ISO 27001 Kurumsal Bilgi Güvenliği Standardı

ISO 27001 Kurumsal Bilgi Güvenliği StandardıŞenol Şen 1 , Tarık Yerlikaya 21 Trakya Üniversitesi, Bilgi İşlem Daire Başkanlığı, Edirne2 Trakya Üniversitesi, Bilgisayar Mühendisliği Bölümü, Edirnesenolsen@trakya.edu.tr,tarikyer@trakya.edu.trÖzet: Bilgi Güvenliği bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginingöndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan vebaşkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekildeiletilmesi süreci olarak tanımlanmaktadır. ISO 27001 dünya üzerinde geçerliliği olan vegitgide birçok alanda zorunlu hale getirilmeye çalışılan bir Bilgi Güvenliği Yönetim Sistemleri(BGYS) standardıdır. Bu standart, kurumlara genel anlamda bilgi güvenliğini nasılyapabileceklerini anlatmaktadır. Kurumların, bilgi sistemleri süreçlerini inceleyerek tehditlerive riskleri belirlemesi ve bu riskleri kabul edilebilir bir seviyeye indirebilmesi için alınacakönlemleri tespit etmesi gerekmektedir. Bu bildiride, bu önlemlerin ISO/IEC 27001 KurumsalBilgi Güvenliği Standardı çerçevesinde bir kuruma uygulanabilmesi için yapılması gerekenaşamalar verilmeye çalışılmıştır.Anahtar Sözcükler: Bilgi güvenliği, Kurumsal Bilgi Güvenliği, ISO/IEC27001 Kurumsal Bilgi Güvenliği StandardıISO 27001 Enterprise Information Security StandardAbstract: Information Security, accessibility of the information provided in an environmentconstantly, until the recipient of the sender of information, in confidence intact, unchanged andensure the integrity of passed over by others, and is defined as the process of delivering a safeway. ISO 27001 becomes mandatory in many areas around the world and increasingly tried tobe valid an Information Security Management Systems (ISMS) standard. This standarddescribes to institutions how to provide information security in general. Organizations have toexamine their information system processes to find out threats and risks and thencountermeasures against these risks must be determined to be able to reduce the risks to anacceptable level. In this article, it is aimed to provide some clues on how these methods couldbe applied to organizations within the framework of ISO/IEC 27001 Information SecurityManagement Systems standard.Keywords: Information Security, Enterprise Information Security, ISO/IEC 27001Information Security Management Systems Standard1. Giriş1990’lı yıllarda yaşanan hızlı teknolojikgelişmelerin bir sonucu olarak bilgisayarlar,modern hayatın her alanına girmiş vevazgeçilmez bir biçimde kullanılmayabaşlanmıştır. Hayatımızın birçok alanındabilgisayar ve bilgisayar ağı teknolojileri“olmazsa olmaz” bir şekilde yer almaktadır.İletişim, para transferleri, kamu hizmetleri,askeri sistemler, elektronik bankacılık,savunma sistemleri, bu alanlardan sadecebirkaçıdır. Teknolojideki bu gelişmeler,bilgisayar ağlarını ve sistemlerini, aynızamanda, bir saldırı aracı haline,kullandığımız sistemleri de açık birer hedefhaline getirmiştir.

