ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi
Bilgi Güvenliği Yönetim Sistemi, bilgi varlıklarının korumasına ve ilgili taraflara, özellikle de müşterilere güven verilmesine yönelik bir yönetim sistemidir. Bu standart, Bilgi Güvenliği Yönetim Sistemini oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser. Dünyanın neresinden olursa olsun büyük küçük tüm kuruluşlara uygulanabilir.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır Bu standart, finans, sağlık, kamu ve Bilgi Teknolojileri sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. Müşterilere bilgilerinin koruma altında olduğu güvencesini verebilecek bir yönetim standardıdır.
ISO 27001 belgesi için kurum ve kuruluşların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları ve uygulamaları gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kuran firmaların uluslararası boyutta tanınan ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi hususunda akredite olmuş kuruluşlardan denetim yaptırması ve bu denetimlerden başarı ile geçmesi gerekmektedir.
Bilgi güvenliğine önem veren kurum ve kuruluşların illa belgelendirilmeleri gerekmez. ISO 27001 standardına göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmaları da yeterlidir. Fakat hiçbir sistem ve uygulama üçüncü taraf bir gözle kontrol edilip denetlenmedikten sonra o sistemin etkinliğinden bahsetmek mümkün değildir.
Önemli Not: E-fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgeleri alma zorunluluğu getirilmiştir.
Gelir İdaresi Başkanlığı (GİB) Bağlı Denetim ve Uyum Yönetimi Daire Başkanlığı e-fatura hizmeti verecek olan Özel Entegratör Firmalar için yayınladığı e-fatura uygulaması kılavuzunda;
Özel Entegratör;
Bilgi güvenliği için TS ISO IEC 27001 veya ISO27001 belgelerine,
İş sürekliliği (Societal security - Business continuity) için ISO 22301 belgesine,
Bilgi Teknolojileri Hizmet Yönetimi Sistemi için;
TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.
Şeklindeki açıklamasıyla e-fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgeleri alma zorunluluğu getirmiştir.
Özetle Özel Entegratör Firmalar;
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi
- ISO 22301 İş Sürekliliği Yönetim Sistemi
- ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi
Standartlarına göre bir sistem oluşturup uluslararası akreditasyona tabi begelendirme kuruluşlarından bu sistemleri belgelendirmeleri gerekmektedir.