İş Hayatında Standartlar Dersi 5. Ünite Sorularla Öğrenelim
Bilgi Güvenliği Yönetim Standartları
- Özet
- Sorularla Öğrenelim
Bilgi güvenliği konusunda temel standartlar nelerdir?
Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır:
- Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
- Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
- Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
- Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.
- Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
- İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.
İnternet açıkları hakkında bilgi veriniz?
İnternet gibi büyük kamu ağları sanal olarak herkese açık olduklarından iç ağlardan daha fazla saldırıya açıktırlar. İnternet öyle büyüktür ki kötüye kullanımlar olduğunda etkisi çok yaygın olabilir. İnternet kurumsal bir ağın parçası olduğunda işletmenin bilgi sistemi dışarıdan gelen etkilere daha da açık hale gelir. Kablolu modemlerle veya dijital abone (DSL- digital subscriber line) hatlarıyla İnternete devamlı bağlı olan bilgisayarlar kolayca tanınabilecekleri sabit İnternet adresleri sunduğundan dışarıdan girişlere daha açıktır. Sabit bir İnternet adresi hackerlar için sabit bir hedef oluşturur. E-posta, anlık mesajlaşma ve denkler arası paylaşım programlarının yaygın kullanımı tehditlere açık olma durumunu arttırmıştır. E-posta kötü yazılımlar veya iç kurumsal sistemlere yetkisiz erişim için bir atlama tahtası hizmeti gören ekler içerebilir. İşletme çalışanları e-posta mesajlarını değerli ticari sırları, finansal verileri veya gizli müşteri bilgilerini yetkisiz alıcılara aktarmak için kullanabilirler. Tüketiciler için popüler anlık mesajlaşma yazılı mesajlar için güvenli bir ortam kullanmamaktadır, bu yüzden genel İnternet üzerinden aktarım yaparken engellenebilir ve dışarıdan okunabilir. Yasadışı müzik paylaşımı gibi denkler arası ağlar üzerinden dosyaların paylaşımı zararlı yazılımları taşıyabilir veya bireysel veya kurumsal bilgisayarlardaki bilgileri dışarıdakilere sunabilir.
Kablosuz Güvenlik Sıkıntıları nelerdir?
Kablosuz Güvenlik Sıkıntıları
Havalimanında, kütüphanede veya diğer kamusal alanlarda kablosuz ağlara bağlanmak güvenli midir? Bu ne kadar tedbirli olduğunuza bağlıdır. Evinizde kablosuz ağ bile olsa saldırılara açıktır çünkü radyo frekans bantlarını görüntülemesi kolaydır. Hem Bluetooth hem de Wi-Fi ağları bilgisayar korsanı (hacker) saldırılarına yatkındır
Kötü Amaçlı Yazılım: virüsler, solucanlar, Truva atları ve casus yazılımlar nelerdir?
Kötü Amaçlı Yazılım: Virüsler, Solucanlar, Truva Atları ve Casus Yazılımlar
Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir. Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır. Ekranda rahatsız edici, çalışmaya kısa süreliğine de olsa mani olan mesajlar göstermek gibi zararsız sayılabilecek türlerinin de bulunmasına karşın, çoğu virüs programlarının, önemli dosyaları silmek veya konak (host) sistemini tamamen çalışmaz hale getirmek gibi yıkıcı etkileri bulunmaktadır.
Birçok güncel saldırı solucanlardan gelmektedir. Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendisini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır. Solucanlar verilere ve programlara zarar vermenin yanında bilgisayar ağlarının çalışmasını engelleyebilir hatta durdurabilirler.
Truva atları saldırganlara ağ portu üzerinden yasal olmayan erişim sağlayabilecekleri arka kapı açan yazılımlardır. Truva atları bulaştıkları makine üzerinde uzaktan yönetim yazılım gibi de çalışabilirler (Nizam, 2014: 309). Truva atları çoğalmadığından kendisi bir virüs değildir ancak virüslerin veya diğer zararlı kodların bir bilgisayar sistemine girmesi için bir yoldur.