2. Bilgi Güvenliği KavramıBilgi güvenliği, bir varlık türü olarak bilgininizinsiz veya yetkisiz bir biçimde erişim,kullanım, değiştirilme, ifşa edilme, ortadankaldırılma, el değiştirme ve hasar verilmesiniönlemek olarak tanımlanır ve "gizlilik","bütünlük" ve "süreklilik(erişilebilirlik)"olarak isimlendirilen üç temel unsurdanmeydana gelir. Bu üç temel güvenliköğesinden herhangi biri zarar görürsegüvenlik zaafiyeti oluşur. [1]Gizlilik (Confidentiality): Bilginin yetkisizkişilerce erişilememesidir.Bütünlük (Integrity): Bilginin doğruluğununve tamlılığının sağlanmasıdır. Bilgininiçeriğinin değiştirilmemiş ve hiçbirbölümünün silinmemiş ya da yok edilmemişolmasıdır.Erişilebilirlik (Availability): Bilginin bilgiyeerişim yetkisi olanlar tarafından istenildiğianda ulaşılabilir, kullanılabilir olmasıdır.GizlilikBütünlükErişilebilirlikŞekil 1. Temel Güvenlik PrensipleriBu üç temel unsur birbirinden bağımsızolarak düşünülememektedir. Bilginingizliliğinin sağlanması o bilgininerişilebilirliğini engellememelidir. Aynızamanda erişilebilen bilginin bütünlüğününde sağlanması önemlidir. Eğer bir bilgi içinsadece gizlilik sağlanılıyor ve bilgiye erişimengelleniyor ise kullanılamaz durumda olanbu bilgi bir değer ifade etmeyecektir. Eğererişimi sağlanıyor ancak bütünlüğüsağlanmıyor ise kurumlar ve kişiler içinyanlış veya eksik bilgi söz konusu olacak veolumsuz sonuçlara neden olabilecektir.Dolayısıyla bilgi güvenliği kavramı temelolarak bu üç unsurun bir arada sağlanmasıdemektir. [2]3.Kurumsal Bilgi GüvenliğiBilgiye sürekli olarak erişilebilirliğinsağlandığı bir ortamda, bilginingöndericisinden alıcısına kadar gizlilikiçerisinde, bozulmadan, değişikliğeuğramadan ve başkaları tarafından elegeçirilmeden bütünlüğünün sağlanması vegüvenli bir şekilde iletilmesi süreci bilgigüvenliği olarak tanımlanmaktaydı. Kurumsalbilgi güvenliği ise, kurumların bilgivarlıklarının tespit edilerek zaafiyetlerininbelirlenmesi ve istenmeyen tehdit vetehlikelerden korunması amacıyla gerekligüvenlik analizlerinin yapılarak önlemlerininalınması olarakdüşünülebilir. [3]Kurumsal bilgi güvenliği insan faktörü,eğitim, teknoloji gibi birçok faktörün etkiettiği tek bir çatı altında yönetilmesi zorunluolan karmaşık süreçlerden oluşmaktadır.Yani, bilgi güvenliği sadece bir BilgiTeknolojisi (BT) ya da yaygın söylemle BilgiSistemleri işi değildir; kurumun her birçalışanının katkısını ve katılımını gerektirir.Ciddi boyutta bir kurum kültürü değişimigerektirdiği için, en başta yönetimin onayı,katılımı ve desteği şarttır. BT’nin teknikolarak gerekli olduğunu saptadığı veuyguladığı teknik güvenlik çözümleri, işsüreçleri ve politikalarla desteklenmemiş vekurum kültürüne yansıtılmamışsa etkisizkalacaklardır. Gerekli inanç ve motivasyonyaratılamamışsa, çalışanlar şifrelerinikorumakta özensiz, hassas alanlardagördükleri yabancı kişilere karşı aldırmaz,kağıt çöpüne gerekli imha işlemini yapmadanatacakları bilgilerin değeri konusundadikkatsiz olabilecekler ve yapılan güvenlikyatırımlarına karşın büyük bir açıkoluşturmaya devam edebileceklerdir. [4]Kişi ve kurumların bilgi güvenliğinisağlamadaki eksikliklerinin yanındasaldırganların saldırı yapabilmeleri içinihtiyaç duydukları yazılımlara internetüzerinden kolaylıkla erişebilmeleri fazla bilgibirikimine ihtiyaç duyulmaması ve enönemlisi ise kişisel ve kurumsal bilgiarlıklarına yapılan saldırılardaki artışlar,

