ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin temel yaklaşımı gereğince, işletmelerde her kademedeki çalışanlar, üretilen bilginin en üst seviyede güvenlik anlayışı ile korunması gerektiği bilincine sahip olmak zorundadır. Elektronik ortamda saklanan bilgilerin, yasal düzenlemeler ışığında ve bir takım risk değerlendirme yöntemleri kullanılarak, bütünlük, gizlilik ve erişilebilirlik ilkelerine göre yönetilmesi gerekmektedir.

Bu kapsamda olmak üzere işletmeler,

• Bilgi güvenliği standartlarının gerekliliklerini yerine getirmek zorundadır.
• Bilgi güvenliği ile ilgili yürürlükte olan bütün yasal düzenlemelere uyum sağlamak zorundadır.
• Bilgi varlıklarına yönelik olası riskleri tespit etmek ve bu riskleri sistematik bir yaklaşımla yönetmek zorundadır.
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni sürekli olarak gözden geçirmek ve iyileştirmek zorundadır.
• Çalışanların bilgi güvenliği farkındalığını artırmak için, onların bu konudaki yetkinlikleri geliştirecek eğitimler düzenlemek zorundadır.

Bu sayılanlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının temel politikaları olarak öngörülmektedir. Söz konusu standart ülkemizde Türk Standartları Enstitüsü tarafından şu başlıkla yayınlanmıştır: TS EN ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler standardı.

Unutmamak gerekir ki bilgi güvenliği konusu, sadece bilgi teknolojileri bölümünde çalışanlarının sorumluluğunda değildir. Bu sorumluluk eksiksiz olarak her kademedeki çalışanların sorumluluğudur. Bilgi güvenliği, işletmede en üst kademeden en alt kademeye kadar tüm çalışanların katılımı ile sağlanabilir. Bilgi güvenliği için bilgi teknolojileri bölümünde alınacak teknik önlemler çok önemlidir. Ancak bilgi güvenliği konusu işletmede fiziksel ve çevresel güvenlikten iletişim ve haberleşme güvenliğine kadar, insan kaynakları güvenliğinden bilgi teknolojileri güvenliğine kadar geniş bir alanı kapsamaktadır.

Bir işletmede ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulmuş ve ilgili standardın tün gereklilikleri yerine getirilmişse, bir belgelendirme kuruluşuna müracaat edilerek ISO 27001 belgesi talep edilebilir. Bu belgenin hak edilebilmesi için işletmenin bir denetimden geçmesi gerekmektedir. Belgelendirme kuruluşunun seçiminde, kuruluşun akredite olup olmadığının ve hangi akreditasyon kuruluşundan yetki aldığının araştırılması, alınacak ISO 27001 belgesinin uluslararası alanda geçerli olması açısından önemli bir noktadır.

Kuruluşumuz tarafından, talep eden işletmelere ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirme hizmetleri verilmektedir.