Casus yazılımların da bazı türleri kötü amaçlı yazılım gibi hareket eder. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bazı kaynaklarda dar manada “snoopware” (burun sokan yazılım) olarak da adlandırılan casus yazılımlar, diğer kötü amaçlı yazılımlara göre özellikle İnternet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar.
Bilgisayar Korsanları (Hackerler) kimlerdir, nasıl hareket ederler?
Bilgisayar Korsanları (Hackerler)
Bir bilgisayar korsanı (hacker) bir bilgisayar sistemine yetkisiz erişim elde etmeye çalışan bir bireydir. Hackerlar Web siteleri ve bilgisayar sistemlerinin uyguladığı güvenlik korumalarındaki zayıflıkları bularak sıklıkla açık bir sistem yaratan ve kolay kullanılan İnternetin çeşitli özelliklerinden faydalanarak yetkisiz erişim elde ederler. Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.
Aldatma (Spoofing) ve Paket Koklama (Sniffing) nedir açıklayınız?
Aldatma (Spoofing) ve Paket Koklama (Sniffing)
Hackerlar gerçek kimliklerini saklamak için genellikle aldatmaya veya sahte e-posta adresleri kullanarak veya kendini başka biri gibi göstererek kendilerini yanlış tanıtmaya çalışmaktadır. Veri paketleri network cihazları vasıtasıyla ağ üzerinden aktarılırken, kötü amaçlı kişiler bu cihazları ve bilgisayarları paket koklama(sniffleyerek) ya da aldatma (spoofing) işlemleri yaparak bilgileri ele geçirebilirler. Saldırganlar bu cihazların IP/MAC tablolarının tutulduğu ARP (Adres Çözümleme Protokolü) belleklerini zehirleyerek, kısacası kandırarak paketlerin kendilerine ulaşmasını sağlayabilirler.
Saldırgan ele geçirdiği paket üzerinde değişimler yaparak bunu gerçek alıcısına gönderebilir. Yapılan bu işlemlerden ne göndericinin ne de alıcının haberi olmayacaktır. Tüm iletim boyunca kendi aralarında haberleştiklerini sanacaklar ve saldırgan kendini aradan çekip bilgisayarların ARP belleklerini eski haline getirmesiyle aldatma işlemi son bulacaktır.
Paket koklama ise ağ üzerinde iletilen verilerin çalınması işlemine denir. Bir paket koklayıcı ağ üzerindeki tüm trafiği kontrol etmek için bilgisayar içerisine yerleşir ve kendi kendine çalışır. Bunlar yazılımsal ya da donanımsal olabilir. Birçok koklayıcı, ayrımsız tür olarak adlandırılan “promiscuous mode” özelliğine sahip ethernet kart modülü vasıtasıyla kendileri haricinde diğer kullanıcılara iletilen paketleri de izinsizce ele geçirip, işleyebilirler. Bazı UNIX bilgisayarlarda tek bir komut satırı yazarak bilgisayarın ayrımsız tür ile çalışması sağlanabilir. Paket koklamanın IP tabanlı koklama, MAC tabanlı koklama ve ARP tabanlı koklama türleri vardır.
Hizmet dışı bırakma nedir açıklayınız?
Hizmet Dışı Bırakma
Hizmet dışı bırakma (DoS Saldırısı /Denial-of-Service) bir Web servisi veya Web uygulaması üzerinde altyapının cevap veremeyeceği derecede aşırı istek veya trafik yükü oluşturarak onu hizmet veremez duruma düşürme amaçlı saldırılardır. Genellikle virüsten etkilenmiş zombi bilgisayarların oluşturduğu robot ağları vasıtasıyla yapılır (Nizam, 2014:309). PwC Küresel Bilgi Güvenliği Araştırması’na (2015) göre ulus-devlet kaynaklı tehditlerde artış yaşanmaktadır. Doğu Avrupada ve Orta Doğuda jeopolitik olaylarda DoS saldırıları ve gelişmiş casusluk yazılımlarının kullanımı dikkat çekmektedir.
Geçtiğimiz birkaç yılda e-ticaret ve kurumsal Web sitelerine karşı temel saldırılar, İnternetin hackerler tarafından yapılan saldırılara özellikle de DoS saldırılarına (denial-of- service) karşı tehlikelere açık olduğunu göstermektedir.