gerek kişisel gerekse kurumsal bilgigüvenliğine daha fazla önem verilmesine yeniyaklaşımların ve standartların kurumlarbünyesinde uygulanması zorunluluğunuortaya çıkarmıştır. [5]4. ISO 27001 Standardı ve Bilgi GüvenliğiYönetim Sistemi(BGYS)İletişim ortamlarının yaygınlaşması vekullanımının artması sonucunda bilgigüvenliğinin sağlanması ihtiyacı her geçengün katlanarak artmıştır. Sadece teknikönlemlerle (güvenlik duvarları, saldırı tespitsistemleri, antivirüs yazılımları, şifreleme,vb.) kurumsal bilgi güvenliğininsağlanmasının mümkün olmadığıgörülmüştür. Bu nedenle teknik önlemlerinötesinde, insanları, süreçleri ve bilgisistemlerini içine alan ve üst yönetimtarafından desteklenen bir yönetim sisteminingerekliliği ortaya çıkmıştır.Kurum veya kuruluşların üst düzeyde bilgigüvenliğini ve iş sürekliliğini sağlamalarıiçin, teknik önlemlerin yanında teknikolmayan (insan faktörü, prosedürel faktörler,vb.) önlemlerin ve denetimlerin alınması, tümbu süreçlerin devamlılığının sağlanılması vebilgi güvenliği standartlarına uygun olarakyönetilebilmesi amacıyla yönetim tarafındandesteklenen insanları, iş süreçlerini ve bilişimteknolojilerini kapsayan bilgi güvenliğistandartlarına uygun olarak Bilgi GüvenliğiYönetim Sistemi (BGYS) kurmalarıgerekmektedir. Bilgi güvenliği standartlarıkurumların kendi iş süreçlerini bilgigüvenliğine yönelik risklerden korumaları veönleyici tedbirleri sistematik biçimdeişletebilmeleri ve standartların gereğini yerinegetiren kurum veya kuruluşlarınbelgelendirilmesi amacıyla geliştirilmiştir.[5]Bilgi varlıklarının korunabilmesi, kurumlarınkarşılaşabileceği risklerin en azaindirgenmesi ve iş sürekliliğinin sağlanmasıBGYS’nin kurumlarda üst yönetim desteğiylehayata geçirilmesiyle mümkün olmaktadır.BGYS, ISO 27001 standardının öngördüğübir yapıdır.Standardın tanımına göre BGYS, “Bilgigüvenliğini kurmak, gerçekleştirmek,işletmek, izlemek, gözden geçirmek,sürdürmek ve geliştirmek için, iş riskiyaklaşımına dayalı tüm yönetim sistemininbir parçası” olarak tanımlanmaktadır.Kurumsal yapıyı, politikaları, planlamafaaliyetlerini, sorumlulukları, uygulamaları,prosedürleri, prosesleri ve kaynaklarıiçermektedir.ISO 27001’in de içinde bulunduğu ISO27000 ailesi aşağıda kısaca verilmiştir.ISO/IEC 27000 – BGYS Genel Bilgiler veTanımlarISO/IEC 27001 – BGYS GereksinimleriISO/IEC 27002 – BGYS Uygulama Pratiklerive KontrolleriISO/IEC 27003 – BGYS Risk YönetimiUygulama RehberiISO/IEC 27004 – BGYS Etkinlik ÖlçümRehberiISO/IEC 27005 – BGYS Risk YönetimiRehberiISO/IEC 27006 – BGSY BelgelendirmeKurumları İçin RehberISO/IEC 27007 – BGYS Denetim RehberiISO/IEC 27011 – TelekominikasyonKuruluşları için BGYSISO/IEC 27799 – Sağlık Kuruluşları içinBGYS Rehberi [7]ISO 27001 ve ISO 27002, BGYS’nin entemel standartlarıdır. BGSY’ninplanlanmasının, gerçekleştirilmesini,iyileştirilmesini ve sürdürülmesi içinuygulama işlemlerini ve kontrollerini ISO27002 içerirken; BGYS’nin belgelendirilmesiiçin gereken standartlarsa ISO 27001’de yeralmaktadır. [7]ISO 27001 Bilgi Teknolojisi-GüvenlikTeknikleri-Bilgi Güvenliği YönetimSistemleri-Gereksinimler standardı kurumsalbilgi güvenliğinin sağlanmasına yönelik birstandarttır. Kurumsal bilgi güvenliğinin birkurumda nasıl uygulanabileceğini açıklayanbir dokümandır. Sadece sistem güvenliğindendeğil bilgi güvenliğinden bahsetmektedir.Bu standart, bir BGYS kurmak,gerçekleştirmek, işletmek, izlemek, gözden

