Faaliyetlerini ISO 27001 standardı gerekliliklerine uygun şekilde sürdürmek ve belgelendirmek isteyen işletmeler genel olarak bu çalışmaları, kapasitelerine uygun olarak kuracakları bilgi güvenliği üniteleri rehberliğinde yapmaktadır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, işletmenin hassas ve gizli bilgilerini yönetmek amacı ile kullanılan sistematik bir yaklaşımdır. Bu sistemin asıl amacı, hassas ve gizli bilgi varlıklarının korunmasıdır. Bu nedenle sistem, bütün çalışanları, iş süreçlerini ve bilgi teknolojileri faaliyetlerini kapsamaktadır.

Bilgi Güvenliği Yönetim Sistemi kavramı ilk olarak 1998 yılında İngiliz Standartlar Enstitüsü (BSI) tarafından ortaya atılmıştır. Bu konuda yayınlanan ilk standart, BS 7799-2 standardıdır. Bu standart saha sonra Uluslararası Standartlar Örgütü (ISO) tarafından kabul edilmiş ve ISO/IEC 27001:2005 başlığı ile yayınlanmıştır.

Yine İngiliz Standartlar Enstitüsü tarafından yayınlanan BS 7799-1 standardı, bilgi güvenliğinin sağlanmasında başvurulacak kontrol yöntemlerini açıklamaktadır. Bu standart da sonradan Uluslararası Standartlar Örgütü tarafından kabul edilmiş ve ISO/IEC 27002:2005 başlığı ile yayınlanmıştır.

Ülkemizde Türk Standartları Enstitüsü tarafında bu standartlar şu başlıklarla yayınlanmıştır:

• TS EN ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler standardı
• TS EN ISO/IEC 27002 Bilgi Teknolojisi - Güvenlik teknikleri - Bilgi güvenliği kontrolleri için uygulama prensipleri

Bugün dünyanın her yerinde bilgi güvenliği yönetimi konusunda yaygın şekilde kullanılan standart, ISO/IEC 27002:2005 standardıdır. Bu standart, işletmelerde bilgi güvenliği yönetimini kurmak, sürdürmek ve iyileştirmek için genel ilkeleri ve yönlendirici bilgileri açıklamaktadır. Bu standardın rehberliğinde kurulan Bilgi Güvenliği Yönetimi Sistemi’nin belgelendirme çalışmaları için de ISO/IEC 27001:2005 standardı kullanılmaktadır.

Etkin bir Bilgi Güvenliği Yönetimi Sistemi kurmak için şu temel kontrol maddeleri öngörülmektedir: güvenlik politikası, bilgi güvenliği organizasyonu, varlık yönetimi, insan kaynakları güvenliği, fiziksel ve çevresel güvenlik, haberleşme ve iletişim yönetimi, erişim kontrolü, bilgi sistemleri edinim, geliştirme ve bakım, bilgi güvenliği ihlal yönetimi, iş sürekliliği ve uyum.

ISO 27001 belgesi alacak işletmeler, bir belgelendirme kuruluşuna başvurarak belge talep edebilirler. Bunun için öncelikle belgelendirme kuruluşu tarafından gerçekleştirilecek denetimlerden geçilmesi gerekmektedir. İlgili standardın tüm gereklilikleri yerine getirilmişse, ISO 27001 belgesi düzenlenerek işletmeye verilir.

Kuruluşumuz tarafından, talep eden işletmelere ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirme hizmetleri verilmektedir.