Bilgi Güvenliği Yönetim Sistemi
Bilgi güvenliği yönetim sistemi , bilginin güvenliğini, bütünlüğünü sağlayan ve gerektiğinde yetkili kişilerin bilgiye kolayca ulaşmasına imkan veren bir sistemdir. BGYS olarak kısaltılır. Uluslararası ISO 27001:2013 standardı ile kurallaştırılmıştır. Bu standardın gereklerini yerine getirmekte olan bir kuruluş, değer varlıklarının başında gelen Bilgi varlıklarının güvenliğini sağlamaya yönelik önemli bir adım atmış demektir.
Resmi Lisans: Yasa tarafından kısıtlanmış veya düzenlenmiş bir işin yapılması, bir girişimde bulunulabilmesi için, kamu otoritesince verilen ve devredilemeyen izin işlemi
ISO 27001 ve ISO 27002 Bilgi Güvenliği Yönetim Sistemi Standartlarının temelleri BS 7799 standardına dayanmaktadır. BS 7799 BSI (British Standards Institution) 1995 yılında yayınlanmış olup iki parçadan oluşmaktaydı. Birinci parça yani BS 7799-1 Bilgi güvenliği yönetimi için en iyi uygulamaları içermekteydi. 2000 yılında bu standart ISO tarafından kabul edilerek ISO 17799 Bilgi Teknolojisi – Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri olarak yayınlanmıştır. ISO 17799 2007 yılında ISO 27000 serisi içine ISO 27002 olarak dahil edilmiştir. İkinci parça ise BSI tarafından BS 7799 2 Bilgi Güvenliği Yönetim Sistemi Gereksinimleri adı altında 1999 yılında yayınlanmıştır. Bu standart BGYSnin nasıl kurulması gerektiği üzerinde durmuştur. 2005 yılında ise ISO tarafından ISO 27001 Bilgi Güvenliği Yönetim Sistemi Gereklilikleri adıyla yayınlanmıştır. ISO 27001 ve 27002 standartlarının en güncel revizyonları ise 25.09.2013 tarihinde yayınlanmıştır
ISO/IEC 27001:2013, kuruluşun kapsamı dahilinde bilgi güvenliği yönetim sisteminin kurulumu, yerine getirilmesi, yürütülmesi ve sürekli geliştirilmesi için gereklilikleri tanımlar. Ayrıca, kuruluşun ihtiyaçlarıyla bağlantılı olan bilgi güvenliği risklerinin değerlendirilmesi ve iyileştirilmesi için gereklilikleri de içermektedir. ISO/IEC 27001:2013te verilen gereklilikler geneldir ve kuruluşların tipine, büyüklüğüne ve doğasına bağlı olmaksızın hepsi için uygulanabilir olması amaçlanmıştır
ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir