Günümüzde iş dünyasının nabzı, bilgiye dayalı hızlı ve etkili kararlarla atmaktadır. Ancak bu bilgilerin korunması, her organizasyon için hayati bir öneme sahiptir. Bilgi sızıntıları, siber saldırılar, veri kayıpları, süreçlerdeki aksamalar iş dünyasını tehdit eden başlıca riskler arasında yer alıyor. İşte bu noktada ISO 27001 tüm bu tehditlerle nasıl başa çıkabileceğimizi gösteren en önemli çerçevelerden biri olarak karşımıza çıkmaktadır.
ISO 27001, kuruluşlar için bünyelerinde Bilgi Güvenliği Yönetim Sistemi kurulması maksadıyla gereksinimleri belirleyen ve uygulamaya koyan uluslararası bir standarttır. Temelde kuruluşların hassas verileri koruyup koruyamayacaklarını değerlendirmelerine, geçerli yasal ve düzenleyici gerekliliklere uymalarına, bilgi güvenliği risklerini azaltarak hassas ve kritik bilgi varlıklarını korumalarına, güvenlik ve güvenilirliklerini artırmalarına yardımcı olmak için tasarlanmıştır.
ISO 27001 ve BGYS bilgileri güvende tutmak için kullandığımız donanım ve yazılımdan çok daha fazlasıdır. Peki ISO 27001 sertifikasyonu verilerinizi güvende tutmak, müşteriler için güven sağlamak, yatırımcı ve paydaşların güvenini kazanmak, iş süreçlerinin iyileşmesini ve rekabet gücünün artmasını sağlamak gibi avantajlarının yanı sıra yasal bir zorunluluk mudur, mevzuatımız açısından bu konuyu inceleyelim.
Sanayi ve Teknoloji Bakanlığı tarafından 29 Haziran 2022 tarihinde yayınlanan Yönetmelik ile kamu idareleri tarafından yapılacak bilişim hizmet alımları kapsamında ilgili projelerde
- Sızma Testi Yetki Belgesi,
- Yazılım Yetki Belgesi ve
- Kamu Bilişim Yetki Belgesi sahibi olma zorunluluğu getirilmiştir.
Söz konusu belgelere sahip olabilmek için aranan kriterleri incelediğimizde her üç belge için de geçerli olmak üzere ISO 27001 belgesine sahip olunması gerektiği görülmektedir.
İlgili Yönetmelik Yetki belgesi zorunluluğu için yükümlülük tarihini Kamu İhale Genel Tebliğinde yapılacak değişikliğe bırakmıştır. 29 Aralık 2022 tarihinde Kamu İhale Genel Tebliğinde yapılan değişiklik ile de 29.09.2023 tarihi itibariyle bilişim, yazılım veya sızma testi hizmet alımı ihalelerinde, ön yeterlik şartnamesi veya idari şartnamenin ön yeterlik başvurusu ve/veya ihaleye katılım ve yeterlik kriterleri arasına Kamu Bilişim Yetki Belgesi, Sızma Yetki Belgesi ve Yazılım Yetki Belgesi sahip olma zorunluluğu getirilmiştir. Ayrıca bu zorunluluğun alt yükleniciler için de geçerli olması önemli bir ayrıntı olarak göze çarpmaktadır.
ISO 27001 yalnızca bilişim sektörünü değil, birçok sektörü doğrudan ilgilendiren bir standarttır. Bu sektörlerden biri de Elektronik ve Haberleşme sektörüdür. Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Yönetmeliğinin 13.07.2014 tarihinde yayımlanmasıyla birlikte ISO 27001, aşağıda belirtilen hizmetleri veren kuruluşlar için bir zorunluluk haline gelmiştir.
– Altyapı işletmeciliği hizmeti
– Çeşitli telekomünikasyon hizmetleri (İmtiyaz sözleşmesi)
– GMPCS mobil telefon hizmeti
– GSM/IMT-2000/UMTS (imtiyaz sözleşmesi)
– Hava taşıtlarında GSM 1800 mobil telefon hizmeti
– İnternet servis sağlayıcılığı
– Sabit telefon hizmeti
– Uydu haberleşme hizmeti
– Uydu ve kablo tv hizmetleri (görev sözleşmesi)
ISO 27001 ayrıca enerji sektörü için de önemli bir standart haline gelmiştir. Uzun zamandır bu standardın öneminin farkında olan Enerji Piyasası Düzenleme Kurumu, 26.12.2014 tarihinden itibaren Petrol, Elektrik ve Doğalgaz piyasasında faaliyet gösteren firmalar için de ISO 27001’i zorunlu hale getirmiştir. Bu alanda faaliyet gösteren tüm firmalar 01.03.2014 tarihinden itibaren Türk Akreditasyon Kurumu’ndan akredite olmuş bir kurumdan ISO 27001 belgesini almak zorundadırlar.
Görüldüğü gibi ISO 27001 bilgi güvenliğinin sağlanmasına yönelik olarak temek gereksinimleri sağlayan bir standart ve çerçeve olmanın yanı sıra artık kuruluşların faaliyetlerini yürütebilmesi için neredeyse yasal bir zorunluluk haline de gelmiştir. Bu nedenle profesyonel ekiplerin desteğiyle uçtan uca etkin bir Bilgi Güvenliği Yönetim Sistemi tesis etmek kuruluşların bilgi güvenliği duruşlarını kuvvetlendirmelerini, risklerini yönetebilmelerini ve yasal gereksinimlere uyum sağlayarak rekabet avantajı elde etmelerini ve karlılıklarını arttırmalarını sağlayacaktır.
KAYNAKÇA
Kamu Bilişim Hizmet Alımı Kapsamında Katılımcıların Yetkilendirilmesi Hakkında Yönetmelik
https://www.resmigazete.gov.tr/eskiler/2022/06/20220629-2.htm
Kamu İhale Genel Tebliğinde Değişiklik Yapılmasına Dair Tebliğ
https://www.resmigazete.gov.tr/eskiler/2022/12/20221229-18.htm
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=19880&MevzuatTur=7&MevzuatTertip=5
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği
https://www.mevzuat.gov.tr/MevzuatMetin/yonetmelik/7.5.40224.pdf
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.