geçirmek, sürdürmek ve iyileştirmek için birmodel sağlamak üzere hazırlanmıştır. Birkuruluş için BG YS’nin benimsenmesistratejik bir karar olmalıdır. Bir kuruluşunBGYS tasarımı ve gerçekleştirmesi,ihtiyaçları ve amaçları, güvenlikgereksinimleri, kullanılan süreçler vekuruluşun büyüklüğü ve yapısından etkilenir.Bir BGYS gerçekleştirmesinin kuruluşunihtiyaçlarına göre ölçeklenmesi beklenir.[6]Standard, sunulan bilgi güvenliği süreçyaklaşımının, kullanıcılarını aşağıdakilerinöneminin anlamalarına yardımcı olmaktadır.İş bilgi güvenliği gereksinimlerini vebilgi güvenliği için politika veamaçların belirlenmesi ihtiyacınıanlamak, Kuruluşun tüm iş riskleriniyönetmek bağlamında kuruluşunbilgi güvenliği risklerini yönetmekiçin kontrolleri gerçekleştirmek veişletmek, BGYS’nin performansı veetkinliğini izlemek ve gözdengeçirmek,Nesnel ölçmeye dayalı olarak sürekliiyileştirmek.BGYS yaşayan bir süreç olmak zorundadır.Bu nedenle de Standard BGYS için, planlauygula-kontrolet-önlem al (PUKÖ)döngüsünü benimsemiştir.Önlem alKontrol etPlanlaUygulaŞekil 2. BGYS için PUKÖ döngüsüBGYS süreçlerine uygulanan PUKÖ modeliaşamaları şu şekilde özetlenebilir:Planlama; Kurumun BGYS politikası,amaçları, hedefleri, prosesleri veprosedürlerinin oluşturulur.Uygulama; BGYS’nin gerçekleştirilmesi veişletilmesini yani, BGYS politikası,kontroller, prosesler ve prosedürleringerçekleştirilip işletilmesini ifade etmektedir.Kontrol et; BGYS’nin izlenmesi ve gözdengeçirilmesi, BGYS politikası, amaçlar vekullanım deneyimlerine göre süreçperformansının değerlendirilmesi veuygulanabilen yerlerde ölçülmesi vesonuçların gözden geçirilmek üzere yönetimerapor edilmesini ifade etmektedir.Önlem al; BGYS’nin sürekliliğininsağlanması ve iyileştirilmesi, yönetimingözden geçirme sonuçlarına dayalı olarak,düzeltici ve önleyici faaliyetleringerçekleştirilerek BGYS’nin sürekliliğinin veiyileştirilmesinin sağlanmasını ifadeetmektedir.Bu aşamalar sürekli bir biçimde birbiriniizleyerek yaşayan bir sistem oluşturmaktadır.Kurumsal bilgi güvenlik politikalarınınoluşturulması, BGYS kapsamınınbelirlenmesi, varlıkların yönetimi, riskyönetimi, dokümantasyon oluşturma, denetimkontrollerinin seçilmesi, uygulanabilirlikbeyannameleri ve yönetimin gözdengeçirmesi BGYS’nin kurulum adımlarıdır.[2]BGYS'nin kurulması; varlık envanterininyapılması, bu varlıklara karşı olası risk vetehditlerin tespit edilmesi, güvenlikpolitikalarının oluşturulması, denetimlerin veuygulamaların kontrolü, uygun çözümleringeliştirilerek sistemin iyileştirilmesi gibibirbirini izleyen ve tamamlayan denetimleringerçekleştirilmiş olması demektir.Bilgi Güvenliği Yönetim Sistemi‟niuygulamak isteyen bir kurumda yapılmasıgereken aşamalar aşağıda özetle anlatılmayaçalışılmıştır.

