Danışmanlık yaptığımız hemen hemen tüm firmalarda konu dönüp dolaşıp ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması, belgelendirmesine geliyor. Özellikle Bilgi Teknolojileri bölümlerinde çalışan arkadaşlarımızdan konuya ilişkin çok soru geliyor. Sorulara cevap niteliğinde gözlemlerimizi sizlerle paylaşıyoruz.
ISO27001 BGYS ile İlgili Gözlemlerimiz
- ISO27001’in Prosedür/Belge şeklinde anlaşıldığını görüyoruz. (Prosedür varsa işler yolunda demektir.)
- Ana Sanayilerin tedarikçilerinden veya ihaleye girmek için belge alınması. Amaç sadece belge almak olunca BGYS’nin gerekleri tam olarak yerine getirilmiyor. (Belge varsa yedekler hep yerli yerindedir.)
- Son yıllarda artan siber saldırılardan BGYS kurarak kurtulmayı düşünenlerin bulunması. (Siber saldırganlar genelde BGYS’li firmalara saldırmazlar.)
İyi bir BGYS kurmak istiyor ve bunu taraflara (başta yönetime) anlatmak istiyorsanız öncelikle faydalarına odaklanmak gerekiyor.
ISO27001 BGYS’ nin Kanıtlanmış Faydaları Nelerdir?
- Kurumsal Bilgi Risklerinin Yönetilmesini Sağlar,
- Rekabet Avantajı Sağlar,
- Organizasyona Güven Aşılar,
- Mevzuatlara Uyum Sağlamaya Yardımcı Olur,
- Kuruluşun Korunmasına Yardımcı Olur,
- Hata İhtimalini Azaltır,
- Bilgi bir standart sistem ile korunacağından tesadüfe yer bırakılmaz,
- Bilgi kaybı ve eksikliğinden dolayı ortaya çıkabilecek kayıpların önlenmesini sağlar,
- Kuruluş hangi bilgi varlıklarının olduğunu, neleri gizli tutması neleri paydaşlarına açması gerektiği değerinin farkına varır,
- Sistemsel olarak kurmuş olduğu ara kontroller sayesinde koruma metotlarını belirler ve uygulayarak korur,
- Öncelikle müşteri ve tedarikçileri ile birlikte tüm bilgilerin korunacağından ilgili tarafların güvenini kazanır.
ISO27001 BGYS’nin yukarıda sayılan faydalarına ulaşmak için yapılması gereken bir dizi çalışma bulunuyor. Bir sonraki yazımızda bu çalışmalar hakkında kısa bilgiler vereceğiz.