ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, süreçleri ve kaynakları içerir.

. Bilgi varlıklarının gizliliğinin korunması,
. Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,
. Kurumsal prestijin korunması,
. İş sürekliliğinin sağlanması,
. Bilgi kaynaklarına erişimin denetlenmesi,
. Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,
. Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması.

ISO 27001 Nedir?
ISO 27001, Bilgi Güvenliği Yönetim Sistemleri (ISMS-BGYS) uluslararası standardıdır ve geniş ölçüde, 1995 yılından beri kullanılmakta olan BS 7799 bilgi güvenliği yönetim standardını esas alarak hazırlanmıştır. ISO 27001 standardı; kuruluşların kendi bilgi güvenlik sistemlerini sağlamasını mümkün kılan teknoloji tarafsız, satıcı- tarafsız yönetim sistemleri için bir çerçeve sağlar. Bu yapı sürekli erişilebilirlik, gizlilik ve kendi bilgileriyle bütünlük sağlayarak, tarafların yasal uyumluluklarını kapsar. ISO 27001 standardının uygulanması, aşağıda belirtilen davranışlara yönelik yasal talepler ve muhtemel güvenlik ihlâllerine karşı ideal bir tepkidir:
• Vandalizm / Terörizm
• Yangın
• Amaç dışı kullanmak
• Hırsızlık
• Virüs saldırısı

ISO 27001 standardı, ISO 9001, ISO 14001, ISO 20000 ve ISO 22301 gibi diğer yönetim sistemi standartlarına kolayca uyum sağlayacak şekilde yapılandırılmıştır. Bazı maddelerdeki farkları ortaya koyarken, ortak öğeler belge düzenlemeyi, inceleme ve denetim taleplerini kapsar; büyük ölçüde bütünleşmiş bir yönetim sistemini geliştirmek için gereken düzenlemeleri sağlar. Modern iletişim ortamları, genelde ISMS sistemlerinin çoğunun ICT’de odaklandığını ortaya koyarken, ISO-27001, bilginin yazılı kayıtlar, görüntüler ve hatta konuşmalar gibi diğer türlerine de uygulanabilir.

ISO 27001 Kimlere uygulanabilir?
ISO 27001, müşteri kayıtlarının amaç dışı kullanılması, bozulması veya kaybolması gibi durumlar nedeniyle ticari bilgilerini ya da müşteri bilgilerini yitirmesiyle büyük ticari zarar görmesi mümkün olan bütün kuruluşlara uygulanabilir.
Sertifika almanın yararları nelerdir?
• Tehdit ve risklerin belirlenerek etkin bir risk yönetiminin sağlanması.
• Kurumsal prestijin korunması ve artısı
• İş sürekliliğinin sağlanması.
• Bilgi kaynaklarına erişimin denetlenmesi
• Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi.
• Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması.
• Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması.
• Personelin, müşterilerin ve yüklenicilerin görevlerini yerine getirirken, bilgi sistemleri kaynaklarını kötü amaçlı olarak kullanma ve/veya kaynakları suistimal etmelerinin engellenmesi.
• Bilgi varlıklarının gizliliğinin korunması
• Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi. • Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetmenlere açık olmasının sağlanması

Bilgi Güvenliği Amaçları
• Kurum içerisindeki bilgi güvenliğini yönetmek,
• kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak,
• Kurumsal varlıkların uygun korunmasını sağlamak ve sürdürmek,
• Bilgi varlıklarının uygun seviyede koruma altına alınmalarını sağlamak,
• Bilgi güvenliği ihlal olaylarının yönetime tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak,
• İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerinden korumak ve bunların zamanında devam etmesini sağlmak,
• Her türlü hukuka, yasal düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek,
• Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak,
• Bilgi sistemleri ve denetim prosesinin etkinliğini arttırmak ve müdahaleleri azaltmak,
temel amaçları olarak sıralanabilir.