4.1 Güvenlik politikası: Üst yönetimtarafından onaylanmış bir bilgi güvenliğipolitikası oluşturulmalıdır. Bu politika üstyönetimin bilgi güvenliği yönetimi ile ilgilitaahhüdünü ve kurumsal yaklaşımınıyansıtmalıdır.4.2 Bilgi güvenliği organizasyonu: Bubölümde kurum içi ve üçüncü taraflarla olanerişim güvenliği organize edilmelidir.Yönetim kurum içinde uygulanacak güvenliktedbirlerini aktif olarak desteklemeli, bilgigüvenliği ile ilgili hedefler belirlenmeli vesorumluların atanması yapılmalıdır. Ayrıcaorganizasyon içerisindeki uygulama ilegüvenlik politikası esaslarının aynı olduğu,güvenlik politikasının etkin ve uygulanabilirolduğu düzenli bir şekilde bağımsız birkurum veya kuruluş tarafındandenetlenmelidir. Yine bilgi sistemlerineüçüncü tarafların erişiminden kaynaklanacakriskler belirlenmeli ve erişim hakkıverilmeden önce bununla ilgili tedbirleralınmalıdır.4.3 Varlık yönetimi: Tüm bilgi varlıklarınıiçeren bir varlık envanteri tutulmalıdır. Buenvanter hazırlanırken aşağıda belirtilenvarlık türlerinin tamamı göz önündebulundurulmalıdır.- Bilgi: Veri Tabanı, sözleşme ve anlaşmalar,sistem dokümantasyonu vb.- Yazılım varlıkları: Uygulama yazılımları,sistem yazılımları ve yazılım geliştirmearaçları.- Fiziksel varlıklar: Bilgisayarlar ve iletişimaraçları.- Hizmete dönük varlıklar: Bilgisayar veiletişim hizmetleri, ısıtma, aydınlatma, güçvb.- Personel: Nitelik ve tecrübeleri ile birlikte.- Soyut varlıklar: Kuruluşun itibarı ve imajıgibi.Varlık envanteri herhangi bir afetten sonranormal çalışma şartlarına dönmek içingereken (varlığın türü, formatı, konumu,değeri gibi) tüm bilgileri içermelidir.4.4 İnsan kaynakları güvenliği: Kurumunbilgi güvenliği politikası uyarınca personeledüşen güvenlik rol ve sorumluluklarıbelgelenmeli; işe alınacak personeleyüklenecek rol ve sorumluluklar açıkçatanımlanmış ve işe alınmadan önce personeltarafından iyice anlaşılması sağlanmışolmalıdır. Kurum çalışanlarının gizlilik veaçığa çıkarmama anlaşmalarını işe alınmaşartının bir parçası olarak imzalamalarıistenmelidir. Kurum çalışanlarının güvenlikpolitika ve prosedürlerine uymamasıdurumunda devreye girecek bir disiplin süreciolmalıdır. İşten ayrılma, kontratın veyaanlaşmanın sona ermesi halinde veya görevdeğişikliği halinde kurum çalışanlarının veyaüçüncü parti kullanıcılarının kuruluşun bilgivarlıklarına veya bilgi işlem araçlarına erişimhakları kaldırılmalı veya gerektiği şekildeyeniden düzenlenmelidir.4.5 Fiziksel ve çevresel güvenlik: Bilgiişleme servisini korumak amacıyla herhangibir fiziksel sınır güvenliği (kart kontrollügiriş, duvarlar, insanlı nizamiye vb.) tesisedilmelidir. Fiziksel sınır güvenliği, içindekibilgi varlıklarının güvenlik ihtiyaçları ve riskdeğerlendirme sürecinin sonucuna göreoluşturulmalıdır. Kurum içerisinde belliyerlere sadece yetkili personelin girişine izinverecek şekilde kontrol mekanizmalarıoluşturulmalı ve ziyaretçilerin giriş-çıkışzamanları ve ziyaret sebeplerikaydedilmelidir. Yangın, sel, deprem,patlama ve diğer tabii afetler veya toplumsalkargaşa sonucu oluşabilecek hasara karşıfiziksel koruma tedbirleri alınmış olmalı veuygulanmalıdır.4.6 İletişim ve işletme yönetimi: