ISO 27001 BELGESİ NEDEN ALINIR ISO 27000 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİNİ ALMAK ZORUNLU MU?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin alınması zorunluluğu kamu ve özel sektör olarak incelenebilir.
Özel Sektör de ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ıso 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.
Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM
İşletmecilerin Yükümlülükleri Elektronik haberleşme güvenliğini sağlama yükümlülüğü
MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir.
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.
Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar
10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir.
2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.
05/08/2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir.
2006 / 38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır.
