Bilgi Güvenliği Yönetim Sistemi ve Standartlar

Bir organizasyonun en önemli hedeflerinden birisi kurumsal varlıklarını güvence altına almak suretiyle finansal değerlerini korumak ve iş sürekliliğini sağlamaktır. Bu kurumsal varlıklara, finansal değerleri başta olmak üzere birden fazla kıstas göz önünde bulundurularak, farklı ölçeklerde korumalar uygulanabilir. Kurumsal varlıklar kurum binalarından, ufak teçhizatlara kadar çok geniş bir yelpazede çeşitlilik gösterir. Önemli korumalar uygulamak şöyle dursun, çoğu zaman kurumsal varlık envanterinde bile yer almayan “kurumsal bilgi”, kurumsal varlıklar arasında belki de en önemlisi ve kaybedildiğinde tekrar kazanılması en zor olanıdır.

Kurumsal bilgi pek çok farklı şekilde oluşturulabilir, saklanabilir, taşınabilir ya da aktarılabilir. Bilgisayarlar, çalışanlar, kâğıtlar ve evrak, faks fotokopi makineleri, yazıcılar, pano ve yazı tahtaları hatta çöp kutuları ve telefon veya yüz yüze yapılan sohbetler bile bilgi içeren ve ileten ortamlar arasında sayılabilir.  

İş dünyası son zamanlarda kurumsal bilgi güvenliği için çok daha riskli bir hal aldı. Internet sürekli çevrimiçi iş geliştirme amaçlı kullanılmakta, daha fazla iş taşerona verilmekte ve üçüncü taraflardan çok daha fazla hizmet alınmakta, tedarikçi zincirleri büyümekte ve bilgisayar dolandırıcılığı artmaktadır.

Bilgi ve iletişim teknolojilerindeki hızlı gelişmeler yeni bir çağ yaratmış ve beraberinde kablolu ve kablosuz ağlar, mobil iletişimler gibi birçok işlevsel yönü ile iş dünyasını kendine bağımlı hale getirmiştir.  Bilgi çağı olarak adlandırılan bu çağda, iş dünyası ve hatta sosyal yaşamda bir dizi klasik değer ve çözümler yetersiz kalmıştır. Yeni nesil teknolojiler farklı yaklaşımları ve açılımları da beraberinde getirmiştir. Bütün bu karmaşa, iş dünyasının riskli alanlarını her geçen gün arttırmakta. İş risklerini azaltmanın en önemli yolu kurumsal bilgi güvenliği için sistematik bir yaklaşım geliştirmek ve uygulamaktır. Dünyada bilgi güvenliği ile ilgili pek çok otorite ve uluslararası standartlar Bilgi Güvenliği Yönetim Sistemi kavramı ile bizlere böylesi bir yaklaşım sunmaktadır.

Uluslar arası standardizasyon organizasyonu olan ISO, ISO/IEC 27001:2005 ile kendi bakış açısından Bilgi Güvenliği Yönetimi için minimum sistem gereksinimlerini tanımlamaktadır. Sistem gereksinimlerinin yanı sıra ISO, tanımladığı minimum sistem gereksinimlerini karşılamalarını kolaylaştırmak adına, organizasyonlara birçok kılavuz doküman da sağlamaktadır.

Peki, bu standartlar ve dokümanlar nasıl bir gelişim süreci yaşamıştır? İlk Bilgi güvenliği belgesi 1992 senesinde BSI, BOC, BT, Marks and Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever ve diğer bazı şirketlerin katılımıyla endüstri, devlet ve ticari kuruluşlardan ortak bir güvenlik modeli oluşturulması için gelen talepler doğrultusunda geliştirilmiştir. Bu ilk belgeden ISO/IEC 27001:2005’e kadarki gelişim süreci ise aşağıdaki şemada özetlenmektedir.

Bilgi Güvenliği Yönetim Sistemi odaklı dokümanlarının iki ana kategoriye ayrıldığı düşünülebilir; Endüstrideki en iyi uygulamalar (Code of Practice) ve Bilgi Güvenliği Yönetim Sistemi Gereksinimleri (Requirements for ISMS).

Endüstrideki en iyi uygulamalar, yönetim sistemini kurmak için işletmelere kılavuz görevi görecek nitelikte bir dokümandır, ISO/IEC 27002 bu kategoriye girmektedir. Bilgi güvenliği yönetim sistemi gereksinimleri ise yönetim sisteminin kurulması, uygulanması ve belgelenmesi için gereklilikleri tanımlar, organizasyonlarca ihtiyaç duyulan güvenlik kontrollerini içerir. Belgelendirme bu ikinci tip standartlara göre gerçekleştirilir ve ISO/IEC 27001 bu kategori içerisindedir.

İş sürekliliğinizi sağlamak, müşterilerinizin güvenini kazanmak ve korumak,  birçok iş platformunda rekabet avantajı sağlamak ve yasal zorunluluklara uyumunuzu kolaylaştırmak için Bilgi Güvenliği Yönetim Sistemi kurmanız ve işletmeniz önerilmektedir. Dilerseniz ISO/IEC 27001:2005 yada diğer standartların yardımıyla ve onun belirlediği sistem gereksinimlerini baz alan bir BGYS kurabilir ve böylece hem dünyada bilgi güvenliği otoritelerinin konuyla ilgili deneyiminden faydalanarak daha güvenli bir BGYS’yi daha az çaba ile kurmuş olursunuz, hem de BGYS’yi uluslararası bir sertifika ile taçlandırabilirsiniz.