İşletmeprosedürleri yazılmalı ve güncellenmelidir.Bilgi işlem ve iletişim ile ilgili sistemaçma/kapama, yedekleme, cihazların bakımı,sistem odasının kullanılması,gibi sistem faaliyetleri prosedürlerebağlanmalıdır. İşletme prosedürlerine,ihtiyacı olan tüm kullanıcılar erişebilmeli vebu prosedürler resmi belge gibi ciddiyealınmalıdır. Bilgi işlem sistemlerinde yapılandeğişiklikler denetlenmeli ve yapılandeğişiklikler için kayıtlar tutulmalıdır.Yedekleme politikası uyarınca bilgi veyazılımların yedeklenmesi ve yedeklerin test

edilmesi düzenli olarak yapılmalıdır. Birfelaket veya sistem hatasından sonra gereklitüm bilgilerin ve yazılımların kurtarılmasınısağlayacak yedekleme kabiliyetleri kurumakazandırılmalıdır.4.7 Erişim kontrolü: Erişimle ilgili iş vegüvenlik ihtiyaçları göz önündebulundurularak erişim denetimi politikasıoluşturulmalı ve belgelenmelidir. Erişimdenetimi hem fiziksel, hem işlevsel boyutlarıile değerlendirilmeli ve erişim denetimipolitikası bütün kullanıcılar veya kullanıcıgrupları için erişim kurallarını ve haklarınıaçıkça belirtmelidir. Erişim haklarının“Yasaklanmadıkça her şey serbesttir” değil“İzin verilmedikçe her şey yasaktır”prensibine göre verilmesine dikkatedilmelidir.4.8 Bilgi sistemleri tedariği, geliştirme vebakımı: Yeni sistemlerin geliştirilmesi veyamevcut sistemlerin iyileştirilmesi ile ilgiliihtiyaçlar belirlenirken güvenlikgereksinimleri göz önüne alınmalıdır.Uygulama sistemlerinin girdilerinin doğru veuygun olduğuna dair kontroller yapılmalı;doğru girilmiş bilginin işlem sırasında hatasonucunda veya kasıtlı olarak bozulupbozulmadığını kontrol etmek içinuygulamalara kontrol mekanizmalarıyerleştirilmelidir. Uygulamalar, işlemsırasında oluşacak hataların veri bütünlüğünübozma olasılığını asgari düzeye indirecekşekilde tasarlanmalıdır. Bilginin korunmasıiçin kriptografik kontrollerin kullanılmasınıdüzenleyen politika geliştirilmiş veuygulamaya alınmış olmalıdır. Çalışansistemlere yazılım yüklenmesini -bozulmariskini asgariye indirmek için- düzenleyenprosedürler olmalı ve bilgi sistemleri üzerindeyapılacak değişiklikler resmi kontrolprosedürleri aracılığı ile denetlenmelidir.4.9 Bilgi güvenliği olayları yönetimi:Güvenlik olaylarını mümkün olduğunca hızlıbir şekilde raporlamak ve kurumçalışanlarının sistem ve servislerdekigüvenlik zafiyetlerini ya da bunları kullanantehditleri bildirmesi için resmi bir raporlamaprosedürü oluşturulmalıdır. Personel veüçüncü taraf çalışanları zafiyetlerin varlığınıkanıtlamak için test ve girişimler yapmaktankaçınmalıdır. Aksi halde sistemde hasaroluşabileceği gibi testi yapan personelin desuçlu durumuna düşebileceği personeleanlatılmalıdır. Bilgi güvenliği olaylarınıortaya çıkarmak için sistemler, sistemlerinaçıklıkları ve üretilen alarmlar izlenmelidir.Bilgi sisteminin çökmesi, kötü niyetliyazılım, servis dışı bırakma saldırısı, eksikveya hatalı veri girişi, gizlilik ve bütünlüğübozan ihlaller, bilgi sisteminin kötüyekullanılması gibi istenmeyen olaylardadeliller toplanmalı ve güvenli bir şekildesaklanmalıdır. Açığı kapatmak ve hatalarıdüzeltmek için gereken çalışmalar yapılırkencanlı sisteme sadece yetkili personelinerişmesine, acil