Bilgisayar suçları AITP tarafından nasıl tanımlanmıştır?
Bilgisayar Suçları
Birçok hacker faaliyeti suç teşkil etmektedir. ABD Adalet Bakanlığı bilgisayar suçunu “ceza hukukunun bir bilgisayar teknolojisi içeren her türlü ihlali” olarak tanımlamaktadır. Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır:
- Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması
- Bilginin izinsiz dağıtılması
- Yazılımın izinsiz kopyalanması
- Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi
- Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak
AITP’nin bu tanımı bilgisayar suçları modelinde ve birçok bilgisayar suçu kanununda yer almaktadır.
Kimlik Hırsızlığı nedir açıklayınız?
Kimlik Hırsızlığı
İnternetin ve elektronik ticaretin gelişmesi ile kimlik hırsızlığı büyük bir sorun haline gelmiştir. Kimlik hırsızlığı bir sahtekârın bir başkasını taklit etmek için sosyal güvenlik kimlik numarasını, sürücü ehliyeti numarası veya kredi kartı numaraları gibi önemli kişisel bilgileri elde etmesi suçudur. Bilgi, kredi almak, ticaret yapmak veya mağdurun adına hizmet almak veya hırsıza ehliyet sağlamak için kullanılabilir.
Tıklama Sahtekârlığı nasıl yapılmaktadır?
Tıklama Sahtekârlığı
Bir arama motoru tarafından gösterilen bir reklama tıkladığınızda, reklamcı genellikle potansiyel alıcıları ürünlerine yöneltmesi beklenen her tıklama başına bir ücret öder. Tıklama sahtekarlığı bir birey ya da bilgisayar programı, bir online reklama, reklamcı hakkında daha fazla öğrenmek amacı olmaksızın veya bir satın alma yapmaksızın hileli olarak tıkladığında gerçekleşir. Tıklama sahtekarlığı tıklama başı ödeme yapılan online reklam özelliği olan Google ve diğer Web sitelerinde ciddi bir sorun haline gelmiştir.
Küresel Tehditler: Siber Terör ve Siber Savaş nedir açıklayınız?
Küresel Tehditler: Siber Terör ve Siber Savaş
Kötü amaçlı yazılım yaymak, hizmet dışı bırakma (DoS saldırıları) gibi siber suç faaliyetleri sınırsızdır. Çin, ABD, Güney Kore, Rusya ve Tayvan dünyanın kötü amaçlı yazılımlarının çoğunun kaynağıdır. İnternetin küresel yapısı siber suçluların dünyanın herhangi bir yerinde faaliyet göstermesini ve zarar vermesini mümkün kılmaktadır. İnternet açıkları bireyleri ve hatta tüm ulus devletleri sabotaj ve casusluk yapmak amacıyla siyasi-güdülü hackleme için kolay hedefler haline getirmektedir. Siber savaş zarar vermek veya bozmak için bilgisayarlarına veya ağlarına izinsiz girerek bir devleti ya da ulusu zayıflatmak veya yenmek için tasarlanan devlet sponsorluğunda bir faaliyettir. Yıllardır hackerler füze izleme sistemleri, uydu navigasyon cihazları, insansız uçakların ve son teknoloji jet uçakların planlarını çalmaktadır. Siber savaş modern toplumların altyapısı için büyük bir tehdit teşkil etmektedir. Çünkü temel finansal, sağlık, devlet ve endüstriyel kurumları günlük faaliyetlerinde İnternete bağımlıdır. Siber savaş aynı zamanda bu tür saldırılara karşı savunmayı da içermektedir. Siber terörizm, belirli bir politik ve sosyal amaca ulaşabilmek için bilgisayar veya bilgisayar sistemlerinin bireylere ve mallara karşı bir hükümeti veya toplumu yıldırma, baskı altında tutma amacıyla kullanılmasıdır.
İç Tehditler: Çalışanlar sisteme nasıl zarar verebilirler?
