ISO 27001 (resmi olarak ISO / IEC 27001: 2005 olarak bilinir) bir bilgi güvenliği yönetim sistemi (ISMS) için bir şarttır. Bir ISMS, bir kuruluşun bilgi risk yönetim süreçlerinde yer alan tüm yasal, fiziksel ve teknik kontrolleri içeren bir politika ve prosedür çerçevesidir. Dokümantasyonuna göre, ISO 27001 “bir bilgi güvenlik yönetim sisteminin kurulması, uygulanması, çalıştırılması, izlenmesi, gözden geçirilmesi, sürdürülmesi ve geliştirilmesi için bir model sağlamak” için geliştirildi.
ISO 27001, riske dayalı yaklaşımı kullanır ve teknoloji açısından tarafsızdır. Şartname altı bölümlü bir planlama süreci tanımlıyor:
- Bir güvenlik ilkesi tanımlayın.
- BGYS’nin kapsamını tanımlayın.
- Bir risk değerlendirmesi yapın.
- Tanımlanmış riskleri yönetin.
- Uygulanacak kontrol hedeflerini ve kontrolleri seçin.
- Uygulanabilirlik beyanını hazırlayın.
Belgelendirme dokümantasyon, yönetim sorumluluğu, iç denetimler, sürekli iyileştirme ve düzeltici ve önleyici faaliyet için ayrıntıları içerir. Standart, bir kuruluşun tüm bölümleri arasında işbirliği gerektirir.
27001 standardı, belirli bilgi güvenliği denetimlerini zorunlu kılmaz, ancak ekteki uygulama kodunda ISO / IEC 27002: 2005 olarak düşünülmesi gereken kontrollerin bir kontrol listesi sunar. Bu ikinci standart kapsamlı bir bilgi güvenliği kontrol hedefleri seti ve genel kabul görmüş iyi uygulama güvenlik kontrolleri seti tanımlamaktadır.
ISO 27002, 12 ana bölümden oluşmaktadır:
- Risk değerlendirmesi
- Güvenlik politikası
- Bilgi güvenliğinin organizasyonu
- Varlık yönetimi
- İnsan kaynakları güvenliği
- Fiziksel ve çevresel güvenlik
- İletişim ve operasyon yönetimi
- Erişim kontrolü
- Bilgi sistemleri edinimi, geliştirilmesi ve bakımı
- Bilgi güvenliği olay yönetimi
- İş sürekliliği yönetimi
- Uyum