düzeltme çalışmalarınındokümante edilmesine, çalışmaların düzenliolarak yönetime bildirilmesi ve yönetimtarafından gözden geçirilmesine ve bilgisistemlerinin bütünlüğünün asgari gecikmeile sağlanmasına dikkat edilmelidir.4.10 İş sürekliliği yönetimi: Kurumbünyesinde bilgi güvenliği ihtiyaçlarına yerveren iş sürekliliği için geliştirilmiş bir süreçoluşturulmalı. Bu süreç iş sürekliliği ile ilgiliolarak kuruluşun yüz yüze olduğu riskleri,kritik iş süreçleri ile ilgili varlıkları, bilgigüvenliği olayları yüzündengerçekleşebilecek kesintilerin etkisini, ilaveönleyici tedbirlerin belirlenmesi veuygulanmasını, bilgi güvenliğini de içeren işsürekliliği planlarının belgelenmesikonularını içermelidir.4.11 Uyum: Her bir bilgi sistemi için ilgilibütün yasal, düzenleyici ve sözleşmeye bağlıgereksinimler ve gereksinimleri sağlamakiçin kullanılacak kurumsal yaklaşım açıkşekilde tanımlanmış ve belgelenmiş olmalı vebu gereksinimleri karşılamak amacıylakontroller ve bireysel sorumluluklartanımlanmalı ve belgelenmelidir.Kullanılmakta olan yazılım ve diğer her türlümateryal ile ilgili olarak yasal kısıtlamalarauyulması açısından kopya hakkı, düzenlemehakkı, ticari marka gibi haklarınkullanılmasını güvence altına alanprosedürler yürürlüğe sokulmalıdır.

5.SonuçISO 27001’in öngördüğü bir BGYS kurmakkurumlara birçok yarar sağlayacaktır. BGYSkurma adımlarının izlenmesi sonucundakurum her şeyden önce bilgi varlıklarınınfarkına varacaktır. Hangi varlıkları olduğununve bu varlıkların önemini anlayacaktır.Risklerini belirleyip yöneterek en önemliunsur olan iş sürekliliğini sağlayabilecektir. İşsürekliliğinin sağlanması kurumunfaaliyetlerine devam edebilmesi anlamınagelmektedir.Bilgilerin korunacağından, kurumun iç ve dışpaydaşlarında bir güven duygusu oluşturur,motivasyon sağlar. Daha iyi bir çalışmaortamı yaratılmasına katkı sağlar.kriptoloji konferansı, 2007.[6] TS ISO/IEC 27001, Mart 2006.[7] http://www.cozumpark.com/blogs/cobit-itil/archive/2012/06/02/ts-_3101_so-_3101_ec-27001-2005-bilgi-g-venli-i-ynetim-sistemi-ve-puk-modeli-b-l-m-2.aspx[8] SAĞIROĞLU Ş., ERSOY E. ve ALKANM., Bilgi güvenliğinin kurumsal bazdauygulanması, Bildiriler Kitabı uluslararasıkatılımlı bilgi güvenliği ve kriptolojikonferansı, 2007.[9] OTTEKİN F., TS ISO/IEC 27001Denetim Listesi, Tubitak- UEKAE, 2008Kurum, kuruluş ve işletmelerin belirligüvenlik standartları çerçevesinde bilgigüvenliğini sağlayarak iç ve dış tehditlerkarşısında zarar görmeden veya en az zararlaiş sürekliliklerini devam ettirebilmeleri içinbilgi güvenliği standartlarını kendikuruluşlarında uygulamaları artık neredeysebir zorunluluk haline gelmiştir.[8]6. Kaynaklar[1] Bilişim Güvenliği sürüm 1.1,http://www.pro-g.com.tr[2] DOĞANTİMUR F., ISO 27001 standardıçerçevesinde kurumsal bilgi güvenliği, 2009[3] VURAL Y., SAĞIROĞLU Ş., Kurumsalbilgi güvenliği ve standartları üzerine birinceleme, Gazi Üniv. Müh. Mim. Fak. Der.Cilt :23 No: 2, 2008.[4] KÜÇÜKOĞLU Ş., Uygun GüvenlikÇözümüne Yolculuk, http://www.infosecurenet.com/macroscope/macroscope6.pdf.[5] VURAL Y., SAĞIROĞLU Ş., Kurumsalbilgi güvenliği: güncel gelişmeler, BildirilerKitabı uluslararası katılımlı bilgi güvenliği ve