Bilgi Güvenliği Yönetim Sistemi gün geçtikçe tüm devletler, işletmeler ve insanlık için uygulanması elzem bir hal almaktadır. 

Biz burada genele olarak bilginin ve bilgi güvenliğinin ne kadar önemli olduğu ve bu sitemin mutlak uygulanması gerektiğini belirtirken, konumuz gereği bu sistemi işletmelerin uygulamasını elzem olarak görmekteyiz. Bilgi güvenliği ile ilgili önlemler alınamdığı taktirde işletmeler büyük zararlara uğramaktadır. Bunlardan bir tanesine örnek verecek olur isek; ülkemizdeki orta ölçekli bir işletme farklı olarak 6-7 ülkeye ihracat yapmaktadır. Bu işletme müşterileri ile iletişimi e-mail yolu ile sağlamaktadır. Burada bazı hacker ler virüs programı ile işletmenin e-mail sistemini ele geçirerek, firmanın müşterilerine sipariş ettikleri ürünlere yönelik ödemeleri firma banka bilgilerimiz değişti, artık bu banka hesaplarına yatıracaksınız diye firma yazıyormuş gibi yazarak firmayı ihracatta firma bu olayı tespit edene kadar 40-50 bin Euro arası bir zarara uğratmıştır. Firma orta ölçeğe yakın bir firma olmasına rağmen hemen İSO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ standardının gerektirdiği tüm çalışmaları yapmaya başlamıştır. Bu çalışmalar bilginin işletme içinde veya dışında nasıl muhafaza edileceği standardın gerektirdiği bilgi güvenliği testlerinin yapılması, ona uygun işletim sistemleri ve virüs programının teminleri ve benzeri birçok çalışmayı yaprak gerekli önlemleri almaya çalışmıştır.

Bu örneği vermemdeki birinci amaç BİLGİ GÜVENLİĞİNİN ne derece önem kazandığı, ikinci amaç ise bu tarz kayıplar olmadan gerekli önlemlerin alınması ve Bilgi Güvenliği Yönetim Sistemi kapsamında uygulamaların geliştirilerek kulla


Paylaş: Facebook Twitter Google Plus yazdır