İç Tehditler: Çalışanlar
Güvenlik tehditlerinin işletme dışından kaynaklandığını düşünme eğilimindeyizdir ancak gerçekte iç tehditler ciddi güvenlik sorunları yaratır. Çalışanların ayrıcalıklı bilgilere erişimi vardır ve özensiz iç güvenlik prosedürlerinin olması durumunda sıklıkla bir iz bırakmadan işletmenin sisteminde dolaşabilirler. Kurum içi çalışanların yaptıkları yolsuzluk, hata ve güvenlik prosedürleri ihlalleri birçok güvenlik sorununun temel nedenidir. Bu çok tehlikeli ve yüksek zararlara yol açan bir saldırı şeklidir. Çünkü kurum içindeki bir kişi için kurumu dış tehditlere karşı koruyan güvenlik duvarları ve kapılarda yapılan fiziksel kontrol geçerli değildir. Kaleyi içten fethetme gibi bir durum söz konusudur.
İşletmelerin mevcut ve eski çalışanları siber suçun en çok konuşulan suçlularından olmuştur. Tabii ki bu tüm çalışanların zararlı davranışlarda bulunduğunu göstermez. Birçok durumda mobil cihazlarını kaybederek veya hedefli e-dolandırıcılığa maruz kalarak farkında olmadan verileri tehlikeye atarlar.
Bilgi Sistemi Kontrolü nedir açıklayınız?
Bilgi Sistemi Kontrolü
Bilgi sistemi kontrolleri hem manuel hem de otomatik olarak yapılır ve genel ve uygulama kontrollerini içerir. Genel kontroller bilgisayar programlarının tasarımını, güvenliğini ve kullanımını ve işletmenin bilgi teknolojileri altyapısı boyunca veri dosyalarının güvenliğini yönetir. Genel kontroller tüm bilgisayar uygulamalarına uygulanır ve genel bir kontrol çevresi yaratan donanım, yazılım ve manuel prosedürlerin bir birleşimini içerir. Genel kontroller yazılım kontrolleri, fiziksel donanım kontrolleri, bilgisayar operasyonları kontrolü, veri güvenliği kontrolü, sistem süreçlerinin kontrolleri ve yönetsel kontrolleri içerir.
Uygulama kontrolleri ödeme veya sipariş süreçleri gibi her bir bilgisayarlı uygulamaya özel kontrollerdir. Girdi kontrolleri, işleme kontrolleri, çıktı kontrolleri ve depolama kontrolleri olarak sınıflandırılır. Girdi kontrolleri sisteme girdiklerinde verinin doğruluğunu ve eksiksizliğini kontrol eder. İşleme kontrolleri güncelleme süresince doğru ve tam veriler kurar. Çıktı kontrolleri bilgisayar işlemesinin sonucunun doğru, tam ve uygun bir şekilde dağıtılmış olmasını sağlar.
Bilgi sistemi kontrolü, bilgi sistemi faaliyetlerinin doğruluğunu, geçerliliğini ve uygunluğunu sağlayamaya çalışan yöntem ve araçlardır. Bilgi sistemi kontrolü doğru veri girişi, işleme teknikleri, depolama yöntemleri ve bilgi çıkışını sağlayacak şekilde geliştirilmelidir. Böylece bilgi sistemi girdinin, süreçlerinin, çıktıların ve depolama faaliyetlerinin kalitesini ve güvenliğini izleyecek ve sürdürecek bilgi sistemi kontrolleri tasarlanır.
Güvenlik altyapısı oluşturmak için temel aşamalar nelerdir?
Güvenlik Altyapısı Oluşturma Aşamaları
Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar şu şekildedir:
- Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.
- Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.
- İnsan kaynağı istihdamı: Güvenlik konusunda tecrübeli insan kaynağının istihdam edilmesi gerekmektedir. Güvenlik işletmeler için çok önemli bir konu olduğundan bu konuda görevlendirilecek insan kaynağı hakkında çok ayrıntılı bir ön araştırma yapılması faydalı olacaktır.
- Önleme: Öncelikle veri ve sistemlere yetkisiz kişilerin erişimi ve saldırıları önlenmelidir.
- Yakalama: Tüm saldırılar önlenemez. Ancak izleme sistemi ile erkenden fark edilerek mücadele kolaylaşır ve zararlar azaltılabilir.
- Zararı en aza indirme: Çökmenin zararlarını en aza indirme. Bu işlem için örneğin İnternet siteleri ayrı bir ağda tutulur. Bu sayede İnternet siteleri çökse dahi içerideki sistemler etkilenmez.
- Kurtarma: Çöken sistemlerin en kısa zamanda ve en az zararlara ayağa kaldırılması.
Kimlik Yönetimi ve Kimlik Tanıma Sistemi (Authentication) hakkında bilgi veriniz?
Kimlik Yönetimi ve Kimlik Tanıma Sistemi (Authentication)
Kimlik tanıma sistemi girecek kişinin kimliğinin anlaşılmasını sağlar ve yetkisiz girişlere engel olur. Kimlik tanıma sistemlerinde sadece isim ve şifre yeterli olmayabilir. İleri düzey güvenlik için elektronik imza veya iki yönlü doğrulama kullanılabilir. İki yönlü uygulamada şifre ve kullanıcı adı biyometrik sistemlerle desteklenir. İnternet bankacılığı kullanımında cep telefonlarına gönderilen doğrulama mesajı da bu kategoride değerlendirilebilir (Nizam, 2014:311). Biyometrik kimlik tanıma sistemleri girişe izin vermek veya girişi reddetmek amacıyla parmak izi, göz retinası ve sesler gibi bireyin davranış özelliklerini okuyan ve yorumlayan sistemlerdir. Biyometrik kimlik tanıma sistemi her bir bireyi eşsiz yapan fiziksel veya davranışsal özelliklerin ölçülmesine dayalıdır. Parmak izi, göz retinası, yüz gibi bir kişinin eşsiz özelliklerini bu özellikler ile depolanan profil arasında farklılıklar olup olmadığına karar vermek için karşılaştırır. İki profil eşleşirse erişime izin verilir. Parmak izi ve yüz tanıma sistemleri birçok bilgisayarda var olan parmak izi tanıma cihazları ve birçok çeşit Web kamerası içine yerleştirilmiş yüz tanıma yazılımları ile güvenlik uygulamalarında kullanılmaya başlanmıştır
Bilgi güvenliğinin temel unsurları nelerdir?
Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur. Bu temel unsurlar şu şekilde açıklanmaktadır:
- Gizlilik (Confidentiality): Bilgiye yetkisiz kişilerce erişilememesidir.
- Bütünlük (Integrity): Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır.
- Erişilebilirlik (Availability): Bilginin bilgiye erişim yetkisi olanlar tarafından istenildiği anda ulaşılabilir, kullanılabilir olmasıdır.
Bilgi Güvenliği Yönetim Sistemi PUKÖ modeli aşamaları nelerdir?
BGYS süreçlerine uygulanan PUKÖ modeli aşamaları su şekilde özetlenebilir:
- Planla (BGYS’nin kurulması): BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin geliştirilmesidir.
- Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi): BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesidir.
- Kontrol et (BGYS’nin izlenmesi ve gözden geçirilmesi): BGYS politikası, amaçlar ve süreç performansının değerlendirilmesi, uygulanabilen yerlerde ölçülmesi ve sonuçların rapor edilmesidir.
- Önlem al (BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi): Yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesidir. Bilgi güvenliği yönetimi, sürekli devam eden bir gelişim süreci olarak düşünülmelidir. PUKÖ modelinde gösterildiği gibi bir döngü içinde durmaksızın sürekli devam etmelidir. PUKÖ modeli özet olarak ne yapılacağına karar verilmesi, kararların gerçekleştirilmesi, çalıştığının kontrol edilmesi hedefine uygun çalışmayan kontroller için önlemlerin alınmasıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmanın yararları nelerdir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları
ISO/IEC 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart; finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. ISO/IEC 27001, bilgi teknolojileri taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir ve müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.
Standart, sunulan bilgi güvenliği süreç yaklaşımının kullanıcılarının aşağıdakilerin öneminin anlamalarına yardımcı olmaktadır:
- İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi ihtiyacını anlamak,
- Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek,
- BGYS’nin performansı ve etkinliğini izlemek ve gözden geçirmek,
- Nesnel ölçmeye dayalı olarak sürekli iyileştirmek.